governança de ti na apf pelo tcu

TRIBUNAL DE CONTAS DA UNIO

Secretaria-Geral de Controle Externo

Secretaria de Fiscalizao de Tecnologia da Informao - Sefti

1

Nota Tcnica 7/2014 - Sefti/TCU verso 2.8 Braslia, 30 de setembro de 2014

Assunto: Organizao do sistema de

governana de tecnologia da informao (TI),

em rgos e entidades integrantes da

Administrao Pblica Federal (APF).

Processo de aprimoramento contnuo da

governana de TI no mbito da APF.

SUMRIO

I DO OBJETIVO ................................................................................................................. 1

II DA MOTIVAO ............................................................................................................ 1

III DOS ENTENDIMENTOS PROPOSTOS......................................................................... 3 IV DA FUNDAMENTAO JURDICA E DA JURISPRUDNCIA DO TCU ................ 4

V DA ANLISE ................................................................................................................... 4 V.1 Da governana de TI ......................................................................................................... 4 V.2 Dos viabilizadores da governana de TI ........................................................................... 5 V.2.1 Princpios, polticas e frameworks..................................................................................... 5

V.2.2 Estruturas organizacionais ................................................................................................. 7

V.2.3 Processos ........................................................................................................................... 9

V.2.4 Cultura, tica e comportamento ....................................................................................... 10

V.2.5 Pessoas, habilidades e competncias ............................................................................... 11

V.3 Do Sistema de Governana de TI .................................................................................... 13

V.4 Do aprimoramento contnuo da governana de TI .......................................................... 14 VI REFERNCIAS .............................................................................................................. 19 HISTRICO DE REVISES ............................................................................................................ 20

Excertos da legislao e da jurisprudncia do TCU ........................................................................... 21

I DO OBJETIVO

1. Apresentar entendimentos da Secretaria de Fiscalizao de Tecnologia da Informao (Sefti) sobre a organizao do sistema de governana de TI em rgos e entidades integrantes da

Administrao Pblica Federal (APF), bem como sobre o processo de aprimoramento contnuo da

governana de TI nessas instituies, de forma a apoiar as organizaes pblicas na tarefa de dirigir

adequadamente os recursos aplicados na gesto e no uso da TI de acordo com as prioridades do

negcio e considerando os riscos envolvidos, maximizando a gerao de valor para as partes

interessadas.

II DA MOTIVAO

2. Desde 2007, o Tribunal de Contas da Unio (TCU), por intermdio da Sefti, vem promovendo levantamentos peridicos e realizando auditorias com vistas a avaliar a situao da

governana de TI nas instituies pblicas federais. De modo geral, tem-se constatado que parcela

considervel dessas instituies possuem nvel inicial de maturidade em governana de TI.

3. No segundo levantamento, realizado em 2010 (Acrdo 2.308/2010-TCU-Plenrio), oportunidade em que foi criado o ndice de governana de TI (iGovTI) do TCU, verificou-se que:

57% das instituies pesquisadas se encontravam em estgio inicial de governana de TI, 38%

apresentavam nvel intermedirio, e apenas 5% dessas instituies estavam em nvel aprimorado. J




2

no levantamento realizado em 2012 (Acrdo 2.585/2012-TCU-Plenrio), embora, conforme

demonstra o grfico abaixo, tenha havido significativa evoluo, constatou-se que boa parte dos

rgos e entidades que integram a APF segue no nvel inicial (34%).

Figura 1: Distribuio das organizaes pblicas federais por estgio de governana de TI

Fonte: Informativo do Levantamento do Perfil de Governana de TI na APF de 2012

4. A reduzida maturidade em governana de TI apresentada por parcela considervel das instituies pblicas federais pode contribuir para a ocorrncia de situaes indesejadas, tais como

priorizao de investimentos em TI que no estejam alinhados s necessidades do negcio, riscos de

TI que no so adequadamente identificados e tratados, aquisies em desconformidade com a

legislao aplicvel, indisponibilidade de servios pblicos providos com uso de TI, falhas de

segurana da informao, entre outros.

5. Em reunies e eventos realizados entre a Sefti e gestores pblicos, determinados fatores so recorrentemente citados para explicar o lento amadurecimento em governana de TI dos rgos

e entidades que integram a APF, tais como baixa sensibilizao e compreenso da alta administrao

a respeito de questes ligadas TI, quantitativo insuficiente de pessoal capacitado em TI e dificuldade

na obteno de recursos destinados a aes de melhoria em governana de TI. Alm disso, no mbito

das fiscalizaes realizadas, a Sefti tem percebido que muitas instituies pblicas federais tm tido

dificuldade em definir quais prticas, controles e processos precisam ser implementados e em que

ordem de prioridade.

6. Ciente dessas dificuldades, esta Corte de Contas tem demandado maior atuao dos rgos governantes superiores (OGS) na conduo desse processo. Fazem parte dos OGS, entre

outros rgos, a Secretaria de Logstica de Tecnologia da Informao do Ministrio do Planejamento,

Oramento e Gesto (SLTI/MP), o Conselho Nacional de Justia (CNJ), o Conselho Nacional do

Ministrio Pblico (CNMP), o Departamento de Coordenao e Governana das Estatais (Dest/MP),

o Gabinete de Segurana Institucional da Presidncia da Repblica (GSI/PR) e o Comit

Interministerial de Governana Corporativa e de Administrao de Participaes Societrias da Unio

(CGPAR). Cabe a esses rgos, entre outras responsabilidades, a funo de normatizar e fiscalizar o

uso e a gesto da tecnologia da informao em seus respectivos segmentos da APF. A esse respeito,

assim disps o voto condutor do Acrdo 2.308/2010-TCU-Plenrio:

0%

10%

20%

30%

40%

50%

60%

2010

2012

Distribuio por estgio de governana de TI

Inicial Intermedirio Aprimorado




3

22. Considero relevante, ainda, destacar dois outros pontos.

23. O primeiro relativo necessidade de instar os rgos de coordenao, normatizao, superviso e

fiscalizao da APF a assumirem a frente do processo de aprimoramento da governana de TI, com a

adoo de uma postura mais incisiva com respeito ao tema nos rgos e entidades a eles vinculados.

7. A jurisprudncia recente do TCU tem recomendado aos OGS que emitam orientaes acerca das prticas de governana de TI a serem adotadas pelas instituies a eles jurisdicionadas, em

especial no que diz respeito ao planejamento estratgico de TI, implantao de comit de TI,

gesto de pessoal de TI, gesto de riscos de TI, gesto oramentria de TI, entre outros temas

relacionados, conforme disposto nos acrdos 1.603/2008i, 2.471/2008ii, 2.308/2010iii e 2.585/2012iv,

todos do Plenrio do TCU.

8. No entanto, pode-se afirmar que, a despeito dos esforos realizados pelos OGS em promover aes que contribuam para o aprimoramento da governana de TI em seus respectivos

segmentos de atuao, muitas instituies pblicas federais ainda demonstram dificuldades em

decidir quais caminhos devem trilhar em termos de implementao de processos e controles. De

acordo com dados obtidos do relatrio consolidador da Fiscalizao de Orientao Centralizada

(FOC), que visava avaliao de prticas ligadas entrega de resultados e gesto de riscos de TI,

realizada em 2014 (TC 023.050/2013-6), verificou-se que onze das vinte instituies avaliadas

apresentaram falhas nas aes de melhoria de governana de TI, representando 55% do universo

avaliado, o que sugere a existncia de dificuldades na seleo e na implantao de mecanismos de

governana de TI que atendam s necessidades institucionais.

9. Nesse contexto, considerando que objetivo estratgico do TCU contribuir para a melhoria da gesto e do desempenho da Administrao Pblica (Brasil, 2011, p. 56) e que a misso

da Sefti assegurar que a TI agregue valor ao negcio da APF em benefcio da sociedade (Brasil,

2008a, p. 8), esta nota tcnica foi elaborada com o objetivo de propor uma srie de entendimentos

que apoiem as instituies no processo de amadurecimento de suas prticas de governana de TI. Os

entendimentos esto estruturados em torno da necessidade do estabelecimento de um sistema de

governana de TI, de forma a prover uma organizao bsica de estruturas, polticas, princpios,

processos, entre outros elementos necessrios para que as organizaes pblicas dirijam

adequadamente a gesto e o uso atual e futuro da TI na organizao.

III DOS ENTENDIMENTOS PROPOSTOS

Entendimento I: Convm definir pelo menos uma poltica de governana de TI que seja formalmente

instituda pela alta administrao e que contemple, no mnimo, princpios, diretrizes, papis e

responsabilidades necessrios para desempenhar as funes de avaliar, dirigir e monitorar a gesto e

o uso da TI.

Entendimento II: Convm estabelecer as estruturas organizacionais e os papeis necessrios para a

governana, a gesto e o uso de TI na instituio, definindo-se formalmente o modo de organizao

e funcionamento dessas estruturas.

Entendimento III: Convm selecionar e implementar os processos e prticas de governana e de

gesto de TI necessrios para que a TI seja capaz de maximizar a entrega de valor s partes

interessadas com base em fatores que reflitam seu contexto especfico, uma vez que no existe um

nico conjunto possvel de processos que seja aplicvel a todas organizaes pblicas.

Entendimento IV: Convm promover os valores relacionados cultura, tica e comportamento que

favoream as mudanas necessrias em prol da melhoria da governana de TI, a exemplo da adoo,

pela alta administrao, do comportamento que esperado do restante dos colaboradores da

organizao.

Entendimento V: Convm realizar aes de sensibilizao de todas as pessoas da organizao

envolvidas com a governana de TI em todos os nveis e reas, no se restringindo somente ao setor




4

de TI, de forma que a cultura organizacional valorize as iniciativas de amadurecimento da governana

de TI em prol do cumprimento da misso institucional.

