FUNDAÇÃO EDSON QUEIROZ UNIVERSIDADE DE FORTALEZA - UNIFOR VICE-REITORIA DE PESQUISA E PÓSGRADUAÇÃO VRPPG MBA GOVERNANÇA DE TI

Transcrição

1 FUNDAÇÃO EDSON QUEIROZ UNIVERSIDADE DE FORTALEZA - UNIFOR VICE-REITORIA DE PESQUISA E PÓSGRADUAÇÃO VRPPG MBA GOVERNANÇA DE TI NÍVEIS DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO NA ADMINISTRAÇÃO PÚBLICA FEDERAL E A AUDITORIA DO TCU NA TI DO DNOCS MARIA DE FATIMA RAMALHO DE PAULA Orientador: Prof. Flavio Horácio Souza Vieira Julho 2012

2 2 NÍVEIS DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO NA ADMINISTRAÇÃO PÚBLICA FEDERAL E A AUDITORIA DO TCU NA TI DO DNOCS RESUMO Maria de Fátima Ramalho de Paula 1 A gestão das grandes empresas sejam elas publicas ou privadas é um processo contínuo e deve ser avaliado periodicamente. A Governança Coorporativa e de Tecnologia da Informação - TI na Administração Publica Federal - APF, passou a ser objeto de preocupação das entidades controladoras como Tribunal de Contas da União - TCU, devido ao grande volume de recursos gastos pelos Órgãos Federais. Para ter-se uma visão do cenário atual da Governança de TI foram realizadas pesquisas pela Secretaria de Fiscalização de TI - SEFTI. Foram elaboradas regulamentações principalmente no que se refere ao planejamento das ações de Governança e à segurança da informação e comunicação. Este artigo apresenta as regulamentações sobre o tema elaboradas pelo Ministério do Planejamento Orçamento e Gestão MPOG, um resumo dos níveis de Governança de TI na APF obtidos com as pesquisas realizadas pelo TCU, bem como o detalhamento da auditoria realizada no Departamento Nacional de Obras Contra as Secas - DNOCS, no período de 26 de julho de 2010 a 22 de outubro do mesmo ano. O resultado desta auditoria está consolidado no Acórdão Nº 592/ TCU - Plenário. É apresentado ainda um resumo das ações efetivadas pelo DNOCS para atender ao Acórdão. PALAVRAS CHAVES Governança de TI. Pesquisa. Regulamentações. Acórdão. DNOCS. 1 INTRODUÇÃO No Mundo globalizado, em que as distâncias diminuíram, a comunicação ficou massificada, e o acesso a bens e serviços foi facilitado. As empresas, para serem competitivas, necessitam de ferramentas para gerenciar seus negócios de forma a atender as expectativas do mercado, as leis e os regulamentos, bem como garantir o retorno dos seus investimentos. A gestão das empresas é um processo contínuo que deve sempre ser avaliado e aprimorado. Para dar suporte a este processo de gestão das empresas e orientá-lo, recomendase observar os preceitos e definições de Governança. Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, conselho de administração, diretoria e órgãos de controle. As boas práticas de Governança Corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso ao capital e contribuindo para a sua longevidade.(instituto BRASILEIRO DE GOVERNANÇA COORPORATIVA, 1995). 1 Graduada em Processamento de Dados pela Universidade Federal do Ceara, Curso de Especialização em Informática, UFC, Analista de Sistemas do Departamento Nacional de Obras Contra as Secas.

3 3 A Governança de TI é parte integrante da Governança Coorporativa e muitas vezes sua área mais crítica. Através da Governança de TI podemos criar mecanismos para garantir a segurança e transparência das informações armazenadas e dos processos aos quais elas estão submetidas, alem de possibilitar um melhor controle dos riscos, garantindo a aplicação dos recursos de forma mais eficaz e, conseqüentemente, um melhor retorno dos investimentos. Neste trabalho será apresentado um resumo das regulamentações relativas à Governança de TI, os níveis de Governança de TI na APF, o resultado do levantamento realizado pelo Tribunal de Contas da União e mais detalhadamente a auditoria de TI realizada pelo TCU no DNOCS, que teve como produto final o acórdão nº 592/2011-TCU-Plenario. Este Acórdão contém diversas recomendações e determinações visando à melhoria da Governança de TI no DNOCS. Cabe destacar que as recomendações desse acórdão podem servir como base para melhorar a governança de TI não apenas no DNOCS, mas em qualquer órgão da Administração Pública Federal. 2 REGULAMENTAÇÕES EM GOVERNANÇA DE TI Nas décadas de 70 e 80, o tratamento da informação se restringia ao centro de processamento de dados, ambiente totalmente isolado nas organizações cuja finalidade era a automação de tarefas rotineiras e o armazenamento de um grande volume de dados. Ao longo dos anos, com a queda de preços dos equipamentos e com o surgimento da internet, o uso da tecnologia da informação tornou-se ferramenta essencial para auxiliar na tomada de decisão. Os ativos de TI passaram a ser visto como ferramentas estratégicas. O tratamento da informação, principalmente nas grandes corporações que possuem capital aberto, passou a ser motivo de preocupação dos governantes, ficando evidenciada a necessidade de mecanismo de controle, pois as manipulações de informações financeiras de uma organização poderiam afetar todo o mercado de ações. Visando minimizar os riscos dessas manipulações surgiram marcos regulatórios. 2.1 Sarbanes-Oxley Act e o Acordo da Basiléia II. A Lei Sarbanes-Oxley Act, também conhecida como SOX, foi criada para restituir a confiança dos investidores da bolsa de Nova York (NYSE) após os escândalos financeiros nas empresas Eron Coorporation e a Worldcom, que utilizaram sofisticadas técnicas e transações para manipulação de dados financeiros e ocasionaram grande prejuízo a seus investidores. Esta lei criou um organismo regulador para auditorias e estipulou penas e responsabilidade aos executivos das empresas, que podem variar de 1 (um) a 5 (cinco) milhões de dólares em multas e reclusão entre 10 e 20 anos. O Acordo da Basileia II foi estabelecido pelo Bank for International Settlemensts (BIS), sediado na cidade suíça de Basileia, que pode ser visto como o Banco Central dos bancos centrais. Este acordo estipula requisitos de capital mínimo para as instituições financeiras em função dos seus riscos de crédito e operacionais, e possui três pilares: fortalecimento da estrutura de capitais das instituições, estímulo à adoção das melhores práticas de gestão de riscos e redução da assimetria de informação e favorecimento da disciplina de mercado. Estes acordos têm forte impacto na Governança de TI, pois implicam a criação de novos processos, novos indicadores, novo gerenciamento de riscos, entre outras ações.

