RELATÓRIO GESTÃO DO SISTEMA ERP E PLANEJAMENTO DE TECNOLOGIA DA INFORMAÇÃO (TI) TRIBUNAL DE CONTAS DA UNIÃO TC /2011-0

Tamanho: px
Começar a partir da página:

Download "RELATÓRIO GESTÃO DO SISTEMA ERP E PLANEJAMENTO DE TECNOLOGIA DA INFORMAÇÃO (TI) TRIBUNAL DE CONTAS DA UNIÃO TC 015.572/2011-0"

Transcrição

1 GRUPO I CLASSE V Plenário TC / Natureza: Relatório de Auditoria. Entidade: Petrobras Distribuidora S.A. (BR). Advogado constituído nos autos: Guilherme Rodrigues Dias OAB/RJ nº Procuração (doc. 116). SUMÁRIO: RELATÓRIO DE AUDITORIA OPERACIONAL NA PETROBRAS DISTRIBUIDORA. TEMA DE MAIOR SIGNIFICÂNCIA Nº 7 DE 2011 SOBRE SISTEMAS INFORMATIZADOS DE GESTÃO DAS EMPRESAS ESTATAIS. OPORTUNIDADES DE MELHORIA. DETERMINAÇÕES. RECOMENDAÇÕES. CHANCELA DE SIGILO EM ALGUNS DOCUMENTOS DOS AUTOS. CIÊNCIA. RELATÓRIO Adoto, como relatório, a instrução da unidade técnica (doc. 129), com manifestação de acordo do Diretor e do Secretário (docs. 130 e 131), nos seguintes termos: 22. O presente trabalho de auditoria encontra-se inserido no escopo do Tema de Maior Significância 7 Sistemas Informatizados de Gestão das Empresas Estatais (TMS 7) que se presta a traçar panorama da gestão e utilização de sistemas informatizados de gestão das empresas estatais federais. Foram considerados sistemas informatizados de gestão aqueles do tipo Enterprise Resource Planning (ERP), cuja principal característica é a integração dos processos de negócio empresariais. 23. Nesse contexto, este relatório apresenta o resultado da avaliação do sistema integrado de gestão utilizado na Petrobras Distribuidora (BR) da marca SAP (Sistemas, Aplicativos e Produtos para Processamento de Dados) em sua versão ECC Antecedentes (Deliberação) 24. A fiscalização ocorreu de 11/7 a 27/10/2011, em cumprimento ao despacho de 31/5/2011 do Ministro Walton Alencar Rodrigues (TC /2011-6). 2.2 Objetivos e questões de auditoria 25. O objetivo do trabalho é efetuar auditoria operacional sobre o uso do sistema integrado de gestão da BR e as práticas administrativas que sustentam sua operação. A partir do objetivo do trabalho e a fim de avaliar a aderência da gestão da empresa às melhores práticas e à legislação pertinente, formularam-se dez questões de auditoria (Coluna 2), agrupadas neste relatório em sete seções (Coluna 1), de acordo com a pertinência temática, conforme ilustra o quadro abaixo. GESTÃO DO SISTEMA ERP E PLANEJAMENTO DE TECNOLOGIA DA INFORMAÇÃO (TI) A gestão do sistema ERP está embasada em planos e políticas de TI? É realizada análise da relação custo versus benefício sobre os investimentos no sistema ERP? 1

2 PROCESSOS E MÉTODOS PARA A SUSTENTAÇÃO DO SISTEMA ERP ATUAÇÃO DA AUDITORIA INTERNA NO AMBIENTE ERP CONTRATOS E ASPECTOS LEGAIS CONTROLES DE SEGURANÇA DA INFORMAÇÃO RELACIONADOS AO ERP SATISFAÇÃO DOS USUÁRIOS COM O SISTEMA ERP AVALIAÇÃO DE PROCESSO DE NEGÓCIO MÓDULO DE AQUISIÇÕES 2.3 Visão geral do objeto Os profissionais que suportam e utilizam o sistema ERP recebem treinamento e informações de auxílio adequados para a realização de suas atividades? A área de TI dispõe de processos e métodos para sustentação do sistema ERP? A gestão e o uso do sistema ERP são fiscalizados pela auditoria interna? Os contratos relacionados ao sistema ERP atendem os dispositivos legais? Os controles gerais de TI associados à segurança do sistema ERP estão implementados segundo as boas práticas? Os controles de acesso ao sistema ERP estão implementados segundo as boas práticas? Os usuários estão satisfeitos com o sistema ERP? Os controles existentes no sistema ERP para a realização de aquisições públicas estão implementados segundo a legislação e as boas práticas? 26. O objeto da auditoria envolve os controles utilizados pela Petrobras Distribuidora como suporte à gestão e ao uso do sistema integrado de gestão ERP (Enterprise Resource Planning), da marca SAP (Sistemas, Aplicativos e Produtos para Processamento de Dados) em sua versão ECC 6.0. Trata-se de sistema mundialmente conhecido, fornecido pela SAP, empresa alemã de atuação mundial conhecida no mercado de softwares de aplicação empresarial. 27. Esse sistema de gestão empresarial tem como principal característica possibilitar integração entre os processos de negócio da empresa por ele controlado. Assim, o sistema ERP na BR controla, por meio de recursos computacionais integrados, processos de negócios corporativos, tais como orçamento, finanças, contabilidade, compras e recursos humanos. 28. A principal vantagem da utilização desse tipo de sistema é a integração nativa dos processos de negócio, o que permite que a empresa tenha os controles dos seus principais processos de negócio automatizados em um sistema informatizado único de gestão empresarial. 29. Para caracterizar o ambiente de utilização do ERP na Petrobras Distribuidora, serão apresentados dados coletados na pesquisa realizada junto aos usuários do sistema. O convite para participação na pesquisa foi encaminhado, por , a usuários do sistema ERP na BR, sendo que 968 usuários, cerca de 22% do total, responderam o questionário eletrônico. 30. Com relação ao tempo de experiência dos usuários na solução ERP, verifica-se que grande parte dos usuários possui significativa vivência no uso do software. Cerca de 65% dos 968 respondentes possuem mais de cinco anos de experiência, enquanto apenas 5% usam o software há menos de um ano, conforme ilustra o Gráfico 1: 2