Entendimento VI: Convm alocar recursos humanos prprios em nmero suficiente para executar as

funes relacionadas TI, de acordo com a estratgia definida pela organizao com respaldo em

avaliaes objetivas dos quantitativos necessrios, buscando e desenvolvendo as habilidades e

competncias essenciais ao exerccio de suas atribuies.

Entendimento VII: Convm definir o Sistema de Governana de TI da organizao, que seja

formalmente institudo por meio da Poltica de Governana de TI e composto pelo conjunto de

viabilizadores necessrios para avaliar, dirigir e monitorar a gesto e o uso da TI, a exemplo do

definido na ABNT NBR ISO/IEC 38500 e no Cobit 5, de forma a proporcionar o aprimoramento

contnuo e gradual da governana de TI na instituio, considerando seu contexto especfico.

Entendimento VIII: Convm estabelecer um processo formal de aprimoramento contnuo da

governana de TI na organizao, contemplando as responsabilidades das partes envolvidas e, no

mnimo, as seguintes etapas: diagnstico (avaliao da situao atual da governana de TI);

planejamento (definio do estado almejado e planejamento das mudanas necessrias); execuo

(implementao das mudanas e dos aprimoramentos); operao e medio (operao do sistema com

os aprimoramentos incorporados, medio da sua eficincia e eficcia); e avaliao (verificao do

sucesso do plano/ciclo, promovendo a melhoria contnua por meio de um novo ciclo).

IV DA FUNDAMENTAO JURDICA E DA JURISPRUDNCIA DO TCU

1) Constituio da Repblica Federativa do Brasil, de 5 de outubro de 1988; 2) Decreto-Lei 200, de 25 de fevereiro de 1967; 3) Acrdo 1.603/2008-TCU-Plenrio; 4) Acrdo 2.471/2008-TCU-Plenrio; 5) Acrdo 2.308/2010-TCU-Plenrio; 6) Acrdo 1.233/2012-TCU-Plenrio; 7) Acrdo 2.585/2012-TCU-Plenrio; 8) Acrdo 1.200/2014-TCU-Plenrio.

V DA ANLISE

V.1 Da governana de TI

10. De acordo com a ABNT NBR ISO/IEC 38500, a governana corporativa de TI o sistema pelo qual o uso atual e futuro da TI dirigido e controlado (ABNT, 2009, p. 3). Segundo o Cobit 5,

que consiste em um conjunto internacional de boas prticas em governana e em gesto de TI, o

objetivo principal da governana de TI criar valor para a organizao com base nas necessidades

das partes interessadas (ISACA, 2012a, p. 17). Ainda segundo o Cobit 5, a criao de valor pela TI

definida em torno de trs eixos, abrangendo a entrega de benefcios por meio do uso otimizado dos

recursos disponveis e gerenciando-se os riscos existentes.

11. Por sua vez, o TCU entende que a governana de TI consiste no estabelecimento de mecanismos para assegurar que o uso da TI agregue valor ao negcio das organizaes, com riscos

aceitveisv. Esses mecanismos incluem a definio de polticas, estruturas organizacionais, processos,

controles, entre outros componentes que possibilitam que os recursos investidos em tecnologia da

informao atendam s necessidades no s do negcio da instituio, mas tambm das diversas

partes interessadas que podem ser afetadas pelas decises relacionadas TI.

12. Para que os dirigentes tenham condies de governar a TI, convm que seja adotado o ciclo avaliar-dirigir-monitorar (ABNT, 2009, p. 7-8), pelo qual primeiro se realiza a avaliao do

uso atual e futuro da TI com base nas necessidades do negcio. Em seguida deve ser definida a direo




5

da TI na organizao mediante princpios e diretrizes que estabeleam a forma de atuao da gesto

da TI, bem como planos que definam a direo dos investimentos nos projetos e operaes de TI. Por

fim a alta administrao monitora o desempenho obtido pela TI em funo da direo previamente

estabelecida, valendo-se de processos e sistemas de mensurao apropriados.

13. Nesse sentido tambm aponta o Cobit 5, que possui um domnio especfico de processos de governana de TI denominado EDM Evaluate, Direct and Monitor (Avaliar, Dirigir e Monitorar

traduo livre) e inclui prticas e atividades direcionadas avaliao de opes estratgicas, ao

estabelecimento da direo da TI e ao monitoramento dos resultados alcanados (ISACA, 2012a,

p. 32, 71).

V.2 Dos viabilizadores da governana de TI

14. O Cobit 5 prope a implantao da governana de TI por meio da utilizao de viabilizadores, que so fatores que tm a capacidade de, individualmente ou coletivamente,

influenciar o funcionamento adequado da governana da TI organizacional (ISACA, 2012a, p. 27).

Das sete categorias de viabilizadores propostas nesse modelo, cinco sero abordadas nesta nota

tcnica: princpios, polticas e frameworks; estruturas organizacionais; processos; cultura, tica e

comportamento; pessoas, habilidades e competncias.

15. A despeito de este documento manifestar entendimentos da Sefti sobre uma abordagem de aperfeioamento contnuo da governana de TI, no se pretende determinar de que forma os

viabilizadores devero ser implementados em todas as instituies pblicas federais, pois abordagens

ou modelos para construir a governana diferem consideravelmente dependendo do tamanho da

organizao, da complexidade, das estruturas e do contexto normativo (AUSTRLIA, 2007, p. 5).

Nesse sentido, entende-se que a definio do grau de estruturao dos viabilizadores de

responsabilidade da prpria organizao com base no seu contexto especfico, sendo considerado um

fator crtico de sucesso para implementaes bem sucedidas (ISACA, 2009a, p. 35).

V.2.1 Princpios, polticas e frameworks

16. Os princpios, as polticas e os frameworks so o veculo pelo qual as decises relativas governana so institucionalizadas e, por essa razo, agem como elementos integradores entre o

estabelecimento da direo e as atividades de gesto (ISACA, 2012a, p. 31).

17. Os princpios expressam o comportamento preferido para orientar a tomada de deciso e a sua aplicao deve ser exigida pelos dirigentes (ABNT, 2009, p. 6). Assim sendo, todas as pessoas

da organizao envolvidas no planejamento, gesto, operao ou uso de recursos de TI devero tomar

decises e executar aes observando tais princpios.

18. Como exemplo de princpios de governana de TI, pode-se citar: a estratgia de negcio deve considerar as capacidades atuais e futuras de TI; conformidade com leis e regulamentos

aplicveis; aquisies de TI com oportunidades, custos e riscos equilibrados; entre outros contidos na

ABNT NBR ISO 38500:2009 (ABNT, 2009, p. 6).

19. Nesse contexto, para que a alta administrao das organizaes pblicas consiga governar a TI de forma a atender as necessidades institucionais, necessrio que ela estabelea um conjunto

de princpios que orientem o comportamento desejado na gesto e no uso da TI institucional. Ressalte-

se que, no mbito da APF, necessrio que os princpios definidos para a governana de TI estejam

alinhados com os princpios que regem a APF, estabelecidos no caput do art. 37 da Constituio

Federal (legalidade, impessoalidade, moralidade, publicidade e eficincia)vi, bem como no Decreto-

Lei 200/1967 (planejamento, coordenao, descentralizao, delegao de competncia e controle)vii.

20. Alm dos princpios, o uso de diretrizes constitui uma ferramenta importante para direcionar a atuao da gesto de TI. Elas representam um conjunto de instrues ou indicaes para




6

se alcanar um determinado objetivo e fixam parmetros bsicos de governana de TI para a

organizao. No levantamento de governana de TI realizado pelo TCU em 2014, as instituies

pblicas federais foram questionadas se possuam diretrizes que orientassem o planejamento de TI, a

gesto de servios, a contratao de bens e servios de TI, a gesto de riscos de TI, a avaliao da

governana de TI, entre outras (BRASIL, 2014a, p. 4-6).

21. A ttulo de ilustrao, seguem exemplos de diretrizes: o desenvolvimento de solues de TI deve observar os padres definidos pelo setor de TI da instituio; as aquisies de solues de TI

devem considerar a opo por solues de cdigo aberto e de livre utilizao; os recursos devem ser

alocados prioritariamente para o provimento de solues de TI que sejam estratgicas para a

organizao; o planejamento da TI deve contar com ampla participao das reas de negcio e levar

em considerao os riscos de TI identificados no mbito da gesto de riscos; etc.

22. A fim de que sejam observados os princpios e as diretrizes, necessrio que esses elementos sejam adequadamente comunicados a toda a organizao. Para tanto, convm o

estabelecimento de polticas, que so instrues claras e mensurveis de direo e comportamento

desejado de forma a condicionar as decises tomadas no mbito da instituio (ABNT, 2009, p. 4).

No mbito da APF, entende-se que as polticas devem ser formalizadas como normativos internos

institudos pela alta administrao e, alm disso, ser conhecidas e observadas por toda a organizao.

Como exemplo de polticas que contribuem para a governana de TI, pode-se citar, entre outras, a

poltica de gesto de riscos, a poltica de segurana da informao, o cdigo de tica institucional e a

poltica de utilizao dos recursos de TI.

23. Por sua vez, os frameworks de governana devem prover estrutura, orientao e ferramentas que possibilitem a governana e o gerenciamento apropriados da TI corporativa (ISACA,

2012a, p. 67). Com efeito, o modo de estruturao dos mecanismos de governana de TI citados no

pargrafo 11 constitui o framework de governana especfico daquela organizao.

24. Ademais, existem frameworks genricos, que podem apoiar as organizaes pblicas na tarefa de implementar processos e prticas de governana de TI, tais como o Cobit 5 e os guias

publicados por rgos governantes superiores (ex.: Guia de Comit de TI do Sisp), entre outros.

