Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
GovTI e Auditoria
1. TRIBUNAL DE CONTAS DA UNIÃO
Renato Braga, CISA, CIA, CGAP
Brasília, 27 de setembro de 2011
Diretor
Secretaria de Fiscalização de Tecnologia da Informação
Tribunal de Contas da União
Governança de TI e Auditoria Interna
2. Agenda
Por que conscientizar?
Situação da governança de TI em 2007
Ações indutoras do Controle Externo
Situação da governança de TI em 2010
Visão sistêmica da governança de TI na APF
Por que se preocupar com GovTI?
O papel da auditoria interna
3. “9.4. determinar à Secretaria de Fiscalização de
Tecnologia da Informação - Sefti que:
(...)
9.4.2. desenvolva ações de estímulo à
conscientização da alta administração das
unidades da administração pública federal
acerca de conceitos, objetivos, indicadores,
ações e estruturas de governança de
tecnologia da informação;”
Acórdão 2.308/2010-Plenário
Incrementar a divulgação
4. “Os auditores internos determinam se a alta
administração e o conselho de administração
entendem claramente que a confiabilidade e
integridade da informação é uma responsabilidade
da direção. Esta responsabilidade inclui toda a
informação crítica da organização, sem importar
como se armazena a informação. ...”
(tradução livre)
O papel da AI na consientização
IPPF 2130.A1-1
5. Agenda
Por que conscientizar?
Situação da governança de TI em 2007
Ações indutoras do Controle Externo
Situação da governança de TI em 2010
Visão sistêmica da governança de TI na APF
Por que se preocupar com GovTI?
O papel da auditoria interna
6. “O sistema pelo qual o uso atual e futuro
da TI é dirigido e controlado.”
(NBR 38.500)
• TI deve agregar valor ao negócio
• Riscos aceitáveis
Governança de TI
Definição
10. TRIBUNAL DE CONTAS DA UNIÃO
Acórdão 1.603/2008-TCU-Plenário
(Min. Guilherme Palmeira)
TC 008.380/2007-1
11. Alguns dados do TC 008.380/2007-1
1º Levantamento de Governança de TI
• 255 jurisdicionados pesquisados
• Questionário com 39 questões
• Jurisdicionados deveriam anexar evidências
12. Acórdão 1.603/2008-TCU-Plenário
Deficiências em Governança de TI
51% NÃO alocam gastos de TI de acordo com planejamento
51% NÃO seguem metodologia de desenvolvimento de sistemas
57% NÃO têm carreira específica para TI
59% NÃO têm planejamento estratégico em vigor
64% NÃO têm política de segurança da informação
75% NÃO fazem análise de riscos de TI
80% NÃO fazem classificação da informação
88% NÃO têm plano de continuidade de negócios
13. TRIBUNAL DE CONTAS DA UNIÃO
Acórdão 2.471/2008-TCU-Plenário
(Min. Benjamin Zymler)
TC 019.230/2007-2
14. Alguns dados do TC 019.230/2007-2
Verificação da Governança de TI in loco
• 12 auditorias, em 7 UF
• 25 questões de auditoria
• 77 achados (auditoria integrada)
15. Alguns dados do TC 019.230/2007-2
• VRF (Volume dos Recursos Fiscalizados)
• R$ 1,5 bilhão
• Benefícios financeiros potenciais
• R$ 772 milhões
• 92% de satisfação dos auditados
Verificação da Governança de TI in loco
16. Alguns dados do TC 019.230/2007-2
Conclusão:
• confirmada a falta de governança nos 12 casos
• situação pior que a declarada no questionário
Verificação da Governança de TI in loco
17. Agenda
Por que conscientizar?
Situação da governança de TI em 2007
Ações indutoras do Controle Externo
Situação da governança de TI em 2010
Visão sistêmica da governança de TI na APF
Por que se preocupar com GovTI?
O papel da auditoria interna
18. Criação da Sefti
SEFTI
Agosto de 2006 (Resolução TCU 193/2006)
“A Secretaria de Fiscalização de Tecnologia da
Informação tem por finalidade fiscalizar a gestão e
o uso de recursos de tecnologia da informação
pela Administração Pública Federal.”
19. Criação da
SEFTI
Fonte: Pesquisa textual na base do Sistema Juris (TCU)
Deliberações do TCU sobre contratações de serviços de TI
21. Órgãos Governantes Superiores
(OGS)
“Têm a responsabilidade por
normatizar e fiscalizar o uso e a
gestão de TI em seus
respectivos segmentos da
Administração Pública Federal”
(Voto do Acórdão 1.145/2011-TCU-Plenário)
23. Agenda
Por que conscientizar?
