relatório do levantamento governança de ti 2010

TRIBUNAL DE CONTAS DA UNIO Secretaria-Geral de Controle Externo - Segecex Secretaria de Fiscalizao de Tecnologia da Informao - Sefti

SEFTI Fls. 50

RELATRIO DE LEVANTAMENTOTC n 000.390/2010-0 Fiscalis n: 45/2010 Ministro Relator: Aroldo Cedraz DA FISCALIZAO Modalidade: Levantamento de auditoria. Ato originrio: Acrdo n 1.603/2008-TCU-Plenrio, item 9.9. Objeto da fiscalizao: Governana de tecnologia da informao na Administrao Pblica Federal (APF). Objetivo: Acompanhar e manter base de dados atualizada com a situao de governana de tecnologia da informao na APF. Ato de designao: Portaria n 117, de 1 de fevereiro de 2010 (fl. 12). Perodo abrangido pela fiscalizao: exerccio de 2010. Perodo de realizao da fiscalizao: planejamento de 1/2/2010 a 1/3/2010; execuo de 8/3/2010 a 4/6/2010 e relatrio de 7/6/2010 a 16/7/2010 Equipe na fase de planejamento Daniel Jezini Netto (coordenador) Cludio Silva da Cruz Carlos Renato Araujo Braga (supervisor) Equipe nas fases de execuo e relatrio Daniel Jezini Netto (coordenador) Cludio Silva da Cruz Gelson Heindrickson Carlos Renato Araujo Braga (supervisor) DAS INSTITUIES FISCALIZADAS rgos e entidades fiscalizados: 315 instituies da APF (Apndice IV e Apndice V). Vinculao: diversas unidades jurisdicionadas em todos os poderes Vinculao no TCU: diversas unidades. Responsveis: diversos. PROCESSOS CONEXOS TC n 008.380/2007-1 Trata do levantamento de governana de TI realizado em 2007 e da autorizao para realizao deste levantamento de auditoria (Acrdo n 1.603/2008-TCU-Plenrio). Processo de consolidao do TMS Gesto e Uso de TI, coordenado pela Sefti em 2010. Matrcula 4586-1 3164-0 5048-2 Matrcula 4586-1 3164-0 6502-1 5048-2 Lotao Sefti Sefti Sefti Lotao Sefti Sefti Setic Sefti

TC n 011.772/2010-7 -

SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

1


Sumrio

1

Introduo ..................................................................................................................................... 5 1.1 Governana: uma viso geral .............................................................................................. 5 1.2 Objetivo ............................................................................................................................... 6 1.3 Estratgia metodolgica e limitaes .................................................................................. 7 1.4 Volume de recursos fiscalizados ......................................................................................... 8 1.5 Benefcios estimados........................................................................................................... 8 2 Atualizao do perfil traado pelo Levantamento 2007 ............................................................... 8 2.1 Planejamento Estratgico Institucional e de TI................................................................. 10 2.2 Estrutura de Pessoal de TI ................................................................................................. 11 2.3 Segurana da informao .................................................................................................. 14 2.4 Desenvolvimento de Software .......................................................................................... 16 2.5 Gesto de nveis de servio ............................................................................................... 18 2.6 Processos de contratao e gesto de contratos de TI ....................................................... 19 2.7 Processo oramentrio de TI ............................................................................................. 22 2.8 Auditoria de TI .................................................................................................................. 23 3 Liderana .................................................................................................................................... 24 3.1 Governana de TI e a Alta Administrao ........................................................................ 24 3.2 Estrutura de Governana de TI ......................................................................................... 24 3.3 Desempenho institucional na gesto e no uso de TI ......................................................... 26 3.4 Gestores de tecnologia da informao .............................................................................. 28 3.5 Avaliao de Governana de TI ........................................................................................ 30 4 Concluses Finais ....................................................................................................................... 36 5 Proposta de encaminhamento ..................................................................................................... 38 Apndice I Critrios adotados como referncia de requisitos legais ou de boas prticas ........................ 42 Apndice II Quadros comparativos com dados de 2007 e de 2010 .......................................................... 48 Apndice III Tabelas com os resultados consolidados do levantamento 2010 ........................................ 50 Apndice IV Lista de instituies que responderam o questionrio at 16/07/2010 ................................ 81 Apndice V Lista de instituies que NO responderam at 16/07/2010 ............................................... 88 Apndice VI Instrumentos de apoio aos respondentes ............................................................................. 90 Apndice VII Tratamento e padronizao dos dados de 2010 ................................................................. 91 Apndice VIII Proposta de informativo ................................................................................................... 94 Apndice IX Questionrio do Levantamento 2010 .................................................................................. 95 Apndice X Glossrio ............................................................................................................................. 101


2


SEFTI Fls. 51

Resumo Em 2007, o primeiro levantamento de governana de TI, com 39 questes e a participao de 255 instituies respondentes, resultou no Acrdo n 1.603/2008-TCU-Plenrio. Nesse Acrdo, foi determinado Sefti a realizao de novos levantamentos, com o objetivo de acompanhar e manter base de dados atualizada com a situao de governana de tecnologia da informao (TI) na APF. Com esse propsito, foram coletadas informaes para elaborao do perfil da governana de TI na APF. Com esse conjunto de informaes, torna-se possvel identificar onde a situao da governana de TI est mais crtica e em que reas o TCU deve atuar. Foram selecionadas, como amostra deste levantamento, 315 instituies representativas da APF. Dessa relao, constaram os ministrios, as universidades federais, os tribunais federais, as agncias reguladoras e diversas autarquias, secretarias, departamentos e empresas estatais. As instituies includas na amostra responderam a questionrio composto de trinta perguntas baseadas nas normas tcnicas brasileiras sobre segurana da informao e governana, e no modelo Control Objectives for Information and related Technology 4.1 (Cobit 4.1). Os itens avaliados foram agrupados no questionrio em sete dimenses, fundamentadas no Gespblica: i) liderana; ii) estratgias e planos; iii) cidados; iv) sociedade; v) informaes e conhecimento; vi) pessoas; vii) processos. A partir dos dados coletados, observou-se que a situao da governana de TI na APF bastante heterognea. Alguns aspectos, que foram objeto de recomendao do TCU no Acrdo n 1.603/2008-TCU-Plenrio, como planejamento estratgico institucional e carreira prpria de TI, apresentaram evoluo, apesar de ainda haver espao para melhora. Outros, como planejamento estratgico de TI e realizao de auditorias de TI, encontram-se nos mesmos patamares acanhados em que se encontravam h trs anos. A rea de segurana da informao continua a chamar ateno pelos altos ndices de no-conformidade, sugerindo que, de forma geral, as organizaes pblicas, alm de no tratarem os riscos aos quais esto expostas, os desconhecem. Aspectos que exigem um pouco mais de maturidade na gesto dos ativos de tecnologia, como o estabelecimento de processos de gesto contratual, de planejamento da contratao e de gesto de servios de TI ainda so pouco implantados. A seo do relatrio que trata da liderana sugere que os conceitos de governana de TI ainda so pouco difundidos na maioria das instituies pblicas federais. De forma geral, a alta administrao no se considera responsvel pelas polticas corporativas de TI e nem por prover a estrutura bsica para que sua governana seja efetiva. Assim, existe um campo abrangente para atuao deste Tribunal na rea de governana de TI na APF. Ainda que em algumas reas a evoluo tenha sido acanhada, em outras verifica-se que o papel do TCU como indutor do amadurecimento da governana de TI pode ser sentido e avaliado de forma positiva.


3


Lista de figuras Figura 1. Sistema de governana corporativa ............................................................................................. 5 Figura 2. Quantitativo de respondentes por segmento que responderam os 2 levantamentos ................... 9 Figura 3. Evoluo dos indicadores de Planejamento Estratgico ........................................................... 10 Figura 4. Evoluo dos indicadores de Planejamento Estratgico Institucional por segmento ................ 11 Figura 5. Evoluo dos indicadores de Estrutura de Pessoal de TI .......................................................... 12 Figura 6. Competncias dos dirigentes de TI ........................................................................................... 13 Figura 7. Evoluo dos indicadores de Deficincias em Segurana da Informao ................................ 14 Figura 8. Evoluo dos indicadores de adoo de Processo de Software ................................................ 17 Figura 9. Evoluo dos indicadores de Gesto de Nvel de Servio ........................................................ 18 Figura 10. Evoluo dos indicadores de Planejamento de Contrataes .................................................. 20 Figura 11. Evoluo dos indicadores de Processo de Gesto Contratual ................................................. 21 Figura 12. Evoluo dos indicadores de Processo Oramentrio de TI ................................................... 22 Figura 13. Evoluo dos indicadores de Auditoria de TI ......................................................................... 23 Figura 14. Evoluo dos indicadores de Auditoria de TI ......................................................................... 24 Figura 15. Estrutura de Governana de TI................................................................................................ 25 Figura 16. Desempenho Institucional em Gesto de TI ........................................................................... 27 Figura 17. Poltica de RH para gesto de TI ............................................................................................. 29 Figura 18. Poltica de RH para gesto de TI (somente Sisp) .................................................................... 30 Figura 19. Modelo de negcio do processo de acompanhamento da governana de TI .......................... 31 Figura 20. Representao do Modelo de Excelncia em Gesto Pblica Gespblica ........................... 32 Figura 21. Distribuio das instituies respondentes por faixa de governana ...................................... 33 Figura 22. Distribuio das instituies respondentes por faixa de governana e oramento de TI ........ 34 Figura 23. Correlao da governana em liderana e com a governana em processos .......................... 35


4


SEFTI Fls. 52

1

Introduo

1. Em 2007, o primeiro levantamento de governana de TI, com 39 questes e a participao de 255 instituies respondentes, resultou no Acrdo n 1.603/2008-TCU-Plenrio. Naquela oportunidade, foram exaradas diversas recomendaes estruturantes com vistas a fomentar a governana de TI na APF, como se pode verificar na seo 2 deste relatrio. 2. A autorizao para este levantamento consta no item 9.9 do referido Acrdo, que determina Sefti a elaborao de outros levantamentos com o intuito de acompanhar e manter base de dados atualizada com a situao da governana de TI na Administrao Pblica Federal. 3. Como o termo governana no de definio simples e pode ainda no ser bem compreendido na Administrao Pblica, uma viso geral sobre esse tema apresentada a seguir.