25. certo que cada organizao dispe da liberdade de definir como seus princpios, polticas, diretrizes e frameworks corporativos sero estruturados. No que diz respeito governana

de TI, recomendvel que os rgos e entidades da APF instituam, pelo menos, uma poltica que

contemple os princpios e as principais diretrizes que devem direcionar os rumos da TI no mbito

institucional. No mbito desta nota tcnica, esse instrumento ser denominado Poltica de Governana

de TI (PGTI).

26. Para que essa poltica alcance a todas as pessoas da organizao, necessrio que ela seja formalmente instituda pela alta administrao, que haja uma forma de acesso fcil e rpido a ela e

que sejam adotadas medidas de conscientizao e divulgao do seu contedo. Ademais, convm que

a PGTI seja periodicamente revisada de forma a se adequar s mudanas que ocorrem na organizao

com o passar do tempo.

27. Alm de estabelecer princpios e diretrizes, entende-se que outra funo a ser cumprida pela PGTI a de esclarecer quais so as estruturas e demais responsveis pelas diversas atividades

relacionadas governana de TI na instituio, tais como a alta administrao, os comits, os gestores

de solues de TI, a rea de TI e a auditoria interna. Sendo assim, espera-se que essa poltica defina,

por exemplo, quem so os responsveis pela elaborao dos planos de TI, pelo acompanhamento da

execuo desses planos, pelo monitoramento e superviso do desempenho da TI e pela avaliao dos

riscos de TI que podem impactar o negcio da instituio, entre outras responsabilidades.

28. Diante todo o exposto, chega-se ao seguinte entendimento:




7

Entendimento I. Convm definir pelo menos uma poltica de governana de TI que seja formalmente instituda pela alta administrao e que contemple, no mnimo, princpios, diretrizes,

papis e responsabilidades necessrios para desempenhar as funes de avaliar, dirigir e monitorar a

gesto e o uso da TI.

V.2.2 Estruturas organizacionais

29. As estruturas organizacionais desempenham um papel-chave para tomada de deciso em uma organizao (ISACA, 2012a, p. 27;28). Os nveis de autoridade dessas estruturas para tomada

de deciso e as atividades que elas desempenham so estabelecidos pelas polticas organizacionais, a

exemplo da PGTI.

30. As decises tomadas no mbito da organizao norteiam a atuao da gesto de TI e constituem fator essencial para a boa governana de TI. Questes importantes relacionadas alocao

de recursos, realizao de investimentos e priorizao de projetos de TI so tipicamente decididas

por estruturas organizacionais, a exemplo da alta administrao e do comit de TI. Por sua vez, a rea

de TI, a rea de auditoria interna, a rea de gesto de riscos (corporativa ou de TI) e o escritrio de

projetos de TI desempenham um papel importante na produo de informaes que sero utilizadas

pelas instncias tomadoras de deciso.

31. Para que essas estruturas operem adequadamente, recomendvel a definio de um conjunto de regras que retratam o modus operandi de cada uma delas, relacionadas, por exemplo,

definio de seu mandato e competncias, s responsabilidades de cada papel contido na estrutura,

frequncia de reunies e s situaes em que a deciso deve ser escalada (ISACA, 2012a, p. 75). Para

que essas regras sejam observadas no mbito da APF, recomendvel que estejam reunidas em um

documento formal que disponha sobre a organizao e o funcionamento das estruturas

organizacionais.

32. Existem diversas estruturas organizacionais que se relacionam e viabilizam a governana e a gesto de TI em uma instituio, sendo que a organizao delas, de forma a refletir as necessidades

de negcio e as prioridades de TI, objeto da prtica de gesto APO01.01 Define the organizational

structure (Defina a estrutura organizacional traduo livre) do Cobit 5 (ISACA, 2012b, p. 52).

33. Ressalte-se que determinadas responsabilidades relacionadas governana de TI podem ser atribudas no somente a estruturas especializadas no tema, mas tambm a estruturas

organizacionais pr-existentes. Pode-se tambm atribuir responsabilidades a papeis especficos

dentro da organizao. Sendo assim, cabe instituio avaliar a melhor forma de atribuio das

responsabilidades voltadas governana de TI, considerando o seu contexto especfico.

34. Como exemplo, tem-se o papel de gestor de soluo de TI, cujas responsabilidades podem ser atribudas a determinadas pessoas ou a uma estrutura organizacional especfica. Entre outras

responsabilidades, o gestor de soluo de TI deve: avaliar, permanentemente, os benefcios obtidos

com a implantao da soluo de TI; avaliar riscos para o negcio relacionados com a soluo de TI;

bem como prover recursos e definir prioridades para a soluo de TI (ITGI, 2003, p. 51). Ao exercer

essas atividades, o gestor de soluo de TI tem condies de atuar como interface entre a gesto e as

instncias de governana de TI, pois ele obtm informaes importantes relacionadas aos benefcios

efetivamente alcanados com o uso das solues de TI e aos riscos de descontinuidade dessas

solues, de forma a subsidiar o direcionamento ou no de recursos para a manuteno das solues

de TI que j esto em operao.

35. De qualquer forma, importante ressaltar que a escolha das estruturas que sero institudas e dos papeis que sero definidos para o aprimoramento da governana de TI de

responsabilidade de cada organizao, considerando seu contexto, recursos disponveis e suas

necessidades. Cabe registrar que a governana de TI envolve estruturas de diversas reas da

organizao, no apenas da rea de TI (ISACA, 2012a, p. 23).




8

36. Sejam quais forem as estruturas organizacionais definidas pela instituio, essencial que a alta administrao garanta a alocao dos recursos (humanos, materiais e financeiros) necessrios

para que os membros dessas estruturas exeram adequadamente as suas atribuies. Caso contrrio,

corre-se o risco de as estruturas organizacionais serem institudas apenas no campo formal, sem que

os seus membros efetivamente atuem sobre os temas afetos governana e gesto de TI.

Ante o exposto, chega-se ao seguinte entendimento:

Entendimento II. Convm estabelecer as estruturas organizacionais e os papeis necessrios para a governana, a gesto e o uso de TI na instituio, definindo-se formalmente o modo de organizao

e funcionamento dessas estruturas.

V.2.2.1 Comit de TI

37. Entre as estruturas organizacionais normalmente implantadas para viabilizar a governana de TI, destaca-se uma estrutura especfica cuja implantao vem sendo fomentada pelo

TCU nos acrdos de fiscalizaes de temas ligados governana de TI, qual seja o comit de TI.

38. A opo pela criao de um comit especfico que atue em questes associadas TI decorre de dificuldades que usualmente no so tratadas pelas demais estruturas organizacionais

tipicamente encontradas nas organizaes pblicas federais. Conflitos na alocao de recursos para

desenvolvimento de solues de TI, tomada de decises unilaterais pelo setor de TI da organizao,

seleo e priorizao de investimentos que no contemplam as necessidades da instituio e ausncia

de monitoramento das aes e decises de TI pela alta administrao so apenas alguns exemplos de

situaes que podem ser melhor tratadas pelo comit de TI.

39. Por seu turno, a Secretaria de Logstica e Tecnologia da Informao do Ministrio do Planejamento, Oramento e Gesto (SLTI/MP), na qualidade de OGS do Sistema de Administrao

dos Recursos de Tecnologia da Informao (Sisp), elaborou o Guia de Comit de TI do Sisp,

visando facilitar a implantao dos comits de TI nos rgos integrantes do sistema (Brasil, 2013,

p. 6).

40. O referido guia dispe que os comits de TI podem ter natureza consultiva, que no tm poder de deciso e limitam-se a aconselhar a alta administrao em assuntos relativos TI, ou

natureza deliberativa, que detm o poder de decidir sobre esses assuntos. A definio da natureza

(consultiva ou deliberativa) do comit de TI depende da cultura e da estrutura organizacional, bem

como das diretrizes e expectativas dos dirigentes (Brasil, 2013, p. 24), no havendo um modelo nico

que seja perfeitamente adaptvel a todas as organizaes.

41. Em sntese, espera-se que o comit de TI seja composto por representantes das principais reas da organizao e do setor de TI, recebendo, periodicamente, informaes gerenciais de outras

estruturas organizacionais (ex.: rea de gesto de riscos e rea de TI), tendo entre suas

responsabilidades, atuar:

a) na aprovao e na alocao de recursos destinados TI;

b) na priorizao de aes e projetos de TI;

c) no acompanhamento da execuo das estratgias e planos de TI, de forma a garantir o alinhamento com as necessidades institucionais;

d) na comunicao alta administrao de informaes gerenciais de TI, tais como o status da execuo dos planos de TI e da gesto dos riscos de TI, bem como a evoluo dos indicadores de

desempenho de TI.

42. A relevncia dessa estrutura organizacional para a governana de TI no setor pblico reforada pela jurisprudncia deste Tribunal, que recomenda aos rgos governantes superiores que

disseminem a importncia e normatizem a obrigatoriedade de estabelecimento do comit de TI para




9

os entes jurisdicionados (Acrdos 1.603/2008, item 9.1.1 e 1.233/2012viii, itens 9.2.1 e 9.11.1,

ambos do Plenrio do TCU).

43. Tanto os referidos acrdos do TCU quanto a iniciativa da SLTI/MP em criar o Guia de Comit de TI do Sisp demonstram o quanto o estabelecimento do comit de TI considerado como

uma ao de cunho estruturante para a governana de TI no setor pblico federal.