3 Tempo de experiência na utilização do sistema Menos de 1 ano 5% Entre 1 e 3 anos 18% Mais de 5 anos 66% Entre 3 e 5 anos 11% Gráfico 1 Tempo de experiência na utilização do sistema 31. Com relação à distribuição do tempo de uso do sistema (Gráfico 2), verificou-se que o sistema ERP é muito utilizado por 77% dos respondentes da pesquisa sobre o ERP. Distribuição do tempo de uso do sistema Utilizo muito o ERP e utilizo pouco os outros sistemas 45% 32% Utilizo pouco o ERP e utilizo muito os outros sistemas 23% Utilizo o ERP por tempo aproximadamente igual ao tempo que uso outros sistemas Gráfico 2 Distribuição do tempo de uso do sistema 32. Outro aspecto revelado pela pesquisa trata dos riscos que podem advir de falhas no ambiente do ERP. Os riscos mais percebidos pelos usuários (Gráfico 3) são os de danos econômicos e financeiros citados por 44% dos respondentes e os riscos de danos ao negócio da empresa indicados por 42% dos participantes da pesquisa. Os riscos para a segurança das pessoas ou para propriedades e instalações físicas foram menos citados (2% e 3%, respectivamente). 3

4 Riscos de danos provenientes de falhas no sistema 3% 9% 2% Para a segurança das pessoas Ao negócio da empresa 44% 42% Econômicos e financeiros Para as propriedades e instalações físicas Não responderam Gráfico 3 Riscos de danos provenientes de falhas no sistema 2.4 Critérios e metodologia 33. Durante o trabalho de levantamento que precedeu as fiscalizações nas empresas selecionadas, objeto do TC , foi realizada reunião com técnicos, auditores internos e gestores da Petrobras Distribuidora para avaliar, em âmbito geral, o funcionamento e a gestão do ambiente ERP. 34. Em decorrência dessas reuniões e de outros estudos empreendidos durante o levantamento, as questões de auditoria foram direcionadas a aspectos de governança e segurança de ambientes ERP. Com o objetivo de viabilizar a execução dos testes de auditoria, foram conduzidas reuniões e entrevistas com técnicos da empresa para obtenção de documentos e informações sobre a gestão do sistema. 35. Como critérios de auditoria, foram utilizados, além dos contratos relacionados ao sistema ERP (peças 16, 58 e 60), normativos da área de segurança da informação, especialmente a Instrução Normativa (IN) nº 1/2008 do Gabinete de Segurança Institucional da Presidência da República (GSI-PR) e as normas NBR ISO/IEC :2006 e : Entretanto, o critério mais utilizado foi o Control Objectives for Information and Related Technology (Cobit), versão 4.1, compêndio de melhores práticas na governança e no controle de tecnologia da informação. Foram selecionados objetivos de controle de processos do Cobit, agrupados em quatro domínios: a) Planejar e Organizar (Plan and Organise PO); b) Adquirir e Implementar (Acquire and Implement AI); c) Entregar e Suportar (Deliver and Support DS); d) Monitorar e Avaliar (Monitor and Evaluate ME). 37. A indicação dos critérios Cobit dos achados de auditoria fará referência à versão do Cobit utilizada (4.1) e à sigla do domínio, seguidas da numeração do objetivo de controle e sua respectiva denominação, como no exemplo: AI2.9 Gestão dos Requisitos das Aplicações. 38. Algumas questões de auditoria, como as relacionadas ao processo de gestão de mudanças e gestão de segurança e de perfis de acesso, demandaram avaliações substantivas de dados. Para tanto, solicitou-se à empresa a realização de extrações dos dados necessários para 4