4 4 2.2 Norma ABNT NBR ISO/IEC Nº A norma brasileira relativa à Governança Corporativa de Tecnologia da Informação ABNT NBR ISO/IEC nº 38500, de 2009, foi elaborada no Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21) pela Comissão de Estudo de Operações de Tecnologia da Informação, cujo projeto circulou em Consulta Nacional. Esta Norma objetiva fornecer uma estrutura de princípios para os dirigentes usarem na avaliação, no gerenciamento e no monitoramento do uso da Tecnologia da Informação. Segundo a Norma, a maioria das organizações usa a TI como uma ferramenta fundamental do negócio, e poucas podem realmente funcionar eficazmente sem ela. É interessante destacar o conceito de Governança Corporativa de TI constante nessa norma: Governança corporativa de TI significa avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar os planos. Inclui a estratégia e as politicas de uso de TI dentro da organização..(associação BRASILEIRA DE NORMAS TÉCNICAS, 2009). O escopo da Norma oferece princípios para orientar os gestores das empresas para o uso eficaz, eficiente e aceitável da TI nas organizações. É uma norma que pode ser aplicada em todas as organizações, sejam elas públicas, privadas, ou sem fins lucrativos. A aplicação da Norma pode melhorar o desempenho da organização através da sua correta implementação e operação dos ativos de TI, da clareza quanto à responsabilidade e à obrigatoriedade em prestar conta quanto ao uso e à provisão da TI, da continuidade e sustentabilidade do negocio, do alinhamento com as necessidades do negócio, da alocação eficiente dos recursos, da inovação nos serviços, mercados e negócios, das boas práticas nos relacionamentos com as partes interessadas, da redução dos custos da organização e concretização dos benefícios aprovados em cada investimento de TI. 2.3 O GesPública. O programa Gespública na Administração Pública Federal ocorreu com a publicação do Decreto nº 5378, de 23 de fevereiro de Foi uma das primeiras iniciativas com vistas a melhorar o desempenho das empresas públicas e quando foi citado o termo Governança: Art. 2º O GESPÚBLICA deverá contemplar a formulação e implementação de medidas integradas em agenda de transformações da gestão, necessárias à promoção dos resultados preconizados no plano plurianual, à consolidação da administração pública profissional voltada ao interesse do cidadão e à aplicação de instrumentos e abordagens gerenciais. (BRASIL.DECRETO nº 5373, 2005). O Gespública apoia centenas de órgãos e entidade da Administração pública na melhoria de sua capacidade de produzir resultados efetivos para a sociedade. É dividido em 7 (sete) dimensões: i) liderança; ii) estratégias e planos; iii) cidadãos; iv) sociedade; v) informações e conhecimento; vi) pessoas; e vii) processos. As dimensões liderança, estratégias e planos, pessoas e processos são utilizadas para o cálculo do índice de Governança de TI (igovti), descrito no item MPOG, SLTI e as Instruções Normativas 02, 04 e suas alterações. O Ministério do Planejamento Orçamento e Gestão MPOG tem por missão promover o planejamento participativo e a melhoria da gestão pública para o desenvolvimento sustentável e socialmente includente do País.