Situação da governança de TI em 2007
Ações indutoras do Controle Externo
Situação da governança de TI em 2010
Visão sistêmica da governança de TI na APF
Por que se preocupar com GovTI?
O papel da auditoria interna
24. O Questionário
• 300 jurisdicionados pesquisados
• 30 perguntas – 152 subitens
• Divididas segundo 7 dimensões do
Gespública
Liderança
Estratégias e planos
Cidadãos
Sociedade
Informações e conhecimento
Pessoas
Processos
• Evidências conforme solicitado
2º Levantamento de Governança de TI
25. Acórdão 2.308/2010-TCU-Plenário: Temas que merecem atenção
53% NÃO têm processo de software ao menos gerenciado
63% NÃO aprovam e publicam PDTI interna ou externamente
65% NÃO possuem política corporativa de segurança da informação
74% NÃO inventariam todos os ativos de informação
75% NÃO gerenciam os incidentes de segurança da informação
83% NÃO analisam os riscos aos quais a informação está submetida
89% NÃO classificam a informação para o negócio
97% NÃO possuem plano de continuidade de negócio em vigor
Resultados
(Dimensão Processos)
26. Acórdão 2.308/2010-TCU-Plenário: Temas que merecem atenção
• ... se responsabiliza pelas políticas de TI (51%)
• ... designou formalmente um comitê de TI (48%)
• ... estabeleceu objetivos de desempenho de gestão e uso de TI (57%)
• ... definiu indicadores de desempenho de gestão e uso de TI (76%)
Resultados
(Dimensão Liderança)
A Alta Administração NÃO :
27. Planejamento estratégico institucional
• 2007 – 53%
• 2010 – 79% (p.ex. Res CNJ 70/2009)
Carreira de TI
• 2007 – 43%
• 2010 – 78% (p.ex. SISP – ATI+GSISP)
Acórdão 2.308/2010-TCU-Plenário: Melhorias observadas
Mas houve melhorias?
28. Acórdão 2.308/2010-TCU-Plenário: Melhorias observadas
Conclusão:
Os indicativos de melhoria em planejamento e
em quadro de pessoal sinalizam possibilidade
de avanço em outras dimensões no futuro.
29. 2010 - iGovTI
0 25 50 75 100 125 150 175
iGovTI de 0,0 a 0,39
iGovTI de 0,4 a 0,59
iGovTI de 0,6 a 0,84
Quantidade de Instituições
Índice
Aprimorado Intermediário Inicial
38%
57%
5%
Instituições x estágios do iGovTI
30. Risco de TI em função de iGovTI e Orçamento de TI
R$ 100.000,00
R$ 1.000.000,00
R$ 10.000.000,00
R$ 100.000.000,00
R$ 1.000.000.000,00
R$ 10.000.000.000,00
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
O
r
ç
a
m
e
n
t
o
T
I
2
0
1
0
iGovTI
Governança de TI x Orçamento de TI
31. Risco de TI em função de iGovTI , Orçamento de TI e sistemas críticos
R$ 100.000,00
R$ 1.000.000,00
R$ 10.000.000,00
R$ 100.000.000,00
R$ 1.000.000.000,00
R$ 10.000.000.000,00
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
O
r
ç
a
m
e
n
t
o
T
I
2
0
1
0
iGovTI
Governança de TI x Orçamento de TI x Sistemas Críticos
Possui sistema crítico
Não possui sistema crítico
32. Risco de TI em função de iGovTI, na visão da Sefti
R$ 100.000,00
R$ 1.000.000,00
R$ 10.000.000,00
R$ 100.000.000,00
R$ 1.000.000.000,00
R$ 10.000.000.000,00
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
O
r
ç
a
m
e
n
t
o
T
I
2
0
1
0
iGovTI
Governança de TI x Orçamento de TI x Sistemas Críticos
Possui sistema crítico
Não possui sistema crítico
35. Papel da liderança na Governança de TI
Dimensão Liderança
Estratégias e
Planos
Gestão de
Pessoas
Liderança --- --- ---
Estratégias e Planos 0,48 --- ---
Gestão de Pessoas 0,32 0,23 ---
Processos 0,60 0,46 0,29
Análise de correlação
entre as dimensões avaliadas
36. Papel da liderança na Governança de TI
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
governançaemprocessosdeTI
governança em liderança de TI
Correlaçãoentre governança em liderança e governança em
processosde TI
37. • objetivos institucionais de TI
• indicadores para cada objetivo
• metas para cada indicador
• mecanismos para acompanhar desempenho da TI
Acórdão 2308/2010-TCU-Plenário: Recomendações aos OGS
Orientações à Alta Administração:
38. Agenda
Por que conscientizar?