5 aplicação de testes. Os dados, posteriormente, foram avaliados no Tribunal com a utilização da ferramenta ACL (Audit Command Language) para análises e cruzamentos entre os arquivos fornecidos. 39. Para avaliar aspectos relacionados ao uso do sistema ERP por parte do usuário final, foi encaminhado questionário, com catorze perguntas sobre temas como usabilidade, treinamento, percepção de qualidade e confiabilidade, a todos os funcionários da BR com contas ativas de acesso ao sistema. 40. O questionário foi disponibilizado no portal do TCU (www.tcu.gov.br/pesquisar) e um foi encaminhado a cada usuário com login e senha para acesso à pesquisa. Foi assegurada aos usuários respondentes a preservação do sigilo quanto à sua identidade de forma a instituir clima de tranquilidade para o preenchimento das respostas. 41. Algumas questões de auditoria demandaram a aplicação de testes de observação, tais como visitas aos locais onde se localizam os equipamentos de processamento das informações do sistema ERP. 42. Os aspectos legais dos contratos de suporte, manutenção e consultoria relacionadas ao sistema demandaram análise documental nos autos dos processos de contratação e pagamento. Alguns documentos específicos, como faturas, relatórios e folhas de ocorrências também foram objeto de verificação. 2.5 Limitações ocorridas 43. Não foram registradas limitações. 2.6 Volume de Recursos Fiscalizados 44. O volume de recursos fiscalizados é de R$ ,06, que corresponde ao valor total estimado para execução dos Contratos (peça 16) e (peça 58), cujos valores estão discriminados a seguir: a) Contrato : R$ ,76 (peça 16, p. 5, cláusula quarta); b) Contrato : R$ ,30 (peça 58, p. 5, cláusula quinta). 3. GESTÃO DO SISTEMA ERP E PLANEJAMENTO DE TI 45. O presente capítulo tem por objetivo analisar aspectos de planejamento e gestão do sistema ERP. 46. Consoante o processo PO1 do Cobit Definir um Plano Estratégico de TI, o planejamento estratégico de TI é necessário para gerenciar todos os recursos de TI de forma alinhada com as prioridades e estratégias de negócio. Segundo o referido modelo, é importante que o plano reconheça os investimentos obrigatórios, os sustentáveis e os discricionários em TI, direcionados pelos objetivos do negócio, de forma a promover o alinhamento entre a TI e o negócio da organização. 47. Um dos instrumentos de planejamento de TI utilizados na Administração Pública Federal, sobretudo no Sistema de Administração dos Recursos de Informação e de Informática (Sisp) do Poder Executivo Federal, é o Plano Diretor de Tecnologia da Informação (PDTI). A Instrução Normativa nº 4/2010, editada pela Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão (SLTI/MP), que dispõe sobre o processo de contratação de soluções de tecnologia da informação pelos órgãos integrantes do Sisp, define PDTI como sendo o instrumento de diagnóstico, planejamento e gestão dos recursos e processos de TI que visa atender às necessidades tecnológicas e de informação de um órgão ou entidade por um determinado período. 5

6 48. Nesse contexto, verificou-se que a Petrobras Distribuidora possui PDTI (peça 104) em vigor, que tem por finalidade descrever o direcionamento estratégico que a Gerência de Tecnologia da Informação (GTI) definiu para os exercícios de 2011 e Entre as diretrizes incluídas no PDTI, encontra-se a necessidade de atualização da atual versão do sistema ERP SAP R/3 (antiga) para a versão ECC 6.0 (atual), visto que o suporte e as atualizações daquele ambiente foram descontinuados pelo fornecedor. Essa atualização e a implantação da ferramenta de BO (Business Objects) da SAP fazem parte do plano de metas e de ações constante do PDTI, o qual também inclui a expansão do ambiente de contingência atual do sistema ERP, de modo a garantir o ambiente de produção em caso de indisponibilidade ou desastre (peça 104, p. 6-9). 49. Constatou-se também que a BR possui plano de investimentos em TI de nível estratégico (peça 105), no qual, para cada projeto, constam área, gerência, descrição, vinculação estratégica, unidade física de investimento, memória de cálculo, entre outras informações. Ademais, a companhia também possui plano de investimentos em TI de nível tático (peça 106), o qual contempla ações de investimento de recursos no sistema SAP. 50. Além do planejamento da companhia, também foram avaliados aspectos relacionados à atuação do comitê de TI, às políticas que dispõem sobre o relacionamento da BR com consultorias e empregados de empresas contratadas, bem como à gestão de riscos de TI. 3.1 Falhas na atuação dos comitês de TI 51. A Petrobras Distribuidora possui comitê de TI formalmente instituído. No entanto, constatou-se que este não tem sido atuante, visto que há evidências de que suas reuniões não são realizadas desde julho de A suspensão das atividades, segundo os gestores, decorreu da concentração de recursos para a atualização da versão do SAP. A retomada dos trabalhos está prevista para o início de Critérios a) Cobit 4.1, processo PO4 Definir os processos, organização e relacionamentos de TI, objetivos de controle PO4.2 Comitê estratégico de TI e PO4.3 Comitê executivo de TI. Análise das evidências 52. O modelo Cobit 4.1, em seus objetivos de controle PO4.2 Comitê estratégico de TI e PO4.3 Comitê executivo de TI, trata da necessidade de se estabelecer os referidos comitês para assegurar que a governança de TI seja conduzida em conformidade com a governança corporativa, bem como para deliberar sobre questões relacionadas a prioridades dos programas de investimentos em TI, ao monitoramento do estado atual dos projetos e dos níveis de serviços, além de promover a resolução de conflitos por recursos. 53. Com base nesses objetivos de controle, foram verificados aspectos relacionados ao comitê de TI da companhia. A Petrobras Distribuidora apresentou documentos que confirmam a formalização de um comitê de TI, conforme descrito no BR-DFIS/GTI 173/2006 (peça 19, p. 1-6). Como evidência de que o referido comitê se reunia e deliberava sobre questões relacionadas ao sistema ERP da BR, foi encaminhada uma ata de reunião do referido comitê sobre questão específica de controle de acesso ao sistema (peça 20) e o documento que subsidiou a apreciação desse assunto (peça 21). No entanto, a existência de apenas uma deliberação não permitiu evidenciar se a atuação do comitê é realmente importante para a tomada de decisão e para as ações de TI, em especial aquelas que abrangem o sistema SAP. 54. Em função disso, por meio do item 2 do anexo I do Ofício 2-585/2011-TCU-Sefti (peça 7, p.2), foram solicitadas todas as atas de reunião do Comitê de TI entre julho de 2010 e julho de Em resposta, a empresa absteve-se de providenciar esses documentos, informando, porém, que face à implantação de projetos de grande vulto, como a atualização da versão do SAP, foi 6

