Acórdão 1603/2008 e CobiT4.1 na APF<br />Francisco Ítalo Lopes França, PMP<br />Novembro de 2009<br />1<br />Francisco Íta...
SEFTI<br />Secretaria do TCU criada em 2006<br />Dimensão estratégica da TI<br />Complexidade de gestão<br />Aumento dos g...
Origem da investigação<br />SEFTI necessitava conhecer a situação atual da Governança de TI na APF;<br />Autorizada pelo A...
Forma de coleta<br />Processo: TC-008.380/2007-1<br />Questionário eletrônico;<br />39 perguntas;<br />Evidências em anexo...
Bases da investigação<br />NBR ISO/IEC 17799:2005<br />Gestão de segurança da informação<br />NBR ISO/IEC 15999-1:2007<br ...
Apresentação da investigação<br />Dividida em 9 questões de auditoria;<br />Resultou em 32 achados;<br />Validada pelo Acó...
Questões de auditoria<br />Q1. Planejamento estratégico<br />Q2. Estrutura de pessoal de TI<br />Q3. Segurança da informaç...
Q1. Planejamento estratégico<br />Questão de auditoria:<br />É feito planejamento estratégico institucional e de TI nos ór...
Q1. Planejamento estratégico<br />Objetivos de controle associados:<br />PO1.2 Alinhamento entre TI e negócio<br />PO1.4 P...
Q1. Planejamento estratégico<br />Requisitos de sucesso:<br />Alinhar os planos estratégicos de TI com as necessidades atu...
Q2. Estrutura de pessoal de TI<br />Questão de auditoria:<br />Qual o perfil dos recursos humanos da área de TI quanto à f...
Q2. Estrutura de pessoal de TI<br />Objetivos de controle associados:<br />PO7.5 Dependência em indivíduos<br />PO7.2 Comp...
Q2. Estrutura de pessoal de TI<br />Requisitos de sucesso:<br />Revisar desempenho do corpo de colaboradores;<br />Contrat...
Q3. Segurança da informação<br />Questão de auditoria:<br />São efetuadas ações e procedimentos que contribuam para a mini...
Q3. Segurança da informação<br />Objetivos de controle associados:<br />DS5.2 Plano de Segurança de TI<br />DS4.1 Padrão d...
Q3. Segurança da informação<br />Requisitos de sucesso:<br />Garantir a precisão dos dados de arquitetura e modelo de dado...
Q3. Segurança da informação<br />Requisitos de sucesso (cont.):<br />Avaliar, priorizar e autorizar mudanças;<br />Informa...
Q4. Desenvolvimento de sistemas<br />Questão de auditoria:<br />O desenvolvimento de sistemas segue alguma metodologia? Os...
Q4. Desenvolvimento de sistemas<br />Objetivos de controle associados:<br />AI2.7 Desenvolvimento de software aplicativo<b...
Q4. Desenvolvimento de sistemas<br />Requisitos de sucesso:<br />Traduzir requisitos de negócio em especificações para apl...
Q5. Acordos de nível de serviço<br />Questão de auditoria:<br />Os órgãos/entidades gerenciam os acordos de níveis de serv...
Q5. Acordos de nível de serviço<br />Objetivos de controle associados:<br />DS1.1 Padrão do gerenciamento de nível de serv...
Q5. Acordos de nível de serviço<br />Requisitos de sucesso:<br />Revisar acordos internos e externos de forma alinhada às ...
Q6. Contratação de bens e serviços<br />Questão de auditoria:<br />O processo de contratação de bens e serviços de TI é fo...
Q6. Contratação de bens e serviços<br />Objetivos de controle associados:<br />AI5.1 Controle sobre aquisições<br />AI1.3 ...
Q6. Contratação de bens e serviços<br />Requisitos de sucesso:<br />Definir requisitos técnicos e de negócio;<br />Criar e...
Q7. Gestão de contratos<br />Questão de auditoria:<br />O processo de gestão dos contratos de TI é formalizado, padronizad...
Q7. Gestão de contratos<br />Objetivos de controle associados:<br />AI5.1 Controle sobre aquisições<br />AI5.2 Gerenciamen...
Q7. Gestão de contratos<br />Requisitos de sucesso:<br />Desenvolver e disponibilizar documentação sobre transferência de ...
Q8. Processo orçamentário de TI<br />Questão de auditoria:<br />Os órgãos/entidades solicitam o orçamento de TI com base n...