1.11.1.1

Governana: uma viso geralGovernana Corporativa

4. Segundo o Instituto Brasileiro de Governana Corporativa (IBGC): Governana Corporativa o sistema pelo qual as organizaes so dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietrios, Conselho de Administrao, Diretoria e rgos de controle. As boas prticas de Governana Corporativa convertem princpios em recomendaes objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organizao, facilitando seu acesso a recursos e contribuindo para sua longevidade. (IBGC, 2009, p. 19, grifos nossos) 5. A Figura 1 auxilia na compreenso da diferena entre governana e gesto.

Figura 1. Sistema de governana corporativa (Fonte: IBGC, 2009, p. 16)SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

5


6. A figura acima sugere que os mecanismos de governana devem ter foco no monitoramento da gesto da instituio, intervindo sempre que houver desvio em relao ao esperado pelos responsveis finais. Em ltima instncia, esses responsveis so os detentores da propriedade: os scios, acionistas e herdeiros, no caso das organizaes privadas, e a sociedade, no caso das organizaes pblicas federais. 7. Por sua vez, a norma ABNT NBR ISO/IEC 38.500 define governana como o sistema pelo qual as organizaes so dirigidas e controladas (ABNT, 2009, item 1.6.2, grifo nosso). 8. Percebe-se, ento, que a governana corporativa tem foco na direo e no controle da gesto da instituio. 1.1.2 Governana de TI

9. Naturalmente, a definio de governana de TI reflete os conceitos da governana corporativa, como nos exemplos abaixo: Para muitas organizaes a informao e a tecnologia que a suporta representam o seu bem mais valioso, mas muitas vezes o menos compreendido. Organizaes bem-sucedidas reconhecem os benefcios da tecnologia da informao e a utiliza para direcionar os valores das partes interessadas no negcio. Essas organizaes tambm entendem e gerenciam os riscos associados, tais como as crescentes demandas regulatrias e a dependncia crtica de muitos processos de negcios da TI. A necessidade da avaliao do valor de TI, o gerenciamento dos riscos relacionados TI e as crescentes necessidades de controle sobre as informaes so agora entendidos como elementos-chave da governana corporativa. Valor, risco e controle constituem a essncia da governana de TI. A governana de TI de responsabilidade dos executivos e da alta direo, consistindo em aspectos de liderana, estrutura organizacional e processos que garantam que a rea de TI da organizao suporte e aprimore os objetivos e as estratgias da organizao. (ITGI, 2007, p. 7, grifo nosso e negrito no original) O sistema pelo qual o uso atual e futuro da TI dirigido e controlado. (ABNT NBR ISO/IEC 38.500, 2009, item 1.6.3) 10. Em suma: a governana de TI busca garantir que o uso da TI agregue valor ao negcio com riscos aceitveis e a responsabilidade por prover uma boa governana de TI dos executivos e da alta administrao da organizao. 11. Por essa razo, perfeitamente cabvel que os rgos de controle externo, em prol do interesse pblico (CF, art. 70), cobrem dos altos dirigentes a adequada governana dessa rea to crtica para a obteno dos resultados institucionais. 12. Por fim, a importncia da governana de TI no mbito da APF pode ser aquilatada tanto pela estimativa de gastos em TI para 2010, que de cerca de R$ 12,5 bilhes, quanto por sua importncia estratgica, ao ser amplamente utilizada na conduo de polticas pblicas suportadas por um oramento federal de R$ 1,86 trilho (SIDOR, 2010; TC 001.484/2010-9).

1.2

Objetivo

13. O objetivo deste levantamento foi acompanhar e manter base de dados atualizada com a situao de governana de tecnologia da informao (TI) na APF, atualizando e aprofundando o panorama traado em 2007, materializado pelo Acrdo n 1.603/2008-TCU-Plenrio. 14. Essas informaes permitiro identificar os pontos mais vulnerveis da governana de TI da APF, que se traduzem em oportunidades para a atuao do TCU como indutor do processo de aperfeioamento da governana de TI e auxiliar na identificao de bons exemplos e modelos a serem disseminados.SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

6


SEFTI Fls. 53

15. Alm disso, a divulgao das informaes consolidadas permite que cada instituio avalie como est sua governana e sua gesto de TI em relao s boas prticas e s demais instituies da Administrao. Essa avaliao, se bem aproveitada, um valioso insumo na definio de objetivos, no planejamento e no amadurecimento da TI de cada respondente. 16. Por fim, o acompanhamento da evoluo dos indicadores de governana e gesto de TI um insumo essencial no monitoramento da efetividade das medidas adotadas pelos rgos governantes superiores (aqueles responsveis pela elaborao das normas e polticas de TI de cada poder, quando aplicvel), e, dessa forma, das prprias deliberaes do TCU.

1.3

Estratgia metodolgica e limitaes

17. Durante a fase de planejamento, foram elaboradas 30 questes, subdivididas em 152 itens, organizadas segundo sete (das oito) dimenses do Gespblica: liderana, estratgias e planos, cidados, sociedade, informaes e conhecimento, pessoas e processos (Apndice IX). 18. Cabe esclarecer que o Gespblica um programa federal estabelecido pelo Decreto n 5.378, de 23 de fevereiro de 2005, e coordenado pelo Ministrio do Planejamento, Oramento e Gesto. Esse programa voltado para orientar e aferir a qualidade da gesto pblica. 19. Alm do Gespblica, foram utilizados como insumo para a elaborao do questionrio modelos de boas prticas reconhecidos internacionalmente, tais como o Cobit 4.1 (Control Objectives for Information and related Technology) (ITGI, 2007), a ABNT NBR ISO/IEC 27002 - segurana da informao (ABNT, 2005) e a ABNT NBR ISO/IEC 38500 - governana corporativa de TI (ABNT, 2009). 20. Alm disso, com o intuito de auxiliar os respondentes no correto preenchimento do questionrio, foram elaborados e publicados os seguintes instrumentos de apoio ao respondente: Perguntas Frequentes - FAQ, Objetivos de cada questo e Glossrio (Apndice VI). 21. Foi realizado um teste-piloto com 20 instituies com o objetivo de validar conceitualmente as questes e de validar tecnicamente os procedimentos para recebimento e tratamento das respostas. A maioria das sugestes foi bem avaliada e foi incorporada ao questionrio. 22. No levantamento, foram selecionadas ao todo 315 instituies da APF, considerando os seguintes critrios de seleo: Quando um grupo de instituies tem uma governana de TI centralizada, somente a instituio centralizadora foi selecionada, respondendo em conjunto por todas as instituies vinculadas (p.ex. Comando do Exrcito); Excluso de todas as instituies que, apesar de jurisdicionadas ao Tribunal, no prestam contas (p.ex. instituies que fazem parte do Sistema S); O Ministrio da Fazenda foi considerado caso especial, j que a Secretaria do Tesouro Nacional e a Secretaria da Receita Federal do Brasil tm bastante autonomia em governana de TI, tendo sido todas as trs instncias selecionadas; Ajustes decorrentes de criaes e extines de instituies pblicas desde o levantamento de 2007; Incluso de instituies que apresentaram proposta de oramento de TI para o exerccio de 2010 por meio do Quadro 17 do Volume I da Lei do Oramento Anual para 2010, ou por meio do Departamento de Coordenao e Controle das Empresas Estatais (Dest) da Secretaria-Executiva do Ministrio do Planejamento, Oramento e Gesto; 23. Dessa seleo constam universidades federais, tribunais federais, agncias reguladoras, fundaes, autarquias, secretarias, departamentos, empresas pblicas, sociedades annimas, ministrios e outros rgos da administrao federal direta. At o fechamento do presente relatrio,SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

7


265 instituies haviam atendido solicitao de remessa de informaes (Apndice IV), enquanto 50 instituies no responderam o questionrio at o encerramento deste relatrio (Apndice V). 24. Com vistas a facilitar a anlise das informaes, os respondentes foram divididos em segmentos: EXE-Dest, abrange as empresas pblicas federais e as sociedades de economia mista; EXE-Sisp, abrange as instituies que fazem parte do Sistema de Administrao dos Recursos de Informao e Informtica (Sisp); JUD, abrange as instituies que fazem parte do Poder Judicirio; LEG, abrange as instituies que fazem parte do Poder Legislativo; e MPU, abrange as instituies que fazem parte do Ministrio Pblico da Unio (MPU). 25. Na fase de execuo do levantamento, buscou-se a automao mxima nos procedimentos de interao com as instituies pblicas selecionadas. Essas receberam, por meio de correspondncia oficial, o link para a pgina da Sefti onde o questionrio e os documentos de ajuda estavam disponveis. Em caso de qualquer dificuldade, foi divulgado o endereo eletrnico [email protected] para a prestao do suporte necessrio. A ferramenta adotada para o questionrio foi o formulrio PDF gerado pelo Adobe Acrobat Professional 8.0, pela razo de atender necessidade e haver licena j adquirida pelo TCU. Os questionrios preenchidos foram recebidos por meio de correio eletrnico, no endereo [email protected] citado. As informaes recebidas foram importadas e tratadas no banco de dados Access, da Microsoft. 26. Como fatores de limitao execuo dos trabalhos, identificam-se os seguintes: Houve atraso de vrias instituies selecionadas no atendimento diligncia, e algumas ainda permanecem atrasadas. Esse atraso prejudicou a anlise, tornando o quadro apresentado neste trabalho incompleto, embora suficiente para os propsitos definidos. Prope-se a assinatura de prazo s instituies atrasadas para o envio das informaes requeridas, para incorporao base de dados do levantamento; Dificuldade na identificao das instituies que deveriam fazer parte do levantamento, visto que as fontes existentes contm inconsistncias entre si (p.ex. Sidor, Siorg, Siafi, sistema Clientela etc.).

1.4

Volume de recursos fiscalizados

27. Conforme a Portaria n 222, de 10 de novembro de 2003, a mensurao do volume de recursos fiscalizados no se aplica a este instrumento de fiscalizao.