7 acordada com a alta administração da BR a suspensão das reuniões do Comitê de TI até o final de 2011, sendo prevista a retomada das atividades para o início de 2012 (peça 22, p. 1). 55. A existência de um comitê composto por diretorias executivas, de negócio e de TI é importante para a definição das prioridades das ações de TI de uma organização. Assim, no caso da BR, o cenário atual de suspensão das reuniões do comitê de TI da empresa pode comprometer o exercício de atribuições relevantes que impactam os projetos relacionados ao sistema ERP. 56. Dessa forma, é possível que decisões importantes, tais como definição de prioridades dos investimentos a serem feitos no SAP e monitoramento de nível de serviço dos contratos de desenvolvimento, manutenção e consultoria do sistema, estejam sendo tomadas com base em avaliações particulares feitas por determinado setor da instituição, como, por exemplo, pela própria área de TI, pois o órgão colegiado capaz de dar representatividade às intenções organizacionais como um todo está com suas atividades paralisadas desde, no mínimo, julho de Nesse sentido, para que investimentos e prioridades sejam definidos com base nas necessidades institucionais, faz-se necessário que o comitê de TI volte a desempenhar o seu papel. 57. Apesar do motivo alegado pela BR para justificar a interrupção das reuniões, a ausência de atuação efetiva do comitê de TI nas questões relacionadas ao sistema ERP é algo indesejável, sobretudo quando os recursos investidos e o valor estratégico do sistema são de grande relevância. Causa a) acordo realizado entre a GTI e a alta administração da BR no sentido de se priorizarem esforços para efetuar a atualização da versão do sistema ERP (peça 22, p. 1). Efeitos e riscos decorrentes da manutenção da situação encontrada a) riscos relacionados à TI desconhecidos pela alta administração da organização; b) decisões de investimentos e prioridades não estarem baseadas nas prioridades compartilhadas entre as áreas de negócio e a TI; c) riscos de a governança de TI estar desalinhada da governança corporativa; d) suporte e envolvimento potencialmente insuficientes da área de TI em processos-chave de tomada de decisão; Conclusão 58. Em que pese a definição formal de um comitê de TI na Petrobras Distribuidora, é necessário que ele se reúna periodicamente para discutir questões importantes sobre projetos e investimentos em TI, inclusive no que diz respeito ao sistema ERP. Nesse sentido, recomenda-se que a BR providencie o retorno das atividades desempenhadas pelo comitê e evite a paralisação de suas reuniões mesmo em situações especiais que demandem priorização de esforços, tais como a condução de projetos de grande vulto na empresa. Propostas de encaminhamento 59. Recomendar à Petrobras Distribuidora que: 59.1 aperfeiçoe a atuação do Comitê de Tecnologia da Informação, providenciando o retorno das suas atividades, de maneira que esse se responsabilize por alinhar os investimentos de Tecnologia da Informação com os objetivos institucionais e por apoiar a priorização de projetos a serem implantados, à semelhança das orientações contidas no Cobit 4.1, PO4.2 Comitê estratégico de TI e PO4.3 Comitê diretor de TI; 7

