Professional Documents
Culture Documents
desempenho da administração pública
Caso de sucesso: Avaliação da
Governança de TI
Cláudio Castello Branco, CGAP, CIA1
Coordenador‐Geral de Controle Externo dos Serviços Essenciais ao Estado e das
Regiões Sul e Centro‐Oeste
Brasília‐DF, 15 de maio de 2013
TCU – Diálogo Público
1
Como começamos em TI...
• Em agosto de 2006 (Resolução TCU 193/2006)
– A Secretaria de Fiscalização de Tecnologia da
Informação (Sefti) tem por finalidade fiscalizar a
gestão e o uso de recursos de tecnologia da
informação pela Administração Pública Federal.
2
2
Sefti ‐ Evolução
Negócio
Controle externo da governança de tecnologia da
informação na Administração Pública Federal
Missão
Assegurar que a tecnologia da informação agregue
valor ao negócio da Administração Pública Federal
em benefício da sociedade
Visão
Ser unidade de excelência no controle e no
aperfeiçoamento da governança de tecnologia da
informação
3
3
Governança de TI
Definição
5
Motivação dos Levantamentos GovTI
• Mapear riscos relevantes
• Identificar os melhores resultados e as boas
práticas
• Dar transparência da situação de governança
de TI na APF
6
Como auditamos Governança em TI
• Adotamos o Gespública como critério‐mestre
(Decreto 5.378/2005)
• Critérios adicionais:
– Legislação de licitações e contratos
– Jurisprudência do TCU
– Cobit, COSO, IBGC, IPPF‐IIA...
– Normas ABNT (38500, 12207, 15504, 20000, 27000...)
– ISSAI‐INTOSAI 9100‐9199 Governança e Controles Inter.
7
Governança Corporativa e de TI
Frameworks
ISO 38500
GESPÚBLICA
COSO
Cobit
Escopo
8
8
Levantamento GovTI Ciclo 2007
Acórdão 1.603/2008‐TCU‐Plenário
9
Levantamento GovTI Ciclo 2007
• 1º Levantamento de Governança de TI
• 255 jurisdicionados pesquisados
• Questionário com 39 questões
• Jurisdicionados deveriam anexar evidências
10
Acórdão 1.603/2008‐TCU‐Plenário
Deficiências em Governança de TI
51% NÃO alocam gastos de TI de acordo com planejamento
51% NÃO seguem metodologia de desenvolvimento de sistemas
57% NÃO têm carreira/cargo específica para TI
59% NÃO têm planejamento estratégico em vigor
64% NÃO têm política de segurança da informação
75% NÃO fazem análise de riscos de TI
80% NÃO fazem classificação da informação
88% NÃO têm plano de continuidade de negócios
11
Levantamento GovTI Ciclo 2007
• TC 019.230/2007: Verificação in loco
– 12 auditorias, em 7 UF
– 25 questões de auditoria
– 77 achados (auditoria integrada)
• Conclusão:
– confirmada a falta de governança nos 12 casos
– situação pior que a declarada no questionário
– Acórdão 2.471/2008‐TCU‐Plenário
12
Dia‐a‐dia
X
Dia da Auditoria
13
No dia-a-dia... No dia da auditoria...
14
No dia-a-dia... No dia da auditoria...
15
No dia-a-dia... No dia da auditoria...
16
No dia-a-dia... No dia da auditoria...
17
No dia-a-dia... No dia da auditoria...
18
No dia-a-dia... No dia da auditoria...
19
No dia-a-dia... No dia da auditoria...
20
No dia-a-dia... No dia da auditoria...
21
Levantamento GovTI Ciclo 2010
Ação:
Melhorar o
marco normativo
22
Estímulo ao desenvolvimento do
marco normativo para governança
de TI (Ac1603 e 2471/2008‐P)
• IN‐SLTI 04/2010
• IN‐GSI 1/2008 e normas complementares
• Resoluções CNJ 70, 90 e 99/2009
• Resolução CNMP 70/2011
23
Levantamento GovTI Ciclo 2010
2º Levantamento de Governança de TI
• 301 jurisdicionados pesquisados / 14 auditorias in loco
• 30 perguntas – 152 subitens
• Divididas segundo 7 (de 8) critérios do Gespública
Liderança
Estratégias e planos
Cidadãos
Sociedade
Informações e conhecimento
Pessoas
Processos
• Evidências apenas se solicitado
• Acórdão 2.308/2010‐TCU‐Plenário
24
Levantamento GovTI Ciclo 2010
Resultados
(Critério Processos)
25
Levantamento GovTI Ciclo 2010
Resultados
(Critério Liderança)
26
Levantamento GovTI Ciclo 2010
• Planejamento estratégico institucional
• 2007 – 53%
• 2010 – 80% (p.ex. Res CNJ 70/2009)
• Cargo de TI
• 2007 – 43%
• 2010 – 78% (p.ex. SISP – ATI+GSISP)
27
Levantamento GovTI Ciclo 2010
Principal conclusão:
Omissão da liderança
é causa‐raiz!