1.5

Benefcios estimados

28. Os benefcios estimados do presente trabalho so o subsdio ao processo de planejamento de aes de controle da Sefti, a disponibilidade de informaes importantes nessa rea s equipes de futuras fiscalizaes e a induo de melhorias na organizao interna (governana e gesto de TI) das unidades participantes do levantamento, bem como induo da melhoria da estrutura de governana de TI por meio de recomendaes aos rgos governantes superiores.

2

Atualizao do perfil traado pelo Levantamento 2007

29. Oito recomendaes estruturantes, dirigidas aos rgos governantes superiores por meio do Acrdo n 1.603/2008-TCU-Plenrio, decorreram do levantamento de 2007, em razo da grave situao da governana e gesto de TI de ento. 30. Com vistas a facilitar a compreenso sobre o perfil de governana de TI em 2010, as informaes atualizadas so apresentadas de forma comparativa em relao s recomendaes exaradas no levantamento anterior.SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

8


SEFTI Fls. 54

31. importante esclarecer que h diferenas entre as perguntas que compunham o questionrio em 2007 e as formuladas no questionrio de 2010. Essas diferenas se devem, basicamente, ao amadurecimento de conceitos de governana e gesto de TI no mbito da Sefti, e s dificuldades prprias de um trabalho inovador como o efetuado no ciclo daquele ano. No entanto, essas diferenas no impedem a anlise comparativa das respostas, cujo resultado se pode verificar adiante. 32. Das trinta e nove perguntas do questionrio anterior, nove foram excludas do presente levantamento. Algumas, como se a entidade conhece o grau de formao das pessoas que atuam na rea de TI ou se oferece servios transacionais via internet, alm de serem prticas disseminadas desde a primeira pesquisa (95% e 76% em 2007), foram consideradas incompatveis com o foco dado no levantamento atual. 33. Outras perguntas no encontram correspondncia direta em virtude de o questionrio enfatizar a maturidade dos processos de trabalho, no lugar da anterior nfase em artefatos ou detalhes de procedimentos. Por exemplo, as perguntas realizao de reunio peridica com o contratado e verificao de itens pr-definidos que embasem a atestao tcnica esto includas, neste levantamento, em questes sobre processos de gesto contratual e de monitorao tcnica. Considera-se que um processo de gesto contratual institudo e em funcionamento disciplina essas questes. 34. A correspondncia completa entre os resultados do levantamento 2007 com o presente levantamento, bem como as perguntas excludas do ciclo atual se encontram no Apndice II deste relatrio. As regras de tratamento dos dados de 2010 para comparao com os dados de 2007 constam do Apndice VII. Apesar dessas diferenas de foco, a essncia do objeto tratado em cada recomendao foi amplamente avaliada no atual levantamento. 35. Outro ponto a ressaltar que o Acrdo n 1.603/2008-TCU-Plenrio foi proferido em agosto daquele ano, portanto um ano e meio antes da data de envio do questionrio atual, em abril de 2010. Considera-se que este intervalo seria suficiente para que as recomendaes do TCU tivessem sido ao menos parcialmente implementadas e que tais implementaes fossem detectadas no presente levantamento. 36. Com o intuito de evitar distores na comparao, nos casos em que foram apresentados grficos comparativos com informaes do levantamento de 2007 e do atual levantamento, s foram consideradas as respostas de instituies que responderam s duas pesquisas. A distribuio dessas instituies por segmento apresentada na figura abaixo.

Respondentes por segmento(nas questes comparativas 2007 e 2010)3 57

3

2 46EXE-DestEXE-Sisp JUD LEG

MPUoutros

112

Figura 2. Quantitativo de respondentes por segmento que responderam os 2 levantamentos


9


37. Como as informaes aqui apresentadas tratam, em sua maioria, de temas j endereados pelo TCU por meio de recomendaes aos rgos governantes superiores, deixou-se, nesses casos, de propor encaminhamento. As aes tomadas por esses rgos diante dos comandos do Acrdo n 1.603/2008-TCU-Plenrio sero avaliadas em processo especfico de monitoramento. 38. A seguir, so analisados os resultados de avaliao para as principais reas da governana de TI apontadas no Levantamento de 2007.

2.1

Planejamento Estratgico Institucional e de TI

39. A recomendao registrada no item 9.1.1 do Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte: 9.1.1. promovam aes com o objetivo de disseminar a importncia do planejamento estratgico, procedendo, inclusive mediante orientao normativa, aes voltadas implantao e/ou aperfeioamento de planejamento estratgico institucional, planejamento estratgico de TI e comit diretivo de TI, com vistas a propiciar a alocao dos recursos pblicos conforme as necessidades e prioridades da organizao; (grifo nosso) 40. A Figura 3 apresenta os resultados obtidos em 2010 comparados aos resultados obtidos em 2007.

PLANEJAMENTO ESTRATGICO2007 2010

100% 79%

53% 50% 41% 39% 32% 32%

0%PLANEJ. ESTRAT. INSTITUCIONAL PLANEJ. ESTRATGICO DE TI COMIT DE TI

Figura 3. Evoluo dos indicadores de Planejamento Estratgico

2.1.1

Anlise

41. A Figura 3 sugere um aumento no nmero de entes que fazem planejamento estratgico institucional, ao passo que h certa estabilidade no nmero de instituies que fazem planejamento de TI e que tm comit de TI. 42. Essa evoluo no indicador de planejamento estratgico institucional deve-se, em grande parte, resposta dos rgos do judicirio atuao do Conselho Nacional de Justia (CNJ), por meio da Resoluo n 70/2009. Ressalte-se que tambm houve evoluo relevante nos rgos pertencente ao Sisp. 43. Esse fato fica claro na Figura 4, a seguir, que apresenta a evoluo desse indicador nos segmentos numericamente mais representativos da APF.SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

10


SEFTI Fls. 55

PLANEJAMENTO ESTRAT. INSTITUCIONAL por segmento2007 2010

96%

100% 74% 67% 63% 54% 50% 42%

0% Dest(46) Sisp(112) Jud(57)

Figura 4. Evoluo dos indicadores de Planejamento Estratgico Institucional por segmento

44. Quanto ao planejamento de TI, causa preocupao a sua ausncia em 61% das instituies pblicas pesquisadas, pois a jurisprudncia do TCU pacfica quanto necessidade de planejar as contrataes de TI em harmonia com o planejamento estratgico institucional e com o plano diretor de tecnologia da informao - PDTI (so exemplos os acrdos n 1.521 e 1.558/2003, 2.094/2004, 786/2006 e 1.603/2008, todos do Plenrio do TCU). 45. Tal orientao j consta, inclusive, da Instruo Normativa SLTI/MP n 4/2008, cuja implicao seria a vedao de contrataes de TI no previstas em um PDTI. Portanto, a ausncia de PDTI sugere que h contrataes de TI sendo empreendidas em desacordo com a legislao e jurisprudncia. 46. No caso dos comits de TI, tambm no houve alterao no quadro. Entretanto, deve-se considerar que a criao e o bom funcionamento desse tipo de comit devem ser esperados em organizaes preocupadas com a evoluo de sua gesto de TI. O resultado um pouco inferior em relao ao planejamento estratgico de TI esperado e reflete essa falta de maturidade na governana de TI na Administrao. 2.1.2 Concluso

47. Os resultados sugerem que a recomendao 9.1.1 do Acrdo n 1.603/2008-TCU-Plenrio comeou a ter efeito no que se refere ao planejamento estratgico institucional, em especial no tocante aos rgos do Poder Judicirio. Com relao ao PDTI, pode-se inferir que as iniciativas empreendidas pelo TCU e pelos rgos governantes superiores (tais como normas e aes de conscientizao) ainda no surtiram efeito relevante.

2.2

Estrutura de Pessoal de TI

48. A recomendao registrada no item 9.1.2 do Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte: 9.1.2. atentem para a necessidade de dotar a estrutura de pessoal de TI do quantitativo de servidores efetivos necessrio ao pleno desempenho das atribuies do setor, garantindo, outrossim, sua capacitao, como forma de evitar o risco de perda de conhecimentoSisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

11


organizacional, pela atuao excessiva de colaboradores externos no comprometidos com a instituio 49. A Figura 5 apresenta os resultados obtidos em 2010 comparados aos obtidos em 2007.

ESTRUTURA DE PESSOAL DE TI2007 2010

100%

95%

94%

90%

94% 78% 79%

50%

43%

43%

0%SERVIDORES DO QUADRO EM TI FUNES COMISSIONADAS EM TI CARREIRA DE TI COMPETNCIA P/ SEL. GESTORES TI

Figura 5. Evoluo dos indicadores de Estrutura de Pessoal de TI

2.2.1

Anlise

50. 94% das instituies respondentes afirmaram ter servidores do prprio quadro atuando na rea de TI, nmero bastante elevado e semelhante ao obtido em 2007. Porm, causa preocupao que em 6% das instituies a TI organizacional seja controlada por pessoas estranhas ao quadro interno, visto que os riscos de TI podem ser maiores nesses casos, como ressaltado pelo item 9.1.2 do Acrdo n 1.603/2008-TCU-Plenrio. 51. De modo semelhante, 94% das instituies respondentes tm funes comissionadas voltadas para a gesto de TI, nmero bastante elevado e que representa leve crescimento em relao a 2007. Entretanto, tambm causa preocupao que 6% das instituies respondentes ainda mantenham a gesto de TI sob o comando de servidores no comissionados ou de terceiros. 52. Quanto existncia de carreira de TI, o ndice evoluiu de 43% para 78%. Tal evoluo teve influncia da criao de cargos especficos voltados para gesto de TI pelo Ministrio do Planejamento, Oramento e Gesto para o SISP, em consonncia com as recomendaes inseridas no Acrdo n 140/2005-TCU-Plenrio e no item 9.1.2 do Acrdo n 1.603/2008-TCU-Plenrio. 53. Esses resultados sinalizam que a maior parte das instituies respondentes tem preocupao em manter seus setores de TI com equipe e gesto prpria, fator que contribui para a reduo da rotatividade, a internalizao de conhecimento de negcio, o aumento da aprendizagem organizacional e o amadurecimento da gesto de TI. Todos esses elementos interessam governana de TI porque aumentam as possibilidades de agregao de valor pela TI e de reduo de riscos. 54. Com respeito ao modo de seleo dos gestores de TI, de 2007 a 2010, o percentual das instituies respondentes que afirmaram selecionar seus gestores de TI por critrios de competncia aumentou de 43% para 79%. Esse era um dado especialmente alarmante se for considerado que, em geral, o questionrio foi respondido seno pela prpria TI, com auxlio direto dela, em 2007. OSisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

12


SEFTI Fls. 56

ndice atual, aproximadamente o dobro do anterior, indica uma evoluo nesse quadro. 55. Embora a gesto de pessoal por competncias possa ser ainda um tanto desconhecida da APF, ela foi adotada como instrumento da Poltica Nacional de Desenvolvimento de Pessoal (PNDP) e uma das diretrizes dessa poltica promover a capacitao gerencial do servidor e sua qualificao para o exerccio de atividades de direo e assessoramento (Decreto n 5.707/2006, arts. 1, III, 2, II, 3, III, e 5, III). 56. Essa diretriz alinha-se perfeitamente diretriz inscrita nos arts. 6 e 10, 7, do Decreto-lei n 200/1967, que estabelecem as tarefas de planejamento, de coordenao, de superviso e de controle como tarefas fundamentais do administrador pblico. 57. Por essa razo, o presente levantamento procurou detalhar o exame das competncias dos dirigentes de TI, cujo resultado apresentado na Figura 6 e refere-se a todas as instituies respondentes do questionrio de 2010.

