SlideShare uma empresa Scribd logo

GovTI e Auditoria

R
RenatoBraga34

Palestra no Conbrai 2011

Liderança e gerenciamento
1 de 67
Baixar para ler offline
TRIBUNAL DE CONTAS DA UNIÃO Renato Braga, CISA, CIA, CGAP Brasília, 27 de setembro de 2011 Diretor Secretaria de Fiscalização de Tecnologia da Informação Tribunal de Contas da União Governança de TI e Auditoria Interna
Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna
“9.4. determinar à Secretaria de Fiscalização de Tecnologia da Informação - Sefti que: (...) 9.4.2. desenvolva ações de estímulo à conscientização da alta administração das unidades da administração pública federal acerca de conceitos, objetivos, indicadores, ações e estruturas de governança de tecnologia da informação;” Acórdão 2.308/2010-Plenário Incrementar a divulgação
“Os auditores internos determinam se a alta administração e o conselho de administração entendem claramente que a confiabilidade e integridade da informação é uma responsabilidade da direção. Esta responsabilidade inclui toda a informação crítica da organização, sem importar como se armazena a informação. ...” (tradução livre) O papel da AI na consientização IPPF 2130.A1-1
Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna
“O sistema pelo qual o uso atual e futuro da TI é dirigido e controlado.” (NBR 38.500) • TI deve agregar valor ao negócio • Riscos aceitáveis Governança de TI Definição
Governança de TI Responsabilidade A responsabilidade por prover uma boa governança de TI é da alta administração da organização (NBR 38.500)
Deliberações do TCU sobre contratações de serviços de TI Fonte: Pesquisa textual na base do Sistema Juris (TCU)
Acórdão 1.603/2008-TCU-Plenário (Min. Guilherme Palmeira) Acórdão 2.471/2008-TCU-Plenário (Min. Benjamin Zymler) Em 2007 o TCU realizou duas grandes fiscalizações no tema TI
TRIBUNAL DE CONTAS DA UNIÃO Acórdão 1.603/2008-TCU-Plenário (Min. Guilherme Palmeira) TC 008.380/2007-1
Alguns dados do TC 008.380/2007-1 1º Levantamento de Governança de TI • 255 jurisdicionados pesquisados • Questionário com 39 questões • Jurisdicionados deveriam anexar evidências
Acórdão 1.603/2008-TCU-Plenário Deficiências em Governança de TI 51% NÃO alocam gastos de TI de acordo com planejamento 51% NÃO seguem metodologia de desenvolvimento de sistemas 57% NÃO têm carreira específica para TI 59% NÃO têm planejamento estratégico em vigor 64% NÃO têm política de segurança da informação 75% NÃO fazem análise de riscos de TI 80% NÃO fazem classificação da informação 88% NÃO têm plano de continuidade de negócios
TRIBUNAL DE CONTAS DA UNIÃO Acórdão 2.471/2008-TCU-Plenário (Min. Benjamin Zymler) TC 019.230/2007-2
Alguns dados do TC 019.230/2007-2 Verificação da Governança de TI in loco • 12 auditorias, em 7 UF • 25 questões de auditoria • 77 achados (auditoria integrada)
Alguns dados do TC 019.230/2007-2 • VRF (Volume dos Recursos Fiscalizados) • R$ 1,5 bilhão • Benefícios financeiros potenciais • R$ 772 milhões • 92% de satisfação dos auditados Verificação da Governança de TI in loco
Alguns dados do TC 019.230/2007-2 Conclusão: • confirmada a falta de governança nos 12 casos • situação pior que a declarada no questionário Verificação da Governança de TI in loco
Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna
Criação da Sefti SEFTI Agosto de 2006 (Resolução TCU 193/2006) “A Secretaria de Fiscalização de Tecnologia da Informação tem por finalidade fiscalizar a gestão e o uso de recursos de tecnologia da informação pela Administração Pública Federal.”
Criação da SEFTI Fonte: Pesquisa textual na base do Sistema Juris (TCU) Deliberações do TCU sobre contratações de serviços de TI
Acórdãos estruturantes OGS 1.603/2008 371/2008 353/2008 786/2006 2.094/2004 E outros que estão por vir... 2.308/2010 2.079/2009 2.471/2008 1.827/2008
Órgãos Governantes Superiores (OGS) “Têm a responsabilidade por normatizar e fiscalizar o uso e a gestão de TI em seus respectivos segmentos da Administração Pública Federal” (Voto do Acórdão 1.145/2011-TCU-Plenário)
AGU CGU CNJ CNMP Dest/MP Enap/MP GSI/PR SLTI/MP SOF/MP STN/MF Órgãos governantes superiores de TI (OGS)
Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna
O Questionário • 300 jurisdicionados pesquisados • 30 perguntas – 152 subitens • Divididas segundo 7 dimensões do Gespública Liderança Estratégias e planos Cidadãos Sociedade Informações e conhecimento Pessoas Processos • Evidências conforme solicitado 2º Levantamento de Governança de TI
Acórdão 2.308/2010-TCU-Plenário: Temas que merecem atenção 53% NÃO têm processo de software ao menos gerenciado 63% NÃO aprovam e publicam PDTI interna ou externamente 65% NÃO possuem política corporativa de segurança da informação 74% NÃO inventariam todos os ativos de informação 75% NÃO gerenciam os incidentes de segurança da informação 83% NÃO analisam os riscos aos quais a informação está submetida 89% NÃO classificam a informação para o negócio 97% NÃO possuem plano de continuidade de negócio em vigor Resultados (Dimensão Processos)
Acórdão 2.308/2010-TCU-Plenário: Temas que merecem atenção • ... se responsabiliza pelas políticas de TI (51%) • ... designou formalmente um comitê de TI (48%) • ... estabeleceu objetivos de desempenho de gestão e uso de TI (57%) • ... definiu indicadores de desempenho de gestão e uso de TI (76%) Resultados (Dimensão Liderança) A Alta Administração NÃO :
Planejamento estratégico institucional • 2007 – 53% • 2010 – 79% (p.ex. Res CNJ 70/2009) Carreira de TI • 2007 – 43% • 2010 – 78% (p.ex. SISP – ATI+GSISP) Acórdão 2.308/2010-TCU-Plenário: Melhorias observadas Mas houve melhorias?
Acórdão 2.308/2010-TCU-Plenário: Melhorias observadas Conclusão: Os indicativos de melhoria em planejamento e em quadro de pessoal sinalizam possibilidade de avanço em outras dimensões no futuro.
2010 - iGovTI 0 25 50 75 100 125 150 175 iGovTI de 0,0 a 0,39 iGovTI de 0,4 a 0,59 iGovTI de 0,6 a 0,84 Quantidade de Instituições Índice Aprimorado Intermediário Inicial 38% 57% 5% Instituições x estágios do iGovTI
Risco de TI em função de iGovTI e Orçamento de TI R$ 100.000,00 R$ 1.000.000,00 R$ 10.000.000,00 R$ 100.000.000,00 R$ 1.000.000.000,00 R$ 10.000.000.000,00 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% O r ç a m e n t o T I 2 0 1 0 iGovTI Governança de TI x Orçamento de TI
Risco de TI em função de iGovTI , Orçamento de TI e sistemas críticos R$ 100.000,00 R$ 1.000.000,00 R$ 10.000.000,00 R$ 100.000.000,00 R$ 1.000.000.000,00 R$ 10.000.000.000,00 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% O r ç a m e n t o T I 2 0 1 0 iGovTI Governança de TI x Orçamento de TI x Sistemas Críticos Possui sistema crítico Não possui sistema crítico
Risco de TI em função de iGovTI, na visão da Sefti R$ 100.000,00 R$ 1.000.000,00 R$ 10.000.000,00 R$ 100.000.000,00 R$ 1.000.000.000,00 R$ 10.000.000.000,00 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% O r ç a m e n t o T I 2 0 1 0 iGovTI Governança de TI x Orçamento de TI x Sistemas Críticos Possui sistema crítico Não possui sistema crítico
Riscos de TI: IGovTI - Segurança da Informação 101 56 40 44 23 12 7 9 7 2 0 20 40 60 80 100 120 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% QuantidadedeInstituições iGovTI-Seg Distribuição por iGovTI-Seg 1/3
Riscos de TI: IGovTI - Segurança da Informação 101 56 40 44 23 12 7 9 7 2 0 20 40 60 80 100 120 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% QuantidadedeInstituições iGovTI-Seg Distribuição por iGovTI-Seg 88%