5 5 Dentre as diversas competências do MPOG, destacam-se a coordenação e gestão dos sistemas de planejamento e orçamento federal, de pessoal civil, de administração de recursos da informação e informática e de serviços gerais, bem como das ações de organização e modernização administrativa do Governo Federal. O MPOG para tratar dos recursos da informação, criou a Secretaria de Logística e Tecnologia da Informação - SLTI, que tem como primeira competência propor políticas, planejar, coordenar e supervisionar e orientar normativamente as atividades relacionadas à gestão dos recursos de informação e informática na APF. Visando regulamentar os contratos de serviços, o Ministério do Planejamento instituiu, em abril de 2008, a Instrução Normativa Nº 02/SLTI/MPOG, que dispõe sobre a contratação de serviços continuados ou não. Esta IN se voltava principalmente para o planejamento da contratação. Em relação aos contratos de serviços de TI, nos quais um grande volume de recursos é alocado, e por orientação do Tribunal de Contas da União - TCU, o Governo editou uma norma específica para este tipo de contratação, a Instrução Normativa Nº 04/ SLTI/MPOG, de 19 de maio de A IN04 de 2008 possuía 25 (vinte e cinco) artigos, divididos em Três capítulos: I - Disposições Gerais, II - Processo de Contratação e III - Disposições Finais. O Processo de Contratação foi divido em 4 (quadro) etapas: I - Análise da Viabilidade, II - Plano de Sustentação, III - Estratégia da Contratação e IV - Análise de Riscos. Em 12 de novembro de 2010, foi publicada uma nova redação da IN04 com 32(trinta e dois artigos), que contemplava um maior detalhamento do processo de contratação. As principais alterações foram a inclusão da contratação de bens, a criação de equipe de planejamento da contratação, a criação e designação por nomeação da equipe de fiscalização do contrato, a criação dos documentos e modelos das diversas fases do processo e uma descrição mais detalhada da fase de seleção do fornecedor. Em 14 de fevereiro de 2012, a SLTI publicou a IN02, que estabeleceu alterações na IN04, principalmente no que se refere à contratação de empresas públicas e ao valor da contratação. Abaixo transcrevemos o Art. 1º e o paragrafo único (não existente na anterior) da Instrução Normativa: Art. 1º A Instrução Normativa nº 04, de 12 de novembro de 2010, passa a vigorar com as seguintes modificações: Art. 1º As contratações de Soluções de Tecnologia da Informação pelos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP serão disciplinadas por esta Instrução Normativa. Parágrafo único. O disposto nesta Instrução Normativa não se aplica: I - às contratações em que a contratada for órgão ou entidade, nos termos do Art. 24, inciso VIII da Lei nº 8.666, de 1993, ou Empresa Pública, nos termos do Art. 2º da Lei nº 5.615, de 13 de outubro de 1970, modificado pela Lei nº , de 11 de junho de 2010; e II - às contratações cuja estimativa de preços seja inferior ao disposto no Art. 23, inciso II, alínea a da Lei nº 8.666, de 1993.(BRASIL. Instrução Normativa nº2, 2012). O parágrafo único faz referência a artigos da Lei Nº de 1993, mais conhecida como Lei das Licitações e Contratos. O Art. 24 da Lei nº 8.666, inciso VIII, se refere à contratação de empresas públicas criadas para este fim. Com a alteração, a Norma possibilitou, por exemplo, a contratação do Serviço Federal de Processamento de Dados - SERPRO, sem a necessidade de criação de todos os artefatos elencados na IN04. O Art. 23,

6 6 inciso II, alínea a da Lei nº 8.666, trata das Licitações para compras e serviços na modalidade Convite com valores até R$ ,00 (oitenta mil reais). 2.5 Notas técnica nº 1 e nº 2 do TCU O Tribunal de Contas da União, em suas auditorias nos contratos de TI, detectou variações nas informações do projeto básico existente nos processos de contratações referidos na IN04. Com o objetivo de dirimir dúvidas relativas às informações que deveriam conter nesses processos, em setembro de 2008, o TCU publicou a Nota Técnica Nº 1, que propõe os seguintes itens para o projeto básico: declaração do objeto, fundamentação da necessidade de contratação, requisitos da contratação, modelo para prestação dos serviços, mecanismos para gestão dos contratos, estimativa de preços, forma de seleção do fornecedor, critérios que serão utilizados na seleção do fornecedor e adequação orçamentária. No mesmo ano, o TCU publicou a Nota Técnica Nº 2, que determinava o uso de Pregão Eletrônico na aquisição de bens e serviços de TI. Além de normas para contratação, surgiu a preocupação em garantir a segurança da informação. Em junho de 2008, o ministro Chefe do Gabinete de Segurança Institucional da Presidência da Republica GSI/PR publicou a IN nº 1, que disciplinou a Gestão da Segurança da Informação e Comunicações na APF. Detalhando essa IN 01, foram publicado 14 (quatorze) normas complementares, que, entre outros itens, definem como elaborar a política de segurança nos órgãos da APF, como gerir riscos, incidentes, como fazer continuidade do negócio, chegando a estabelecer diretrizes para a computação em nuvem. Todas estas normas para contratação, para aplicação dos recursos e para segurança da informação têm como objetivo principal melhorar o desempenho das empresas públicas. Para implantação dessas normas é fundamental o apoio da Alta Administração das empresas. 3 NÍVEIS DE GOVERNANÇA NA APF O Tribunal de Contas da União, visando cumprir sua missão de fiscalizar a aplicação dos recursos na TI, em agosto de 2006, através da Resolução Nº 193, criou a Secretaria de Fiscalização de TI (SEFTI). São competências dessa secretaria: realizar fiscalizações que requeiram conhecimentos especializados na área de TI, realizar trabalhos de fiscalização e de avaliação de programas do governo na área de TI, fiscalizar a gestão e o uso de recursos de TI na APF, realizar pesquisas, desenvolver e disseminar métodos em auditorias de TI, elaborar e aplicar cursos e treinamentos. A SEFTI, em seu mapa estratégico, define seu Negócio como sendo o controle externo da governança de Tecnologia da Informação na APF. É sua Missão assegurar que a tecnologia da informação agregue valor ao negócio da APF em beneficio da sociedade, sua Visão é ser unidade de excelência no controle e no aperfeiçoamento da governança da Tecnologia da Informação. Tendo em vista que não existia uma base de dados sobre os níveis de Governança de TI na Administração Pública Federal, uma das primeiras atividades desenvolvidas pela SEFTI foi buscar informações de como os órgãos estavam administrando seus recursos de TI. Para tanto, foram realizadas pesquisas. A primeira aconteceu em 2007, a segunda em 2010 e a terceira em 2012 já esta em curso com o encaminhamento dos questionários aos órgãos da APF.