COMPETNCIA DOS DIRIGENTES DE TI(GGTI=gesto e governana de TI)certificados profissionais ps-graduao stricto sensu (em GGTI) ps-graduao stricto sensu (em TI, exceto GGTI) ps-graduao stricto sensu (no-TI)ps-graduao lato sensu (em GGTI) 7%

12% 5% 14%

19% 31%29%

ps-graduao lato sensu (em TI, exceto GGTI) ps-graduao lato sensu (no-TI)curso superior (em TI)

45% 54%76%

curso superior (no-TI) experincia em gesto de TI 0% 50%

100%

Figura 6. Competncias dos dirigentes de TI

58. Observa-se que 76% das instituies respondentes indicaram que seu dirigente mximo de TI tem experincia em gesto de TI. Portanto, em 24% das instituies respondentes o dirigente mximo supostamente no tem a experincia necessria em gesto de TI, o que preocupante. 59. Tambm deve ser ressaltado que, em relao formao acadmica dos dirigentes de TI: a frequncia de cursos superiores fora da rea de TI maior que na rea de TI; a frequncia de cursos de ps-graduao (lato ou stricto sensu) fora da rea de gesto e governana de TI menor que a de cursos tcnicos de TI ou a de cursos fora da rea de TI;

60. Estes nmeros reforam a impresso de que ainda muito baixo o investimento das instituies na preparao de gestores de TI para efetivamente gerenciar a TI institucional, especialmente em contextos de alto requerimento de governana corporativa e de TI. Nesse sentido, o TCU j expediu recomendao Escola Nacional de Administrao Pblica (Acrdo n 2.471/2008-TCU-Plenrio, item 9.10) para que desenvolva programa de formao de gestores deSisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

13


TI, que no aborde somente aspectos tcnicos, mas que enfatize o desenvolvimento de competncias em gesto de TI. 61. Cabe informar que, a Enap j implementou o Programa de Desenvolvimento de Gestores de TI, com vistas a suprir essa necessidade. 2.2.2 Concluso

62. Os resultados obtidos no presente levantamento sugerem que houve evoluo no nmero de instituies que possuem carreira prpria de TI, bem como no nmero das que selecionam seus gestores com base em suas competncias, havendo ainda espao para melhorias.

2.3

Segurana da informao

63. A recomendao registrada no item 9.1.3 do Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte: 9.1.3 orientem sobre a importncia do gerenciamento da segurana da informao, promovendo, inclusive mediante normatizao, aes que visem estabelecer e/ou aperfeioar a gesto da continuidade do negcio, a gesto de mudanas, a gesto de capacidade, a classificao da informao, a gerncia de incidentes, a anlise de riscos de TI, a rea especfica para gerenciamento da segurana da informao, a poltica de segurana da informao e os procedimentos de controle de acesso; 64. A Figura 7 apresenta os resultados obtidos em 2010 comparados aos obtidos em 2007. Observe-se que, neste caso, o grfico apresentado refere-se ausncia das prticas recomendadas, para compatibilizar melhor com a maneira como essa informao foi apresentada em 2007.SEGURANA DA INFORMAO - DEFICINCIAS2007 100%87%

2010

97% 93%88%

88%

81%

84% 78% 74%

84% 76%74%

62%

63%

63%

58%

50%

0%

PLANO CONTINUIDADE NEGCIO

GESTO DE MUDANAS

GESTO DE CAPACIDADE

CLASSIFICAO INFORMAO

GESTO DE INCIDENTES SI

ANLISE DE RISCOS DE TI

REA SEGURANA INFORMAO

POLTICA SEGURANA INFORMAO

Figura 7. Evoluo dos indicadores de Deficincias em Segurana da Informao

65. O tema segurana da informao (SI) recebeu especial ateno no levantamento realizado em 2007, com foco no correto tratamento de seus aspectos elementares: a confidencialidade, a integridade e a disponibilidade das informaes.


14


SEFTI Fls. 57

66. Para tanto, foram colhidas informaes acerca da existncia de normas e documentos como poltica de segurana de informaes, plano de continuidade de negcios e norma de classificao de informaes, alm de processos como gesto de capacidade, anlise de riscos, gesto de incidentes, e gesto de mudanas. Essas reas foram escolhidas com base na norma ABNT NBR ISO/IEC 17799 (atualmente denominada ABNT NBR ISO/IEC 27002), porque podem elevar o risco da segurana da informao das organizaes se administradas de forma inadequada. 67. Reproduzem-se aqui as definies adotadas no relatrio que subsidiou o voto condutor do Acrdo n 1.603/08-TCU-Plenrio: A poltica de segurana da informao o documento que contm as diretrizes da instituio quanto ao tratamento da segurana da informao. Em geral, esse o documento da gesto da segurana da informao a partir do qual derivam os documentos especficos para cada meio de armazenamento, transporte, manipulao ou tratamento especfico da segurana da informao em TI. [...] A gesto da continuidade do negcio, por sua vez, o processo que objetiva minimizar um impacto sobre a organizao e recuperar perdas de informaes a um nvel aceitvel, por meio da combinao de aes de preveno e recuperao.[...] A classificao de informaes, por sua vez, o processo que visa garantir que cada informao tenha o tratamento de segurana adequado ao seu valor, aos requisitos legais, sensibilidade e ao risco de sua perda para a organizao.[...] O objetivo do processo de gesto de incidentes de segurana assegurar que seja aplicado tratamento consistente e efetivo para os incidentes, que incluem desde falhas de sistemas at violaes intencionais da poltica de segurana. [...] Na gesto centralizada de mudanas, h controle rgido das mudanas no ambiente operacional para garantir a estabilidade do ambiente e a auditoria das alteraes realizadas. [...] J a gesto de capacidade e compatibilidade visa principalmente garantir a disponibilidade das informaes, ao verificar continuamente se as solues de TI suportam adequadamente a demanda por informaes sem sobrecarregar os sistemas, gerar descontinuidade de operao e/ou falhas no nvel de servio acordado. [...] A anlise e o tratamento dos riscos inclui a identificao, a quantificao e a classificao dos riscos quanto sua prioridade, com base em critrios sintonizados com o negcio da organizao. Os resultados dessa anlise devem orientar as aes de gesto e as prioridades para o gerenciamento dos riscos de segurana da informao e para a implementao dos controles selecionados. Por isso, a anlise de risco estratgica na gesto da segurana e deve ser feita em bases peridicas para garantir a adequao entre gesto e negcio. 2.3.1 Anlise

68. Inicialmente, admite-se por prudncia que a piora em parte dos indicadores pode no refletir uma efetiva deteriorao da situao da segurana da informao na APF, mas uma possvel melhora na compreenso, por parte dos respondentes, dos conceitos questionados. Infere-se que essa melhor compreenso tenha resultado em avaliaes mais rigorosas no presente levantamento. 69. Percebe-se que, em todos os casos, no houve melhora nos processos que tratam de segurana da informao na APF. Ou seja, se em 2007 a situao j se mostrava preocupante, atualmente ainda pior, uma vez que o alarme foi soado por meio do Acrdo n 1.603/2008-TCU-Plenrio e, um ano e meio depois, o quadro no apresenta evidncias de melhora. 70. Se em 2007 havia o entendimento de que a maior parte das instituies estava exposta a riscos diversos e no mapeados, hoje, alm de a Administrao estar exposta aos mesmos riscos, no est agindo para sane-los com a agilidade que o caso requer.SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

15


71. No se defende, aqui, que cada instituio possua um plano de continuidade de negcios (PCN) com o que h de mais avanado e caro no mercado, em nome apenas das boas prticas de SI. Mas que, ao menos, se conheam os principais riscos a que as informaes crticas para o negcio esto submetidas e que se d o tratamento correspondente. 72. Sem inventariar e classificar a informao (apenas 25% e 11% o fazem, respectivamente, como exposto no Apndice III, questo 7.1) adequadamente no h como saber que informaes so crticas e devem ser protegidas. A outra possvel consequncia da falta desses processos o desperdcio de recursos ao se tentar proteger a integridade, a confidencialidade e a disponibilidade, com todos os custos envolvidos nesse esforo, de informaes no crticas para a instituio. 73. O mnimo esperado que se empreenda uma anlise de riscos (menos de 20% o fazem segundo os dados coletados) e que, a partir da, se busque uma estratgia adequada realidade de cada instituio. Mesmo que a deciso tomada a partir do conhecimento de determinado risco seja aceit-lo, necessrio que esse risco seja conhecido e suas consequncias estimadas. 74. Por fim, deve-se mencionar que, sobre esse tema, o Gabinete de Segurana Institucional (GSI) publicou as seguintes normas: a) Instruo Normativa GSI/PR n 1, de 13 de junho de 2008 que trata da Gesto de Segurana da Informao e Comunicaes na APF; b) Norma Complementar n 02/IN01/DSIC/GSI/PR de 2008 que trata da metodologia de gesto de segurana da informao e comunicaes; c) Norma Complementar n 03/IN01/DSIC/GSI/PR de 2009 que d diretrizes para elaborao de poltica de segurana da informao e comunicaes nas instituies da APF; d) Norma Complementar n 04/IN01/DSIC/GSI/PR de 2009 que trata da gesto de riscos de segurana da informao (GRSIC); e) Norma Complementar n 05/IN01/DSIC/GSI/PR de 2009 que trata da criao de equipes de tratamento e resposta a incidentes em redes de computadores (ETIR) f) Norma Complementar n 06/IN01/DSIC/GSI/PR de 2009 que trata da gesto de continuidade de negcios em segurana da informao e comunicaes; g) Norma Complementar n 07/IN01/DSIC/GSI/PR de 2010 que trata de controles de acesso. 2.3.2 Concluso

75. No se percebe melhora nos indicadores de segurana da informao em relao ao levantamento anterior, a despeito da recomendao emitida pelo TCU. A Administrao, de forma geral, continua a desconhecer e a no proteger suas informaes crticas adequadamente. Como no h avaliao de riscos, nem ao menos possvel estimar as suas consequncias caso estes se materializem. 76. Dessa forma, deve-se dar especial ateno a este aspecto no monitoramento das recomendaes do Acrdo n 1.603/2008-TCU-Plenrio.