Papel da liderança na Governança de TI Dimensão Liderança Estratégias e Planos Gestão de Pessoas Liderança --- --- --- Estratégias e Planos 0,48 --- --- Gestão de Pessoas 0,32 0,23 --- Processos 0,60 0,46 0,29 Análise de correlação entre as dimensões avaliadas
Papel da liderança na Governança de TI 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% governançaemprocessosdeTI governança em liderança de TI Correlaçãoentre governança em liderança e governança em processosde TI
• objetivos institucionais de TI • indicadores para cada objetivo • metas para cada indicador • mecanismos para acompanhar desempenho da TI Acórdão 2308/2010-TCU-Plenário: Recomendações aos OGS Orientações à Alta Administração:
Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna
Alta Administração Orientações (2308/2010) Situação de GovTI Orientações Objetivos Indicadores Metas GestoresTCU Situação de GestãoTI Informações consolidadas (4) (3) (5) (1) (2) (6)
E essa dinâmica deve gerar mudanças... Governança de TI Implementação/aprimoramento do modelo de governança Desgovernança de TI Alta Administração (responsabilidade)
Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna
Quanto a Administração Pública Federal (e o cidadão) dependem de TI hoje? O que ocorreria se falhassem, por exemplo, os sistemas que controlam ... • ... o recebimento do IRPF? • ... o pagamento do Bolsa Família? • ... o pagamento de aposentadorias? • ... os processos judiciais? • ... as sessões do Congresso Nacional? • ... as publicações da Imprensa Nacional? 42
TRIBUNAL DE CONTAS DA UNIÃO Deveríamos cuidar melhor da tecnologia da informação na Administração Pública Federal? E quando não cuidamos... 43
TRIBUNAL DE CONTAS DA UNIÃO O que pode ocorrer com os 97% que NÃO possuem plano de continuidade de negócio em vigor? Acórdão 172/2008-2ª Câmara e Acórdão 1.330/2008-Plenário 44
Acórdãos 172/2008-2ªC e 1330/2008-P Situação: • Ausência de Plano de Continuidade do Negócio • Falta/deficiência de recursos ou planos de contingência 45
Acórdãos 172/2008-2ªC e 1330/2008-P Consequência: • Desconhecimento de ameaças e seus impactos • Falha nos equipamentos de processamento centralizado provocou (Ac. 172/08): • Paralisação do Banco (inst. financeira) por mais de 20h • Danos à imagem • Prejuízos financeiros • Vírus gerou paralisação da rede por mais de duas semanas (Ac. 1330/08) 46
TRIBUNAL DE CONTAS DA UNIÃO O que pode ocorrer com os 53% que NÃO têm processo de software ao menos gerenciado (nível 2 da NBR 15.504)? TC-031.963/2008-0 47
TC 031.963/2008-0 Situação: • Edital e projeto básico não possuíam indicadores de qualidade e desempenho (níveis de serviço ou parâmetros de performance) • Processo de homologação do produto sem viés técnico e sem verificar a solução de TI em sua integralidade • Homologação focada só na usabilidade (ponto de vista do usuário) • Homologação focada no aceite de casos de uso individual (ausência de testes integrais) 48
TC 031.963/2008-0 Consequência: • Dificuldade na identificação antecipada de inconsistências e problemas de funcionamento e performance para a solução integrada • Dificuldade do ente público em atuar corretivamente junto à contratada • Impossibilitando a correção dos problemas de funcionamento 49
TC 031.963/2008-0 Consequência: • Produto apresentou problemas de 2004 a 2007 (momento da entrega da solução completa) • Procedimento de homologação não garantiu a qualidade do produto e não logrou exigir correções pela contratada • Não implantação do sistema, apesar de ter sido homologado e pago 50
TRIBUNAL DE CONTAS DA UNIÃO O que pode ocorrer com os 63% que NÃO aprovam e publicam PDTI interna ou externamente? Acórdão 2.023/2005-Plenário 51
Acórdão 2.023/2005-Plenário Situação: • Planejamento deficiente Consequência: • Desenvolvimento de sistema em 2000/2001, o qual é considerado relevante e passou pelos testes • Ausência de infra-estrutura necessária à execução do sistema (infra-est. de rede/servidores/equipamentos) • Sistema não implantado até 2005 52
TRIBUNAL DE CONTAS DA UNIÃO O que pode ocorrer com os 65% que NÃO possuem política corporativa de segurança da informação? Acórdão 71/2007-Plenário 53
Acórdão 71/2007-Plenário Situação: • Sistema de âmbito nacional com informações confidenciais e relevantes dos cidadãos • Minuta de Política de Segurança da Informação (PSI) desatualizada e não formalmente aprovada • Política de Controle de Acesso deficiente 54
Acórdão 71/2007-Plenário Consequência: • Dificuldade na identificação de responsabilidades quanto aos assuntos de segurança da informação • Grande vulnerabilidade do sistema • Vazamento e mau uso de informações privadas e confidenciais dos cidadãos 55
Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna
IIA, IPPF, 1210.A3 “Os auditores internos devem possuir conhecimento suficiente sobre os principais riscos e controles de tecnologia da informação e sobre as técnicas de auditoria baseadas em tecnologia disponíveis para a execução dos trabalhos a eles designados. Entretanto, não se espera que todos os auditores internos possuam a especialização de um auditor interno cuja principal responsabilidade seja auditoria de tecnologia da informação.” 57
IIA, IPPF, 2110.A2 “A atividade de auditoria interna deve avaliar se a governança de tecnologia da informação da organização dá suporte às estratégias e objetivos da organização.” 58
IIA, IPPF, 2120.A1 “A atividade de auditoria interna deve avaliar as exposições a riscos relacionadas à governança, às operações e aos sistemas de informação da organização, em relação a: • Confiabilidade e integridade das informações financeiras e operacionais; • Eficácia e eficiência das operações e programas; • Salvaguarda dos ativos; e • Conformidade com leis, regulamentos, políticas, procedimentos e contratos.” 59
IIA, IPPF, 2130.A1 “A atividade de auditoria interna deve avaliar a adequação e a eficácia dos controles em resposta aos riscos, abrangendo a governança, as operações e os sistemas de informação da organização, com relação a: • Confiabilidade e integridade das informações financeiras e operacionais; • Eficácia e eficiência das operações e programas; • Salvaguarda dos ativos; e • Conformidade com leis, regulamentos, políticas e procedimentos e contratos.” 60
O TCU promoveu dois eventos (16 de junho e 4 de agosto de 2011) para conscientizar a alta administração da APF e foi sugerido... (ver apresentação do Ministro-substituto Augusto Sherman) Nesse sentido...
Em resumo... Passo inicial: Obter, capacitar e valorizar recursos humanos Passo 1: Aprovar um Plano Estratégico Institucional Passo 2: Aprovar um Plano Estratégico de TI Passo 3: Criar um comitê de TI Passo 4: Utilizar a auditoria interna (AI) Passo 5: Monitorar os resultados 62
Passo 4: Utilizar a auditoria interna (AI) O que é? • “A auditoria auxilia a organização a alcançar seus objetivos por meio de uma abordagem sistemática e disciplinada para a avaliação e [indução da] melhoria da eficácia dos processos de gerenciamento de risco, controle e governança corporativa.” (Definição de AI, do IIA) Por quê? • Decreto 3.591/2001,art. 17 • IN 63/2010-TCU, art.1º, inciso XI • Boas práticas (IIA, IPPF) 63
Passo 4: Utilizar a auditoria interna (AI) Como? • Normas do IIA Onde obter ajuda: • 10% dos pesquisados declararam que fazem auditoria de governança de TI (Acórdão 2.308/2010-TCU-Plenário) • Cursos do TCU/Sefti (IATI, Avaliação de Controles Gerais de TI etc) 64
TRIBUNAL DE CONTAS DA UNIÃO Governar a TI é ação da Alta Administração, e não da área de TI. 65
Resumo Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna
TRIBUNAL DE CONTAS DA UNIÃO Brasília, 27 de setembro de 2011 Renato Braga, CISA, CIA, CGAP Governança de TI e Auditoria Interna