7 7 3.1 Pesquisa SEFTI 2007 Em 2007, a SEFTI realizou um levantamento acerca da governança de TI na APF, cujos objetivos eram levantar informações para elaborar um mapa da situação da governança de TI visando subsidiar o planejamento das futuras fiscalizações da SEFTI, verificar os pontos críticos da governança de TI, identificar onde o TCU poderia atuar para aperfeiçoar a Governança de TI e identificar os principais sistemas e base de dados. A forma de realização deste levantamento foi através de um questionário enviado a 300 (trezentos) órgãos da APF, contendo 39 questões e a exigência de anexação de evidências que comprovassem as respostas. Um total de 250 (duzentas e cinquenta) entidades respondeu ao questionário que, depois de compilados os dados, foi gerada a publicação do Acordão Nº 1603, pelo TCU. Os principais achados deste levantamento nos órgãos pesquisados foram os seguintes: 64% NÃO possuem Política de Segurança da Informação formalmente definida; 88% NÃO possui Plano de Continuidade de negócio; 47% NÃO possuem Planejamento Estratégico; 59% NÃO possuem PDTI; quantidade reduzida e deficiência de qualificação de servidores da área de TI; e Ausência de carreira especifica na área. Diante de um quadro tão crítico, principalmente em relação à segurança da informação, o TCU recomendou ao Gabinete de Segurança Institucional da Presidência da República que disseminasse nos órgãos da APF a importância da segurança da informação, inclusive através de instruções normativas, e à SEFTI a realização de novos levantamentos. 3.2 Pesquisa SEFTI 2010 O levantamento de 2010 foi realizado com 315 (trezentas e quinze) instituições da APF, como ministérios, universidades federais, tribunais federais, agências regulatórias, autarquias e empresas estatais que responderam a um novo questionário com trinta questões subdivididas em cinquenta e dois itens. Essas questões foram elaboradas com base no Control Objetives for Information and Related Technology (Cobit 4.1) e em normas técnicas brasileiras sobre segurança da informação. Na avaliação do TCU: A importância da governança de TI no âmbito da APF pode ser aquilatada tanto pela estimativa de gastos em TI para 2010, que é de cerca de R$ 12,5 bilhões, quanto por sua importância estratégica, ao ser amplamente utilizado na condução de políticas públicas suportadas por um orçamento federal de R$ 1,86 trilhão (SIDOR, 2010; TC /2010-9). Para um melhor entendimento dos resultados, as respostas ao questionário foram compiladas por dimensões da Gespública. Descrevemos a seguir os principais resultados desse levantamento. Resultados obtidos na dimensão Processos: 53% NÃO têm processo de software ao menos gerenciado; 63% NÃO aprovam e publicam o PDTI interna ou externamente; 65% NÃO possuem política corporativa de segurança da informação; 74% NÃO inventariam todos os ativos de informação; 75% NÃO gerenciam os incidentes de segurança da informação; 83% NÃO analisam os riscos aos qual a informação está submetida; 89% NÃO classificam a informação para o negócio; e 97% NÃO possui plano de continuidade de negócio em vigor.

