tcu palestra - auditando governança de ti na apf

Upload: eduardo-soares

Post on 17-Jul-2015

47 views

Category:

Documents


0 download

TRANSCRIPT

Auditando Governana de TI na Administrao Pblica FederalAndr Luiz Furtado Pacheco, CISA36 Secop agosto de 2008

Agenda Papel do TCU Secretaria de Fiscalizao de TI (Sefti/TCU) Levantamento acerca da Governana de TI Critrios Utilizados Principais Achados Aes Previstas

2

1.1 Papel do TCUO Tribunal de Contas da Unio tem jurisdio prpria e privativa, em todo o territrio nacional. Julga as contas dos administradores e demais responsveis por dinheiros, bens e valores pblicos federais, bem como de qualquer pessoa fsica ou jurdica, pblica ou privada, que der causa a perda, extravio ou outra irregularidade de que resulte prejuzo ao Errio.

3

1.2 Dados do TCU em 2007 Cerca de 3.000 rgos ou entidades da Administrao Pblica Federal jurisdicionados; Recebeu 1.546 prestao de contas anuais; Adotou 116 medidas cautelares; Aplicou sanes no valor de R$ 521 milhes; Realizou 723 fiscalizaes; Gerou benefcios no valor de R$ 5,6 bilhes; Para cada R$ 1,00 gasto, o TCU proporcionou uma economia de R$ 5,23.

4

1.3 Histrico da ATI no TCU Curso de Introduo Auditoria de Sistemas (1992) Elaborao da 1 verso do PA (1993) Execuo da 1 Auditoria da TI (1994) Especializao de Diviso Tcnica - DIPEA (1996) Projeto de Desenvolvimento da Auditoria de TI - PDTI Manual de Auditoria de Sistemas e curso regular de ATI (1997/1998) Projeto de Auditoria da TI (2001) Criao da Diretoria de Auditoria da TI - Dati/Adfis (2003) Criao da Secretaria de Fiscalizao de TI - Sefti (2006)

5

1.4 Criao da Sefti Resoluo n 193 (agosto 2006) realizar fiscalizaes que requeiram conhecimento especializado na rea de TI realizar trabalhos de fiscalizao e de avaliao de programas de governo na rea de TI fiscalizar a gesto e o uso de recursos de TI pela APF realizar pesquisas, desenvolver e disseminar mtodos em ATI elaborar e aplicar cursos e treinamentos

6

1.5 Papel da SeftiNegcio: Controle externo da governana de tecnologia da informao na Administrao Pblica Federal. Misso: Assegurar que a tecnologia da informao agregue valor ao negcio da Administrao Pblica Federal em beneficio da sociedade. Viso: Ser unidade de excelncia no controle e no aperfeioamento da governana de tecnologia da informao.

7

1.6 Aes da Sefti em 2007 Levantamentos realizados em 2007 informaes para criao do referencial estratgico da Sefti e identificar formas de atuao de entidades fiscalizadoras de TI informaes acerca de gastos e referncia de preos em TI na Administrao Pblica Federal informaes sobre legislao, jurisprudncia, normas e estudos na rea de TI informaes acerca da governana de TI

8

1.7 Resultados da Sefti em 200837 trabalhos realizados at julho de 2008 (15 fiscalizaes / 22 processos); 23 profissionais, 5 CISA; Para cada R$ 1,00 gasto, a Sefti dever proporcionar uma economia de R$ 1.071,00.

9

1.8 Materialidade do gasto em TI Hoje no possvel identificar precisamente a despesa com TI na Administrao Pblica

nem a despesa autorizada nem a executada Acrdo 371/2008-Plenrio Ao e Elemento de Despesa prprios para 2009 (LDO) Unio: R$ 6 bilhes em 2006 (fonte: Siafi e Dest/MP) Todas as esferas de Governo: R$ 15 bilhes em 2008 (fonte: e-Consulting)

Estima-se:

10

Despesa de TI liquidada no SIAFI em 2006(por subelemento de despesa)Servios de Processamentos de Dados 60,15% Equipamentos de Processamento de Dados 13,59% Despesas de Teleproc. 7%

M aterial de Processamento de Dados 5,83% Aquisicao De Softwares De Base 0,41% M anut. Cons. Equip. de Processamento de Dados 1,78% Locao de Softwares 2,39% Aquisio de Softwares de Aplicao M anuteno de 5,55% Software 3,93%

Fonte: TC 007.972/2007-8 Origem da classificao: Portaria STN 448/02 11

2. Levantamento Governana de TILevantar informaes para elaborao de mapa com a situao da Governana de TI na Administrao Pblica Federal com vistas a subsidiar o planejamento das fiscalizaes da Sefti Verificar onde a situao da Governana de TI est mais crtica Identificar as reas onde o TCU pode atuar como indutor do processo de aperfeioamento da Governana de TI Identificar os principais sistemas e bases de dados da Administrao Pblica Federal

12

2.1 Etapas do levantamento Elaborao do questionrio (39 questes) Identificao do pblico alvo (255 rgos/entidades da APF) Identificao dos responsveis pela resposta Resposta pesquisa (respostas declarativas, com anexao de evidncias) Suporte ao processo de resposta dos questionrios Encerramento da pesquisa Avaliao dos dados coletados