8 59.2 evite a paralisação das atividades desempenhadas pelo Comitê de TI mesmo em situações especiais que demandem priorização de esforços, tais como a condução de projetos de grande vulto, de forma a não prejudicar as decisões sobre alocação de recursos, projetos e investimentos de TI da companhia, à semelhança das orientações contidas no Cobit 4.1, PO4.2 Comitê estratégico de TI e PO4.3 Comitê diretor de TI. Benefícios esperados a) melhor conhecimento dos riscos de TI pela alta administração; b) maior alinhamento entre a governança de TI e a governança corporativa; c) priorização dos projetos e dos investimentos em TI. 3.2 Inexistência de regulamentos que orientem e normatizem a atuação de empresas de consultoria e profissionais contratados 60. A Petrobras Distribuidora segue as disposições do Código de Ética do Sistema Petrobras, que define as condutas esperadas de seus empregados, em especial no que tange aos valores éticos e morais da companhia. Entretanto, quando se trata da relação contratual entre a BR e seus fornecedores, aspectos importantes ligados à segurança da informação, à propriedade intelectual e às sanções aplicáveis são estabelecidos em cada instrumento contratual, não existindo políticas, normas ou regulamentos formais que consolidem essas disposições. Critérios a) Cobit 4.1, processo PO4 Definir os processos, organização e relacionamentos de TI, objetivo de controle PO4.14 Políticas e procedimentos para pessoal contratado. Análise das evidências 61. O objetivo de controle PO 4.14 do Cobit declara que, para assegurar a proteção dos ativos de informação da organização e o cumprimento das exigências contratuais firmadas, devem ser definidas e implementadas políticas e procedimentos para controlar as atividades de consultores e outros contratados da área de TI. Nesse sentido, buscou-se avaliar se nos contratos vigentes de manutenção e de suporte do sistema ERP, firmados com as empresas Politec e SAP, havia referência a políticas ou regulamentos que dispusessem sobre as condutas que deveriam ser praticadas, bem como aquelas que deveriam ser evitadas pelos empregados dessas empresas enquanto prestarem serviços para a Petrobras Distribuidora. 62. No que diz respeito às relações entre a BR e os seus empregados, verificou-se a existência do Código de Ética do Sistema Petrobras, que tem por objetivo definir com clareza os princípios éticos que norteiam as ações e os compromissos de conduta do Sistema, tanto da parte institucional como da parte dos seus empregados e empregadas, explicitando o sentido ético de sua Missão, Visão e Plano Estratégico (peça 23, p. 4). O item três desse código também estabelece, de forma geral, as condutas que os empregados devem adotar enquanto estiverem prestando serviço para a empresa, tais como a guarda do sigilo das informações, o respeito pela propriedade intelectual, a não obtenção de vantagens indevidas decorrentes do cargo, entre outras (peça 23, p. 8). O item quatro do código estabelece que o sistema Petrobrás compromete-se a requerer das empresas prestadoras de serviços que seus empregados respeitem os princípios éticos e compromissos de conduta definidos nesse Código enquanto estiverem em vigor os contratos com tais empresas (peça 23, p. 9). 63. Observou-se que as disposições contidas nesse documento não são transcritas nos Contratos (peça 16, p. 1, item 2.1.5) e (peça 24, p. 6, item 6.31), ambos relacionados ao SAP, mas apenas referenciadas, em cada um deles, de forma indireta no primeiro e de forma direta no segundo. Porém, o código de ética é mais abrangente e focado em transmitir 8

9 os valores morais e éticos do Sistema Petrobras, não contemplando aspectos específicos importantes quando se trata da relação contratual entre a BR e os seus fornecedores. 64. A análise dos referidos ajustes revelou que são incluídas, em partes específicas do termo contratual, disposições mais detalhadas sobre a forma de agir dos empregados das empresas contratadas pela BR. Como exemplo, cita-se a cláusula onze do Contrato , firmado entre a BR e a empresa Politec, que trata do sigilo e da confidencialidade das informações. O subitem 11.2 dessa cláusula define que as partes se comprometem a cientificar os seus empregados ou prepostos sobre o caráter sigiloso das informações confidenciais às quais podem ter acesso em razão do contrato (peça 16, p. 12). 65. Disposição semelhante também está presente no pacto celebrado entre a BR e a SAP, no Contrato , conforme consta da cláusula quatorze, item 14.2 (peça, 24 p. 14). Nesse mesmo ajuste, também consta a obrigação de os empregados fazerem uso ostensivo de crachás de identificação fornecidos pela BR, conforme item 6.25 (peça 24, p. 5). 66. As exigências constantes desses contratos, embora todas apropriadas, são aplicáveis somente àquela relação entre a BR e o contratado. Convém, portanto, que a BR institua um conjunto de políticas e regulamentos gerais da organização que consolidem critérios e diretrizes para a atuação de empresas prestadoras de serviços de TI, sobretudo no que diz respeito à segurança da informação, às sanções aplicáveis e à propriedade intelectual. Esses regulamentos configuram instrumento de institucionalização das regras e dos controles a serem aplicados no caso dos profissionais contratados externamente, cujo cumprimento pudesse ser exigido como obrigação da contratada em qualquer contrato. Causa a) não identificada. Efeitos e riscos decorrentes da manutenção da situação encontrada a) dificuldades para observância das regras e disposições contratuais; b) custos de potenciais litígios originados de divergências sobre expectativas e responsabilidades. Conclusão 67. A despeito de a BR possuir um código de ética para definir os princípios que norteiam as condutas da própria instituição e de seus empregados, inexistem regulamentos de caráter específico que consolidem a atuação das consultorias e dos funcionários das empresas contratadas. Essas relações têm sido reguladas individualmente por meio de dispositivos estabelecidos em cada contrato. 68. Dessa forma, seria interessante que fosse definido um conjunto de políticas e regulamentos que consolidassem critérios e diretrizes a serem respeitadas por todos os funcionários de empresas contratadas e pelos consultores, a fim de que as condutas a serem observadas pelas pessoas envolvidas fossem formalmente definidas e não ficassem esparsas nos contratos de prestação de serviços de TI. Proposta de encaminhamento 69. Recomendar à Petrobras Distribuidora que defina formalmente regulamento(s) que contenha(m) as atribuições e as responsabilidades dos profissionais contratados para atuarem na sustentação e evolução do sistema integrado de gestão, de modo a definir as sanções aplicáveis para o caso de infrações das políticas de acesso e de segurança da informação, à semelhança das orientações contidas no Cobit 4.1, PO4.14 Políticas e Procedimentos para Pessoal Contratado. 9