Recomendados

Governança de TI e Auditoria Interna
Governança de TI e Auditoria InternaGovernança de TI e Auditoria Interna
Governança de TI e Auditoria InternaEditora Fórum
 
ISCAD - SIAP - IT Governance
ISCAD - SIAP - IT GovernanceISCAD - SIAP - IT Governance
ISCAD - SIAP - IT GovernanceLuis Vidigal
 
Unidade especializada em auditoria de TI – caso TCU
Unidade especializada em auditoria de TI – caso TCUUnidade especializada em auditoria de TI – caso TCU
Unidade especializada em auditoria de TI – caso TCURenatoBraga34
 
Palestra infnet cenário da terceirização de ti no setor público melhores p...
Palestra infnet cenário da terceirização de ti no setor público melhores p...Palestra infnet cenário da terceirização de ti no setor público melhores p...
Palestra infnet cenário da terceirização de ti no setor público melhores p...TI Infnet
 
Apresentação Final
Apresentação FinalApresentação Final
Apresentação FinalKharylim Machado Sea
 
Agenda Oficial - 1º Fórum de TI e Inovação para Tribunais de Contas
Agenda Oficial - 1º Fórum de TI e Inovação para Tribunais de ContasAgenda Oficial - 1º Fórum de TI e Inovação para Tribunais de Contas
Agenda Oficial - 1º Fórum de TI e Inovação para Tribunais de ContasAna Carolina Giacomini Botta
 
GESTÃO DA INFORMAÇÃO E TECNOLOGIA MBA
GESTÃO DA INFORMAÇÃO E TECNOLOGIA MBAGESTÃO DA INFORMAÇÃO E TECNOLOGIA MBA
GESTÃO DA INFORMAÇÃO E TECNOLOGIA MBAsilvanaan
 
Governança de TI em Pernambuco
Governança de TI em PernambucoGovernança de TI em Pernambuco
Governança de TI em PernambucoGoverno do Estado de Pernambuco
 

Recomendados

Governança de TI e Auditoria Interna
Governança de TI e Auditoria InternaGovernança de TI e Auditoria Interna
Governança de TI e Auditoria InternaEditora Fórum
 
ISCAD - SIAP - IT Governance
ISCAD - SIAP - IT GovernanceISCAD - SIAP - IT Governance
ISCAD - SIAP - IT GovernanceLuis Vidigal
 