Q8. Processo orçamentário de TI<br />Objetivos de controle associados:<br />PO5.3 Orçamentação de TI<br />Francisco Ítalo ...
Q8. Processo orçamentário de TI<br />Requisitos de sucesso:<br />Prever a alocar orçamentos;<br />Definir critérios formai...
Q9. Auditoria de TI<br />Questão de auditoria:<br />Os órgãos/entidades realizam auditorias de TI nas suas organizações?<b...
Q9. Auditoria de TI<br />Objetivos de controle associados:<br />ME2.1 Monitoramento do padrão de controle interno<br />ME2...
Q9. Auditoria de TI<br />Requisitos de sucesso:<br />Definir um sistema de controle interno inserido no quadro de processo...
Conclusões<br />O produto mais significativo é o Planejamento estratégico de TI - PETI;<br />Metade (16) achados do TCU es...
Francisco Ítalo Lopes França, PMP<br />www.governancadeti.com.br<br />italo@italolopes.com<br />(61) 8411-6101<br />Franci...
Próximos SlideShares
Carregando em…5
×

Acordão1603 e CobiT

1.333 visualizações

Publicada em

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
1.333
No SlideShare
0
A partir de incorporações
0
Número de incorporações
7
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Acordão1603 e CobiT

  1. 1. Acórdão 1603/2008 e CobiT4.1 na APF<br />Francisco Ítalo Lopes França, PMP<br />Novembro de 2009<br />1<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  2. 2. SEFTI<br />Secretaria do TCU criada em 2006<br />Dimensão estratégica da TI<br />Complexidade de gestão<br />Aumento dos gastos públicos com TI<br />Denúncias sobre aquisições<br />Objetivo<br />Fiscalizar a gestão e uso de recursos de TI pela APF;<br />2<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  3. 3. Origem da investigação<br />SEFTI necessitava conhecer a situação atual da Governança de TI na APF;<br />Autorizada pelo Acórdão 435/2007;<br />Objetivo:<br />Coletar informações acerca dos processos de aquisição de bens e serviços de TI, de segurança da informação, de gestão de RH de TI, e das principais bases de dados e sistemas da APF<br />3<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  4. 4. Forma de coleta<br />Processo: TC-008.380/2007-1<br />Questionário eletrônico;<br />39 perguntas;<br />Evidências em anexo;<br />Amostra de 333 órgãos;<br />Apenas 255 responderam;<br />4<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  5. 5. Bases da investigação<br />NBR ISO/IEC 17799:2005<br />Gestão de segurança da informação<br />NBR ISO/IEC 15999-1:2007<br />Gestão da continuidade do negócio<br />CobiT 4.1<br />Instrução Normativa 04/2008<br />Diversos acórdãos<br />5<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  6. 6. Apresentação da investigação<br />Dividida em 9 questões de auditoria;<br />Resultou em 32 achados;<br />Validada pelo Acórdão 1603/2008;<br />6<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  7. 7. Questões de auditoria<br />Q1. Planejamento estratégico<br />Q2. Estrutura de pessoal de TI<br />Q3. Segurança da informação<br />Q4. Desenvolvimento de sistemas<br />Q5. Acordos de nível de serviço<br />Q6. Contratação de bens e serviços<br />Q7. Gestão de contratos<br />Q8. Processo orçamentário de TI<br />Q9. Auditoria de TI<br />7<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  8. 8. Q1. Planejamento estratégico<br />Questão de auditoria:<br />É feito planejamento estratégico institucional e de TI nos órgãos/entidades?<br />Achados:<br />1. Ausência de planejamento estratégico institucional em vigor<br />2. Ausência de planejamento estratégico de TI em vigor<br />3. Ausência de comitê diretivo sobre ações e investimentos em TI<br />8<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  9. 9. Q1. Planejamento estratégico<br />Objetivos de controle associados:<br />PO1.2 Alinhamento entre TI e negócio<br />PO1.4 Plano estratégico de TI<br />PO4.3 Comitê diretivo de TI<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />9<br />