10 Benefício esperado a) padronização de atribuições e responsabilidades das consultorias e dos funcionários de empresas contratadas, com ganhos esperados na maior disseminação dessas informações e na conformidade com a conduta esperada. 3.3 Falhas na gestão de riscos de TI 70. A Petrobras Distribuidora dispõe de normativos que não estabelecem plenamente um processo de gestão de riscos de TI. Os relatórios de riscos encaminhados pela empresa consideram apenas os eventos associados ao impacto que eventuais falhas em ativos de TI tais como equipamentos servidores, firewall, sistemas operacionais, entre outros possam ocasionar nos serviços de TI fornecidos pela empresa. O relatório enviado abstém-se de avaliar outros tipos de ameaças que possam impactar a disponibilidade de sistemas importantes da organização, a exemplo do sistema ERP. Ademais, os riscos de TI não estão claramente identificados, tampouco sua forma de tratamento. Critérios a) Cobit 4.1, processo PO4 Definir os processos, organização e relacionamentos de TI, objetivo de controle PO4.8 Responsabilidades por riscos, segurança e conformidade; b) Cobit 4.1, processo PO9 Avaliar e Gerenciar os Riscos de TI, objetivos de controle PO9.1 Alinhamento da gestão de riscos de TI e de Negócios, PO9.2 Estabelecimento do Contexto de Risco, PO9.3 Identificação de Eventos, PO9.4 Avaliação de Risco, PO9.5 Resposta ao Risco e PO9.6 Manutenção e Monitoramento do Plano de Ação de Risco. Análise das evidências 71. O objetivo de controle PO4.8 do Cobit dispõe que é conveniente que se definam e atribuam os papéis críticos para o gerenciamento dos riscos de TI, incluindo a responsabilidade específica pela segurança da informação, segurança física e conformidade. Ainda segundo o PO4.8, convém estabelecer responsabilidade pelo gerenciamento de risco e segurança no nível organizacional. Os objetivos de controle PO9.1 a PO9.6, pertencentes ao processo PO9 Avaliar e Gerenciar os Riscos de TI, por sua vez, abordam uma série de boas práticas a serem observadas na atividade de gerenciamento de riscos de TI. 72. Tendo em vista a relevância do sistema ERP para a BR e considerando o disposto nos referidos objetivos de controle do Cobit, buscou-se verificar como ocorre o processo de gestão de riscos de TI na companhia e se ele abrange riscos específicos relacionados ao sistema ERP. 73. Em resposta aos itens dezessete e dezoito do anexo I do Ofício 243/2011-TCU-Sefti (peça 1, p. 3), a BR encaminhou quatro documentos: NC-GTI-DFIN-019 Norma de Análise de Riscos de TI (peça 25), Risk Scorecard Análise de Riscos Petrobras Distribuidora (2008; peça 26), Relatório de Análise de Riscos (peça 27) e Relatório Operacional de Riscos (peça 28). Cabe registrar que, à exceção da norma de análise de riscos de TI, os demais documentos foram elaborados pela empresa Módulo contratada para realizar diagnóstico de riscos de TI na BR. 74. A norma específica de análise de riscos de TI define, em seu item 6.2, que a responsabilidade pela gestão de riscos de TI é da própria GTI (peça 25, p. 4). Nesse documento é estabelecida uma sistemática de análise de riscos de TI, abrangendo estratégia de análise, critérios de aceitação, identificação, análise e avaliação dos riscos, avaliação das opções para tratamento dos riscos e implantação dos controles para eliminá-los ou mitigá-los. Essa sistemática, de maneira geral, pode ser considerada como um processo de gestão de riscos de TI. 75. O item 4.1 do Relatório de Análise de Riscos apresenta uma tabela com informações e consolidações dos indicadores de Processo de Negócio (PSR), Conformidade e Risco, que devem 10