Unidade especializada em auditoria de TI – caso TCU
Unidade especializada em auditoria de TI – caso TCUUnidade especializada em auditoria de TI – caso TCU
Unidade especializada em auditoria de TI – caso TCURenatoBraga34
 
Palestra infnet cenário da terceirização de ti no setor público melhores p...
Palestra infnet cenário da terceirização de ti no setor público melhores p...Palestra infnet cenário da terceirização de ti no setor público melhores p...
Palestra infnet cenário da terceirização de ti no setor público melhores p...TI Infnet
 
Apresentação Final
Apresentação FinalApresentação Final
Apresentação FinalKharylim Machado Sea
 
Agenda Oficial - 1º Fórum de TI e Inovação para Tribunais de Contas
Agenda Oficial - 1º Fórum de TI e Inovação para Tribunais de ContasAgenda Oficial - 1º Fórum de TI e Inovação para Tribunais de Contas
Agenda Oficial - 1º Fórum de TI e Inovação para Tribunais de ContasAna Carolina Giacomini Botta
 
GESTÃO DA INFORMAÇÃO E TECNOLOGIA MBA
GESTÃO DA INFORMAÇÃO E TECNOLOGIA MBAGESTÃO DA INFORMAÇÃO E TECNOLOGIA MBA
GESTÃO DA INFORMAÇÃO E TECNOLOGIA MBAsilvanaan
 
Governança de TI em Pernambuco
Governança de TI em PernambucoGovernança de TI em Pernambuco
Governança de TI em PernambucoGoverno do Estado de Pernambuco
 
Acórdão 2471 2008
Acórdão 2471 2008Acórdão 2471 2008
Acórdão 2471 2008Gustavo Loureiro
 
1068434343434343434343434434343434504.PPT
1068434343434343434343434434343434504.PPT1068434343434343434343434434343434504.PPT
1068434343434343434343434434343434504.PPTRafaelDalcin2
 
Proposta técnica para o aprimoramento da informática de governo em pernambuco
Proposta técnica para o aprimoramento da informática de governo em pernambucoProposta técnica para o aprimoramento da informática de governo em pernambuco
Proposta técnica para o aprimoramento da informática de governo em pernambucoGoverno do Estado de Pernambuco
 
Governança de ti
Governança de tiGovernança de ti
Governança de timonicacmachado
 
Agenda oficial - Fórum de TI e Inovação par Tribunais de Contas
Agenda oficial - Fórum de TI e Inovação par Tribunais de ContasAgenda oficial - Fórum de TI e Inovação par Tribunais de Contas
Agenda oficial - Fórum de TI e Inovação par Tribunais de ContasAna Carolina Giacomini Botta
 
Plano governanca-em-ti-sti
Plano governanca-em-ti-stiPlano governanca-em-ti-sti
Plano governanca-em-ti-stiHaroldo Borges da Costa
 
Plano governanca-em-ti-sti
Plano governanca-em-ti-stiPlano governanca-em-ti-sti
Plano governanca-em-ti-stiHaroldo Borges da Costa
 
Carlos Renato - Seminário 4 de dezembro de 2012
Carlos Renato - Seminário 4 de dezembro de 2012Carlos Renato - Seminário 4 de dezembro de 2012
Carlos Renato - Seminário 4 de dezembro de 2012institutoethos
 
Governança
GovernançaGovernança
GovernançaGerson Pires Moreira Pinto
 
Perfil de governança de ti 2010 questionário-v1.4
Perfil de governança de ti 2010 questionário-v1.4Perfil de governança de ti 2010 questionário-v1.4
Perfil de governança de ti 2010 questionário-v1.4Gustavo Loureiro
 
Aula 03 implementação do cobit
Aula 03 implementação do cobitAula 03 implementação do cobit
Aula 03 implementação do cobitMaurilio Benevento
 
SISP - Sistema de Administração dos Recursos de Informação e Informática
SISP - Sistema de Administração dos Recursos de Informação e InformáticaSISP - Sistema de Administração dos Recursos de Informação e Informática
SISP - Sistema de Administração dos Recursos de Informação e InformáticaGovBR
 
Jul2015 Governança de ti na gestão pública
Jul2015 Governança de ti na gestão públicaJul2015 Governança de ti na gestão pública
Jul2015 Governança de ti na gestão públicaLuiz Mauricio
 
Gestão Estratégica: Governança e Planejamento
Gestão Estratégica: Governança e PlanejamentoGestão Estratégica: Governança e Planejamento
Gestão Estratégica: Governança e PlanejamentoYuri Morais
 
Aula 01 conceitos do cobit
Aula 01 conceitos do cobitAula 01 conceitos do cobit
Aula 01 conceitos do cobitMaurilio Benevento
 
Peti
PetiPeti
PetiUnnivaldo
 
Cobit
CobitCobit
CobitMil Projetos Studio Digital
 
Rio Info 2015: Painel Analise critica das Políticas de Incentivo a TI Brasile...
Rio Info 2015: Painel Analise critica das Políticas de Incentivo a TI Brasile...Rio Info 2015: Painel Analise critica das Políticas de Incentivo a TI Brasile...
Rio Info 2015: Painel Analise critica das Políticas de Incentivo a TI Brasile...Rio Info
 
Governança de TI - Aula05 - compliance, PETI e PDTI
Governança de TI - Aula05 - compliance, PETI e PDTIGovernança de TI - Aula05 - compliance, PETI e PDTI
Governança de TI - Aula05 - compliance, PETI e PDTICEULJI/ULBRA Centro Universitário Luterano de Ji-Paraná
 
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)Fernando Palma
 
Autoavaliação de controles e atuação nos órgãos governantes superiores: nova ...
Autoavaliação de controles e atuação nos órgãos governantes superiores: nova ...Autoavaliação de controles e atuação nos órgãos governantes superiores: nova ...
Autoavaliação de controles e atuação nos órgãos governantes superiores: nova ...RenatoBraga34
 
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...RenatoBraga34
 

Mais conteúdo relacionado

Semelhante a GovTI e Auditoria

1068434343434343434343434434343434504.PPT
1068434343434343434343434434343434504.PPT1068434343434343434343434434343434504.PPT
1068434343434343434343434434343434504.PPTRafaelDalcin2
 
Proposta técnica para o aprimoramento da informática de governo em pernambuco
Proposta técnica para o aprimoramento da informática de governo em pernambucoProposta técnica para o aprimoramento da informática de governo em pernambuco
Proposta técnica para o aprimoramento da informática de governo em pernambucoGoverno do Estado de Pernambuco
 