44. Diante do exposto, recomendvel que as organizaes pblicas federais instituam um comit de TI, de natureza consultiva ou deliberativa, que seja composto por representantes das

principais reas da organizao e do setor de TI da organizao, tendo entre suas responsabilidades

atuar: na aprovao da alocao de recursos destinados TI; na priorizao de aes e de projetos de

TI; no acompanhamento da execuo das estratgias e planos de TI; na comunicao alta

administrao de informaes gerenciais sobre o desempenho de TI.

V.2.3 Processos

45. No contexto da governana e da gesto de TI, processos descrevem um conjunto organizado de prticas e atividades para alcanar certos objetivos e produzir um conjunto de sadas

de forma a suportar o alcance das metas de TI de uma organizao (ISACA, 2012a, p. 27). O Cobit 5

estabelece um conjunto de 37 processos, sendo que cinco so relacionados governana de TI e 32

so ligados gesto de TI.

46. Processos de governana lidam com objetivos associados entrega de benefcio e otimizao de riscos e de recursos, bem como incluem prticas e atividades direcionadas avaliao

de opes estratgicas, ao fornecimento da direo e ao monitoramento dos resultados (ISACA,

2012a, p. 27). Nesse sentido, entende-se que esses processos, por estarem voltados avaliao,

direo e monitoramento da TI organizacional, esto aderentes ao ciclo avaliar-dirigir-monitorar

da ABNT NBR ISO/IEC 38500 (ABNT, 2009, p. 7-8).

47. Por sua vez, processos de gesto abrangem responsabilidades relacionadas ao planejamento, implementao, execuo e monitoramento das atividades desempenhadas pelo setor

de TI da organizao (ISACA, 2012b, p. 23-24). A gesto da estratgia (APO02 Manage strategy),

a gesto dos recursos humanos (APO07 Manage Human Resources), a gesto dos acordos de

servio (APO09 Manage service agrments) e a gesto de riscos (APO12 Manage risk) so

exemplos de processo de gesto definidos pelo Cobit 5 diretamente voltados criao de valor para

a organizao.

48. Em outras palavras, as organizaes implementam processos de governana de TI com o objetivo de avaliar, dirigir e monitorar a gesto e o uso da TI. Alm disso, elas executam processos

de gesto de TI para serem capazes de seguir, de maneira organizada, a direo dada pela alta

administrao, bem como alcanar os objetivos e as metas de TI estabelecidos.

49. No mbito da APF, necessrio que as organizaes busquem implantar os processos de governana e de gesto de TI que sejam exigidos por leis e demais normativos, de forma a garantir

conformidade com o marco regulatrio aplicvel. Ademais, importante ressaltar que no existe um

nico conjunto possvel de processos e prticas que devam ser implantados por todas as instituies,

em razo da heterogeneidade das instituies em termos de: importncia estratgica da organizao

para o Estado; tamanho da instituio; setor de atuao; recursos disponveis; objetivos de TI e de

negcio; maturidade em governana de TI; riscos existentes etc.

50. Nesse sentido, razovel esperar que organizaes maiores, mais complexas e, principalmente, mais dependentes de TI, implementem mais processos e prticas do que instituies

menores e mais simples. Contudo, independentemente da quantidade de processos, todas elas devem

ser capazes de governar e gerenciar adequadamente a sua prpria TI para alcanar seus objetivos




10

institucionais, considerando-se tambm os riscos decorrentes da gesto e do uso de TI que podem

impactar o alcance desses objetivos.

51. Em vista disso, entende-se que cada organizao pblica deve levar em considerao o seu contexto especfico para selecionar os processos de governana e de gesto de TI que ir

implementar. Para exemplificar, no seria recomendvel que as organizaes da APF

implementassem e gerenciassem com o mesmo grau de profundidade todos os 37 processos e 210

prticas definidos no mbito do Cobit 5, pois haveria o risco de aplicao de recursos em processos

que no trariam benefcios claros para a organizao.

Chega-se, portanto, ao seguinte entendimento:

Entendimento III. Convm selecionar e implementar os processos e prticas de governana e de gesto de TI necessrios para que a TI seja capaz de maximizar a entrega de valor s partes

interessadas com base em fatores que reflitam seu contexto especfico, uma vez que no existe um

nico conjunto possvel de processos que seja aplicvel a todas organizaes pblicas.

V.2.4 Cultura, tica e comportamento

52. A implementao ou aprimoramento da governana de TI nas instituies depende da aplicao de boas prticas relacionadas ao tema. Para tanto, necessrio que as pessoas envolvidas

com a governana de TI, sejam elas membros da alta administrao, gestores ou pertencentes aos

setores operacionais de TI, estejam comprometidas com as mudanas implantadas por meio da adoo

de novas polticas, processos e prticas ligadas gesto e ao uso da TI. Dessa forma, pode-se dizer

que o componente humano um fator crtico de sucesso para a governana de TI.

53. Com efeito, cultura, tica e comportamento se referem ao conjunto de comportamentos individuais e coletivos em uma organizao (ISACA, 2012a, p. 79) e devem ser levados em

considerao para a formulao dos princpios e diretrizes que direcionaro a gesto e o uso da TI.

Alguns desses comportamentos podem ser influenciados por estruturas organizacionais especficas

da instituio. Como exemplo, a unidade responsvel pela gesto de riscos contribui para que a

organizao dirija a forma como as unidades de negcio devem lidar com os riscos de TI que podem

influenciar o resultado de suas atividades.

54. A questo cultural representa um importante aspecto da governana de TI, pois possibilita que outros mecanismos possam cumprir adequadamente sua funo, de forma a proporcionar a

criao de valor para a organizao. Processos de TI, ainda que muito bem definidos, podem no

atingir os resultados esperados caso no haja comprometimento dos atores envolvidos na execuo

das atividades do processo da maneira como foram planejadas. Da mesma forma, a efetividade das

estruturas organizacionais na melhoria da governana e da gesto da TI depende da adequada

implementao das decises que elas tomam, o que pode no ocorrer caso as pessoas responsveis

no estejam suficientemente motivadas ou comprometidas com a organizao.

55. Para ilustrar a forma como o aspecto cultural pode influenciar negativamente a governana de TI, pode-se citar algumas situaes, tais como: corpo tcnico que no adota as

diretrizes de governana de TI estabelecidas pela alta administrao; pessoas influentes na

organizao que determinam a priorizao de projetos de TI com base em critrios eminentemente

polticos, abstendo-se de observar os parmetros tcnicos previamente definidos para a realizao

desse trabalho; alta administrao que no monitora os indicadores de desempenho da rea de TI e

no toma decises a respeito por entender, equivocadamente, que essa atividade no de sua

competncia, mas somente do setor de TI.

56. Diante disso, entende-se que os esforos relacionados governana e gesto de TI podem no ser efetivos caso o envolvimento e o comprometimento das pessoas sejam insuficientes




11

para promover as mudanas pretendidas. necessrio que a alta administrao defina e incentive o

comportamento esperado, bem como acompanhe a sua adoo pelo restante da organizao.

57. Nesse sentido, torna-se recomendvel a adoo de aes de sensibilizao, tais como a realizao de workshops e treinamentos, para que as pessoas responsveis pela tomada de decises e

pelo cumprimento de polticas, planos e prticas de TI tenham a percepo de que o engajamento de

todos na melhoria da governana de TI na organizao componente essencial para o alcance dos

objetivos de negcio e, assim, para o cumprimento da misso institucional. O prprio Cobit 5, no

mbito atividade 4 da prtica de gesto APO07.3 Maintain the skills and competencies of personnel

(Manter habilidades e competncias de pessoal traduo livre), recomenda o aprimoramento de

habilidades comportamentais como parte das aes de capacitao do pessoal da organizao

(ISACA, 2012b, p. 85).

58. Outra boa prtica relacionada ao componente cultural consiste na adoo, por lderes responsveis pela governana de TI, do comportamento a ser seguido pelos demais colaboradores da

organizao, exercendo, assim, a liderana pelo exemplo. Essa uma forma eficaz de transmitir os

valores e princpios de governana que devem ser observados na instituio. Nesse sentido, a fim de

encorajar as pessoas a se engajarem com as iniciativas de melhoria da governana de TI, a prpria

alta administrao da organizao deve mostrar envolvimento com o assunto por meio de suas aes,

tais como efetivamente monitorar as polticas que trazem princpios e diretrizes sobre o tema, bem

como comprometer-se com a alocao de recursos para o adequado funcionamento das estruturas

organizacionais que atuam na governana de TI.

Diante do exposto, chega-se aos seguintes entendimentos:

Entendimento IV. Convm promover os valores relacionados cultura, tica e comportamento que favoream as mudanas necessrias em prol da melhoria da governana de TI, a exemplo da

adoo, pela alta administrao, do comportamento que esperado do restante dos colaboradores da

organizao.

Entendimento V. Convm realizar aes de sensibilizao de todas as pessoas da organizao envolvidas com a governana de TI em todos os nveis e reas, no se restringindo somente ao setor

de TI, de forma que a cultura organizacional valorize as iniciativas de amadurecimento da governana

de TI em prol do cumprimento da misso institucional.

V.2.5 Pessoas, habilidades e competncias

59. Pessoas representam o ativo mais importante de uma organizao. So elas que, mediante uso de suas habilidades e competncias, executam um conjunto de atividades que visam a atender as

necessidades do negcio, de forma a dar cumprimento misso institucional.

60. No contexto da APF, pessoas em nmero suficiente para atender s demandas de TI da instituio que sejam detentoras de habilidades e competncias necessrias constituem tema perante

o qual o TCU tem se debruado nos ltimos anos. Exemplo recente de avaliao abrangente da

estrutura de recursos humanos alocados na rea de TI, o Acrdo 1.200/2014-TCU-Plenrio revela

diversos problemas de gesto do pessoal que desempenha funes de TI no setor pblico federal,

entre eles a ausncia de planejamento para o preenchimento contnuo de vagas de TI, bem como a

execuo da poltica de qualificao sem o devido planejamento, conforme consta do item 5 do Voto

Condutor do referido acrdoix.

