o papel da alta administração na governança de ti

Ciclo de palestras 2011:Tecnologia da Informação – Controle Externo em ação

Brasília, 04 de agosto de 2011

Ministro-Substituto Augusto Sherman

O Papel da Alta Administração na Governança de TI

Agenda

Consequências da falta de governança de TI

Governança de TI: como começar?

2

Governança, Gestão e Auditoria Interna

Quanto a Administração Pública Federal (e o cidadão) dependem de TI hoje?

O que ocorreria se falhassem, por exemplo, os sistemas que controlam ... ... o recebimento do IRPF? ... o pagamento do Bolsa Família? ... o pagamento de aposentadorias? ... os processos judiciais? ... as sessões do Congresso Nacional? ... as publicações da Imprensa Nacional?

3

Deveríamos cuidar melhor da tecnologia da informação na

Administração Pública Federal?

E quando não cuidamos...

4

O que pode ocorrer com os 97% que NÃO possuem plano de continuidade de negócio em vigor?

Acórdão 172/2008-2ª Câmara

e

Acórdão 1.330/2008-Plenário

5

Acórdãos 172/2008-2ªC e 1330/2008-P

Situação:

• Ausência de Plano de Continuidade do Negócio• Falta/deficiência de recursos ou planos de

contingência

6

Acórdãos 172/2008-2ªC e 1330/2008-P

Consequência:• Desconhecimento de ameaças e seus impactos• Falha nos equipamentos de processamento

centralizado provocou (Ac. 172/08):• Paralisação do Banco (inst. financeira) por mais de 20h• Danos à imagem• Prejuízos financeiros

• Vírus gerou paralisação da rede por mais de duas semanas (Ac. 1330/08)

7

O que pode ocorrer com os 53% que NÃO têm processo de software ao menos gerenciado

(nível 2 da NBR 15.504)?

TC-031.963/2008-0

8

TC 031.963/2008-0

Situação:• Edital e projeto básico não possuíam indicadores

de qualidade e desempenho (níveis de serviço ou parâmetros de performance)

• Processo de homologação do produto sem viés técnico e sem verificar a solução de TI em sua integralidade

• Homologação focada só na usabilidade (ponto de vista do usuário)• Homologação focada no aceite de casos de uso individual

(ausência de testes integrais)

9

TC 031.963/2008-0

Consequência:

• Dificuldade na identificação antecipada de inconsistências e problemas de funcionamento e performance para a solução integrada

• Dificuldade do ente público em atuar corretivamente junto à contratada

• Impossibilitando a correção dos problemas de funcionamento

10

TC 031.963/2008-0

Consequência:• Produto apresentou problemas de 2004 a 2007

(momento da entrega da solução completa)• Procedimento de homologação não garantiu a

qualidade do produto e não logrou exigir correções pela contratada

• Não implantação do sistema, apesar de ter sido homologado e pago

11

O que pode ocorrer com os 63% que NÃO aprovam e publicam PDTI interna ou externamente?


12


Situação:

• Planejamento deficiente

Consequência:

• Desenvolvimento de sistema em 2000/2001, o qual é considerado relevante e passou pelos testes

• Ausência de infra-estrutura necessária à execução do sistema (infra-est. de rede/servidores/equipamentos)

• Sistema não implantado até 2005

13

O que pode ocorrer com os 65% que NÃO possuem política corporativa de

segurança da informação?

Acórdão 71/2007-Plenário

14


Situação:

• Sistema de âmbito nacional com informações confidenciais e relevantes dos cidadãos

• Minuta de Política de Segurança da Informação (PSI) desatualizada e não formalmente aprovada

• Política de Controle de Acesso deficiente

15


Consequência:

• Dificuldade na identificação de responsabilidades quanto aos assuntos de segurança da informação

• Grande vulnerabilidade do sistema• Vazamento e mau uso de informações privadas e

confidenciais dos cidadãos

16

Agenda



17


18

Governança corporativa

“O sistema [normas, diretrizes, políticas, processos, estruturas] pelo qual as organizações são dirigidas e controladas.”