13

2.2 QuestionrioComposto de 39 questes nas reas de: Planejamento Estratgico e PETI Estrutura de Pessoal de TI dos rgos/Entidades Segurana da Informao Desenvolvimento de Sistemas Gesto dos Acordos de Nveis de Servio (SLA) Processo de Contratao de Bens e Servios de TI Gesto dos Contratos de TI Controle de Gastos de TI Realizao de Auditorias de TI pelos rgos/Entidades

14

2.3 Critrios UtilizadosNBR ISO/IEC 27002 ( poca 17799) Segurana da Informao NBR ISO/IEC 15999-1 Gesto de Continuidade de Negcios Cobit 4.1 Governana de TI

15

2.4 Resumo dos AchadosA partir dos dados coletados, observou-se que: Situao da governana de TI na APF bastante heterognea; A estrutura de pessoal de TI bastante diversa e est atrelada natureza jurdica da organizao; Situao da governana de TI est mais crtica no que diz respeito ao tratamento da segurana da informao.

16

2.4.1 Planejamento Estratgico Institucional e de TI47 % Ausncia de planejamento estratgico institucional em vigor 59 % Ausncia de planejamento estratgico de TI em vigor 67 % Ausncia de comit diretivo sobre aes e investimentos em TI

17

2.4.2 Estrutura de Pessoal de TIQuantidade reduzida de servidores na rea de TI (29 % menos de 1/3) 63 % Ausncia de formao especfica em TI 60 % Inobservncia das competncias necessrias para funes comissionadas 57 % Ausncia de carreira especfica para a rea de TI

18

2.4.3 Segurana da Informao64 % Ausncia de poltica de segurana da informao em vigor 88 % Ausncia de plano de continuidade de negcios em vigor 80 % Ausncia de classificao das informaes 48 % Ausncia de procedimentos de controle de acesso em vigor

19

Segurana da Informao (cont.)64 % Ausncia de rea especfica para lidar com segurana da informao 76 % Ausncia de rea especfica para gerncia de incidentes 88 % Ausncia de gesto de mudanas 84 % Ausncia de gesto de capacidade e compatibilidade das solues de TI 75 % Ausncia de anlise de riscos na rea de TI

20

Deficincias na segurana da informao90% 80% 70% 60% 50% 40% 30% 20% 10% 0%) ) ) ) ) ) ) ) ) % % 64% % 8% 8% % 4% 8% 4 5 6 8 0 6 ( ( 8 8 7 4 ( 8 (7 N s( e ( o ( s( SI o( SI TI P te a ss PC na idad a en s de par ce a c m id a ud apa for nc isco fica i m ole n c i tr de de r pec de de o da on o ia c s o e nc d. st st a lis ea e e r ge ge ge an r roc ific p s las c

21

2.4.4 Desenvolvimento de Sistemas51 % No-adoo de metodologia de desenvolvimento de sistemas

22

2.4.5 Gesto de Acordos de Nveis de Servio (SLA)89 % Ausncia de gesto de acordos de nveis de servios prestados internamente 74 % Ausncia de gesto de acordos de nveis de servios contratados externamente

23

2.4.6 Processo de Contratao de Bens e Servios de TI46 % Ausncia de processo formal de trabalho para contrataes de TI 47 % Ausncia de anlise de custo/benefcio da soluo de TI contratada 40 % Ausncia de explicitao dos benefcios nas contrataes de TI 50 % No-exigncia de demonstrativo de formao de preo antes da adjudicao

24

2.4.7 Processo de Gesto de Contratos de TI55 % Ausncia de processo formal de trabalho para gesto de contratos de TI 65 % No-realizao de reunies peridicas para avaliar o andamento dos contratos de TI 47 % No-definio prvia de itens para atestao tcnica das faturas de contratos de TI

25

Processo de Gesto de Contratos de TI (cont.)45 % Monitorao administrativa dos contratos de TI feita pela rea de TI 57 % No-transferncia de conhecimento relativo aos produtos e servios terceirizados para os servidores dos rgos/entidades

26

2.4.8 Processo Oramentrio de TI39 % No-considerao das aes planejadas para o prximo ano quando da solicitao de oramento para a rea de TI 51 % No-alocao dos recursos previstos no oramento s aes constantes do planejamento de TI no incio do ano

27

2.4.9 Auditoria de TI60 % Inexecuo de auditoria de TI pelos rgos/entidades (nos ltimos cinco anos) 81 % Inexistncia de equipe prpria para realizar auditoria de TI

28

2.5 Acrdo 1603/2008 - PlenrioRecomendaes CNJ CNMP Senado Federal Cmara dos Deputados TCU MP (especialmente SLTI) GSI/PR CGU

29

2.6 Aes Previstas Monitorar aes em prol da Governana de TI Realizao de Seminrios para discusso de assuntos relativos Governana de TI Execuo de fiscalizaes que permitam a consolidao da jurisprudncia do Tribunal em Governana de TI Elaborao de cartilha de boas prticas em Governana de TI Acompanhamento permanente da evoluo da Governana de TI

30

Obrigado

[email protected] (61) 3316-7388 www.tcu.gov.br/fiscalizacaoti

31