61. No que tange governana de TI, pessoas, habilidades e competncias so necessrias para a correta tomada de decises (ISACA, 2012a, p. 27). Para que os papis sejam corretamente

desempenhados no mbito das estruturas organizacionais, bem como para que os processos de

governana e de gesto de TI sejam executados com sucesso, necessrio que as pessoas envolvidas




12

estejam adequadamente qualificadas, dotadas das habilidades tcnicas e comportamentais requeridas

para o trabalho.

62. Diante disso, a fim de que os recursos humanos envolvidos com aes de TI estejam comprometidos e adequadamente capacitados para exercerem suas funes, as organizaes pblicas

podem recorrer s prticas descritas no processo APO07 Manage Human Resources (Gerenciar

Recursos Humanos traduo livre) do Cobit 5, que abrange atividades relacionadas manuteno

de pessoal apropriado, ao planejamento e acompanhamento do uso de recursos humanos de TI e de

negcio, entre outras prticas (ISACA, 2012b, p. 83-84).

63. Nesse contexto, convm que a organizao planeje a estratgia de obteno do conhecimento que ainda no detm internamente a partir do levantamento das habilidades e

competncias necessrias para o exerccio das atribuies das pessoas responsveis por executar

aes de TI em todos os nveis, sejam de governana, de gesto ou de execuo. Com base nesse

levantamento, a organizao tem melhores condies de decidir se deve investir em aes internas de

capacitao ou promover o recrutamento de pessoal.

64. Registre-se, por oportuno, que a capacitao permanente de pessoal que exerce funes de TI no mbito da APF objeto de constantes deliberaes desta Corte de Contas (Acrdos

1.233/2012, itens 9.9.2, 9.13.11 e 9.15.15x; 2.585/2012, item 9.1.2xi; 1.200/2014, item 9.1.4xii; todos

do Plenrio do TCU).

65. Alm do aspecto de qualificao dos profissionais, as instituies precisam dispor de quantitativo de pessoal compatvel com o adequado desempenho de funes relacionadas TI, que

incluem, entre outras, atribuies intrnsecas governana e gesto de TI, execuo de atividades

operacionais de TI, bem como aquelas ligadas gesto das solues de TI exercidas por unidades de

negcio.

66. Assim sendo, convm que a organizao pblica defina a estratgia de provimento de pessoal para exercer essas funes, seja mediante redistribuio interna ou por meio da realizao de

concurso pblico, entre outras possibilidades.

67. Cabe ressaltar que a opo pela execuo indireta de servios influencia diretamente o quantitativo de pessoal prprio de TI a ser alocado na instituio. Por um lado, a contratao de

fornecedores externos para prestarem servios que so de competncia do setor de TI pode implicar

na reduo da necessidade de pessoal do quadro efetivo da organizao. Por outro, pode demandar o

aumento de pessoal com competncias gerenciais para realizar o planejamento e a gesto dos

contratos celebrados com empresas fornecedoras de solues de TI.

68. Nesse contexto, surge a necessidade de realizao de estudos peridicos que tenham por objetivo levantar o quantitativo de pessoal prprio de TI adequado para atender s demandas

institucionais, de acordo com a estratgia definida. A importncia desses estudos no mbito da APF

tem sido enfatizada pelo TCU ao longo dos ltimos anos. Com efeito, esta Corte de Contas tem

emitido recomendaes endereadas aos OGS no sentido de que orientem aos seus jurisdicionados a

realizarem avaliaes sobre a situao de pessoal de TI da respectiva organizao, tanto do ponto de

vista quantitativo quanto de qualificao dos seus profissionais (Acrdo 1.233/2012-TCU-Plenrio,

item 9.2.2xiii). Os resultados dessas avaliaes devem subsidiar a alocao de pessoal de TI em

quantitativo suficiente e dotado de habilidades e competncias necessrias para que a TI seja capaz

de entregar valor instituio, conforme se depreende da leitura do item 9.1.2 do Acrdo

1.603/2008-TCU-Plenrio, transcrito a seguir:

9.1. recomendar ao Conselho Nacional de Justia - CNJ e ao Conselho Nacional do Ministrio Pblico

- CNMP que, nos rgos integrantes da estrutura do Poder Judicirio Federal e do Ministrio Pblico da

Unio, respectivamente:

(...)




13

9.1.2. atentem para a necessidade de dotar a estrutura de pessoal de TI do quantitativo de servidores

efetivos necessrio ao pleno desempenho das atribuies do setor, garantindo, outrossim, sua

capacitao, como forma de evitar o risco de perda de conhecimento organizacional, pela atuao

excessiva de colaboradores externos no comprometidos com a instituio;

69. Ante o exposto, conclui-se que, tanto o Cobit 5 quanto o TCU ressaltam que pessoas adequadamente qualificadas so essenciais para a viabilizao da governana de TI no mbito da

APF.

70. Chega-se, portanto, ao seguinte entendimento:

Entendimento VI. Convm alocar recursos humanos prprios em nmero suficiente para executar as funes relacionadas TI, de acordo com a estratgia definida pela organizao com respaldo em

avaliaes objetivas dos quantitativos necessrios, buscando e desenvolvendo as habilidades e

competncias essenciais ao exerccio de suas atribuies.

V.3 Do Sistema de Governana de TI

71. A definio em mbito institucional de viabilizadores de governana de TI, tais como polticas, processos e estruturas organizacionais, importante para que a instituio tenha condies

mnimas de governar a TI da organizao. No entanto, nem sempre os mecanismos estabelecidos so

efetivos.

72. Por meio de auditorias de governana de TI realizadas pela Sefti em rgos e entidades da APF, foram identificadas situaes em que a instituio formalizava um conjunto de mecanismos,

porm no os colocava plenamente em prtica. Como exemplo, pode-se citar a existncia de planos

de TI em que o alcance dos objetivos e metas no periodicamente acompanhado pela alta

administrao da organizao pblica, bem como a formalizao de polticas que envolvem recursos

de TI, tais como a Poltica de Segurana da Informao (PSI) e a Poltica de Controle de Acesso

(PCA), que no so cumpridas pelos colaboradores da instituio, tampouco so monitoradas pela

alta administrao.

73. Dessa forma, entende-se que, a definio de mecanismos de governana de TI em mbito institucional, por si s, no assegura que eles estejam sendo teis para que os recursos investidos em

TI sejam utilizados de acordo com as prioridades do negcio e das demais partes interessadas. Ao

contrrio, pode constituir mero desperdcio de recursos, tempo e energia. Faz-se necessria, portanto,

a utilizao de uma abordagem que seja capaz de promover uma mudana na forma de se dirigir a TI

para a entrega de valor, aprimorando, assim, a percepo sobre o papel e a relevncia da TI para a

organizao, sobretudo no que diz respeito aos membros da alta administrao e aos gestores das

unidades de negcio das organizaes pblicas federais.

74. Uma possvel abordagem nesse sentido consiste na implantao de um sistema de governana, que o modo como os diversos atores se organizam, interagem e procedem para obter

boa governana e compreende as instncias internas e externas de governana, fluxo de informaes,

processos de trabalho e atividades relacionadas avaliao, direcionamento e monitoramento (Brasil,

2014b, p. 12).

75. No contexto desta nota tcnica, sistema de governana de TI (SGTI) compreendido como o conjunto dos viabilizadores e seus relacionamentos, que interagem com objetivo de entregar

benefcios para a organizao com recursos otimizados e riscos gerenciados. Dessa forma, o SGTI

compreende as polticas, as prticas, os processos, as estruturas organizacionais, entre outros

mecanismos. A implantao desse sistema de forma estruturada pressupe a definio de papis e

responsabilidades pelo uso e pela gesto dos recursos de TI em todos os nveis da organizao, desde

a alta administrao at o pessoal responsvel pelas atividades operacionais de TI.




14

76. Para que o sistema possa operar adequadamente, de forma a possibilitar que as instituies pblicas federais detenham governana sobre a TI, recomendvel que os viabilizadores

e o prprio SGTI sejam formalmente institudos, a fim de que sejam conhecidos e aplicados por toda

a organizao. Considerando que as polticas so instrues claras para transmitir o comportamento

esperado e que, no mbito da APF, so materializadas por documento formal de observncia

obrigatria por toda a instituio, convm que o SGTI e seus viabilizadores sejam formalmente

institudos por meio de uma poltica emitida pela alta administrao, possivelmente pela prpria

PGTI, j tratada anteriormente nesta nota tcnica (pargrafos 23 e 27).

77. Com o objetivo de obter referncias para a implantao do seu SGTI, as organizaes pblicas federais podem recorrer ao processo EDM01 Ensure Governance Framework Setting and

Maintenance (Garantir a definio e manuteno do framework de governana traduo livre) do

Cobit 5 (ISACA, 2012b, p. 31). Esse processo dividido em prticas de governana voltadas para a

avaliao, para a direo e para o monitoramento desse sistema (EDM 01.01, EDM 01.02 e

EDM 01.03), seguindo o ciclo avaliar-dirigir-monitorar preconizado na ABNT NBR ISO/IEC

38500.

78. Cabe destacar que a forma de organizao do SGTI em cada rgo e entidade pblica depende de diversos fatores, tais como necessidades e riscos de negcio, marco regulatrio aplicvel,

recursos disponveis etc. Sendo assim, de se esperar, por exemplo, que o SGTI concebido em uma

grande instituio financeira estatal que dispe de algumas centenas de milhes de reais para

investimento e sustentao da TI seja mais complexo e requeira a implantao de mais mecanismos

de governana de TI do que aqueles necessrios em uma fundao de apoio, que, via de regra, dispe

de menos recursos e necessidades em TI, dada a natureza das suas atividades.

