Governança de pessoal: aperfeiçoando o 

desempenho da administração pública

Caso de sucesso: Avaliação da 
Governança de TI
Cláudio Castello Branco, CGAP, CIA1
Coordenador‐Geral de Controle Externo dos Serviços Essenciais ao Estado e das 
Regiões Sul e Centro‐Oeste

Brasília‐DF, 15 de maio de 2013
TCU – Diálogo Público

1
 Como começamos em TI...
• Em agosto de 2006 (Resolução TCU 193/2006)
– A Secretaria de Fiscalização de Tecnologia da 
Informação (Sefti) tem por finalidade fiscalizar a 
gestão e o uso de recursos de tecnologia da 
informação pela Administração Pública Federal.

2
2
 Sefti ‐ Evolução
Negócio
Controle externo da governança de tecnologia da 
informação na Administração Pública Federal

Missão
Assegurar que a tecnologia da informação agregue 
valor ao negócio da Administração Pública Federal 
em benefício da sociedade

Visão
Ser unidade de excelência no controle e no 
aperfeiçoamento da governança de tecnologia da 
informação
3
3
 Governança de TI
Definição

“O sistema pelo qual o uso atual e futuro da TI

é dirigido e controlado.”
(ABNT NBR ISO/IEC 38.500)

Busca garantir que o uso da TI ...

... agregue valor ao negócio ...
... a riscos aceitáveis.
4
 Governança de TI
Responsabilidade

“A responsabilidade por prover uma boa

governança de TI é da alta administração da
organização.”
(ABNT NBR ISO/IEC 38500, Cobit)

5
 Motivação dos Levantamentos GovTI
• Mapear riscos relevantes
• Identificar os melhores resultados e as boas 
práticas
• Dar transparência da situação de governança 
de TI na APF

6
 Como auditamos Governança em TI
• Adotamos o Gespública como critério‐mestre 
(Decreto 5.378/2005)
• Critérios adicionais:
– Legislação de licitações e contratos
– Jurisprudência do TCU
– Cobit, COSO, IBGC, IPPF‐IIA...
– Normas ABNT (38500, 12207, 15504, 20000, 27000...)
– ISSAI‐INTOSAI 9100‐9199 Governança e Controles Inter.

7
 Governança Corporativa e de TI
Frameworks
ISO 38500

GESPÚBLICA

COSO

Cobit

ISO 27002 ISO 9000

O quê Como
ITIL
e
ISO 20000

Escopo
8
8
 Levantamento GovTI Ciclo 2007

Acórdão 1.603/2008‐TCU‐Plenário

9
 Levantamento GovTI Ciclo 2007
• 1º Levantamento de Governança de TI
• 255 jurisdicionados pesquisados
• Questionário com 39 questões
• Jurisdicionados deveriam anexar evidências

10
 Acórdão 1.603/2008‐TCU‐Plenário
Deficiências em Governança de TI
51% NÃO alocam gastos de TI de acordo com planejamento
51% NÃO seguem metodologia de desenvolvimento de sistemas
57% NÃO têm carreira/cargo específica para TI
59% NÃO têm planejamento estratégico em vigor
64% NÃO têm política de segurança da informação
75% NÃO fazem análise de riscos de TI
80% NÃO fazem classificação da informação
88% NÃO têm plano de continuidade de negócios

11
 Levantamento GovTI Ciclo 2007
• TC 019.230/2007: Verificação in loco
– 12 auditorias, em 7 UF
– 25 questões de auditoria 
– 77 achados (auditoria integrada)
• Conclusão:
– confirmada a falta de governança nos 12 casos 
– situação pior que a declarada no questionário
– Acórdão 2.471/2008‐TCU‐Plenário

12
 Dia‐a‐dia
X
Dia da Auditoria
13
 No dia-a-dia... No dia da auditoria...

14
 No dia-a-dia... No dia da auditoria...

15
 No dia-a-dia... No dia da auditoria...

16
 No dia-a-dia... No dia da auditoria...

17
 No dia-a-dia... No dia da auditoria...

18
 No dia-a-dia... No dia da auditoria...

19
 No dia-a-dia... No dia da auditoria...

20
 No dia-a-dia... No dia da auditoria...

21
 Levantamento GovTI Ciclo 2010

Ação:

Melhorar o
marco normativo

22
 Estímulo ao desenvolvimento do 
marco normativo para governança 
de TI (Ac1603 e 2471/2008‐P)
• IN‐SLTI 04/2010
• IN‐GSI 1/2008 e normas complementares
• Resoluções CNJ 70, 90 e 99/2009
• Resolução CNMP 70/2011

23
 Levantamento GovTI Ciclo 2010
2º Levantamento de Governança de TI
• 301 jurisdicionados pesquisados / 14 auditorias in loco
• 30 perguntas – 152 subitens 
• Divididas segundo 7 (de 8) critérios do Gespública
 Liderança
 Estratégias e planos
 Cidadãos
 Sociedade
 Informações e conhecimento
 Pessoas 
 Processos
• Evidências apenas se solicitado
• Acórdão 2.308/2010‐TCU‐Plenário
24
 Levantamento GovTI Ciclo 2010
Resultados
(Critério Processos)