28
2010 ‐ Liderança
Correlação entre governança em liderança e governança em
Correlação entre governança em liderança e governança em
processos de TI
processos de TI
100%
100%
90%
+liderança
+processo
90% 80%
governança em processos de TI
80% 70%
governança em processos de TI
60%
70%
50%
60%
40%
50%
30%
40% 20%
30% 10%
20% 0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
10% ‐liderança governança em liderança de TI
‐processo
0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
governança em liderança de TI
Coeficiente de correlação=0,60
29
Critérios de análise do Gespública
30
Levantamento GovTI Ciclo 2010
Ações:
Feedback &
Recomendações
31
Levantamento GovTI Ciclo 2010
• Relatório de 40 páginas personalizado para cada instituição
Exemplo de item de feedback
32
Acórdão 2.308/2010‐Plenário
• Orientar a alta administração a estabelecer
formalmente:
– os objetivos institucionais de TI alinhados às
estratégias de negócio (dirigir)
– os indicadores para cada objetivo (dirigir)
– as metas para cada indicador (dirigir)
– os mecanismos que a alta administração adotará para
acompanhar o desempenho da TI da instituição
(monitorar)
33 33
Acórdãos estruturantes
1.603/2008 1.827/2008
371/2008 2.471/2008
786/2006 2.308/2010
E outros que
2.094/2004 estão por vir...
34
Órgãos Governantes Superiores
(OGS)
• AGU
• CGU
• CNMP
“Têm a responsabilidade por
• CNJ
normatizar e fiscalizar o uso e a
gestão de TI em seus • Dest/MP
respectivos segmentos da • Enap/MP
Administração Pública Federal” • GSI/PR
(Voto do Acórdão 1.145/2011-TCU-Plenário)
• Segep/MP
• SLTI/MP
• SOF/MP
• STN/MF
35
Recomendações
(3)
Critérios de auditoria
(6)
Normatização,
TCU Ações de controle
orientações, fiscalizações OGS
(1) (5)
Boas práticas
Situação de GovTI (4)
(2) APF
Mais e melhores Ratifica
serviços legitmidade
(7) (8)
Sociedade
36
Valeu a pena investir nessa estratégia?
37
Levantamento GovTI Ciclo 2012
Acórdão 2.585/2012-TCU-Plenário
38
Levantamento GovTI Ciclo 2012
ASPECTOS POSITIVOS
39
Levantamento GovTI Ciclo 2012
PRINCIPAIS EVOLUÇÕES 2010 – 2012
40
Levantamento GovTI Ciclo 2012
INSTITUIÇÕES x ESTÁGIOS DO iGovTI
60 a 100%(aprimorado) 40 a 59%(intermediário) 0 a 39%(inicial)
16%
2012 50%
34%
5%
2010 38%
57%
41
Levantamento GovTI Ciclo 2012
ASPECTOS QUE AINDA DEMANDAM ATENÇÃO
10% realizam análise de risco
16% realizam gestão de incidentes de seg. da informação
17% possuem processo de classificação da informação
17% realizam gestão da continuidade dos serviços
18% possuem processo formal de planejamento das contratações de TI
23% acompanham os indicadores de benefícios dos principais sistemas
24% inventariam os ativos de informação
31% possuem processo formalizado de gestão de contratos de TI
37% estabeleceram indicadores de desempenho de TI
45% possuem política de segurança da informação
42
Levantamento GovTI Ciclo 2012
Governança de TI x Orçamento de TI
R$ 10.000.000.000,00
O R$ 1.000.000.000,00
r
ç
a
m
e
R$ 100.000.000,00
n
t
o
T
R$ 10.000.000,00
I
2
0
1
R$ 1.000.000,00
2
R$ 100.000,00
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
iGovTI2012
43
Alguns Resultados
• Financeiros: R$ 7,5 bilhões (2007‐2012)
– Relação custo/benefício: R$ 502 para R$ 1
– Economias e ganhos
• Benefícios não financeiros
– melhorias na organização administrativa, nos
controles internos, na gestão, na governança e na
forma de atuação dos órgãos fiscalizados;
– fornecimento de subsídios para a atuação do
Ministério Público e do Congresso Nacional;
– recomendações para aprimoramento de normas.