8 8 Resultados obtidos na dimensão Liderança: A Alta Administração: 51% NÃO se se responsabilizam pelas politicas de TI; 48% NÃO designaram formalmente um comitê de TI; 57% NÃO estabeleceram objetivos de desempenho de gestão e uso da TI; e 76% NÃO definiram indicadores de desempenho de gestão e uso da TI. Resultados obtidos na dimensão Pessoas: A Alta Administração: 20% NÃO escolhem gestores de TI fundamentalmente com base na competência; 35% NÃO preenchem pelo menos 75% das funções gerenciais de TI com pessoal do quadro próprio; 5% NÃO provêem política de desenvolvimento de gestores de TI; e 83% NÃO acompanham o desempenho gerencial.índices de Governança de TI o igovti A métrica utilizada pela SEFTI para definição de um índice de governança de TI foi denominada de igovti. Este índice combina elementos do Cobit, do GesPública e do Acórdão nº 1603/2008-TCU Plenário, variando de 0 a 1. Sua fórmula foi elaborada através de cálculos individuais estabelecidos para as principais dimensões do GesPública: liderança, estratégias e planos, pessoas e processos. Foram estabelecidas faixas limites que refletissem a situação de governança de TI nas instituições ficando determinado que abaixo de 40%, a instituição encontra-se em estágio INICIAL de governança; De 40 a 59%, considera-se a instituição em estágio INTERMEDIÁRIO; e a partir de 60%, considera-se em estágio APRIMORADO. Aplicada a fórmula de cálculo aos dados informados pelas instituições respondentes, obteve-se a distribuição do igovti nos seguintes índices: INICIAL INTERMEDIARIO APRIMORADA 58% 38% 5% 3.3 Situação da Governança de TI na APF O TCU, a partir de uma analise das instituições através do igovti, chegou às seguintes conclusões: No estágio inicial de governança o envolvimento da alta administração é menor, o planejamento mais frágil os trabalhadores menos preparados e os controles internos são menos rigorosos e menos estruturados resultando um maior o risco de ocorrências de falhas que costumam resultar em ineficiência, ineficácia, inefetividade e antieconomicidade. No estágio intermediário de igovti, onde se encontram 38% dos órgãos analisados, a alta administração tem conhecimento de seu papel e esta preocupada em dar direção à instituição por meio de planejamento, reconhecendo a necessidade de pessoal qualificado para assumir processos e controles mais rigorosos. Eventual troca de liderança poderá facilmente romper o processo de aperfeiçoamento institucional. No estágio aprimorado que representa apenas 5% do total avaliado, há um compromisso da alta administração com a direção da instituição em todos os níveis, por meio de planejamento consistente e sistemático, fixação clara de objetivos e metas, monitoração da execução e auditoria. Além disso, o quadro de pessoal recebe

9 9 qualificação sistemática e os processos de trabalho são formais e mensurados. ( TRIBUNAL DE CONTAS DA UNIÃO, 2008). Em todos os estudos realizados pelo TCU, ficou evidente que nas empresas nas quais a Alta Administração reconhece seu papel na melhoria da Governança de TI, a instituição é melhor avaliada pelos órgãos de controle. Visando sensibilizar os dirigentes das instituições, o TCU promove ações específicas junto à Alta Administração através de palestras e seminários. 4 DIAGNÓSTICO DA TI E RECOMENDAÇÕES DO TCU PARA O DNOCS 4.1 DNOCS e TI O Departamento Nacional de Obras Contras as Secas - DNOCS, Autarquia Federal fundada em 21 de outubro de 1909, atua no polígono das secas que se estende do Piauí ao norte de Minas Gerais. Atualmente, o DNOCS encontra-se subordinado ao Ministério da Integração Nacional. A Administração Central localiza-se em Fortaleza, tendo Coordenadorias Estaduais em todas as capitais nordestinas, com exceção de Alagoas, cuja Coordenadoria Estadual fica localizada na cidade de Palmeiras dos Índios, e do estado de Minas Gerais, cuja Coordenadoria está localizada na cidade de Montes Claros. Em sua estrutura organizacional não existe um setor especifico para área de Tecnologia da Informação. Esta área se resume a um serviço de informática subordinado à Coordenação de Gestão Estratégica. A estrutura é totalmente defasada, e seu quadro funcional relativo à Tecnologia da Informação contempla categorias que já foram extintas. Este quadro se resume a três categorias: 02 (dois) perfuradores digitadores, 02 (dois) programadores que não estão lotados no setor e 02 (dois) analistas de sistemas. Até o ano de 2009, a maioria das ações de TI era exercida por empresas terceirizadas. Com o encerramento do contrato e com a publicação da Instrução Normativa Nº 04, que vinculava as contratações de TI à existência do Planejamento de TI, o DNOCS ficou impossibilitado de efetivar novas contratações. 4.2 Questionário SEFTI 2010 Em maio de 2010, o DNOCS respondeu ao questionário do Tribunal de Contas da União sobre o perfil de governança da Autarquia. Este questionário foi respondido por 265 (duzentas e sessenta e cinco) instituições. Compiladas as respostas, 14 instituições foram escolhidas para realização de auditoria in loco, dentre elas o DNOCS. O questionário era dividido por dimensões do Gespública, dentre elas liderança, estratégia e planos, pessoas e processos. A dimensão liderança objetivava identificar se a Alta Administração promovia o desenvolvimento dos gestores de TI e se escolhia estes gestores do quadro permanente, a existência de comitê de TI, o estabelecimento de diretrizes de desempenho da gestão e uso corporativo da TI e a definição e avaliação de indicadores. O cenário da TI no DNOCS sob este aspecto só atendia ao item relativo à escolha de gestores do quadro permanente, tendo em vista a existência de apenas duas chefias no setor que eram preenchidas por funcionários da Autarquia. Na dimensão estratégia e planos, era analisada principalmente a existência do planejamento estratégico institucional e o planejamento estratégico de TI. No DNOCS existia