53% NÃO têm processo de software ao menos gerenciado

63% NÃO aprovam e publicam PDTI interna ou externamente
65% NÃO possuem política corporativa de segurança da informação
74% NÃO inventariam todos os ativos de informação
75% NÃO gerenciam os incidentes de segurança da informação
83% NÃO analisam os riscos aos quais a informação está submetida
89% NÃO classificam a informação para o negócio
97% NÃO possuem plano de continuidade de negócio em vigor

25
 Levantamento GovTI Ciclo 2010
Resultados
(Critério Liderança)

A Alta Administração NÃO :

... se responsabiliza pelas políticas de TI (51%)

... designou formalmente um comitê de TI (48%)

... estabeleceu objetivos de desempenho de gestão e uso de TI

(57%)

... definiu indicadores de desempenho de gestão e uso de TI (76%)

26
 Levantamento GovTI Ciclo 2010

Mas houve sinais de melhorias!

• Planejamento estratégico institucional
• 2007 – 53%
• 2010 – 80% (p.ex. Res CNJ 70/2009)
• Cargo de TI
• 2007 – 43%
• 2010 – 78% (p.ex. SISP – ATI+GSISP)

27
 Levantamento GovTI Ciclo 2010

Principal conclusão:

Omissão da liderança
é causa‐raiz!

28
 2010 ‐ Liderança
Correlação entre governança em liderança e governança em 
Correlação entre governança em liderança e governança em 
processos de TI
processos de TI
100%
100%
90%
+liderança
+processo
90% 80%
governança em processos de TI

80% 70%
governança em processos de TI

60%
70%
50%
60%
40%
50%
30%
40% 20%

30% 10%

20% 0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
10% ‐liderança governança em liderança de TI
‐processo
0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
governança em liderança de TI
Coeficiente de correlação=0,60

29
 Critérios de análise do Gespública

30
 Levantamento GovTI Ciclo 2010

Ações:

Feedback &
Recomendações

31
 Levantamento GovTI Ciclo 2010
• Relatório de 40 páginas personalizado para cada instituição

Exemplo de item de feedback

32
 Acórdão 2.308/2010‐Plenário
• Orientar a alta administração a estabelecer 
formalmente:
– os objetivos institucionais de TI alinhados às 
estratégias de negócio (dirigir)
– os indicadores para cada objetivo (dirigir)
– as metas para cada indicador (dirigir)
– os mecanismos que a alta administração adotará para 
acompanhar o desempenho da TI da instituição 
(monitorar)

33 33
 Acórdãos estruturantes
1.603/2008 1.827/2008

371/2008 2.471/2008

353/2008 OGS 2.079/2009

786/2006 2.308/2010
E outros que
2.094/2004 estão por vir...

34
 Órgãos Governantes Superiores
(OGS)
• AGU
• CGU
• CNMP
“Têm a responsabilidade por
• CNJ
normatizar e fiscalizar o uso e a
gestão de TI em seus • Dest/MP
respectivos segmentos da • Enap/MP
Administração Pública Federal” • GSI/PR
(Voto do Acórdão 1.145/2011-TCU-Plenário)
• Segep/MP
• SLTI/MP
• SOF/MP
• STN/MF
35
 Recomendações
(3)

Critérios de auditoria
(6)

Normatização, 
TCU Ações de controle
orientações, fiscalizações OGS
(1) (5)

Boas práticas
Situação de GovTI (4)
(2) APF
Mais e melhores  Ratifica 
serviços legitmidade
(7) (8)

Sociedade

36
 Valeu a pena investir nessa estratégia?

37
 Levantamento GovTI Ciclo 2012
Acórdão 2.585/2012-TCU-Plenário

38
 Levantamento GovTI Ciclo 2012
ASPECTOS POSITIVOS

78% designaram Comitê de TI

78% realizam planejamento estratégico de TI
81% utilizam os benefícios reais como critério para
prorrogar contratos
85% realizam planejamento estratégico institucional

39
 Levantamento GovTI Ciclo 2012
PRINCIPAIS EVOLUÇÕES 2010 – 2012

A alta administração... 2010 2012

... se responsabiliza pelas políticas de TI 47% 54%
... estabeleceu objetivos de desempenho de TI 43% 54%
... designou Comitê de TI 50% 78%
A instituição faz planej. estratégico de TI 67% 78%
A instituiçao faz planej. estratégico institucional 80% 85%

40
 Levantamento GovTI Ciclo 2012
INSTITUIÇÕES x ESTÁGIOS DO iGovTI
60 a 100%(aprimorado) 40 a 59%(intermediário) 0 a 39%(inicial)