11 ser utilizadas para priorizar as ações nos ativos que suportam cada processo de negócio de maior risco, ou mesmo para acompanhar a evolução dos riscos (peça 27, p. 19). Nessa tabela, os processos de negócio associados ao sistema ERP estão relacionados com: a) a implementação e manutenção do SAP R/3 e softwares parceiros associados aos processos de comercialização, logística e finanças (peça 27, p. 19); b) a atribuição dos perfis de elaboração de demonstrações contábeis anuais da companhia acompanhadas pelas notas explicativas. (peça 27, p. 20). 76. Por sua vez, o item 6.1 do referido documento apresenta outra tabela que relaciona a relevância de determinados ativos aos respectivos processos de negócio, sendo que, para os processos relacionados ao sistema ERP, esses ativos são, em sua maioria, serviços de software e equipamentos, a exemplo do correio eletrônico, da aplicação Lotus Notes, do banco de dados corporativo, do servidor de arquivos, entre outros (peça 27, p ). O item 6.2 expõe um relacionamento entre os agentes definidos e as possíveis ameaças provocadas por eles, sem, no entanto, correlacionar, explicitamente, tais ameaças com os processos de negócio (peça 27, p ), o que dificulta a identificação das ameaças existentes sobre os processos do ERP. 77. Já o Relatório Operacional de Riscos, feito também pela empresa Módulo, tem por objetivo orientar o gestor na priorização das recomendações que devem ser aplicadas de acordo com o seu nível de risco (peça 28, p. 3). Nele são apresentados controles e recomendações para tratar riscos operacionais da organização, sendo que, para cada controle, existe uma recomendação de como implementá-lo. No entanto, não se verifica a correlação entre controles e riscos de TI que se destina mitigar ou eliminar. 78. Na análise desses documentos (peças 25, 26, 27 e 28), não foi identificada uma lista de riscos associados ao sistema ERP da empresa. Conforme se verifica no Relatório de Análise de Riscos, foram listados apenas os serviços de TI (internet, correio eletrônico, aplicação Lotus Notes, banco de dados corporativos etc. peça 27, p ) que poderiam impactar dois processos de negócio específicos relacionados ao sistema ERP, sem, no entanto, explicitar como a eventual interrupção ou degradação desses serviços (impacto) poderia afetar o ERP e os processos de negócio por ele suportados. 79. Ademais, a lista de riscos de TI está incompleta, por não estarem presentes, por exemplo, riscos de interrupção inesperada do contrato de manutenção e de customização, além de outros não associados, necessariamente, aos serviços de TI que suportam o ERP. Além disso, os detalhes dos controles propostos no Relatório Operacional de Riscos (peça 28) são de cunho mais técnico, isto é, destinam-se, em sua maioria, a resolver problemas de configuração de determinados ativos de TI (servidores, firewall, sistemas operacionais, entre outros), visando garantir a segurança e a disponibilidade dos serviços de TI providos pela instituição. Assim, não estão claros os riscos de TI que esses controles tendem a mitigar, tampouco se identificam, da análise do documento, os riscos ligados ao sistema ERP. 80. Nesse contexto, verifica-se que uma das falhas de gestão de riscos de TI na BR decorre da ausência de tratamento adequado dos riscos existentes, em especial daqueles relacionados ao ERP, pois não foi possível identificar, na análise da documentação encaminhada, uma lista de riscos associada ao ERP. De acordo com as melhores práticas de gestão de TI, entende-se que uma boa forma de lidar com riscos abrange definição de estratégia de tratamento (mitigação, eliminação ou transferência do risco), mapeamento, priorização e definição das ações necessárias a tratá-los, o que não foi constatado na BR. Como consequência, uma possível interrupção do sistema ERP, oriunda de uma materialização de risco não previsto, pode gerar prejuízos financeiros à empresa, tendo em vista que esse sistema é utilizado por diversos setores da companhia no apoio à execução dos processos de negócio. 11