79. Ante o exposto, chega-se ao seguinte entendimento:

Entendimento VII. Convm definir o Sistema de Governana de TI da organizao, que seja formalmente institudo por meio da Poltica de Governana de TI e composto pelo conjunto de

viabilizadores necessrios para avaliar, dirigir e monitorar a gesto e o uso da TI, a exemplo do

definido na ABNT NBR ISO/IEC 38500 e no Cobit 5, de forma a proporcionar o aprimoramento

contnuo e gradual da governana de TI na instituio, considerando seu contexto especfico.

V.4 Do aprimoramento contnuo da governana de TI

80. No mbito da APF, esperado que as necessidades das partes interessadas mudem ao longo do tempo. A alternncia frequente dos administradores responsveis pelas instituies pblicas

implica, muitas vezes, em redefinio das prioridades de negcio e, por consequncia, dos objetivos

de TI. Alm disso, novas leis e regulamentos so produzidos com frequncia pelas instncias

normatizadoras, alterando ou criando necessidades de negcio que devem ser adequadamente

consideradas pelas organizaes pblicas federais. Esse ambiente de mudanas exige que as

organizaes da APF tenham condies de direcionar adequadamente a gesto e o uso da TI de forma

a atender tempestivamente s demandas que surgem.

81. Nessa esteira, haver necessidade de alterao dos mecanismos de governana de TI com o passar do tempo. Os diversos componentes do sistema, tais como polticas, processos, estruturas

organizacionais, recursos alocados, habilidades e competncias eventualmente precisam ser

redefinidos e modificados de acordo com o novo contexto. Em outras palavras, os mecanismos de

governana de TI de uma instituio pblica federal, que compem o SGTI da organizao, devem

ser constantemente reavaliados e aprimorados para que a TI continue sendo capaz de entregar valor.

82. Em particular, em instituies de menor maturidade em governana e gesto de TI, esperado que a necessidade de implementao de aprimoramentos no ambiente seja maior. Com

efeito, infere-se que a quantidade de mudanas em processos, prticas, polticas, bem como em outros




15

viabilizadores, tende a se reduzir ao longo do tempo conforme a instituio evolui, gerando maior

estabilidade nos mecanismos implantados e consumindo menos recursos para seu aprimoramento.

83. Dessa forma, com o propsito de garantir que o SGTI esteja em consonncia com os objetivos institucionais e em contnuo aperfeioamento, convm o estabelecimento de um processo

formal de aprimoramento contnuo da governana de TI, na organizao. Duas importantes

referncias para um processo dessa natureza so os processos EDM01, j citado, e o APO01

(Gerenciar o Framework de Gerenciamento de TI, traduo livre) do Cobit 5.

84. No se pretende, no mbito desta nota tcnica, definir um formato especfico para esse processo com os respectivos insumos, sadas, papis e atividades. No entanto, sero feitas

consideraes sobre as principais etapas que um processo dessa natureza deve contemplar. Tendo por

base boas prticas administrativas como o ciclo Plan-Do-Check-Act (PDCA), os sistemas de gesto

definidos nas normas ISO e o ciclo de implementao do Cobit 5 (ISACA, 2012c, p. 36-38), entende-

se que o processo deve contemplar pelo menos as seguintes etapas:

a) diagnstico: avaliao da situao atual da governana de TI;

b) planejamento: definio do estado almejado e planejamento das mudanas necessrias;

c) execuo: implementao das mudanas e dos aprimoramentos;

d) operao e medio: operao do sistema com os aprimoramentos incorporados, medio da sua eficincia e eficcia;

e) avaliao: verificao do sucesso do plano/ciclo, promovendo a melhoria contnua por meio de um novo ciclo.

85. A figura a seguir apresenta o processo de aprimoramento contnuo da governana de TI no contexto do SGTI:

Figura 2: Amadurecimento contnuo da governana de TI.




16

86. A primeira etapa do referido processo consiste na realizao de um diagnstico da situao de governana de TI na organizao. Nessa etapa, convm que sejam realizadas pelo menos

as seguintes atividades:

86.1. Avaliao do ambiente de governana e de gesto de TI da organizao: essa atividade permite analisar o ambiente corporativo no contexto da governana de TI. Convm identificar e

avaliar:

a) as partes interessadas e estruturas organizacionais que influenciam ou so afetadas pelo uso e pela gesto da TI na organizao (ex.: alta administrao, gestores de negcio, rgos de

controle, fornecedores de servios de TI etc.), bem como quais das suas necessidades;

b) as leis e regulamentos que afetam a forma de atuao da TI na instituio e para os quais a conformidade deve ser garantida;

c) os processos e prticas de TI atualmente implantados;

d) os riscos decorrentes da baixa maturidade em governana de TI, tais como a falta de alinhamento entre TI e o negcio, a realizao de investimentos em TI que no geram o benefcio

esperado, a desconformidade com o marco regulatrio aplicvel, entre outros;

e) as situaes que esto causando transtornos organizao e podem decorrer de falhas na governana de TI, tais como: incidentes significativos de TI que podem gerar riscos ao negcio; falhas

de projetos; insatisfao com servios fornecidos; problemas com a entrega de servios contratados;

pessoal com competncias inadequadas e falta de patrocinadores de negcio comprometidos e

satisfeitos com a TI.

86.2. Avaliao do compromisso da alta administrao com a governana de TI: essa atividade visa a verificar se a alta administrao da instituio est efetivamente engajada com a governana

de TI. Convm realizar as seguintes tarefas:

a) identificar as polticas corporativas que contm princpios e diretrizes relacionados governana de TI;

b) verificar o estabelecimento dos papis e das responsabilidades ligadas governana de TI, bem como a alocao de recursos (humanos e financeiros) para o funcionamento do sistema;

c) avaliar o grau de monitoramento do SGTI pela alta administrao.

87. A segunda etapa do processo consiste no planejamento das aes necessrias para que a organizao seja capaz de aprimorar a sua capacidade de governar a TI de forma a entregar valor,

considerando o resultado do diagnstico obtido na etapa anterior. Nesse sentido, convm definir:

a) os objetivos, os indicadores e as metas de governana de TI. Devem ser aderentes aos princpios e diretrizes estabelecidos na PGTI, bem como estar alinhados estratgia da organizao

e considerar os riscos que podem afetar negativamente a governana de TI;

b) as habilidades e competncias que devem ser adquiridas para que os objetivos e metas de governana de TI sejam atingidos;

c) as aes (atividades, projetos e contrataes) para alcanar os objetivos e metas de governana de TI, os recursos necessrios (humanos e financeiros), os responsveis pela execuo

das aes contidas no plano, o prazo para alcance dos objetivos e metas de governana de TI e de que

forma os resultados alcanados sero avaliados, priorizando-se a implementao de solues que

sejam mais rpidas de se implementar (quick wins traduo livre) e que podem gerar maior benefcio

para a organizao.




17

88. Cabe registrar que o TCU, por meio do Acrdo 2.585/2012-TCU-Plenrio, recomendou aos OGS que orientassem as instituies sob suas respectivas jurisdies para que definissem e

formalizassem metas de governana baseadas em parmetros de governana, necessidades de negcio

e riscos relevantes como parte do plano diretor de tecnologia da informao (PDTI) da instituioxiv.

Nesse sentido, possvel que o planejamento da governana de TI seja integrado ao prprio

planejamento da tecnologia da informao.

89. A terceira etapa do processo consiste na execuo do plano propriamente dito, na qual sero executadas as aes definidas durante a etapa de planejamento para aprimorar o SGTI, de forma

a alcanar os objetivos e metas de governana de TI previamente estabelecidos. Em sntese, nessa

etapa sero estabelecidas as polticas que dispem sobre a governana de TI na instituio e

direcionam a atuao da gesto. Tambm sero implantados os processos e criadas as estruturas

organizacionais, bem como sero executadas as aes de capacitao do pessoal nas competncias e

habilidades de TI consideradas como necessrias para apoiar o alcance dos objetivos organizacionais.

Nessa etapa, tambm so colocadas em prtica aes de sensibilizao do pessoal quanto ao

comportamento esperado pela instituio.

90. Aps a execuo do plano, tem-se a etapa de operao e medio do SGTI. Nesta etapa, os viabilizadores criados e implantados operam em prol da governana da TI na instituio, isto , as

estruturas organizacionais tomam decises sobre assuntos ligados governana e gesto de TI, os

processos que foram implantados so executados e produzem resultados, as pessoas usam as

competncias e habilidades adquiridas para exercerem adequadamente as suas atribuies observando

os princpios contidos nas polticas e adotando o comportamento esperado pela instituio. Ao mesmo

tempo, a operao do SGTI constantemente monitorada pela instncia responsvel e os resultados

desse acompanhamento so comunicados alta administrao.

91. Por fim, executa-se a avaliao do desempenho do SGTI com base na medio realizada na etapa anterior. Espera-se que o responsvel por essa avaliao, que pode ser uma unidade

organizacional com atribuies ligadas implantao e aprimoramento da governana de TI ou o

prprio comit de TI, verifique o grau de alcance dos objetivos e das metas de governana de TI

previamente estabelecidas, identificando, tambm, as causas que eventualmente levaram a eventuais

descumprimentos. Ademais, so identificadas e documentadas as aes necessrias para correo de

desvios ocorridos no ciclo anterior, de forma a possibilitar as mudanas necessrias para que o SGTI

continue a cumprir com o seu objetivo, bem como apoiar a etapa de diagnstico do ciclo seguinte.