2.4

Desenvolvimento de Software

77. A recomendao contida no Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte:


16


SEFTI Fls. 58

item 9.1.4. estimulem a adoo de metodologia de desenvolvimento de sistemas, procurando assegurar, nesse sentido, nveis razoveis de padronizao e bom grau de confiabilidade e segurana; 78. Segue a comparao dos resultados obtidos em 2007 para a pergunta o desenvolvimento de sistemas segue alguma metodologia? com os obtidos no presente levantamento:

METODOLOGIA/PROCESSO DE SOFTWARE2007 2010

100%

50% 50%

49%

0% PROCESSO AO MENOS GERENCIADO

Figura 8. Evoluo dos indicadores de adoo de Processo de Software

79. Primeiramente, cabe esclarecer que a nomenclatura metodologia para tratar de desenvolvimento de sistemas, utilizada no levantamento de 2007, foi substituda por processo de software, em consonncia com as normas tcnicas vigentes, em especial a ABNT NBR ISO/IEC 15.504. 80. Dessa forma, a questo foi estruturada de maneira a refletir os nveis de maturidade previstos na norma, que so os seguintes: Ad hoc, Inicial, Gerenciado, Definido, Mensurado e Em otimizao. Para avaliar se a instituio segue alguma metodologia (termo utilizado em 2007) admitiu-se que a resposta equivalente em 2010 seria a declarao de que a instituio possui processo de software em nvel igual ou superior a Gerenciado, o qual caracterizado pela existncia de um processo informal repetido vrias vezes e que implementa conceitos de qualidade de processo. 2.4.1 Anlise

81. A terceirizao de servios de desenvolvimento de software uma realidade na maioria das organizaes, no s na Administrao Pblica. Mesmo que no se questione os benefcios dessa opo, no h dvidas de que terceirizar todo o processo de software ou mesmo parte dele representa um risco para a organizao. 82. O quadro acima indica que no houve alterao relevante no indicador que mede a adoo de algum processo ou mtodo para desenvolvimento de software. 83. Ou seja, mais da metade dos respondentes declararam, em relao disciplina processo de software, que alm de no possurem um processo definido, no chegam a alcanar nem um processo informal repetido vrias vezes e que implementa conceitos de qualidade de processo.


17


84. Ora, no se pode perder de vista que, nas terceirizaes de servios, apenas a adoo de um processo de software definido permite avaliar se o servio foi prestado adequadamente ou garantir que no haver perda de conhecimento ou ainda que o resultado seja o pretendido pela instituio. 85. Por fim, deve-se lembrar que qualquer contratao deve ter seu objeto claramente definido (Lei n 8.666/1993, art. 6, inciso IX), o que, no caso de o objeto ser desenvolvimento de software, passa pelo estabelecimento de atividades e artefatos presentes em um processo de software definido. Dessa forma, pode-se inferir que em instituies em que esse processo ainda no est definido h elevado risco de irregularidade em contrataes de servios de desenvolvimento de software. 2.4.2 Concluso

86. Os resultados do presente levantamento sugerem que apenas 49% das instituies respondentes adotam algum processo de software, ainda que informal. Assim, menos da metade das instituies possuem o instrumento que, se usado adequadamente pode no s disciplinar o desenvolvimento de software na instituio, como apoiar a aquisio de software e servir de parmetro para aferir qualidade dos produtos recebidos.

2.5

Gesto de nveis de servio

87. A recomendao contida no Acrdo n 1.603/2008-TCU- Plenrio aos rgos governantes superiores foi a seguinte: item 9.1.5: promovam aes voltadas implantao e/ou aperfeioamento de gesto de nveis de servio de TI, de forma a garantir a qualidade dos servios prestados internamente, bem como a adequao dos servios contratados externamente s necessidades da organizao; 88. Segue a comparao dos resultados obtidos em 2007 com os obtidos no presente levantamento:

GESTO DE NVEL DE SERVIO100%2007 2010

50% 27% 11% 16% 26%

0%

GESTO NVEL SERV. PRESTADO

GESTO NVEL SERV. CONTRATADO

Figura 9. Evoluo dos indicadores de Gesto de Nvel de Servio

2.5.1

Anlise

89. A gesto de acordos de nvel de servio um instrumento relevante na busca e no controle da qualidade do servio prestado pela rea de TI aos seus clientes. A falta desse tipo de gesto aumenta as chances de insatisfao entre os usurios e os riscos de perda de foco nos investimentos. SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI 18


SEFTI Fls. 59

90. O mesmo tipo de preocupao deve existir na relao com fornecedores. Processos de gesto de nvel de servio so essenciais para que se garanta a qualidade dos servios recebidos e que sua remunerao se d por resultados, como preconiza o art. 6 do Decreto n 2.271/1997, em alinhamento com os princpios da eficincia e da economicidade (Acrdo n 1.215/2009-TCUPlenrio). 91. Chama a ateno que, em 2007, apenas 11% das instituies respondentes atentavam para gesto do nvel de servios oferecido pela rea de TI aos clientes internos, e que este nmero tenha evoludo para apenas 16% em 2010. 92. Em relao gesto do nvel de servio em contrataes, tambm no houve alterao relevante (de 27% para 26%), evidenciando que, mesmo quando a TI cliente e no fornecedor, no h preocupao com a avaliao e o controle dos resultados. 93. Se por um lado, a gesto de acordos de nvel de servio com os clientes internos um processo que exige conhecimento e experincia, por outro, a gesto de nveis de servios de fornecedores deveria ser uma prtica amplamente adotada. A falta dela implica, quase sempre, em fornecedores controlando seus prprios nveis de servio e, mesmo assim, se eles estiverem definidos. 2.5.2 Concluso

94. Ainda cedo para se afirmar que o discreto crescimento do primeiro indicador configura uma tendncia. Ainda que haja uma sinalizao positiva, s os levantamentos seguintes e as auditorias in loco traro mais clareza a este quadro. No houve alterao relevante em relao gesto dos nveis de servio dos servios contratados. 95. Dessa forma, deve-se dar especial ateno a este aspecto no monitoramento das recomendaes do Acrdo n 1.603/2008-TCU-Plenrio.

2.6

Processos de contratao e gesto de contratos de TI

96. A recomendao contida no Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte: item 9.1.6. envidem esforos visando implementao de processo de trabalho formalizado de contratao de bens e servios de TI, bem como de gesto de contratos de TI, buscando a uniformizao de procedimentos nos moldes recomendados no item 9.4 do Acrdo 786/2006TCU-Plenrio; 2.6.1 Anlise do processo de planejamento da contratao

97. Segue a comparao dos resultados obtidos em 2007 com os obtidos no presente levantamento:


19


PLANEJAMENTO DE CONTRATAES100% 2007 2010 87% 82%

62% 56% 50% 55% 52% 42%

17%

0% PROCESSO FORMAL DE CONTRATAO ANLISE DE VIABILIDADE EXPLICITA BENEFCIOS DE NEGCIO ESTIMA PREOS EM MAIS DE UMA FONTE

Figura 10. Evoluo dos indicadores de Planejamento de Contrataes

98. A pergunta acerca do processo formal de contratao, em 2007, buscava obter informaes acerca de instituies que haviam disciplinado os procedimentos a serem empreendidos at o momento da celebrao do contrato. Entretanto, avalia-se que, naquele levantamento, essa questo no foi bem compreendida por diversas instituies, que responderam positivamente considerando normas gerais, como a prpria Lei de Licitaes, como sendo seu processo de trabalho. 99. No presente levantamento, questiona-se acerca do processo de planejamento da contratao, ou seja, busca-se a mesma informao que o primeiro questionrio pretendia, s que de forma mais precisa em relao ao levantamento de 2007 (Apndice II). 100. Dessa forma, no se deve interpretar a deteriorao acentuada no ndice processo formal de contratao como um retrocesso, mas to somente como uma informao mais precisa acerca da falta de preparo da Administrao para gerir suas contrataes por meio de processos definidos e mensurveis. 101. importante mencionar que a publicao da IN SLTI/MP n 4 de 2008, ao estabelecer os elementos essenciais em um processo de contratao, contribuiu para uma melhor compreenso dos conceitos abordados nessas questes pelos respondentes. 102. Fato semelhante pode ter ocorrido com o ndice referente a benefcios de negcio. No presente levantamento, foi questionada a frequncia com que so explicitados os benefcios de negcio (Apndice III, questo 7.8), sendo que, para fins de comparao, apenas as respostas marcadas como usualmente e sempre foram interpretadas como positivas. 103. Com relao aos indicadores Anlise da viabilidade e estimativa de preos em mais de uma fonte, as variaes encontradas foram pouco significativas. 104. A Figura 10 mostra que menos da metade das instituies costuma explicitar os benefcios de negcio quando contratam bens e servios de TI, apesar de ser uma demanda da legislao (Decreto n 2.271/1997, art. 2). 105. Assim, apesar de a situao apresentada pelo levantamento anterior causar preocupao a ponto de o TCU emitir a recomendao acima, as informaes colhidas no presente trabalhoSisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