16%
2012 50%
34%

5%
2010 38%
57%

41
 Levantamento GovTI Ciclo 2012
ASPECTOS QUE AINDA DEMANDAM ATENÇÃO
10% realizam análise de risco
16% realizam gestão de incidentes de seg. da informação
17% possuem processo de classificação da informação
17% realizam gestão da continuidade dos serviços
18% possuem processo formal de planejamento das contratações de TI
23% acompanham os indicadores de benefícios dos principais sistemas
24% inventariam os ativos de informação
31% possuem processo formalizado de gestão de contratos de TI
37% estabeleceram indicadores de desempenho de TI
45% possuem política de segurança da informação
42
 Levantamento GovTI Ciclo 2012
Governança de TI x Orçamento de TI
 R$ 10.000.000.000,00

O R$ 1.000.000.000,00
r
ç
a
m
e
 R$ 100.000.000,00
n
t
o

T
 R$ 10.000.000,00
I

2
0
1
 R$ 1.000.000,00
2

 R$ 100.000,00
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
iGovTI2012

43
 Alguns Resultados
• Financeiros: R$ 7,5 bilhões (2007‐2012)
– Relação custo/benefício: R$ 502 para R$ 1
– Economias e ganhos
• Benefícios não financeiros
– melhorias na organização administrativa, nos 
controles internos, na gestão, na governança e na 
forma de atuação dos órgãos fiscalizados;
– fornecimento de subsídios para a atuação do 
Ministério Público e do Congresso Nacional;
– recomendações para aprimoramento de normas.
44
 Alguns Resultados
• Judiciário
 CNJ – Resolução 70, de 18.03.2009 – dispõe sobre o 
Planejamento e a Gestão Estratégica no âmbito do Poder 
Judiciário (Criação do Comitê Estratégico de TI)
 CNJ – Resolução 99, de 24.11.2009 – dispõe sobre o 
Planejamento Estratégico de TI no âmbito do Judiciário
• Executivo
 GSI/PR: IN GSI/PR 01, de 13.06.2008 – disciplina a Gestão
de Segurança da Informação na APF
 GSI/PR: produziu 7 Notas Complementares (de out2008 a 
mai2010)

45
 Alguns Resultados
• Executivo
 MP – IN/SLTI 04/2010, de 12.11.2010 – Dispõe sobre 
o processo de contratação de Soluções de TI
 MP – Portaria 63, de 27.03.2009 e Portaria nº 107 de 
04.03.2010 –autorizam a realização de concurso 
público para provimento e a contratação de 230 
Analistas de TI
 MP – Indução da previsão e execução das despesas 
de TI no OGU (Acórdão 371/2008 –Plenário)

46
 Alguns Resultados
• Legislativo
 Critérios gerais de controle interno na administração 
pública – PLS 229/2009 e subsídio para elaboração 
de normativo
Acórdão 1.233/2012-Plenário:
9.44.5. encaminhe o estudo elaborado pelo TCU intitulado "Critérios
gerais de controle interno na administração pública" à (item IV):
9.44.5.1. Câmara de Políticas de Gestão, Desempenho e Competitividade
do Conselho de Governo, com objetivo de subsidiar possível elaboração de
normativo para o poder executivo, com fundamento no Decreto 7.478/2011,
art. 2º, II, tratando de gestão de riscos, do controle interno e da
governança corporativa;
47
 Avaliação do gestor  (TMS 6/2010)
• É comum no Serviço Público a expressão 
"Sofremos fiscalização do TCU", após essa 
segunda auditoria, a primeira fora realizada 
no ano de 2007, posso dizer que a expressão 
contém imprecisão grande. 

48
 Avaliação do gestor  (TMS 6/2010)
• A Divisão de Informática do Itamaraty não 
"sofreu" fiscalização, pois cada uma das 
observações serviu para o aprimoramento de 
nossos processos, sobretudo os de 
contratação, que já passaram por 
modificações extensas que culminarão em 
Pregão Eletrônico a ser realizado nesta 
segunda‐feira 14 de fevereiro. 

49
 Avaliação do gestor  (TMS 6/2010)
• Dessa maneira, a palavra "sofreu" que implica 
dizer que houve sofrimento da parte auditada, 
não é a mais adequada para descrever o 
processo ao qual nos submetemos. Ao 
contrário, as diversas reuniões com a equipe 
de auditores proporcionou ao Ministério 
momentos de aprendizado e aprimoramento 
de práticas únicos.

50
 Avaliações de qualidade do TMS
• Auditores do TCU que participaram da FOC
– objetivo: avaliar a atuação da Sefti como unidade 
coordenadora dos trabalhos
– 90% de satisfação
• Responsáveis pelos entes auditados 
– objetivo: verificar a satisfação do auditado com a 
auditoria
– 94% de satisfação

51
51
 Induzindo a mudança
Governança

Alta 
Implementação/Aprimoramento
Administração
do modelo de governança (responsabilidade)

Desgovernança
52
 Governança de pessoal: aperfeiçoando o 
desempenho da administração pública

Obrigado!
Cláudio Castello Branco, CGAP, CIA1
Coordenador-Geral de Controle Externo dos Serviços Essenciais ao
Estado e das Regiões Sul e Centro-Oeste
Coestado/TCU
Fone: (61) 3316-7311
coestado@tcu.gov.br

Brasília‐DF, 15 de maio de 2013
TCU – Diálogo Público

53