(NBR 38.500, item 1.6.2)

19

Gerenciamento (gestão)

“O sistema de controles e processos necessário para alcançar os objetivos estratégicos estabelecidos pela direção da organização.

O gerenciamento está sujeito às diretrizes, às políticas e ao monitoramento estabelecidos pela governança corporativa.”

(NBR 38.500, item 1.6.9)

20

Governança corporativa de TI

“O sistema [normas, diretrizes, políticas, processos, estruturas] pelo qual o uso atual e futuro da TI é dirigido e controlado.”

(NBR 38.500, item 1.6.3)

Papel do gestor e da Alta Administração

“O gestor e a alta administração são responsáveis pelos processos de gestão de risco e controles da organização.”

(IIA, IPPF, 2120-1)

21

Papel da auditoria interna

“A auditoria auxilia a organização a alcançar seus objetivos por meio de uma abordagem sistemática e disciplinada para a avaliação e [indução da] melhoria da eficácia dos processos de gerenciamento de risco, controle e governança corporativa.”

(IIA, IPPF, Definição de Auditoria Interna)

22

Agenda



23


Papel da Alta AdministraçãoBaseado na NBR 38.500, governar a TI é ...

Responsabilidade

Estratégia

Aquisição

Desempenho

Conformidade

Comportamento Humano

Avaliar

Dirigir

Monitorar

24

A primeira pergunta:

Conheço a situação de GovTI da minha

organização?

25

Primeiro pensamento...

Preciso de um diagnóstico!

26

Um diagnóstico já existe ...

A Alta Administração da APF recebeu o resultado (inclusive comparativo)

contido no Acórdão 2.308/2010-TCU-Plenário.

27

A partir desse diagnóstico, o que a Alta Administração

já pode fazer?

Uma sugestão está presente noAcórdão 2.308/2010-TCU-Plenário

28

Acórdão 2.308/2010-TCU-Plenário

Orientar a alta administração a estabelecer formalmente: os objetivos institucionais de TI alinhados às

estratégias de negócio (dirigir) os indicadores para cada objetivo (dirigir) as metas para cada indicador (dirigir) os mecanismos que a alta administração adotará para

acompanhar o desempenho da TI da instituição (monitorar)

29

Passo 1: Aprovar um Plano Estratégico InstitucionalO que é?

Negócio, missão, visão, valores Objetivos, indicadores, metas do negócio Iniciativas estratégias Desdobramento Divulgação

Por quê? Princípio da eficiência (CF) Decreto-Lei 200/1967, art. 6º, inciso I Decreto 5.378/2005 (Programa Gespública) Resolução 70/2009-CNJ

30

Passo 1: Aprovar um Plano Estratégico Institucional

Como? Envolvendo as várias áreas de negócio da organização Observando as competências legais Observando as diretrizes de governo/OGS Documento formal aprovado pela mais alta autoridade

Onde obter ajuda: 79% dos pesquisados declararam que fazem (Acórdão

2.308/2010-TCU-Plenário)

Enap possui treinamento regular C3S (SISP)

31

Passo 2: Aprovar um Plano Estratégico de TI

O que é? Conteúdo semelhante ao PEI (objetivos, indicadores, metas da TI,

iniciativas estratégias, desdobramento, divulgação) e mais... Alocação de recursos (financeiros, humanos, materiais

etc) Estratégia de terceirização

Por quê? Princípio da eficiência (CF) Decreto-Lei 200/1967, art. 6º, inciso I IN 04/2010-SLTI, art. 4º Resolução 90/2009-CNJ, art. 11

32

Passo 2: Aprovar um Plano Estratégico de TI

Como? Alinhamento (TI ao negócio) Documento formal aprovado pela mais alta autoridade É da organização, e não da área de TI



Enap possui treinamento regular C3S (SISP)