20


SEFTI Fls. 60

revelam um quadro ainda mais crtico, no qual, quase como regra, a Administrao no planeja suas contrataes de TI seguindo processos de trabalho formais e definidos. 106. A falta de preocupao com os benefcios de negcio a serem obtidos tem relao estreita com a falta de processos de planejamento definidos e sugere falta de governana nas instituies contratantes. 2.6.2 Concluso

107. Os resultados do presente levantamento demonstram que a falta de processo para a contratao de bens e servios de TI ainda mais crtica que a situao encontrada em 2007. Ainda no possvel verificar resultados positivos das iniciativas empreendidas para induzir a Administrao a adotar processos de trabalho para suportar o planejamento de contrataes de TI. 108. Deve-se, portanto, dar especial ateno a este aspecto no monitoramento das recomendaes do Acrdo n 1.603/2008 TCU-Plenrio e nas auditorias in loco. 2.6.3 Anlise do processo de gesto de contratos de TI

PROCESSO DE GESTO CONTRATUAL2007 2010

100% 80%

91%

97%92%

57% 50% 47% 31%

52%

0% PROCESSO DE GESTO DESIGNAO FORMAL MONITORAO ADM. CONTRATOS GESTOR CONTRATO CONTRATOS PELA TI REALIZA MONITORAO TCNICA

Figura 11. Evoluo dos indicadores de Processo de Gesto Contratual

109. A pergunta acerca do processo formal de gesto contratual, em 2007, buscava obter informaes acerca de instituies que haviam disciplinado os procedimentos a serem empreendidos aps o momento da celebrao contratual. 110. Entretanto, avalia-se que, naquele levantamento, essa questo tambm no foi bem compreendida por diversos respondentes, que apontaram para as normas gerais, como na questo anterior. 111. Dessa forma, no se deve interpretar a deteriorao no ndice processo de gesto de contratos como um retrocesso, mas como uma informao mais acurada acerca da falta de preparo da Administrao para gerir seus contratos por meio de processos definidos e mensurveis. 112. Em relao ao processo de gesto de contratos de TI, verifica-se melhora em quesitos como designao formal de gestor de contrato e realizao de monitorao tcnica.


21


113. Verifica-se, tambm, certa estabilidade no ndice de monitorao administrativa de contratos pela TI. Em princpio, esse papel caberia rea administrativa da instituio, desonerando a TI, que deveria, como regra, focar sua ateno na monitorao tcnica da execuo contratual (Acrdo n 1.382/2009-TCU-Plenrio, item 9.2.29). 2.6.4 Concluso

114. Os resultados do presente levantamento demonstram que a falta de processo de gesto contratual ainda mais crtica que a situao encontrada em 2007. Ainda no possvel verificar resultados positivos das iniciativas empreendidas para induzir a APF a adotar processos de trabalho para suportar a gesto de contratos. 115. Deve-se, portanto, dar especial ateno a este aspecto no monitoramento das recomendaes do Acrdo n 1.603/2008 TCU-Plenrio.

2.7

Processo oramentrio de TI

116. A recomendao contida no Acrdo 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte: item 9.1.7. adotem providncias com vistas a garantir que as propostas oramentrias para a rea de TI sejam elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos do negcio; 117. Segue a comparao dos resultados obtidos em 2007 com os obtidos no presente levantamento:

PROCESSO ORAMENTRIO2007 2010 88%

100% 63%50%

84%

84%

0% ORAMENTO TI COM BASE AES PLANEJADAS CONTROLE DE GASTOS E DISPONIB. ORAMENT.

Figura 12. Evoluo dos indicadores de Processo Oramentrio de TI

2.7.1

Anlise

118. Com relao ao processo oramentrio, o quadro sugere uma evoluo relevante. Em 2007, 63% das instituies respondentes afirmaram que, em 2006, as aes previstas para o exerccio seguinte foram levadas em considerao na solicitao do oramento para 2007. 119. J no presente levantamento, 84% das instituies respondentes declararam ter elaborado o oramento de TI com base nas estimativas de custos das contrataes previstas.


22


SEFTI Fls. 61

120. Alm disso, 88% declararam controlar os gastos e a disponibilidade oramentria de tecnologia da informao. 2.7.2 Concluso

121. A melhora no quadro sugere que a APF comea a realizar os procedimentos mais bsicos de um processo oramentrio, como requerer oramento com base no planejado para o ano seguinte e controlar a disponibilidade de recursos oramentrios.

2.8

Auditoria de TI

122. A recomendao contida no Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte: item 9.1.8. introduzam prticas voltadas realizao de auditorias de TI, que permitam a avaliao regular da conformidade, da qualidade, da eficcia e da efetividade dos servios prestados; 123. Segue a comparao dos resultados obtidos em 2007 com os obtidos no presente levantamento:

AUDITORIA DE TI100%2007 2010

49% 50% 39%

0% EXECUTARAM AUDITORIA DE TI

Figura 13. Evoluo dos indicadores de Auditoria de TI

2.8.1

Anlise

124. Em 2007, auditorias de TI eram realizadas por 39% das instituies pesquisadas, que declararam ter realizado pelo menos uma auditoria de TI nos ltimos cinco anos. 125. No presente levantamento, a pergunta referiu-se realizao de auditoria de TI empreendida por iniciativa prpria, caso em que demonstrada a preocupao da instituio com o controle da sua TI. Alm disso, tendo em vista que o intervalo desde o ltimo levantamento foi de trs anos, considerou-se esse horizonte no presente questionrio. 126. O presente levantamento aponta que 49% das instituies respondentes realizaram auditoria de TI nos ltimos trs anos. 127. A figura a seguir detalha os tipos de auditoria realizados.SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

23


TIPOS DE AUDITORIA DE TI REALIZADASOUTRAS AUDITORIA DE GOVERNANA AUDITORIA DE DADOS AUDITORIA DE SISTEMAS AUDITORIA DE SI AUDITORIA DE CONTRATOS 0% 25% 8% 10% 14% 20% 24% 29%

50%

Figura 14. Evoluo dos indicadores de Auditoria de TI

128. A auditoria de TI um instrumento de controle imprescindvel para o sucesso da governana, que pressupe direo e controle, nos termos da norma ABNT NBR ISO/IEC 38.500 (item 3.6). por meio desse instrumento que possvel atestar o bom funcionamento dos esforos para proteger a integridade e a disponibilidade das informaes, alm do sigilo, quando necessrio, e da qualidade dos servios prestados. 129. Cabe informar que uma auditoria de dados, sistemas ou segurana, por exemplo, no depende de a organizao possuir equipe prpria para isso, ainda que esta seja uma prtica aconselhvel. A execuo desses tipos de auditoria nasce do entendimento, pela administrao, de que necessrio assegurar que a informao ntegra e confivel, est disponvel, e manipulada segundo os processos estabelecidos. 130. Dessa forma, quando no houver estrutura interna para tal prtica, a contratao desse servio no mercado pode ser uma alternativa a ser avaliada. 131. A auditoria de contratos de TI, a mais comum, tambm a mais simples de ser realizada pelas atuais estruturas de controle interno, porque se assemelha s auditorias de contratos de outras reas. Entretanto, esse tipo de auditoria no aborda diretamente aspectos tcnicos do gerenciamento de informao institucional, que deveriam ser avaliados pelas estruturas de controle interno, considerando seu papel no apoio governana corporativa. 2.8.2 Concluso

132. A evoluo constatada no ndice de auditoria de TI, que ficou prximo da metade dos respondentes, foi pequena. Ainda no possvel, pelos dados coletados, mensurar resultados da recomendao acima ou de outras iniciativas no sentido de incentivar a realizao de auditorias de TI na APF.


24


SEFTI Fls. 62

33.1

LideranaGovernana de TI e a Alta Administrao

133. Como j afirmado no item 10, da Alta Administrao a responsabilidade de governar a TI, ou seja, de garantir que a TI funcione de forma integrada e que agregue valor ao negcio. 134. No entanto, h alguns elementos importantes que devem ser implantados para que esse governo seja efetivo, entre os quais destaca-se a dimenso Liderana, apresentada a seguir. 135. Registre-se que estes so questionamentos no includos no levantamento de 2007, no possuindo, portanto, dados comparativos. 136. Deve-se ressaltar que os resultados adiante relatados tendem a ser ainda mais preocupantes quando se considera que a situao real pode ser pior do que a apresentada, vez que o presente levantamento baseou-se em declaraes espontneas dos dirigentes mximos, sem a necessidade de encaminhamento de evidncias. 137. Em vista disso, por conservadorismo, optou-se por apresentar as informaes coletadas com base nas respostas negativas, uma vez que uma resposta positiva no garante a presena do artefato ou da conduta questionada, podendo refletir uma situao melhor do que a real, tendo em vista a tendncia dos respondentes em interpretar as questes favoravelmente, como verificado nas auditorias realizadas no mbito do TMS Terceirizao de TI (Acrdo n 2.471/2008-TCUPlenrio).