Situação da governança de TI em 2007
Ações indutoras do Controle Externo
Situação da governança de TI em 2010
Visão sistêmica da governança de TI na APF
Por que se preocupar com GovTI?
O papel da auditoria interna
40. E essa dinâmica deve gerar mudanças...
Governança de TI
Implementação/aprimoramento
do modelo de governança
Desgovernança de TI
Alta
Administração
(responsabilidade)
41. Agenda
Por que conscientizar?
Situação da governança de TI em 2007
Ações indutoras do Controle Externo
Situação da governança de TI em 2010
Visão sistêmica da governança de TI na APF
Por que se preocupar com GovTI?
O papel da auditoria interna
42. Quanto a Administração Pública Federal (e o cidadão)
dependem de TI hoje?
O que ocorreria se falhassem, por exemplo, os
sistemas que controlam ...
• ... o recebimento do IRPF?
• ... o pagamento do Bolsa Família?
• ... o pagamento de aposentadorias?
• ... os processos judiciais?
• ... as sessões do Congresso Nacional?
• ... as publicações da Imprensa Nacional?
42
43. TRIBUNAL DE CONTAS DA UNIÃO
Deveríamos cuidar melhor da
tecnologia da informação na
Administração Pública Federal?
E quando não cuidamos...
43
44. TRIBUNAL DE CONTAS DA UNIÃO
O que pode ocorrer com os 97% que NÃO possuem
plano de continuidade de negócio em vigor?
Acórdão 172/2008-2ª Câmara
e
Acórdão 1.330/2008-Plenário
44
45. Acórdãos 172/2008-2ªC e 1330/2008-P
Situação:
• Ausência de Plano de Continuidade do Negócio
• Falta/deficiência de recursos ou planos de
contingência
45
46. Acórdãos 172/2008-2ªC e 1330/2008-P
Consequência:
• Desconhecimento de ameaças e seus impactos
• Falha nos equipamentos de processamento
centralizado provocou (Ac. 172/08):
• Paralisação do Banco (inst. financeira) por mais de 20h
• Danos à imagem
• Prejuízos financeiros
• Vírus gerou paralisação da rede por mais de duas
semanas (Ac. 1330/08)
46
47. TRIBUNAL DE CONTAS DA UNIÃO
O que pode ocorrer com os 53% que NÃO têm
processo de software ao menos gerenciado
(nível 2 da NBR 15.504)?
TC-031.963/2008-0
47
48. TC 031.963/2008-0
Situação:
• Edital e projeto básico não possuíam indicadores
de qualidade e desempenho (níveis de serviço ou
parâmetros de performance)
• Processo de homologação do produto sem viés
técnico e sem verificar a solução de TI em sua
integralidade
• Homologação focada só na usabilidade (ponto de vista do usuário)
• Homologação focada no aceite de casos de uso individual
(ausência de testes integrais)
48
49. TC 031.963/2008-0
Consequência:
• Dificuldade na identificação antecipada de
inconsistências e problemas de funcionamento e
performance para a solução integrada
• Dificuldade do ente público em atuar
corretivamente junto à contratada
• Impossibilitando a correção dos problemas de
funcionamento
49
50. TC 031.963/2008-0
Consequência:
• Produto apresentou problemas de 2004 a 2007
(momento da entrega da solução completa)
• Procedimento de homologação não garantiu a
qualidade do produto e não logrou exigir
correções pela contratada
• Não implantação do sistema, apesar de ter sido
homologado e pago
50
51. TRIBUNAL DE CONTAS DA UNIÃO
O que pode ocorrer com os 63% que NÃO
aprovam e publicam PDTI
interna ou externamente?
Acórdão 2.023/2005-Plenário
51
52. Acórdão 2.023/2005-Plenário
Situação:
• Planejamento deficiente
Consequência:
• Desenvolvimento de sistema em 2000/2001, o qual
é considerado relevante e passou pelos testes
• Ausência de infra-estrutura necessária à
execução do sistema (infra-est. de
rede/servidores/equipamentos)
• Sistema não implantado até 2005
52
53. TRIBUNAL DE CONTAS DA UNIÃO
O que pode ocorrer com os 65% que NÃO
possuem política corporativa de
segurança da informação?