Agenda oficial - Fórum de TI e Inovação par Tribunais de Contas
Agenda oficial - Fórum de TI e Inovação par Tribunais de ContasAgenda oficial - Fórum de TI e Inovação par Tribunais de Contas
Agenda oficial - Fórum de TI e Inovação par Tribunais de ContasAna Carolina Giacomini Botta
 
Carlos Renato - Seminário 4 de dezembro de 2012
Carlos Renato - Seminário 4 de dezembro de 2012Carlos Renato - Seminário 4 de dezembro de 2012
Carlos Renato - Seminário 4 de dezembro de 2012institutoethos
 
Perfil de governança de ti 2010 questionário-v1.4
Perfil de governança de ti 2010 questionário-v1.4Perfil de governança de ti 2010 questionário-v1.4
Perfil de governança de ti 2010 questionário-v1.4Gustavo Loureiro
 
Aula 03 implementação do cobit
Aula 03 implementação do cobitAula 03 implementação do cobit
Aula 03 implementação do cobitMaurilio Benevento
 
SISP - Sistema de Administração dos Recursos de Informação e Informática
SISP - Sistema de Administração dos Recursos de Informação e InformáticaSISP - Sistema de Administração dos Recursos de Informação e Informática
SISP - Sistema de Administração dos Recursos de Informação e InformáticaGovBR
 
Jul2015 Governança de ti na gestão pública
Jul2015 Governança de ti na gestão públicaJul2015 Governança de ti na gestão pública
Jul2015 Governança de ti na gestão públicaLuiz Mauricio
 
Gestão Estratégica: Governança e Planejamento
Gestão Estratégica: Governança e PlanejamentoGestão Estratégica: Governança e Planejamento
Gestão Estratégica: Governança e PlanejamentoYuri Morais
 
Rio Info 2015: Painel Analise critica das Políticas de Incentivo a TI Brasile...
Rio Info 2015: Painel Analise critica das Políticas de Incentivo a TI Brasile...Rio Info 2015: Painel Analise critica das Políticas de Incentivo a TI Brasile...
Rio Info 2015: Painel Analise critica das Políticas de Incentivo a TI Brasile...Rio Info
 
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)Fernando Palma
 

Semelhante a GovTI e Auditoria (20)

Acórdão 2471 2008
Acórdão 2471 2008Acórdão 2471 2008
Acórdão 2471 2008
 
1068434343434343434343434434343434504.PPT
1068434343434343434343434434343434504.PPT1068434343434343434343434434343434504.PPT
1068434343434343434343434434343434504.PPT
 
Proposta técnica para o aprimoramento da informática de governo em pernambuco
Proposta técnica para o aprimoramento da informática de governo em pernambucoProposta técnica para o aprimoramento da informática de governo em pernambuco
Proposta técnica para o aprimoramento da informática de governo em pernambuco
 
Governança de ti
Governança de tiGovernança de ti
Governança de ti
 
Agenda oficial - Fórum de TI e Inovação par Tribunais de Contas
Agenda oficial - Fórum de TI e Inovação par Tribunais de ContasAgenda oficial - Fórum de TI e Inovação par Tribunais de Contas
Agenda oficial - Fórum de TI e Inovação par Tribunais de Contas
 
Plano governanca-em-ti-sti
Plano governanca-em-ti-stiPlano governanca-em-ti-sti
Plano governanca-em-ti-sti
 
Plano governanca-em-ti-sti
Plano governanca-em-ti-stiPlano governanca-em-ti-sti
Plano governanca-em-ti-sti
 
Carlos Renato - Seminário 4 de dezembro de 2012
Carlos Renato - Seminário 4 de dezembro de 2012Carlos Renato - Seminário 4 de dezembro de 2012
Carlos Renato - Seminário 4 de dezembro de 2012
 
Governança
GovernançaGovernança
Governança
 
Perfil de governança de ti 2010 questionário-v1.4
Perfil de governança de ti 2010 questionário-v1.4Perfil de governança de ti 2010 questionário-v1.4
Perfil de governança de ti 2010 questionário-v1.4
 
Aula 03 implementação do cobit
Aula 03 implementação do cobitAula 03 implementação do cobit
Aula 03 implementação do cobit
 
SISP - Sistema de Administração dos Recursos de Informação e Informática
SISP - Sistema de Administração dos Recursos de Informação e InformáticaSISP - Sistema de Administração dos Recursos de Informação e Informática
SISP - Sistema de Administração dos Recursos de Informação e Informática
 
Jul2015 Governança de ti na gestão pública
Jul2015 Governança de ti na gestão públicaJul2015 Governança de ti na gestão pública
Jul2015 Governança de ti na gestão pública
 
Gestão Estratégica: Governança e Planejamento
Gestão Estratégica: Governança e PlanejamentoGestão Estratégica: Governança e Planejamento
Gestão Estratégica: Governança e Planejamento
 
Aula 01 conceitos do cobit
Aula 01 conceitos do cobitAula 01 conceitos do cobit
Aula 01 conceitos do cobit
 
Peti
PetiPeti
Peti
 
Cobit
CobitCobit
Cobit
 
Rio Info 2015: Painel Analise critica das Políticas de Incentivo a TI Brasile...
Rio Info 2015: Painel Analise critica das Políticas de Incentivo a TI Brasile...Rio Info 2015: Painel Analise critica das Políticas de Incentivo a TI Brasile...
Rio Info 2015: Painel Analise critica das Políticas de Incentivo a TI Brasile...
 