3.2

Estrutura de Governana de TI

138. O quadro abaixo demonstra os resultados obtidos na questo acerca da estrutura de governana de TI provida pela alta administrao:

ESTRUTURA DE GOVERNANA - DEFICINCIAS A Alta Administrao...100% 77% 61% 51% 50% 48%

0%NO SE RESPONSABILIZA PELAS POLTICAS DE TI NO DESIGNOU COMIT DE TI NO DESIGNOU COMIT DE TI COM REPRESENTANTES DAS REAS DE NEGCIO NO MONITORA O FUNCIONAMENTO DO COMIT DE TI

Figura 15. Estrutura de Governana de TI


25


3.2.1

Anlise

139. Considerando que as informaes foram obtidas de modo declaratrio, e que o questionrio foi dirigido especificamente alta administrao, percebe-se, de plano, que a situao no confortvel. Passa da metade - 51% - o nmero de respondentes que declaram no se responsabilizar pelas polticas corporativas de TI. 140. Ora, so essas polticas que conferem as bases e os limites que norteiam a gesto e o uso de TI na instituio. No h como se falar em governana de TI se a alta administrao no estabelece ou responde pelas diretrizes mais elementares. 141. Dessa forma, possvel supor que a maioria das instituies da APF ainda no se preocupa com governana de TI. 142. Com relao designao de um comit de TI, deve-se ter em vista que esse comit pode ter funes diversas, conforme o modelo de gesto adotado. O Cobit 4.1 (PO4.2 e PO4.3) recomenda a existncia de dois comits, que devem congregar as diversas reas de negcio: comit estratgico, com funes de assessoramento, que busca assegurar o alinhamento da TI com a governana corporativa; comit executivo, que deve monitorar o andamento dos projetos e determinar prioridades dos investimentos em TI, em linha com as estratgias e prioridades do negcio. 143. Um comit de TI funcionando adequadamente pode reduzir o risco de a rea de tecnologia, agindo de forma independente, direcionar recursos para projetos que no so os mais importantes para o negcio, ou mesmo que haja um sequestro da TI (de seus recursos) por um dos setores da organizao, normalmente aquele ao qual est subordinada. 144. De acordo com a Figura 15, pode-se inferir que em pelo menos 48% das instituies respondentes no foi designado um comit de TI, que pelo menos 61% no indicaram representantes das reas de negcio para integrar o comit de TI e que, pior, em ao menos 77% dos casos no h acompanhamento das atividades do comit de TI pela alta administrao. Esses indicadores corroboram o entendimento de que h pouca preocupao da alta administrao com a governana de sua TI. 3.2.2 Concluso

145. Os dados do levantamento sugerem que o conceito de estrutura de governana de TI ainda uma novidade para a maior parte das instituies pblicas. O fato de que em menos da metade das instituies respondentes a alta administrao se enxerga como responsvel pelas polticas corporativas de TI, mesmo sendo essa uma rea crtica, sugere um motivo pelo qual o amadurecimento da gesto e da governana de TI ainda se mostra to lento, como demonstrado na anlise contida na seo 2. 146. O baixo ndice de comits de TI institudos e acompanhados pode ser explicado pela falta de conscincia da alta administrao acerca de seu papel na governana de TI: um dirigente que no se responsabiliza pelas polticas de TI, no sentir necessidade do apoio de um comit, menos ainda de acompanhar seu funcionamento.

3.3

Desempenho institucional na gesto e no uso de TI

147. A figura abaixo demonstra os resultados obtidos na questo acerca do desempenho organizacional de TI:


26


SEFTI Fls. 63

DESEMPENHO ORGANIZACIONAL NA GESTO E USO DE TI DEFICINCIAS A Alta Administrao...100%76% 57% 50% 71% 87%

0% NO DEFINIU OBJETIVOS DE DESEMPENHO NO DEFINIU INDICADORES DE DESEMPENHO NO AVALIA REGULARMENTE O DESEMPENHO NO ACOMPANHA OS INDICADORES DE BENEFCIOS DOS PRINCIPAIS SIST. DE INFORMAO

Figura 16. Desempenho Institucional em Gesto de TI

3.3.1

Anlise

148. Para que se possa acompanhar o desempenho da gesto e do uso da TI, preciso primeiro definir parmetros para isso. O primeiro passo definir os objetivos. Em seguida, importante definir indicadores de desempenho. Com eles, torna-se possvel avaliar o grau de alcance dos objetivos previamente definidos. Por fim, para que esses indicadores sejam teis, eles devem ser monitorados regularmente. Essa avaliao peridica dos indicadores de desempenho subsidia as decises que permitem as correes necessrias para o alcance dos objetivos definidos inicialmente. 149. Um exemplo permitir melhor entendimento da questo levantada: em uma instituio pblica cuja produo se d principalmente por meio de instruo e deciso processual, o andamento dos processos deve ser intensamente monitorado para que sejam mantidos bons ndices de produtividade (princpio da eficincia). Assim, um importante objetivo de desempenho de negcio poderia ser a reduo do volume de processos em estoque e a sua manuteno em baixos nveis. 150. Nesse caso, h evidente oportunidade de aplicao de tecnologia para informatizar a cadeia produtiva que envolve a instruo e deciso processual, reduzindo os tempos de tramitao, controlando o tempo de permanncia em cada etapa e evitando a formao de gargalos. Assim, a alta administrao poder definir objetivo de TI no sentido de que todos os processos da instituio estejam includos e controlados em sistema eletrnico em determinado prazo, o que dever ser medido por indicadores de desempenho prprios e monitorado regularmente pela alta administrao. 151. Dessa forma, fica evidente que o valor da TI de uma instituio relaciona-se sua capacidade de implementar os objetivos de negcio definidos pela alta administrao. Por isso, as decises da alta administrao acerca do uso e da gesto de TI devem levar em conta a capacidade das vrias tecnologias disponveis produzirem como benefcio o alcance dos objetivos institucionais. 152. Em suma, a falta de objetivos claros definidos pela alta administrao impedir uma boa gesto de TI. 153. Os dados encontrados no presente levantamento indicam que ao menos 57% dos respondentes no definiram objetivos de desempenho para o uso e para a gesto da TI institucional. Esse nmero, considerado muito alto, ainda mais enfraquecido pelo fato de que ao menos 76% no estabelecem indicadores de desempenho para TI, 71% no avaliam regularmente esse desempenho e 87% SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI 27


admitiram no tomar suas decises quanto ao uso e gesto de TI com base nos benefcios esperados dos sistemas de informao. 154. Portanto, a maioria das instituies respondentes no estabelece objetivos de TI, no tm indicadores de desempenho para esses objetivos, no avalia o alcance de objetivos e no toma decises com base nos benefcios de negcio advindos dos sistemas de informao providos pela TI. 155. Obviamente, as instituies tero muita dificuldade em perseguir objetivos que no estiverem definidos. Alm disso, a definio de um objetivo somente o primeiro passo na sua direo, mas seu alcance geralmente depende de decises tomadas no esforo de cumpri-lo, de acordo com a anlise criteriosa dos indicadores correspondentes. 156. A conquista de um objetivo definido sem o acompanhamento dos indicadores apropriados depende, em geral, mais de fatores fortuitos do que de processos estabelecidos de superviso e gerncia. Nas vezes em que isso ocorre, costuma ser to difcil repetir esse sucesso quanto aprender com ele. 157. A omisso no cumprimento dessa responsabilidade pela alta administrao certamente causa de ineficincia e inefetividade institucional, que devem ser obstinadamente combatidas. 3.3.2 Concluso

158. De forma geral, pode-se inferir que falta preocupao da alta administrao com o uso e a gesto da TI institucional, o que pode induzir ineficincia e inefetividade da instituio como um todo. 159. Assim, tendo em vista que esses aspectos esto na essncia da governana, que se ampara na direo e no controle da gesto e do uso de TI, prope-se recomendao a cada rgo governante superior para que: a) oriente as instituies sob sua jurisdio, com base no princpio da eficincia, do planejamento e do controle, sobre a necessidade de a respectiva alta administrao estabelecer formalmente: i) objetivos institucionais de TI alinhados s estratgias de negcio; ii) indicadores para cada objetivo definido na forma acima, preferencialmente em termos de benefcios para o negcio da instituio; iii) metas para cada indicador definido na forma acima; iv) mecanismos que ela (alta administrao) adotar para acompanhar o desempenho da TI da instituio. b) promova, mediante orientao normativa, a obrigatoriedade de a alta administrao de cada instituio sob sua jurisdio estabelecer os itens acima. 160. Alm disso, cabe determinar que a Sefti monitore a APF quanto evoluo desses procedimentos.

3.4

Gestores de tecnologia da informao

161. A figura abaixo demonstra os resultados obtidos na questo acerca da poltica de recursos humanos para a gesto de TI:


28


SEFTI Fls. 64

GESTORES DE TI - DEFICINCIAS A Alta Administrao...NO ESCOLHE GESTORES DE TI FUNDAMENTALMENTE COM BASE NA COMPETNCIA 20%

NO PREENCHE PELO MENOS 75% DAS FUNES GERENCIAIS DE TI COM PESSOAL DO QUADRO PRPRIO

35%

NO PROV POLTICA DE DESENVOLVIMENTO DE GESTORES DE TI

75%

NO ACOMPANHA O DESEMPENHO GERENCIAL

83%

0%

50%

100%

Figura 17. Poltica de RH para gesto de TI

3.4.1

Anlise

162. Um aspecto basilar da boa governana de TI a alocao de pessoas adequadamente capacitadas para decidir sobre a gesto e o uso da TI institucional. Decises sobre a gesto e o uso de TI no esto restritas rea de TI, mas permeiam a instituio como um todo (ABNT NBR ISO/IEC 38.500). 163. Porm, o foco da presente questo relaciona-se especificamente aos gestores inseridos na rea de TI, cujas decises devem balancear aspectos tcnicos, administrativos e de negcio, contribuindo para a efetividade e a eficincia da instituio, em parceria com os demais decisores da instituio. 164. Os resultados obtidos so alarmantes: Ao menos 20% dos respondentes no escolhem os gestores de TI com base em critrios de competncia, mesmo em uma rea to crtica, da qual toda a instituio depende; Pelo menos 35% das instituies no reservam pelo menos 75% das funes comissionadas da rea de TI para servidores do quadro prprio, permitindo que mais de da gesto de TI esteja nas mos de empresas ou de pessoas com vnculo precrio com a instituio; Em ao menos 75% das instituies no h alguma poltica para desenvolvimento de gestores de TI; Em pelo menos 83% das instituies no h acompanhamento do desempenho gerencial na rea de TI. 165. Esses indicadores apontam para a falta de preocupao da alta administrao em garantir uma boa capacidade gerencial interna, em conflito com o Decreto n 5.707/2006 (conforme j explicitado nos itens 54/60). 166. A situao especialmente delicada no caso do Sisp, onde pelo menos 52% dos respondentes no priorizam o preenchimento das funes de gesto de TI com pessoas do quadro interno, como pode ser visto na Figura 18.


29


GESTORES DE TI - DEFICINCIAS (Somente Sisp) A Alta Administrao...