Acórdão 71/2007-Plenário
53
54. Acórdão 71/2007-Plenário
Situação:
• Sistema de âmbito nacional com informações
confidenciais e relevantes dos cidadãos
• Minuta de Política de Segurança da Informação
(PSI) desatualizada e não formalmente aprovada
• Política de Controle de Acesso deficiente
54
55. Acórdão 71/2007-Plenário
Consequência:
• Dificuldade na identificação de responsabilidades
quanto aos assuntos de segurança da informação
• Grande vulnerabilidade do sistema
• Vazamento e mau uso de informações privadas e
confidenciais dos cidadãos
55
56. Agenda
Por que conscientizar?
Situação da governança de TI em 2007
Ações indutoras do Controle Externo
Situação da governança de TI em 2010
Visão sistêmica da governança de TI na APF
Por que se preocupar com GovTI?
O papel da auditoria interna
57. IIA, IPPF, 1210.A3
“Os auditores internos devem possuir
conhecimento suficiente sobre os principais
riscos e controles de tecnologia da informação e
sobre as técnicas de auditoria baseadas em
tecnologia disponíveis para a execução dos
trabalhos a eles designados. Entretanto, não se
espera que todos os auditores internos possuam
a especialização de um auditor interno cuja
principal responsabilidade seja auditoria de
tecnologia da informação.”
57
58. IIA, IPPF, 2110.A2
“A atividade de auditoria interna deve avaliar se a
governança de tecnologia da informação da
organização dá suporte às estratégias e objetivos
da organização.”
58
59. IIA, IPPF, 2120.A1
“A atividade de auditoria interna deve avaliar as
exposições a riscos relacionadas à governança,
às operações e aos sistemas de informação da
organização, em relação a:
• Confiabilidade e integridade das informações financeiras e
operacionais;
• Eficácia e eficiência das operações e programas;
• Salvaguarda dos ativos; e
• Conformidade com leis, regulamentos, políticas,
procedimentos e contratos.”
59
60. IIA, IPPF, 2130.A1
“A atividade de auditoria interna deve avaliar a
adequação e a eficácia dos controles em resposta
aos riscos, abrangendo a governança, as
operações e os sistemas de informação da
organização, com relação a:
• Confiabilidade e integridade das informações financeiras e
operacionais;
• Eficácia e eficiência das operações e programas;
• Salvaguarda dos ativos; e
• Conformidade com leis, regulamentos, políticas e
procedimentos e contratos.”
60
61. O TCU promoveu dois eventos (16 de junho e 4
de agosto de 2011) para conscientizar a alta
administração da APF e foi sugerido...
(ver apresentação do Ministro-substituto Augusto Sherman)
Nesse sentido...
62. Em resumo...
Passo inicial: Obter, capacitar e valorizar recursos
humanos
Passo 1: Aprovar um Plano Estratégico Institucional
Passo 2: Aprovar um Plano Estratégico de TI
Passo 3: Criar um comitê de TI
Passo 4: Utilizar a auditoria interna (AI)
Passo 5: Monitorar os resultados
62
63. Passo 4: Utilizar a auditoria interna (AI)
O que é?
• “A auditoria auxilia a organização a alcançar seus
objetivos por meio de uma abordagem sistemática e
disciplinada para a avaliação e [indução da] melhoria da
eficácia dos processos de gerenciamento de risco,
controle e governança corporativa.” (Definição de AI, do
IIA)
Por quê?
• Decreto 3.591/2001,art. 17
• IN 63/2010-TCU, art.1º, inciso XI
• Boas práticas (IIA, IPPF)
63
64. Passo 4: Utilizar a auditoria interna (AI)
Como?
• Normas do IIA
Onde obter ajuda:
• 10% dos pesquisados declararam que fazem auditoria
de governança de TI (Acórdão 2.308/2010-TCU-Plenário)
• Cursos do TCU/Sefti (IATI, Avaliação de Controles
Gerais de TI etc)
64
65. TRIBUNAL DE CONTAS DA UNIÃO
Governar a TI é ação da
Alta Administração,
e não da área de TI.
65
66. Resumo
Por que conscientizar?
Situação da governança de TI em 2007
Ações indutoras do Controle Externo
Situação da governança de TI em 2010
Visão sistêmica da governança de TI na APF
Por que se preocupar com GovTI?
O papel da auditoria interna
67. TRIBUNAL DE CONTAS DA UNIÃO
Brasília, 27 de setembro de 2011
Renato Braga, CISA, CIA, CGAP
Governança de TI e Auditoria Interna