  10. 10. Q1. Planejamento estratégico<br />Requisitos de sucesso:<br />Alinhar os planos estratégicos de TI com as necessidades atuais e futuras do negócio;<br />Entender as capacidades atuais da TI;<br />Criar um esquema de priorização dos objetivos de negócio que destaque seus requisitos;<br />Definir um padrão para os processos de TI;<br />Estabelecer estrutura organizacional apropriada;<br />Definir regras e responsabilidades.<br />10<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  11. 11. Q2. Estrutura de pessoal de TI<br />Questão de auditoria:<br />Qual o perfil dos recursos humanos da área de TI quanto à formação, vínculo com a organização e pré-requisitos para ocupação de funções comissionadas?<br />Achados:<br />4. Quantidade reduzida de servidores na área de TI<br />5. Ausência de formação específica em TI<br />6. Inobservância das competências necessárias para funções comissionadas<br />7. Ausência de carreira específica para a área de TI<br />11<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  12. 12. Q2. Estrutura de pessoal de TI<br />Objetivos de controle associados:<br />PO7.5 Dependência em indivíduos<br />PO7.2 Competências pessoais<br />PO7.1 Recrutamento e retenção de pessoal<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />12<br />
  13. 13. Q2. Estrutura de pessoal de TI<br />Requisitos de sucesso:<br />Revisar desempenho do corpo de colaboradores;<br />Contratar pessoal de TI para dar suporte aos planos táticos de TI;<br />Minimizar o risco de dependência de pessoas chave.<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />13<br />
  14. 14. Q3. Segurança da informação<br />Questão de auditoria:<br />São efetuadas ações e procedimentos que contribuam para a minimização dos riscos e o aumento no nível de segurança das informações dos órgãos/entidades?<br />Achados:<br />8. Ausência de política de segurança da informação em vigor<br />9. Ausência de plano de continuidade de negócios em vigor<br />10. Ausência de classificação das informações<br />11. Ausência de procedimentos de controle de acesso em vigor<br />12. Ausência de área específica para lidar com segurança da informação<br />13. Ausência de área específica para gerência de incidentes<br />14. Ausência de gestão de mudanças<br />15. Ausência de gestão de capacidade e compatibilidade das soluções de TI<br />16. Ausência de análise de riscos na área de TI<br />14<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  15. 15. Q3. Segurança da informação<br />Objetivos de controle associados:<br />DS5.2 Plano de Segurança de TI<br />DS4.1 Padrão de continuidade de TI; DS4.2 Planos de continuidade de TI; DS4.3 Recursos de TI críticos; DS4.4 Manutenção de plano de continuidade de TI; DS4.5 Teste de plano de continuidade de TI; DS4.6 Treinamento no plano de continuidade de TI; DS4.7 Distribuição do plano de continuidade de TI; DS4.8 Recuperação e retomada de services de TI; DS4.9 Armazenamento externo de backup; DS4.10 Revisão pós retomada<br />PO2.3 Esquema de classificação da informação<br />DS5.3 Gerência de identidade; DS5.4 Gerência de contas de usuário<br />DS12.2 Medidas de segurança física; DS12.3 Acesso físico<br />DS5.1 Gerência da segurança de TI<br />DS5.5 Teste, vigilância e monitoramento de segurança; DS5.6 Definição de incidente de segurança<br />AI6.1 Mudanças em padrões e procedimentos; AI6.2 Avaliação de impacto, priorização e autorização; AI6.3 Mudanças emergenciais; AI6.4 Mudanças no controle de situação e informes; AI6.5 Conclusão de mudanças e documentação<br />PO3.4 Padrões tecnológicos<br />DS3.1 Planejamento de desempenho e capacidade; DS3.2 Desempenho e capacidade atuais; DS3.3 Desempenho e capacidade futuras; DS3.4 Disponibilidade de recursos de TI; DS3.5 Monitoramento e informe<br />PO9.4 Análise de riscos<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />15<br />
  16. 16. Q3. Segurança da informação<br />Requisitos de sucesso:<br />Garantir a precisão dos dados de arquitetura e modelo de dados;<br />Atribuir propriedade dos dados;<br />Classificar informações usando um padrão acordado;<br />Estabelecer um fórum para guiar a arquitetura e avaliar a conformidade;<br />Estabelecer um plano de infraestrutura de tecnologia balanceado entre custo, risco e requisitos;<br />Definir padrões de infraestrutura de tecnologia baseados em requisitos de arquitetura;<br />Garantir que o gerenciamento de riscos está totalmente inserido nos processos de gerenciamento, interna e externamente, e aplicado consistentemente;<br />Realizar avaliações de risco;<br />Recomendar e comunicar planos de ação corretiva para riscos;<br />Definir e comunicar procedimentos de mudança, incluindo mudanças emergenciais;<br />16<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  17. 