92. Ante o exposto, chega-se ao seguinte entendimento:

Entendimento VIII. Convm estabelecer um processo formal de aprimoramento contnuo da governana de TI na organizao, contemplando as responsabilidades das partes envolvidas e, no

mnimo, as seguintes etapas: diagnstico (avaliao da situao atual da governana de TI);

planejamento (definio do estado almejado e planejamento das mudanas necessrias); execuo

(implementao das mudanas e dos aprimoramentos); operao e medio (operao do sistema com

os aprimoramentos incorporados, medio da sua eficincia e eficcia); e avaliao (verificao do

sucesso do plano/ciclo, promovendo a melhoria contnua por meio de um novo ciclo).

(assinado eletronicamente)

Rafael Albuquerque da Silva AUFC Matrcula TCU 7658-9




18

De acordo.


Mrcio Rodrigo Braz Supervisor

De acordo.


Daniel Jezini Netto

Secretrio de Fiscalizao de Tecnologia da Informao




19

VI REFERNCIAS

ASSOCIAO BRASILEIRA DE NORMAS TCNICAS - ABNT. ABNT NBR ISO/IEC 38500:2009 Governana

corporativa de tecnologia da informao. Objetivo: Fornecer uma estrutura de princpios para os dirigentes usarem na

avaliao, gerenciamento e monitoramento do uso da tecnologia da informao em suas organizaes. 2009.

AUSTRLIA. Australian Public Service Commission. Building Better Governance. 2007. Disponvel em:

. Acesso em: 1 set. 2014.

BRASIL. Constituio da Repblica Federativa do Brasil, de 5 de outubro de 1988. 1988. Disponvel em:


_____. Tribunal de Contas da Unio TCU. Levantamento do referencial estratgico da Secretaria de Fiscalizao

de Tecnologia da Informao (Sefti). 2008a. Disponvel em:


_____._____. Acrdo 1.603/2008-TCU-Plenrio. 2008b. Disponvel em:

. Acesso

em: 4 set. 2014.

_____._____. Acrdo 2.471/2008-TCU-Plenrio. 2008. Disponvel em:

.

Acesso em 4 set. 2014.


. Acesso em

4 set. 2014.

_____._____. Plano Estratgico 2011-2015. 2011. Disponvel em :

. Acesso em 10 set.

2014.


. Acesso em 4 set. 2014.



_____._____. Questionrio de Governana de TI 2014. 2014a. Disponvel em:

. Acesso em: 1 ago. 2014.

_____._____. 10 passos para a boa governana. 2014b. Disponvel em:


_____._____. Acrdo 1.200/2014-TCU-Plenrio. 2014c. Disponvel em:


_____. Secretaria de Logstica e Tecnologia da Informao do Ministrio do Planejamento Oramento e Gesto

SLTI/MP. Guia de Comit de TI do Sisp: verso 2.0. 2013. Disponvel em:

. Acesso em: 13 ago. 2014.

ISACA. Cobit 5 A Business Framework for the Governance and Management of Enterprise IT. 2012a.

_____. Cobit 5 Enabling Processes. 2012b.

_____. Cobit 5 Implementation. 2012c.

ITGI. Board Briefing on IT Governance, 2nd Edition. Rolling Meadows, IL (EUA): IT Governance Institute, 2003.

ISBN 1-893209-64-4. Disponivel em: . Acesso em: 24 set.

2014.

http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/governanca/10%20passos%20para%20a%20boa%20governan%C3%A7a.pdfhttp://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/governanca/10%20passos%20para%20a%20boa%20governan%C3%A7a.pdfhttp://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Board-Briefing-on-IT-Governance-2nd-Edition.aspxhttp://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Board-Briefing-on-IT-Governance-2nd-Edition.aspx




20

APNDICE I

HISTRICO DE REVISES

Data Documento/Evento Verso

12/9/2014 Publicao para consulta interna por servidores do TCU. 2.4

24/9/2014 Incluso de sugestes formuladas por servidores da Sefti e da

Assig. 2.6

30/9/2014 Incluso de novas sugestes formuladas por servidores da Sefti.

Verso encaminhada para o Gabinete do Relator da FOC de

resultados e riscos de TI (TC 023.050.2013-6)

2.8




21

APNDICE II

Excertos da legislao e da jurisprudncia do TCU

i

Acrdo 1.603/2008-TCU-Plenrio

9.1. recomendar ao Conselho Nacional de Justia - CNJ e ao Conselho Nacional do Ministrio Pblico

- CNMP que, nos rgos integrantes da estrutura do Poder Judicirio Federal e do Ministrio Pblico da

Unio, respectivamente:

9.1.1. promovam aes com o objetivo de disseminar a importncia do planejamento estratgico,

procedendo, inclusive mediante orientao normativa, aes voltadas implantao e/ou

aperfeioamento de planejamento estratgico institucional, planejamento estratgico de TI e comit

diretivo de TI, com vistas a propiciar a alocao dos recursos pblicos conforme as necessidades e

prioridades da organizao;

9.1.2. atentem para a necessidade de dotar a estrutura de pessoal de TI do quantitativo de servidores




9.1.3. orientem sobre a importncia do gerenciamento da segurana da informao, promovendo,

inclusive mediante normatizao, aes que visem estabelecer e/ou aperfeioar a gesto da continuidade

do negcio, a gesto de mudanas, a gesto de capacidade, a classificao da informao, a gerncia de

incidentes, a anlise de riscos de TI, a rea especfica para gerenciamento da segurana da informao,

a poltica de segurana da informao e os procedimentos de controle de acesso;

9.1.4. estimulem a adoo de metodologia de desenvolvimento de sistemas, procurando assegurar, nesse

sentido, nveis razoveis de padronizao e bom grau de confiabilidade e segurana;

9.1.5. promovam aes voltadas implantao e/ou aperfeioamento de gesto de nveis de servio de

TI, de forma a garantir a qualidade dos servios prestados internamente, bem como a adequao dos

servios contratados externamente s necessidades da organizao;

9.1.6. envidem esforos visando implementao de processo de trabalho formalizado de contratao

de bens e servios de TI, bem como de gesto de contratos de TI, buscando a uniformizao de

procedimentos nos moldes recomendados no item 9.4 do Acrdo 786/2006-TCU-Plenrio;

9.1.7. adotem providncias com vistas a garantir que as propostas oramentrias para a rea de TI sejam

elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos do

negcio;

9.1.8. introduzam prticas voltadas realizao de Auditorias de TI, que permitam a avaliao regular

da conformidade, da qualidade, da eficcia e da efetividade dos servios prestados;

9.2. recomendar ao Gabinete de Segurana Institucional da Presidncia da Repblica - GSI/PR que

oriente os rgos/entidades da Administrao Pblica Federal sobre a importncia do gerenciamento da

segurana da informao, promovendo, inclusive mediante orientao normativa, aes que visem

estabelecer e/ou aperfeioar a gesto da continuidade do negcio, a gesto de mudanas, a gesto de

capacidade, a classificao da informao, a gerncia de incidentes, a anlise de riscos de TI, a rea

especfica para gerenciamento da segurana da informao, a poltica de segurana da informao e os

procedimentos de controle de acesso;

[...]

9.4. recomendar ao Ministrio do Planejamento, Oramento e Gesto - MPOG que, nos rgos/entidades

da Administrao Pblica Federal:

9.4.1. promova aes com o objetivo de disseminar a importncia do planejamento estratgico,

procedendo, inclusive mediante orientao normativa, execuo de aes voltadas implantao e/ou

http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/20060802/TC-020-513-2005-4.doc




22

aperfeioamento de planejamento estratgico institucional, planejamento estratgico de TI e comit

diretivo de TI, com vistas a propiciar a alocao dos recursos pblicos conforme as necessidades e

prioridades da organizao;

9.4.2. atente para a necessidade de dotar a estrutura de pessoal de TI do quantitativo de servidores




9.4.3. estimule a adoo de metodologia de desenvolvimento de sistemas, procurando assegurar, nesse

sentido, nveis razoveis de padronizao e bom grau de confiabilidade e segurana;

9.4.4. promova aes voltadas implantao e/ou aperfeioamento de gesto de nveis de servio de TI,

de forma a garantir a qualidade dos servios prestados internamente, bem como a adequao dos servios

contratados externamente s necessidades da organizao;

9.4.5. adote providncias com vistas a garantir que as propostas oramentrias para a rea de TI sejam

elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos de

negcio;

ii


9.4. recomendar, com fulcro no art. 43, I, da Lei n 8.443/1992, Secretaria-Executiva do Ministrio do

Planejamento, Oramento e Gesto que:

[...]

9.4.4. elabore um modelo de governana de TI para os entes integrantes do Sisp a partir das boas prticas

existentes sobre o tema (Cobit, Itil, NBR ISO/IEC 27002) e promova sua implementao nos diversos

rgos e entidades sob sua coordenao, mediante orientao normativa. Referida orientao deve

conter, no mnimo: o conjunto de processos que devem ser considerados de alta importncia; o processo

de trabalho utilizado para identificar quais processos de TI devem ter sua implementao priorizada; um

guia para implantao dos processos de TI e os nveis de maturidade mnima para os processos

implementados;

9.4.5. adote as medidas necessrias para prover os setores de informtica dos rgos e entidades da

Administrao Pblica Federal da estrutura organizacional e de quadro permanente de pessoal que sejam

suficientes para realizar, de forma independente das empresas prestadoras de servios, o planejamento,

a definio, a coordenao, a superviso e o controle das atividades de informtica, com a finalidade de

garantir a autoridade e o controle da Administrao sobre o funcionamento daqueles setores. Deve ser

avaliada a convenincia e a oportunidade da criao de carreira especfica, semelhante ao ocorrido com

as carreiras de Especialista em Meio Ambiente e a de Analista de Infra-Estrutura;

[...]