Governança de TI - Aula05 - compliance, PETI e PDTI
Governança de TI - Aula05 - compliance, PETI e PDTIGovernança de TI - Aula05 - compliance, PETI e PDTI
Governança de TI - Aula05 - compliance, PETI e PDTI
 
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
 

Mais de RenatoBraga34

Autoavaliação de controles e atuação nos órgãos governantes superiores: nova ...
Autoavaliação de controles e atuação nos órgãos governantes superiores: nova ...Autoavaliação de controles e atuação nos órgãos governantes superiores: nova ...
Autoavaliação de controles e atuação nos órgãos governantes superiores: nova ...RenatoBraga34
 
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...RenatoBraga34
 
Utilização de ferramentas CAAT em auditorias de grandes bases de dados
Utilização de ferramentas CAAT em auditorias de grandes bases de dadosUtilização de ferramentas CAAT em auditorias de grandes bases de dados
Utilização de ferramentas CAAT em auditorias de grandes bases de dadosRenatoBraga34
 
Evaluación de outsourcing y gobierno de TI en el sector público: experiencia ...
Evaluación de outsourcing y gobierno de TI en el sector público: experiencia ...Evaluación de outsourcing y gobierno de TI en el sector público: experiencia ...
Evaluación de outsourcing y gobierno de TI en el sector público: experiencia ...RenatoBraga34
 
Enfoques y criterios de auditoría de TI en las Entidades Públicas
Enfoques y criterios de auditoría de TI en las Entidades PúblicasEnfoques y criterios de auditoría de TI en las Entidades Públicas
Enfoques y criterios de auditoría de TI en las Entidades PúblicasRenatoBraga34
 
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...RenatoBraga34
 

Mais de RenatoBraga34 (6)

Autoavaliação de controles e atuação nos órgãos governantes superiores: nova ...
Autoavaliação de controles e atuação nos órgãos governantes superiores: nova ...Autoavaliação de controles e atuação nos órgãos governantes superiores: nova ...
Autoavaliação de controles e atuação nos órgãos governantes superiores: nova ...
 
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
 
Utilização de ferramentas CAAT em auditorias de grandes bases de dados
Utilização de ferramentas CAAT em auditorias de grandes bases de dadosUtilização de ferramentas CAAT em auditorias de grandes bases de dados
Utilização de ferramentas CAAT em auditorias de grandes bases de dados
 
Evaluación de outsourcing y gobierno de TI en el sector público: experiencia ...
Evaluación de outsourcing y gobierno de TI en el sector público: experiencia ...Evaluación de outsourcing y gobierno de TI en el sector público: experiencia ...
Evaluación de outsourcing y gobierno de TI en el sector público: experiencia ...
 
Enfoques y criterios de auditoría de TI en las Entidades Públicas
Enfoques y criterios de auditoría de TI en las Entidades PúblicasEnfoques y criterios de auditoría de TI en las Entidades Públicas
Enfoques y criterios de auditoría de TI en las Entidades Públicas
 