17. Q3. Segurança da informação<br />Requisitos de sucesso (cont.):<br />Avaliar, priorizar e autorizar mudanças;<br />Informar o andamento das mudanças;<br />Planejar e prover capacidade e disponibilidade de sistemas;<br />Monitorar e informar desempenho de sistemas;<br />Modelar e prever desempenho de sistemas;<br />Desenvolver, manter e melhorar a contingência de TI;<br />Treinar pessoal e testar os planos de contingência de TI;<br />Armazenar cópias dos planos de contingência e dados externamente;<br />Entender requisitos de segurança, vulnerabilidades e ameaças;<br />Gerenciar identidade de usuários e autorizações de forma padronizada;<br />Testar a segurança regularmente;<br />Implantar medidas de segurança física;<br />Selecionar e gerenciar instalações.<br />17<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  18. 18. Q4. Desenvolvimento de sistemas<br />Questão de auditoria:<br />O desenvolvimento de sistemas segue alguma metodologia? Os órgãos/entidades mantêm inventário dos principais sistemas e bases de dados?<br />Achados:<br />17. Não-adoção de metodologia de desenvolvimento de sistemas<br />18<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  19. 19. Q4. Desenvolvimento de sistemas<br />Objetivos de controle associados:<br />AI2.7 Desenvolvimento de software aplicativo<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />19<br />
  20. 20. Q4. Desenvolvimento de sistemas<br />Requisitos de sucesso:<br />Traduzir requisitos de negócio em especificações para aplicativos;<br />Aderir a padrões de desenvolvimento em todas as mudanças;<br />Separar operações de desenvolvimento, teste e operação.<br />20<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  21. 21. Q5. Acordos de nível de serviço<br />Questão de auditoria:<br />Os órgãos/entidades gerenciam os acordos de níveis de serviço tanto quando prestam internamente como quando contratam externamente serviços de TI?<br />Achados:<br />18. Ausência de gestão de acordos de níveis de serviços prestados internamente<br />19. Ausência de gestão de acordos de níveis de serviços contratados externamente<br />21<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  22. 22. Q5. Acordos de nível de serviço<br />Objetivos de controle associados:<br />DS1.1 Padrão do gerenciamento de nível de serviço<br />DS1.2 Definição de serviços<br />DS1.3 Acordos de nível de serviço<br />DS1.4 Acordos de nível operacional<br />DS1.5 Monitoramento e informe de ANS<br />DS1.6 Revisão de ANS e contratos<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />22<br />
  23. 23. Q5. Acordos de nível de serviço<br />Requisitos de sucesso:<br />Revisar acordos internos e externos de forma alinhada às necessidades e capacidades;<br />Informar resultados dos ANS;<br />Identificar e comunicar qualquer alteração nos requisitos de serviço para o planejamento estratégico.<br />23<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  24. 24. Q6. Contratação de bens e serviços<br />Questão de auditoria:<br />O processo de contratação de bens e serviços de TI é formalizado, padronizado e judicioso quanto ao custo, à oportunidade e aos benefícios advindos das contratações de TI?<br />Achados:<br />20. Ausência de processo formal de trabalho para contratações de TI<br />21. Ausência de análise de custo/benefício da solução de TI contratada<br />22. Ausência de explicitação dos benefícios nas contratações de TI<br />23. Não-exigência de demonstrativo de formação de preço antes da adjudicação<br />24<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  25. 25. Q6. Contratação de bens e serviços<br />Objetivos de controle associados:<br />AI5.1 Controle sobre aquisições<br />AI1.3 Estudo de viabilidade e formulação de soluções alternativasAI1.4 Decisão e aprovação dos requisitos e da viabilidade<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />25<br />