NO ESCOLHE GESTORES DE TI FUNDAMENTALMENTE COM BASE NA COMPETNCIA

23%

NO PREENCHE PELO MENOS 75% DAS FUNES GERENCIAIS DE TI COM PESSOAL DO QUADRO PRPRIO

52%

NO PROV POLTICA DE DESENVOLVIMENTO DE GESTORES DE TI

82%

NO ACOMPANHA O DESEMPENHO GERENCIAL

91%

0%

20%

40%

60%

80%

100%

Figura 18. Poltica de RH para gesto de TI (somente Sisp)

167. Quando uma parte relevante dos gestores de fora dos quadros da instituio, portanto com um vnculo precrio, h elevado risco de falta de continuidade na conduo da TI. Como resultado, o processo de amadurecimento da gesto fica comprometido. 168. O elevado nmero de respostas negativas em poltica de desenvolvimento de gestores de TI e acompanhamento de desempenho gerencial so compreensveis nesse contexto. Alm da falta de governana revelada em indicadores j relatados (sees 3.2 e 3.3), no haveria incentivo para se proverem polticas corporativas de desenvolvimento para gestores sem vnculo estvel com a instituio. 169. Da mesma forma, para que seja possvel acompanhar o desempenho gerencial, h a necessidade de se definirem objetivos e indicadores de desempenho, feito no alcanado por 57% e 76% dos respondentes, respectivamente (seo 3.3). Alm disso, como regra, compreensvel que haja pouca motivao no esforo de acompanhamento do desempenho dos que foram escolhidos por outros critrios que no o da competncia. 3.4.2 Concluso

170. Quando a prpria seleo de gestores de TI j apresenta deficincias e, alm disso, parte relevante da equipe de gesto de TI possui vnculos precrios com a organizao, h pouca esperana de evoluo da gesto de TI no longo prazo. 171. Entretanto, como o TCU j emitiu recomendao (item 48) aos rgos governantes superiores para que atentem para a necessidade de dotar a estrutura de pessoal de TI, buscando garantir sua capacitao, como forma de evitar o risco de perda de conhecimento organizacional, o que inclui a equipe de gesto, deixa-se de propor encaminhamento neste momento.

3.5

Avaliao de Governana de TI

172. Para o TCU, a adoo de indicadores de gesto uma prtica que contribui para o aperfeioamento da gesto pblica e consequente melhoria da prestao dos servios pblicos (BRASIL, 2005). A comparao de instituies segundo indicadores de gesto uma prtica recomendvel na medida em que fornece indicativo acerca dos riscos existentes e das oportunidades de melhoria de uma instituio (BRASIL, 2009a, p. 3-4, 31; GULDENTOPS, 2003).SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

30


SEFTI Fls. 65

173. No TCU, o uso de mtricas para classificao de unidades jurisdicionadas ainda relativamente recente, especialmente a aplicao de mtodos que procurem avaliar o risco institucional. No entanto, essa a direo adotada em vrias organizaes de controle (BRASIL, 2009b). Por essa razo, o presente levantamento insere-se tambm no contexto da proposio de um processo contnuo de acompanhamento da governana de TI, conforme ilustrado na Figura 19. 174. As entradas desse processo so temas priorizados pelo TCU e pelo Congresso Nacional, as competncias legais dos rgos governantes e seus objetivos e metas, e os modelos de governana produzidos por organizaes de referncia em pesquisa ou em auditoria. Com base nessas entradas, so escolhidos os aspectos mais relevantes de governana de TI que devem ser levantados por meio de questionrio (Perfil GovTI ) para integrar uma base de dados. Essa base de dados tambm recebe insumos de informao de outras fontes necessrias anlise da Sefti, tais como dados oramentrios do Sidor e, futuramente, dados de execuo do Siafi e Siasg. Com base nessas informaes possvel a gerao de informaes de sada destinadas a diversos clientes da Sefti e do TCU.

Processo de Acompanhamento da Governana de TI(Modelo de Negcio)P roblem riscos e oportunias, dadesde m elhoria da AP F D anda por em K e com petncias

Instituies de ensino e pesquisa Jurisdicionados

Perfil GovTI

TCU e CN rgos governantes* RefernciasAcademia Organiz.Audit.

P roblem as priorizados

Avaliao com parada Alta Administrao + recom endaes Comit de TI Gestores de TI Avaliao com parada + recom endaes

C petncias legais om O bjetivos e m etas

Controle Interno

F eworks ram reconhecidos

Base DW GovTI

Aval.com p.+rec. P roposta de norm as

rgos governantes Congresso Nacional TCU

Aval.com p.+rec. P roposta de leis

*Orgos governantes:- rgo central do SISP (SLTI) e setoriais (SEs) - DG/Cmara, CD/Senado, Segedam/TCU - Conselhos superiores (CNMP, CNJ, CNJT, CJF, CATI/MCT etc.) - GSI/PR, Sepin/MCT - Departamento de Coordenao e Controle das Empresas Estatais DEST/MP

fontesreas de risco identificadas E entos para D ontas lem N-C

Figura 19. Modelo de negcio do processo de acompanhamento da governana de TI

3.5.1

Mtrica de governana adotada no presente levantamento

175. A mtrica de governana adotada no presente levantamento procura combinar elementos de trs fontes: (a) o Cobit 4.1, usualmente adotado mundialmente para avaliao de governana de TI (ITGI, 2007); (b) o Gespblica, adotado no Brasil como modelo de excelncia em gesto pblica, e com avaliaes anuais (BRASIL, 2010); (c) o levantamento de governana realizado pelo TCU em 2007 e que resultou no Acrdo n 1.603/2008-TCU-Plenrio. Optou-se pela combinao dessas trs fontes como forma melhorar a sustentao do mtodo adotado e de acelerar o seu amadurecimento. 176. No Apndice VII apresentado o mtodo completo de clculo do ndice de governana de TI (iGovTI). De modo geral, o clculo do iGovTI considera trs nveis de consolidao: a ponderao das subquestes do questionrio dentro de uma questo, gerando um nmero que varia de 0 a 100% e que representa o grau de aderncia da instituio boa prtica ou requisito legal em questo; a ponderao das questes dentro de uma dimenso de avaliao, segundo o Gespblica (Figura 20), gerando um nmero que varia de 0 a 100% e que represente o grau de governana na respectiva dimenso. Ressalte-se que, para compor o iGovTI, foram SisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI 31


escolhidas somente as dimenses 1.Liderana, 2.Estratgias e Planos, 6.Pessoas e 7.Processos, pois o aprofundamento do questionrio nessas dimenses foi maior. Alm disso, essas foram as dimenses que, de um forma ou de outra, foram abordadas no levantamento de 2007. Assim, as dimenses 3.Cidado, 4.Sociedade e 5.Informao e conhecimento no foram consideradas no clculo do iGovTI e serviram apenas para estudos exploratrios no presente levantamento; a ponderao final dos valores encontrados para as dimenses 1.Liderana, 2.Estratgias e Planos, 6.Pessoas e 7.Processos, conforme os pesos previstos no Gespblica para o exerccio 2009/2010, que so, respectivamente, 110, 60, 90 e 110 pontos. Como j comentado, a oitava dimenso do Gespblica, chamada Resultados, embora seja a mais importante naquele modelo (450 pontos), no foi considerada no presente levantamento porque ainda no foram identificadas formas adequadas e consistentes de medio de resultados da TI por meio de questionrio, o que se pretende evoluir nos prximos ciclos de levantamento.

Figura 20. Representao do Modelo de Excelncia em Gesto Pblica Gespblica Fonte: BRASIL, 2010, p. 24

177. Adicionalmente, a distribuio dos valores de iGovTI foi analisada em comparao com dois padres de resposta ao questionrio que, a juzo da equipe deste levantamento, representam a situao mais baixa que se possa classificar como governana intermediria e a situao mais baixa que se possa classificar como governana aprimorada. Esses dois padres permitiram escolher os seguintes limites: Abaixo de 40%, considera-se que a instituio encontra-se em estgio INICIAL de governana de TI; de 40 a 59%, considera-se em estgio INTERMEDIRIO; a partir de 60%, considera-se em estgio APRIMORADO. 178. Essa escala difere da utilizada no modelo Cobit, no sendo possvel uma correspondncia direta com aquele modelo. Alm disso, como se trata de juzo estabelecido a partir das declaraesSisDoc: idSisdoc_1360597v3-44 - Levantamento_GovTI_2010(v50)[1].doc - 2010 - SEFTI

32


SEFTI Fls. 66

das prprias instituies, sem aplicao de qualquer mecanismo validador da qualidade da informao, no possvel afirmar quo bem os valores calculados descrevem as respectivas instituies. Porm, esse mtodo permite a inferncia de distines importantes entre instituies pblicas e podem fornecer subsdios importantes para o seu planejamento e controle, e tambm para o controle externo. 179. Observe-se tambm que, diferentemente do Cobit, que limita a nota de governana menor nota alcanada em qualquer das dimenses de avaliao, o presente mtodo calcula a mdia das notas obtidas em cada dimenso. Por isso, a descrio de cada um dos trs estgios acima mencionados apenas uma generalizao da situao esperada e no significa que a instituio atenda a todos os aspectos avaliados igualmente. 3.5.2 Anlise de governana das instituies respondentes

180. Aplicada essa forma de clculo aos dados informados pelas instituies respondentes, obtevese a distribuio de frequncia apresentada na Figura 1.50 45 40

quantidade de instituies

35 30 25 20 15 10 5 000 a 04% 05 a 09% 15 a 19% 20 a 24% 35 a 39% 40 a 44% 50 a 54% 55 a 59% 70 a 74% 75 a 79%10 a 14% 25 a 29% 30 a 34% 45 a 49% 60 a 64% 65 a 69% 80 a 84%

ndice de governana de TIFigura 21. Distribuio das instituies respondentes por faixa de governana

181. Pode-se observar que a maioria (57%) das instituies respondentes se encontra abaixo do limite de 40% de aderncia aos requisitos apresentados no questionrio, o que corresponde ao estgio inicial de governana de TI. Nessa faixa, o envolvimento da alta administrao menor, o planejament

relatório do levantamento governança de ti 2010

Documents