10 10 um documento intitulado Plano Diretor de TI, que não atendia às diretrizes que devem conter um PDTI. Em relação ao Planejamento Institucional, existiam apenas planos específicos elaborados isoladamente pelas Diretorias. Na dimensão pessoas, buscava-se identificar a força de trabalho que detinha cargos comissionados e a existência de plano de capacitação. Neste caso os dois cargos comissionados existentes eram preenchidos por funcionários de carreira, apesar de inexistir plano de capacitação. Na dimensão processos, eram analisados os aspectos relativos à segurança da informação, à existência do processo de software, ao gerenciamento de projetos, ao volume de recursos alocados e à implementação dos processos do ITIL. Nesta dimensão eram avaliadas e as gestões de níveis de serviço nas contratações de TI, a existência de gestores e fiscais dos contratos e a existência de recursos específicos para a área de ti. O DNOCS praticamente não atendia a nenhum desses itens. 4.3 Auditoria in loco no DNOCS. Na auditoria realizada in loco, de 26 de julho de 2010 a 22 de outubro de 2010, pela Secretaria de Controle Externo no Estado do Ceará Secex/Ce, os auditores do TCU realizaram um levantamento mais detalhado da Governança de TI e tomaram como base as respostas do DNOCS ao questionário sobre Governança de TI. Durante o período da realização da auditoria foram entrevistados os usuários dos sistemas, solicitados todos os contratos existentes, - no caso do DNOCS não havia nenhum contrato para serviços de TI - além de solicitados os documentos, evidências, que comprovassem as respostas do questionário. Ao final da auditoria foi apresentado um documento com os principais achados, os efeitos e consequências do não atendimento e as bases legais ou melhores práticas existentes no Cobit 4.1, que deveriam ser observadas. Dentre os achados, são destacados: Inexistência de Comitê de Segurança da Informação e Comunicações; inexistência de Comitê de TI; inexistência de controles que promovam o cumprimento da IN04; inexistência de Política de Segurança da Informação e Comunicações (POSIC); inexistência de PDTI; e inexistência de Plano Estratégico Institucional. Os achados do TCU apenas comprovaram a situação caótica existente na Autarquia relativa à Governança de TI. Podemos destacar o numero insuficiente de pessoas, a ausência de planejamento estratégico institucional e de TI, a ausência de política de segurança da informação e o desconhecimento do tema pela Alta Administração. 4.4 Índice de Governança de TI no DNOCS Na sessão plenária do TCU, em 16 de março de 2011, o Ministro Aroldo Cedraz apresentou o relatório com os achados da auditoria no DNOCS. O Plenário em votação definiu 11 (onze) determinações e 10 (dez) recomendações que estão contidas no Acordão Nº 592/TCU-P. Em Agosto de 2011 o DNOCS recebeu documento do TCU com seus índices de governança (igovti):

11 11 Índice de Governança de TI da Instituição (igovti) 1. Liderança 2. Estrat. Planos 6. Pessoas 7. Processos igovti Estag. Da Gov de TI Inicial 5 PROPOSTA DE GOVERNANÇA DE TI PARA O DNOCS 5.1 Primeiros passos para a implantação da Governança de TI Analisando as determinações do TCU, a área de TI, juntamente com a Coordenação de Gestão Estratégica e demais Diretorias, definiram como prioridade a criação do Plano Diretor de Tecnologia da Informação, o PDTI, pois sem ele o DNOCS continuaria impossibilitado de realizar contratações para atender aos demais itens. A Direção Geral da Autarquia instituiu o Comitê de Tecnologia da Informação composto por representantes das diretorias, procuradoria e auditoria do órgão. A primeira dificuldade para elaboração do PDTI se deveu ao fato da inexistência do planejamento estratégico institucional para servir como balizador para as ações da TI. Porém, com a nova edição da IN04, o parágrafo Único do Art. 4º estabeleceu que, na inexistência do planejamento estratégico institucional, o plano plurianual (PPA) poderia ser utilizado para a elaboração do PDTI. Assim, o plano plurianual foi utilizado bem como as determinações e recomendações do Acórdão Nº 592/2011- TCU-P. Outra fonte de avaliação foi o documento da Estratégia Geral de TI EGTI do MPOG. Além do Comitê de TI, foi instituído um grupo de trabalho para a elaboração do PDTI, constituído por três Administradores recém-ingressos do concurso realizado em 2010, a analista de sistemas, chefe do setor de informática, e um colaborador de uma empresa terceirizada. Devido à inexperiência da equipe, o DNOCS solicitou apoio ao grupo de consultores da Secretaria de Logística e Tecnologia da Informação (SLTI) do Ministério do Planejamento que designou a consultora Joyce Belga para apoiar a equipe do DNOCS na elaboração do plano. Com o apoio efetivo da consultora, em três meses o PDTI foi elaborado e aprovado pelo comitê de TI e pela Direção geral. O Coordenador de TI do Ministério da Integração, Flavio Santos, convidou a equipe para apresentar o trabalho no Ministério da Integração Nacional, em Brasília, com a presença do Secretário Executivo do Ministério da Integração, Alessandro Navarro, e do Secretário da SLTI, Delfino Natal. Vale destacar que posteriormente este PDTI foi objeto de estudo no curso de formação de gestores de TI da Escola Nacional de Administração Publica (ENAP). Definido o PDTI, um segundo passo foi a definição da Política de Segurança da Informação e Comunicações. Novamente o DNOCS solicitou apoio à SLTI, que designou duas consultoras, Nubia Santos e Juliana Munita, do núcleo de segurança de informação. A equipe do DNOCS foi a mesma que elaborou o PDTI. Em setembro de 2011 o DNOCS publicou sua Política de Segurança da Informação e Comunicações, a PoSIC. A Direção Geral nomeou o Coordenador de Gestão Estratégica como gestor de Segurança da Informação e criou o Comitê de Segurança da Informação e Comunicações, composto por representantes de todas as Diretorias e um representante das Coordenadorias Estaduais. Em relação à determinação do TCU para a capacitação dos servidores, o DNOCS financiou o curso de MBA em Governança de TI na Universidade de Fortaleza para a