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
 

GovTI e Auditoria

  • 1. TRIBUNAL DE CONTAS DA UNIÃO Renato Braga, CISA, CIA, CGAP Brasília, 27 de setembro de 2011 Diretor Secretaria de Fiscalização de Tecnologia da Informação Tribunal de Contas da União Governança de TI e Auditoria Interna
  • 2. Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna
  • 3. “9.4. determinar à Secretaria de Fiscalização de Tecnologia da Informação - Sefti que: (...) 9.4.2. desenvolva ações de estímulo à conscientização da alta administração das unidades da administração pública federal acerca de conceitos, objetivos, indicadores, ações e estruturas de governança de tecnologia da informação;” Acórdão 2.308/2010-Plenário Incrementar a divulgação
  • 4. “Os auditores internos determinam se a alta administração e o conselho de administração entendem claramente que a confiabilidade e integridade da informação é uma responsabilidade da direção. Esta responsabilidade inclui toda a informação crítica da organização, sem importar como se armazena a informação. ...” (tradução livre) O papel da AI na consientização IPPF 2130.A1-1
  • 5. Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna
  • 6. “O sistema pelo qual o uso atual e futuro da TI é dirigido e controlado.” (NBR 38.500) • TI deve agregar valor ao negócio • Riscos aceitáveis Governança de TI Definição
  • 7. Governança de TI Responsabilidade A responsabilidade por prover uma boa governança de TI é da alta administração da organização (NBR 38.500)
  • 8. Deliberações do TCU sobre contratações de serviços de TI Fonte: Pesquisa textual na base do Sistema Juris (TCU)
  • 9. Acórdão 1.603/2008-TCU-Plenário (Min. Guilherme Palmeira) Acórdão 2.471/2008-TCU-Plenário (Min. Benjamin Zymler) Em 2007 o TCU realizou duas grandes fiscalizações no tema TI
  • 10. TRIBUNAL DE CONTAS DA UNIÃO Acórdão 1.603/2008-TCU-Plenário (Min. Guilherme Palmeira) TC 008.380/2007-1
  • 11. Alguns dados do TC 008.380/2007-1 1º Levantamento de Governança de TI • 255 jurisdicionados pesquisados • Questionário com 39 questões • Jurisdicionados deveriam anexar evidências
  • 12. Acórdão 1.603/2008-TCU-Plenário Deficiências em Governança de TI 51% NÃO alocam gastos de TI de acordo com planejamento 51% NÃO seguem metodologia de desenvolvimento de sistemas 57% NÃO têm carreira específica para TI 59% NÃO têm planejamento estratégico em vigor 64% NÃO têm política de segurança da informação 75% NÃO fazem análise de riscos de TI 80% NÃO fazem classificação da informação 88% NÃO têm plano de continuidade de negócios
  • 13. TRIBUNAL DE CONTAS DA UNIÃO Acórdão 2.471/2008-TCU-Plenário (Min. Benjamin Zymler) TC 019.230/2007-2
  • 14. Alguns dados do TC 019.230/2007-2 Verificação da Governança de TI in loco • 12 auditorias, em 7 UF • 25 questões de auditoria • 77 achados (auditoria integrada)
  • 15. Alguns dados do TC 019.230/2007-2 • VRF (Volume dos Recursos Fiscalizados) • R$ 1,5 bilhão • Benefícios financeiros potenciais • R$ 772 milhões • 92% de satisfação dos auditados Verificação da Governança de TI in loco
  • 16. Alguns dados do TC 019.230/2007-2 Conclusão: • confirmada a falta de governança nos 12 casos • situação pior que a declarada no questionário Verificação da Governança de TI in loco
  • 17. Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna
  • 18. Criação da Sefti SEFTI Agosto de 2006 (Resolução TCU 193/2006) “A Secretaria de Fiscalização de Tecnologia da Informação tem por finalidade fiscalizar a gestão e o uso de recursos de tecnologia da informação pela Administração Pública Federal.”
  • 19. Criação da SEFTI Fonte: Pesquisa textual na base do Sistema Juris (TCU) Deliberações do TCU sobre contratações de serviços de TI
  • 20. Acórdãos estruturantes OGS 1.603/2008 371/2008 353/2008 786/2006 2.094/2004 E outros que estão por vir... 2.308/2010 2.079/2009 2.471/2008 1.827/2008
  • 21. Órgãos Governantes Superiores (OGS) “Têm a responsabilidade por normatizar e fiscalizar o uso e a gestão de TI em seus respectivos segmentos da Administração Pública Federal” (Voto do Acórdão 1.145/2011-TCU-Plenário)
  • 23. Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna
  • 24. O Questionário • 300 jurisdicionados pesquisados • 30 perguntas – 152 subitens • Divididas segundo 7 dimensões do Gespública Liderança Estratégias e planos Cidadãos Sociedade Informações e conhecimento Pessoas Processos • Evidências conforme solicitado 2º Levantamento de Governança de TI
  • 25. Acórdão 2.308/2010-TCU-Plenário: Temas que merecem atenção 53% NÃO têm processo de software ao menos gerenciado 63% NÃO aprovam e publicam PDTI interna ou externamente 65% NÃO possuem política corporativa de segurança da informação 74% NÃO inventariam todos os ativos de informação 75% NÃO gerenciam os incidentes de segurança da informação 83% NÃO analisam os riscos aos quais a informação está submetida 89% NÃO classificam a informação para o negócio 97% NÃO possuem plano de continuidade de negócio em vigor Resultados (Dimensão Processos)
  • 26. Acórdão 2.308/2010-TCU-Plenário: Temas que merecem atenção • ... se responsabiliza pelas políticas de TI (51%) • ... designou formalmente um comitê de TI (48%) • ... estabeleceu objetivos de desempenho de gestão e uso de TI (57%) • ... definiu indicadores de desempenho de gestão e uso de TI (76%) Resultados (Dimensão Liderança) A Alta Administração NÃO :
  • 27. Planejamento estratégico institucional • 2007 – 53% • 2010 – 79% (p.ex. Res CNJ 70/2009) Carreira de TI • 2007 – 43% • 2010 – 78% (p.ex. SISP – ATI+GSISP) Acórdão 2.308/2010-TCU-Plenário: Melhorias observadas Mas houve melhorias?
  • 28. Acórdão 2.308/2010-TCU-Plenário: Melhorias observadas Conclusão: Os indicativos de melhoria em planejamento e em quadro de pessoal sinalizam possibilidade de avanço em outras dimensões no futuro.
  • 29. 2010 - iGovTI 0 25 50 75 100 125 150 175 iGovTI de 0,0 a 0,39 iGovTI de 0,4 a 0,59 iGovTI de 0,6 a 0,84 Quantidade de Instituições Índice Aprimorado Intermediário Inicial 38% 57% 5% Instituições x estágios do iGovTI
  • 30. Risco de TI em função de iGovTI e Orçamento de TI R$ 100.000,00 R$ 1.000.000,00 R$ 10.000.000,00 R$ 100.000.000,00 R$ 1.000.000.000,00 R$ 10.000.000.000,00 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% O r ç a m e n t o T I 2 0 1 0 iGovTI Governança de TI x Orçamento de TI
  • 31. Risco de TI em função de iGovTI , Orçamento de TI e sistemas críticos R$ 100.000,00 R$ 1.000.000,00 R$ 10.000.000,00 R$ 100.000.000,00 R$ 1.000.000.000,00 R$ 10.000.000.000,00 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% O r ç a m e n t o T I 2 0 1 0 iGovTI Governança de TI x Orçamento de TI x Sistemas Críticos Possui sistema crítico Não possui sistema crítico
  • 32. Risco de TI em função de iGovTI, na visão da Sefti R$ 100.000,00 R$ 1.000.000,00 R$ 10.000.000,00 R$ 100.000.000,00 R$ 1.000.000.000,00 R$ 10.000.000.000,00 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% O r ç a m e n t o T I 2 0 1 0 iGovTI Governança de TI x Orçamento de TI x Sistemas Críticos Possui sistema crítico Não possui sistema crítico
  • 33. Riscos de TI: IGovTI - Segurança da Informação 101 56 40 44 23 12 7 9 7 2 0 20 40 60 80 100 120 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% QuantidadedeInstituições iGovTI-Seg Distribuição por iGovTI-Seg 1/3
  • 34. Riscos de TI: IGovTI - Segurança da Informação 101 56 40 44 23 12 7 9 7 2 0 20 40 60 80 100 120 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% QuantidadedeInstituições iGovTI-Seg Distribuição por iGovTI-Seg 88%