  26. 26. Q6. Contratação de bens e serviços<br />Requisitos de sucesso:<br />Definir requisitos técnicos e de negócio;<br />Criar estudos de viabilidade como definidos nos padrões de desenvolvimento;<br />Submeter à aprovação os resultados de estudos de viabilidade.<br />26<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  27. 27. Q7. Gestão de contratos<br />Questão de auditoria:<br />O processo de gestão dos contratos de TI é formalizado, padronizado e executado?<br />Achados:<br />24. Ausência de processo formal de trabalho para gestão de contratos de TI<br />25. Não-realização de reuniões periódicas para avaliar o andamento dos contratos de TI<br />26. Não-definição prévia de itens para atestação técnica das faturas de contratos de TI<br />27. Monitoração administrativa dos contratos de TI feita pela área de TI<br />28. Não-transferência de conhecimento relativo aos produtos e serviços terceirizados para os servidores dos órgãos/entidades<br />27<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  28. 28. Q7. Gestão de contratos<br />Objetivos de controle associados:<br />AI5.1 Controle sobre aquisições<br />AI5.2 Gerenciamento de contratos de fornecedores<br />DS2.2 Gerenciamento de relacionamento com fornecedores<br />DS2.3 Gerenciamento de riscos com fornecedores<br />DS2.4 Monitoramento de desempenho de fornecedores<br />AI4.4 Transferência de conhecimento para equipes de operação e suporte<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />28<br />
  29. 29. Q7. Gestão de contratos<br />Requisitos de sucesso:<br />Desenvolver e disponibilizar documentação sobre transferência de conhecimento;<br />Comunicar e treinar usuários, gerentes de negócio, equipes operacionais e de suporte;<br />Produzir material de treinamento;<br />Requisitar conselhos profissionais sobre legalidade de contratos;<br />Definir padrões e procedimentos de aquisição;<br />Adquirir equipamento, aplicativo e serviços de forma alinhada aos padrões;<br />Identificar e categorizar serviços de fornecedores;<br />Identificar e mitigar riscos de fornecedores;<br />Monitorar e medir desempenho de fornecedores.<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />29<br />
  30. 30. Q8. Processo orçamentário de TI<br />Questão de auditoria:<br />Os órgãos/entidades solicitam o orçamento de TI com base no planejamento da área e controlam os gastos com TI ao longo do exercício financeiro?<br />Achados:<br />29. Não-consideração das ações planejadas para o próximo ano quando da solicitação de orçamento para a área de TI<br />30. Não-alocação dos recursos previstos no orçamento às ações constantes do planejamento de TI no início do ano<br />30<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  31. 31. Q8. Processo orçamentário de TI<br />Objetivos de controle associados:<br />PO5.3 Orçamentação de TI<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />31<br />
  32. 32. Q8. Processo orçamentário de TI<br />Requisitos de sucesso:<br />Prever a alocar orçamentos;<br />Definir critérios formais de investimento;<br />Medir e avaliar o valor do negócio frente às previsões.<br />32<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  33. 33. Q9. Auditoria de TI<br />Questão de auditoria:<br />Os órgãos/entidades realizam auditorias de TI nas suas organizações?<br />Achados:<br />31. Inexecução de auditoria de TI pelos órgãos/entidades<br />32. Inexistência de equipe própria para realizar auditoria de TI<br />33<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />
  34. 34. Q9. Auditoria de TI<br />Objetivos de controle associados:<br />ME2.1 Monitoramento do padrão de controle interno<br />ME2.2 Revisão de supervisão<br />ME2.3 Exceções de controle<br />ME2.4 Controle de auto avaliação<br />ME2.5 Avaliação de controle interno<br />ME2.6 Controle interno e de terceiros<br />ME2.7 Ações corretivas<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />34<br />
  35. 35. Q9. Auditoria de TI<br />Requisitos de sucesso:<br />Definir um sistema de controle interno inserido no quadro de processo de TI;<br />Acompanhar e informar a respeito da eficácia dos controles internos de TI;<br />Informar as exceções de controle para os gestores.<br />Francisco Ítalo Lopes França, PMP<br />www.governancadeti.com.br<br />35<br />
  36. 36. Conclusões<br />O produto mais significativo é o Planejamento estratégico de TI - PETI;<br />Metade (16) achados do TCU estão relacionados ao PETI;<br />47% não tem Planejamento estratégico institucional;<br />53% não tem Planejamento estratégico de TI;<br />Planejamento mal elaborado em função da falta de alinhamento entre negócio e TI;<br />Francisco Ítalo Lopes França, PMP<br />www.governancadeti.com.br<br />36<br />
  37. 37. Francisco Ítalo Lopes França, PMP<br />www.governancadeti.com.br<br />italo@italolopes.com<br />(61) 8411-6101<br />Francisco Ítalo Lopes França, PMP www.governancadeti.com.br<br />37<br />

×