12 12 servidora responsável pelo setor e o curso de capacitação de gestores de TI na Escola Nacional de Administração Pública ENAP, para um dos administradores da equipe de elaboração do PDTI. Outra determinação importante foi a relativa à definição de um processo de software, visando às futuras contratações de serviços de desenvolvimento ou manutenção de software. Este processo define os produtos a serem entregues em cada fase do processo de manutenção ou desenvolvimento de software. O Coordenador de TI do Ministério da Integração enviou para estudo o processo de software do Ministério, e com algumas adaptações neste documento foi criado a Modelo de Desenvolvimento de Software do DNOCS. As determinações relativas à criação da equipe de tratamento de resposta a incidentes, à realização do inventário de ativos de TI e à gestão de riscos serão atendidas com a contratação de uma empresa para a configuração e o gerenciamento da rede local. Esta contratação encontra-se em fase de homologação. Outra recomendação do TCU foi a definição de um modelo de contratação e gestão dos contratos da TI. Através de Portaria assinada pelo Diretor Geral de DNOCS, ficou determinado que qualquer contratação de serviços ou bens de TI do DNOCS deve seguir o Guia de Boas Práticas de Contratação de Soluções de TI da SLTI, no qual constam todos os artefatos que atendem as orientações da Instrução Normativa 04/SLTI/MPOG. 5.2 Estratégias para atender aos demais itens do Acórdão. Para atender as demais determinações e recomendações, é necessária a recomposição da equipe de gestores de TI. O DNOCS está pleiteando a realização de concurso público para vários cargos, e em especial para a área de TI. Encontra-se em estudo uma reestruturação no organograma do órgão para que a TI deixe de ser um serviço e passe a ser uma Coordenação de TI, passando a ter uma função estratégica. Em um prazo de um ano, foi possível atender a 7 (sete) das 11 (onze) determinações. Com a homologação do contrato de serviços de redes, poder-se-á formar equipes para atender as determinações: classificação da informação; equipe de tratamento e respostas a incidentes; elaboração de inventários de ativos de informação e processos de gestão de riscos de segurança da informação. A principal recomendação do Acórdão diz respeito à elaboração do Planejamento Estratégico Institucional. O Ministério da Integração Nacional está elaborando edital para contratação de consultoria especializada para a realização de Planejamento Estratégico para as suas coligadas - DNOCS, Superintendência do Desenvolvimento da Amazônia - SUDAM, Superintendência do Desenvolvimento do Nordeste SUDENE e Superintendência do Desenvolvimento do Centro Oeste SUDECO. Um ano após o Acordão do TCU, pode-se entender a importância da Governança de TI, o PDTI estabeleceu metas e os recursos são aplicados de forma direcionada. Apesar do quadro insuficiente, o trabalho da equipe de TI passou a ser reconhecido em todos os níveis da Autarquia. Recebeu-se o reconhecimento da Coordenação de TI do Ministério da Integração e do grupo de consultores da Central de Serviços e Suporte do SISP C3S / SLTI. E o mais importante: o tema passou a fazer parte da pauta das reuniões da Alta Administração em que são definidas as diretrizes para a Autarquia.