44
Alguns Resultados
• Judiciário
CNJ – Resolução 70, de 18.03.2009 – dispõe sobre o
Planejamento e a Gestão Estratégica no âmbito do Poder
Judiciário (Criação do Comitê Estratégico de TI)
CNJ – Resolução 99, de 24.11.2009 – dispõe sobre o
Planejamento Estratégico de TI no âmbito do Judiciário
• Executivo
GSI/PR: IN GSI/PR 01, de 13.06.2008 – disciplina a Gestão
de Segurança da Informação na APF
GSI/PR: produziu 7 Notas Complementares (de out2008 a
mai2010)
45
Alguns Resultados
• Executivo
MP – IN/SLTI 04/2010, de 12.11.2010 – Dispõe sobre
o processo de contratação de Soluções de TI
MP – Portaria 63, de 27.03.2009 e Portaria nº 107 de
04.03.2010 –autorizam a realização de concurso
público para provimento e a contratação de 230
Analistas de TI
MP – Indução da previsão e execução das despesas
de TI no OGU (Acórdão 371/2008 –Plenário)
46
Alguns Resultados
• Legislativo
Critérios gerais de controle interno na administração
pública – PLS 229/2009 e subsídio para elaboração
de normativo
Acórdão 1.233/2012-Plenário:
9.44.5. encaminhe o estudo elaborado pelo TCU intitulado "Critérios
gerais de controle interno na administração pública" à (item IV):
9.44.5.1. Câmara de Políticas de Gestão, Desempenho e Competitividade
do Conselho de Governo, com objetivo de subsidiar possível elaboração de
normativo para o poder executivo, com fundamento no Decreto 7.478/2011,
art. 2º, II, tratando de gestão de riscos, do controle interno e da
governança corporativa;
47
Avaliação do gestor (TMS 6/2010)
• É comum no Serviço Público a expressão
"Sofremos fiscalização do TCU", após essa
segunda auditoria, a primeira fora realizada
no ano de 2007, posso dizer que a expressão
contém imprecisão grande.
48
Avaliação do gestor (TMS 6/2010)
• A Divisão de Informática do Itamaraty não
"sofreu" fiscalização, pois cada uma das
observações serviu para o aprimoramento de
nossos processos, sobretudo os de
contratação, que já passaram por
modificações extensas que culminarão em
Pregão Eletrônico a ser realizado nesta
segunda‐feira 14 de fevereiro.
49
Avaliação do gestor (TMS 6/2010)
• Dessa maneira, a palavra "sofreu" que implica
dizer que houve sofrimento da parte auditada,
não é a mais adequada para descrever o
processo ao qual nos submetemos. Ao
contrário, as diversas reuniões com a equipe
de auditores proporcionou ao Ministério
momentos de aprendizado e aprimoramento
de práticas únicos.
50
Avaliações de qualidade do TMS
• Auditores do TCU que participaram da FOC
– objetivo: avaliar a atuação da Sefti como unidade
coordenadora dos trabalhos
– 90% de satisfação
• Responsáveis pelos entes auditados
– objetivo: verificar a satisfação do auditado com a
auditoria
– 94% de satisfação
51
51
Induzindo a mudança
Governança
Alta
Implementação/Aprimoramento
Administração
do modelo de governança (responsabilidade)
Desgovernança
52
Governança de pessoal: aperfeiçoando o
desempenho da administração pública
Obrigado!
Cláudio Castello Branco, CGAP, CIA1
Coordenador-Geral de Controle Externo dos Serviços Essenciais ao
Estado e das Regiões Sul e Centro-Oeste
Coestado/TCU
Fone: (61) 3316-7311
coestado@tcu.gov.br
Brasília‐DF, 15 de maio de 2013
TCU – Diálogo Público
53