  • 35. Papel da liderança na Governança de TI Dimensão Liderança Estratégias e Planos Gestão de Pessoas Liderança --- --- --- Estratégias e Planos 0,48 --- --- Gestão de Pessoas 0,32 0,23 --- Processos 0,60 0,46 0,29 Análise de correlação entre as dimensões avaliadas
  • 36. Papel da liderança na Governança de TI 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% governançaemprocessosdeTI governança em liderança de TI Correlaçãoentre governança em liderança e governança em processosde TI
  • 37. • objetivos institucionais de TI • indicadores para cada objetivo • metas para cada indicador • mecanismos para acompanhar desempenho da TI Acórdão 2308/2010-TCU-Plenário: Recomendações aos OGS Orientações à Alta Administração:
  • 38. Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna
  • 40. E essa dinâmica deve gerar mudanças... Governança de TI Implementação/aprimoramento do modelo de governança Desgovernança de TI Alta Administração (responsabilidade)
  • 41. Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna
  • 42. Quanto a Administração Pública Federal (e o cidadão) dependem de TI hoje? O que ocorreria se falhassem, por exemplo, os sistemas que controlam ... • ... o recebimento do IRPF? • ... o pagamento do Bolsa Família? • ... o pagamento de aposentadorias? • ... os processos judiciais? • ... as sessões do Congresso Nacional? • ... as publicações da Imprensa Nacional? 42
  • 43. TRIBUNAL DE CONTAS DA UNIÃO Deveríamos cuidar melhor da tecnologia da informação na Administração Pública Federal? E quando não cuidamos... 43
  • 44. TRIBUNAL DE CONTAS DA UNIÃO O que pode ocorrer com os 97% que NÃO possuem plano de continuidade de negócio em vigor? Acórdão 172/2008-2ª Câmara e Acórdão 1.330/2008-Plenário 44
  • 45. Acórdãos 172/2008-2ªC e 1330/2008-P Situação: • Ausência de Plano de Continuidade do Negócio • Falta/deficiência de recursos ou planos de contingência 45
  • 46. Acórdãos 172/2008-2ªC e 1330/2008-P Consequência: • Desconhecimento de ameaças e seus impactos • Falha nos equipamentos de processamento centralizado provocou (Ac. 172/08): • Paralisação do Banco (inst. financeira) por mais de 20h • Danos à imagem • Prejuízos financeiros • Vírus gerou paralisação da rede por mais de duas semanas (Ac. 1330/08) 46
  • 47. TRIBUNAL DE CONTAS DA UNIÃO O que pode ocorrer com os 53% que NÃO têm processo de software ao menos gerenciado (nível 2 da NBR 15.504)? TC-031.963/2008-0 47
  • 48. TC 031.963/2008-0 Situação: • Edital e projeto básico não possuíam indicadores de qualidade e desempenho (níveis de serviço ou parâmetros de performance) • Processo de homologação do produto sem viés técnico e sem verificar a solução de TI em sua integralidade • Homologação focada só na usabilidade (ponto de vista do usuário) • Homologação focada no aceite de casos de uso individual (ausência de testes integrais) 48
  • 49. TC 031.963/2008-0 Consequência: • Dificuldade na identificação antecipada de inconsistências e problemas de funcionamento e performance para a solução integrada • Dificuldade do ente público em atuar corretivamente junto à contratada • Impossibilitando a correção dos problemas de funcionamento 49
  • 50. TC 031.963/2008-0 Consequência: • Produto apresentou problemas de 2004 a 2007 (momento da entrega da solução completa) • Procedimento de homologação não garantiu a qualidade do produto e não logrou exigir correções pela contratada • Não implantação do sistema, apesar de ter sido homologado e pago 50
  • 51. TRIBUNAL DE CONTAS DA UNIÃO O que pode ocorrer com os 63% que NÃO aprovam e publicam PDTI interna ou externamente? Acórdão 2.023/2005-Plenário 51
  • 52. Acórdão 2.023/2005-Plenário Situação: • Planejamento deficiente Consequência: • Desenvolvimento de sistema em 2000/2001, o qual é considerado relevante e passou pelos testes • Ausência de infra-estrutura necessária à execução do sistema (infra-est. de rede/servidores/equipamentos) • Sistema não implantado até 2005 52
  • 53. TRIBUNAL DE CONTAS DA UNIÃO O que pode ocorrer com os 65% que NÃO possuem política corporativa de segurança da informação? Acórdão 71/2007-Plenário 53
  • 54. Acórdão 71/2007-Plenário Situação: • Sistema de âmbito nacional com informações confidenciais e relevantes dos cidadãos • Minuta de Política de Segurança da Informação (PSI) desatualizada e não formalmente aprovada • Política de Controle de Acesso deficiente 54
  • 55. Acórdão 71/2007-Plenário Consequência: • Dificuldade na identificação de responsabilidades quanto aos assuntos de segurança da informação • Grande vulnerabilidade do sistema • Vazamento e mau uso de informações privadas e confidenciais dos cidadãos 55
  • 56. Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna
  • 57. IIA, IPPF, 1210.A3 “Os auditores internos devem possuir conhecimento suficiente sobre os principais riscos e controles de tecnologia da informação e sobre as técnicas de auditoria baseadas em tecnologia disponíveis para a execução dos trabalhos a eles designados. Entretanto, não se espera que todos os auditores internos possuam a especialização de um auditor interno cuja principal responsabilidade seja auditoria de tecnologia da informação.” 57
  • 58. IIA, IPPF, 2110.A2 “A atividade de auditoria interna deve avaliar se a governança de tecnologia da informação da organização dá suporte às estratégias e objetivos da organização.” 58
  • 59. IIA, IPPF, 2120.A1 “A atividade de auditoria interna deve avaliar as exposições a riscos relacionadas à governança, às operações e aos sistemas de informação da organização, em relação a: • Confiabilidade e integridade das informações financeiras e operacionais; • Eficácia e eficiência das operações e programas; • Salvaguarda dos ativos; e • Conformidade com leis, regulamentos, políticas, procedimentos e contratos.” 59
  • 60. IIA, IPPF, 2130.A1 “A atividade de auditoria interna deve avaliar a adequação e a eficácia dos controles em resposta aos riscos, abrangendo a governança, as operações e os sistemas de informação da organização, com relação a: • Confiabilidade e integridade das informações financeiras e operacionais; • Eficácia e eficiência das operações e programas; • Salvaguarda dos ativos; e • Conformidade com leis, regulamentos, políticas e procedimentos e contratos.” 60
  • 61. O TCU promoveu dois eventos (16 de junho e 4 de agosto de 2011) para conscientizar a alta administração da APF e foi sugerido... (ver apresentação do Ministro-substituto Augusto Sherman) Nesse sentido...
  • 62. Em resumo... Passo inicial: Obter, capacitar e valorizar recursos humanos Passo 1: Aprovar um Plano Estratégico Institucional Passo 2: Aprovar um Plano Estratégico de TI Passo 3: Criar um comitê de TI Passo 4: Utilizar a auditoria interna (AI) Passo 5: Monitorar os resultados 62
  • 63. Passo 4: Utilizar a auditoria interna (AI) O que é? • “A auditoria auxilia a organização a alcançar seus objetivos por meio de uma abordagem sistemática e disciplinada para a avaliação e [indução da] melhoria da eficácia dos processos de gerenciamento de risco, controle e governança corporativa.” (Definição de AI, do IIA) Por quê? • Decreto 3.591/2001,art. 17 • IN 63/2010-TCU, art.1º, inciso XI • Boas práticas (IIA, IPPF) 63
  • 64. Passo 4: Utilizar a auditoria interna (AI) Como? • Normas do IIA Onde obter ajuda: • 10% dos pesquisados declararam que fazem auditoria de governança de TI (Acórdão 2.308/2010-TCU-Plenário) • Cursos do TCU/Sefti (IATI, Avaliação de Controles Gerais de TI etc) 64
  • 65. TRIBUNAL DE CONTAS DA UNIÃO Governar a TI é ação da Alta Administração, e não da área de TI. 65
  • 66. Resumo Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna
  • 67. TRIBUNAL DE CONTAS DA UNIÃO Brasília, 27 de setembro de 2011 Renato Braga, CISA, CIA, CGAP Governança de TI e Auditoria Interna