13 13 No dia 25 de maio de 2012, a autarquia recebeu um ofício do TCU para que fosse respondido o questionário sobre a Governança de TI 2012, com as providências adotadas. Acredita-se que, após a avaliação das respostas ao novo questionário, ter-se-á avançado no igovti. 6 CONCLUSÃO A Tecnologia da Informação deixou de ser apenas uma ferramenta para automatizar rotinas estafantes e tornou-se estratégica para qualquer instituição independente de sua área de atuação. Gerir bem este setor pode significar o sucesso de uma empresa. As melhores práticas de Governança de TI ajudam a traçar um caminho para um melhor planejamento das ações de TI, uma melhor aplicação dos recursos e uma maior segurança dos ativos da empresa, além de gerar a observância às Leis e aos Regulamentos. A Governança de TI no setor público é ferramenta essencial para que as instituições cumpram seu papel junto à sociedade. Metas bem definidas, acompanhamento dessas metas através de indicadores, transparência, ajudam a um melhor desempenho das instituições. Planos bem definidos minimizam o efeito, algumas vezes nefasto, da constante troca de dirigentes. A auditoria no DNOCS transformou a visão da Direção sobre a importância da Governança de TI. O Acórdão Nº 592-TCU-Plenário abriu portas para a direção da Autarquia, não apenas no Ministério da Integração Nacional, ao qual o DNOCS é subordinado, mas também no Ministério do Planejamento. A Coordenação Geral de TI do Ministério da Integração passou a apoiar as necessidades da Autarquia através de visitas técnicas. A Direção Geral do DNOCS trabalha junto ao Ministério do Planejamento para realização de concurso público para repor a força de trabalho da TI. Acredita-se que o trabalho realizado pela auditoria do TCU no DNOCS represente o papel que deve ter as auditorias dos órgãos de controle: apontar diretrizes e não apenas irregularidades. O Tribunal de Contas da União através de suas pesquisas, fiscalizações, acórdãos, seminários e notas técnicas contribui para que a Governança de TI deixe de ser um tema novo, totalmente desconhecido, e se torne uma ferramenta de apoio na tomada de decisão, garantindo maior eficiência e eficácia na aplicação dos recursos públicos alocados às instituições.

14 14 REFERÊNCIAS ACORDO de Basileia II. In: WIKIPEDIA. Flórida: Wikimedia Foundation, Disponível em: < Acesso em: jul ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC Rio de Janeiro, BRASIL. Decreto nº 5.378, de 23 de fevereiro de Institui o Programa Nacional de Gestão Pública e Desburocratização GESPÚBLICA e o Comitê Gestor do Programa Nacional de Gestão Pública e Desburocratização, e dá outras providências. Disponível em: < /2005/Decreto/D5378.htm>. Acesso em: jul BRASIL. Lei nº 8.666, de 21 de junho de Regulamenta o art. 37, inciso XXI, da Constituição Federal, institui normas para licitações e contratos da Administração Pública e dá outras providências. Disponível em: < m?id=5138>.acesso em: jun BRASIL. Ministério do Planejamento, Orçamento e Gestão. Secretaria de Logística e Tecnologia da Informação. Instrução Normativa nº 2, de 14 de fevereiro de Altera a Instrução Normativa nº 4, de 12 de novembro de Disponível em: < larquivos=160>. Acesso em: jun Instrução Normativa nº 2, de 30 de abril de Dispõe sobre regras e diretrizes para a contratação de serviços. Disponível em: < Acesso em: jun Instrução Normativa nº 4, de 19 de maio de Dispõe sobre o processo de contratação de Soluções de Tecnologia da Informação pelos órgãos integrantes do sistema de Administração dos Recursos de Informação e Informática (SISP) do Poder Executivo Federal. Disponível em: < Acesso em jun Instrução Normativa nº 4, de 12 de novembro de Dispõe sobre o processo de contratação de Soluções de Tecnologia da Informação pelos órgãos integrantes do Sistema de Administração dos Recursos de Informação e Informática (SISP) do Poder Executivo Federal. Disponível em: < Acesso em jun CEPIK, Marco; CANABARRO, Diego. Governança de TI: transformando a administração pública no Brasil. Porto Alegre: WS editor, CRUZ, Cláudio Silva: ANDRADE, Edmeia Pereira: FIGUEIREDO, Rejane. Processo de contratação de serviços de tecnologia da informação para as organizações públicas. Brasília, DF: Ministério da Ciência e Tecnologia, 2011.

15 15 LEI Sarbanes-Oxley. In: WIKIPEDIA. Flórida: Wikimedia Foundation, Disponível em: < Acesso em: jul TRIBUNAL DE CONTAS DA UNIÃO. Acórdão nº 592/2011. Disponível em: < nocs/tecnologia/documentos/ac_0592_08_11_p_tcu.pdf&>. Acesso em: mai Acórdão nº 1.603/2008. Disponível em: < Acesso em jun Levantamento acerca da Governança de Tecnologia da Informação na Administração Pública Federal. Brasília, DF, Levantamento de governança de TI Brasília, DF, Nota Técnica nº 2, de 11 de setembro de Uso do pregão para aquisição de bens e serviços de tecnologia de informação. Disponível em: < notas_tecnicas/notas>. Acesso em: jun Nota Técnica nº 1, de 18 de setembro de Conteúdo mínimo do projeto básico ou termo de referência para contratação de serviços de tecnologia da informação. Disponível em: < notas_tecnicas/notas>. Acesso em: jun WELL, Peter; ROSS, Jeanne. Governança de TI, Tecnologia da Informação. São Paulo: M. Books do Brasil, 2006.