9.4.7. em ateno ao Princpio constitucional da Eficincia e s disposies contidas no Decreto-Lei n

200/1967, art. 6, I, implante no Ministrio um processo de planejamento institucional que organize as

estratgias, as aes, os prazos e os recursos financeiros, humanos e materiais, alm de definir os

resultados a alcanar, a fim de minimizar a possibilidade de desperdcio de recursos pblicos e de

prejuzo ao cumprimento dos objetivos institucionais do Ministrio, em especial s funes decorrentes

de ser o rgo central do Sisg e do Sisp. Devem ser observadas as prticas contidas no critrio 2 -

Estratgias e Planos do Programa Nacional de Gesto Pblica e Desburocratizao (Gespblica);

iii


9.1. recomendar ao Conselho Nacional de Justia - CNJ, ao Departamento de Coordenao e Controle

das Empresas Estatais - Dest, Secretaria de Logstica e Tecnologia da Informao do Ministrio do

Planejamento, Oramento e Gesto - SLTI/MPOG, ao Conselho Nacional do Ministrio Pblico -

CNMP, Secretaria Geral da Presidncia do Tribunal de Contas da Unio - Segepres/TCU, Diretoria




23

Geral da Cmara dos Deputados e Diretoria Geral do Senado Federal que, no mbito de suas

respectivas reas de atuao:

9.1.1. orientem as unidades sob sua jurisdio, superviso ou estrutura acerca da necessidade de

estabelecer formalmente: (i) objetivos institucionais de TI alinhados s estratgias de negcio; (ii)

indicadores para cada objetivo definido, preferencialmente em termos de benefcios para o negcio da

instituio; (iii) metas para cada indicador definido; (iv) mecanismos para que a alta administrao

acompanhe o desempenho da TI da instituio;

9.1.2. normatizem a obrigatoriedade de a alta administrao de cada instituio sob sua jurisdio,

superviso ou estrutura estabelecer os itens acima;

iv


9.1. recomendar ao Conselho Nacional de Justia, Conselho Nacional do Ministrio Pblico, Secretaria

de Logstica e Tecnologia da Informao e Comisso Interministerial de Governana Corporativa e de

Administrao de Participaes Societrias da Unio, com fundamento na Lei n 8.443/92, art. 43, inciso

I, c/c Regimento Interno do TCU, art. 250, inciso III, que:

9.1.1. orientem as instituies sob sua jurisdio para que:

9.1.1.1. em ateno ao art. 6 da Lei n 12.527/2011 e aos princpios da transparncia e da prestao de

contas, implementem instrumentos de planejamento estratgico institucional e de tecnologia da

informao, dando-lhes ampla divulgao, com exceo das informaes classificadas como no

pblicas, nos termos da lei;

9.1.1.2. identifiquem os processos crticos de negcio e designem formalmente os gestores responsveis

pelos sistemas de informao que do suporte a esses processos, semelhana das orientaes da ABNT

NBR ISO/IEC 38500;

9.1.1.3. definam e formalizem metas de governana, como parte do plano diretor de tecnologia da

informao da instituio, baseadas em parmetros de governana, necessidades de negcio e riscos

relevantes, atentando para as metas legais de cumprimento obrigatrio e as orientaes da ABNT NBR

ISO/IEC 31000;

[...]

9.3. recomendar Secretaria de Logstica e Tecnologia da Informao, do Ministrio do Planejamento,

Oramento e Gesto (MP), com fundamento na Lei n 11.907/2009, arts. 81 e 287, e no princpio do

comportamento humano, previsto na ABNT NBR ISO/IEC 38500, que, em conjunto com a Secretaria

de Gesto Pblica/MP, elabore plano de gesto de recursos humanos para o Sistema de Administrao

dos Recursos de Informao e Informtica;

v

Acrdo 2.585/2012-TCU-Plenrio (Voto Condutor)

Governana de tecnologia da informao faz parte da governana corporativa e consiste no

estabelecimento de mecanismos para assegurar que o uso da tecnologia da informao (TI) agregue

valor ao negcio, com riscos aceitveis.

vi

Constituio Federal da Repblica

Art. 37. A administrao pblica direta e indireta de qualquer dos Poderes da Unio, dos Estados, do

Distrito Federal e dos Municpios obedecer aos princpios de legalidade, impessoalidade, moralidade,

publicidade e eficincia e, tambm, ao seguinte:

vii

Decreto-Lei 200/1967

Art. 6 As atividades da Administrao Federal obedecero aos seguintes princpios fundamentais:




24

I Planejamento.

II Coordenao.

III Descentralizao.

IV Delegao de Competncia.

V Contrle.

viii


9.2. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III,

Secretaria de Logstica e Tecnologia da Informao (SLTI/MP) que:

9.2.1. normatize a obrigatoriedade de que os entes sob sua jurisdio estabeleam comits de TI,

observando as boas prticas sobre o tema, a exemplo do Cobit 4.1, PO4.2 - comit estratgico de TI e

PO4.3 - comit diretor de TI (subitem II.3);

[...]


Comisso Interministerial de Governana Corporativa e de Administrao de Participaes Societrias

da Unio (CGPAR) que:

9.11.1. normatize a obrigatoriedade de que os entes sob sua jurisdio estabeleam comits de TI,

observando as boas prticas sobre o tema, a exemplo do Cobit 4.1, PO4.2 - comit estratgico de TI e

PO4.3 - comit diretor de TI (subitem II.3);

ix

Voto condutor do Acrdo 1.200/2014-TCU-Plenrio

5. Como resultado do levantamento, constatou-se que a estrutura de recursos humanos de TI da

APF, de forma geral, apresenta problemas, notadamente quanto falta de cargos e carreiras especficas;

carncia de pessoal especializado para gesto de TI; ocupao de cargos de gesto por pessoas

estranhas ao quadro, como requisitados, temporrios e at mesmo terceirizados; ausncia de

planejamento para preenchimento contnuo de vagas de TI; dificuldade de reteno de pessoal

especializado; poltica de qualificao executada sem o devido planejamento e, em alguns casos,

atuao tmida dos OGSs na identificao e soluo dos problemas. x


9.9. Recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III,

ao Comit Gestor da Poltica Nacional de Desenvolvimento de Pessoal que, em ateno ao Decreto

5.707/2006, art. 7, II e IV:

[...]

9.9.2. estabelea, aps consulta Secretaria de Logstica e Tecnologia da Informao, um programa de

capacitao em governana e em gesto de tecnologia da informao (subitem II.9).

[...]

9.13. Recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III,

ao Conselho Nacional da Justia (CNJ) que:

[...]

9.13.11. estabelea um programa de capacitao em governana e em gesto de tecnologia da

informao (subitem II.9);

[...]


ao Conselho Nacional do Ministrio Pblico (CNMP) que:




25

[...]

9.15.15. estabelea um programa de capacitao em governana e em gesto de tecnologia da

informao (subitem II.9); xi


9.1. recomendar ao Conselho Nacional de Justia, Conselho Nacional do Ministrio Pblico, Secretaria

de Logstica e Tecnologia da Informao e Comisso Interministerial de Governana Corporativa e de

Administrao de Participaes Societrias da Unio, com fundamento na Lei n 8.443/92, art. 43, inciso

I, c/c Regimento Interno do TCU, art. 250, inciso III, que:

[...]

9.1.2. se articulem com a Escola Nacional de Administrao Pblica e outras escolas de governo para

ampliar a oferta de aes de capacitao em planejamento e gesto de contratos de tecnologia da

informao para as instituies sob sua jurisdio; xii


9.1. informar aos rgos governantes superiores, ou seja, ao Ministrio do Planejamento, Oramento e

Gesto (MPOG), ao Departamento de Coordenao e Governana das Empresas Estatais (Dest), ao

Conselho Nacional de Justia (CNJ) e ao Conselho Nacional do Ministrio Pblico (CNMP), bem como

aos rgos do Poder Legislativo, que as informaes apresentadas no presente relatrio de levantamento,

alm de outros trabalhos desenvolvidos por este Tribunal (e. g. Acrdos 786/2006, 2.471/2008,

2.585/2012, e 1.233/2012, todos do Plenrio), indicam a necessidade de reformulao da poltica de

pessoal de TI no que concerne :

[...]

9.1.4. permanente capacitao dos servidores, incluindo nessas aes o contedo multidisciplinar

necessrio ao exerccio das atribuies inerentes a essas funes, cujas competncias vo alm dos

conhecimentos de Tecnologia da Informao; xiii



Secretaria de Logstica e Tecnologia da Informao (SLTI/MP) que:

[...]

9.2.2. oriente os rgos e entidades sob sua jurisdio a realizar avaliao quantitativa e qualitativa do

pessoal do setor de TI, de forma a delimitar as necessidades de recursos humanos necessrias para que

estes setores realizem a gesto das atividades de TI da organizao (subitem II.3); xiv


9.1. recomendar ao Conselho Nacional de Justia, Conselho Nacional do Ministrio Pblico,

Secretaria de Logstica e Tecnologia da Informao e Comisso Interministerial de Governana

Corporativa e de Administrao de Participaes Societrias da Unio, com fundamento na Lei n

8.443/92, art. 43, inciso I, c/c Regimento Interno do TCU, art. 250, inciso III, que:

[...]

9.1.1.3. definam e formalizem metas de governana, como parte do plano diretor de tecnologia da

informao da instituio, baseadas em parmetros de governana, necessidades de negcio e riscos

relevantes, atentando para as metas legais de cumprimento obrigatrio e as orientaes da ABNT NBR

ISO/IEC 31000;

governança de ti na apf pelo tcu

Documents