33

Passo 3: Criar um comitê de TI

O que é? Instância (consultiva ou deliberativa) de apoio à alta

administração

Por quê? Princípio da eficiência (CF)

Cobit 4.1, PO4.2 - Comitê estratégico de TI Cobit 4.1, PO4.3 - Comitê diretor de TI

Resolução 7/2010-SISP (EGTI 2010-2011) Iniciativa Estratégica 12

Resolução 90/2009-CNJ, art. 12

34

Passo 3: Criar um comitê de TI

Como? Envolvendo as várias áreas do negócio e a TI Documento “Diretrizes do Sisp para criação de comitês

de TI” (www.sisp.gov.br)

Onde obter ajuda: 32% dos pesquisados declararam que têm (Acórdão


C3S (SISP)

35

Passo 4: Utilizar a auditoria interna (AI)

O que é? “A auditoria auxilia a organização a alcançar seus

objetivos por meio de uma abordagem sistemática e disciplinada para a avaliação e [indução da] melhoria da eficácia dos processos de gerenciamento de risco, controle e governança corporativa.” (Definição de AI, do IIA)

Por quê? Decreto 3.591/2001,art. 17 IN 63/2010-TCU, art.1º, inciso XI Boas práticas (IIA, IPPF)

36

Passo 4: Utilizar a auditoria interna (AI)

Como? Normas do IIA

Onde obter ajuda: 10% dos pesquisados declararam que fazem auditoria

de governança de TI (Acórdão 2.308/2010-TCU-Plenário)

Cursos do TCU/Sefti (IATI, Avaliação de Controles Gerais de TI etc)

37

Passo 5: Monitorar os resultados

O que é? Acompanhar os indicadores Analisar riscos (com base no impacto no negócio) Priorizar ações Acompanhar ações críticas

Por quê? Decreto-Lei 200/1967, art. 6º, inciso V Boas práticas (Cobit, domínio ME – Monitorar e avaliar)

38

Passo 5: Monitorar os resultados

Como? Utilizando as informações apresentadas pelo Comitê de

TI e pela Auditoria Interna Pressupostos:

Assegurar o bom funcionamento do Comitê de TI , não o deixando existir “só no papel”

Assegurar o bom funcionamento da Auditoria Interna



39

Passo inicial: Obter, capacitar e valorizar recursos humanos

40

Recursos humanos

“91.Todavia, deve-se ressaltar que esses resultados somente serão plenamente alcançados se os órgãos e entidades da Administração Pública estiverem preparados para executar as atividades estratégicas de planejar, definir, especificar, supervisionar e controlar a operação de seus setores de informática de maneira independente das empresas prestadoras de serviço.”

(excerto do voto condutor do Acórdão 786/2006-TCU-Plenário)

41

Como vimos, encontra-se dentro da própria APF boa parte das soluções para os problemas de governança

de TI!

42

Em resumo...

Passo inicial: Obter, capacitar e valorizar recursos humanos

Passo 1: Aprovar um Plano Estratégico InstitucionalPasso 2: Aprovar um Plano Estratégico de TIPasso 3: Criar um comitê de TIPasso 4: Utilizar a auditoria interna (AI)Passo 5: Monitorar os resultados

43

Governar a TI é ação da Alta Administração, e não da área de TI.

44

A alta administração governa a TI para ...

Apoiar o alcance dos resultados da organização, legitimando-a ante à sociedade

Identificar e mitigar os riscos, diminuindo, entre outros, o risco de exposição da imagem

Gerir os recursos públicos de forma responsável, corrigindo rumos quando necessário

Aproveitar as oportunidades que a TI proporciona para melhorar os serviços prestados à sociedade

45

... e para evitar que aconteça ...

46

Reportagemna TV

Ciclo de palestras 2011:Tecnologia da Informação – Controle Externo em ação

Brasília, 04 de agosto de 2011

Ministro-Substituto Augusto Sherman

O Papel da Alta Administração na Governança de TI

o papel da alta administração na governança de ti

Documents