12 Causa TRIBUNAL DE CONTAS DA UNIÃO TC / a) metodologia de análise de risco de TI empregada pela empresa contratada considera apenas riscos relacionados a falhas nos ativos de hardware. Efeitos e riscos decorrentes da manutenção da situação encontrada a) proteção potencialmente insuficiente dos ativos de informação; b) provável falta de comprometimento da gestão na segurança organizacional; c) prováveis dificuldades no entendimento do apetite a risco da organização; d) riscos de TI e organizacionais podem ser gerenciados independentemente; e) impacto de um risco de TI para o negócio pode não ser considerado; f) risco pode ser notado como uma ameaça única ao invés de ser tratado como parte de um contexto geral; g) suporte insuficiente para a avaliação do risco pelos gestores; h) tratamentos podem ser ineficazes para os riscos identificados; i) riscos de negócio residuais podem não ser identificados; j) provável uso ineficiente dos recursos para responder aos riscos; k) controles de mitigação de riscos podem não funcionar apropriadamente; l) controles compensatórios podem ficar desassociados dos riscos identificados. Conclusão 81. Apesar de a BR possuir uma norma de análise de risco de TI que pode ser considerada como um processo de gestão de riscos de TI, existem fragilidades na forma como a empresa realiza a gestão dos riscos de TI. A estratégia de contratação de empresa para apoiar esse processo pode ser interessante, porém o trabalho por ela executado deve abranger detecção, priorização e ações para tratamento de diversos tipos de riscos de TI da empresa. 82. Não foi possível identificar, na análise da documentação encaminhada, uma lista de riscos associada ao ERP. A análise empregada pela empresa contratada, a Módulo, limitou-se a considerar ameaças decorrentes de falhas nos ativos de TI da BR (tais como equipamentos servidores, firewall, sistemas operacionais), desconsiderando outros tipos de risco que possam impactar o ambiente de TI da companhia, em especial no que se refere à sustentação, à operação e à evolução do sistema ERP. Proposta de encaminhamento 83. Recomendar à Petrobras Distribuidora que aperfeiçoe a gestão de riscos de TI de modo a considerar, em especial, os riscos associados à gestão e ao uso do sistema integrado de gestão e a avaliar a eficácia dos controles utilizados para tratar os riscos, de forma a considerar também os riscos relacionados aos sistemas essenciais para a sustentação do negócio da empresa, à semelhança das orientações contidas no Cobit 4.1, PO4.8 Responsabilidade por riscos, segurança e conformidade e observando as boas práticas contidas nos objetivos de controle do processo PO9 Avaliar e Gerenciar os Riscos de TI. Benefício esperado a) gerenciamento de riscos de TI não relacionados apenas a ativos de TI. 3.4 Falhas na avaliação de custo versus benefício nos investimentos no sistema ERP 12

13 84. No projeto de implantação do módulo de gerenciamento da cadeia de suprimentos (SCM Supply Chain Management) foi desenvolvido estudo de viabilidade técnica e econômica para avaliar o projeto. O estudo, que destaca benefícios quantitativos de sua adoção, representa um avanço no sentido de se avaliar mais objetivamente os custos e benefícios de implantação de soluções, contudo não foram realizadas avaliações de custo-benefício para as demais contratações relativas ao ERP executadas na Petrobras Distribuidora e tampouco há processo formal de avaliação para tanto. Critério a) Cobit 4.1, processo PO5 Gerenciar o investimento de TI, PO5.5 Gerenciamento de benefícios. Análise das evidências 85. O processo PO5 do Cobit orienta quanto ao estabelecimento de uma estrutura para gerenciamento dos investimentos em TI, contemplando custos, benefícios, prioridades e orçamento. Um dos objetivos de controle desse processo trata especificamente da importância de se implementar um processo de monitoramento dos benefícios que soluções de TI apropriadas podem prover. 86. Segundo o Cobit, as contribuições esperadas da TI para com os resultados de negócio devem ser identificadas, pactuadas, monitoradas e reportadas, tanto como parte de um componente dos programas de investimento, quanto como parte da operação de suporte regular. 87. Tendo em vista, ainda, a necessidade de justificar os investimentos em TI como parte do processo regular inerente às contratações públicas, a avaliação do custo-benefício da implantação de soluções informatizadas deve ser uma iniciativa sempre louvada e perseguida. 88. No entanto, entende-se que o processo de medir os impactos de uma solução de TI nos resultados da organização pode não ser direto ou simples. Alguns resultados podem ser mais facilmente observáveis, tais como em casos de redução de custos em função de substituição de sistemas e de redução de pessoal. Contudo, quando consideradas variáveis relativas aos benefícios esperados em termos do negócio das empresas, a verificação dos benefícios pode se tornar mais complexa. Dificilmente as variáveis podem ser isoladas e frequentemente sofrem influência de diversos fatores, tais como a própria flutuação de mercado. 89. Nada obstante, existem técnicas e metodologias que permitem a avaliação de cenários e o estudo da influência dessas variáveis nos resultados da organização, de forma a propiciar maior controle e segurança para a realização de investimentos significativos em TI, tais como aqueles decorrentes da implantação de um sistema integrado de gestão. 90. Por meio dos itens 29 a 32 do anexo I do Ofício 243/2011-TCU/Sefti (peça 1, p.4), a BR foi questionada sobre a realização de análises de custo-benefício sobre investimentos realizados no sistema ERP. Em resposta, a empresa informou que, em relação à implementação do sistema, contratações e serviços associados à operacionalização e expansão (consultoria, suporte, manutenção, implementação de novos aplicativos), não foram realizados estudos sobre o retorno dos investimentos relacionados a implementações no sistema ERP, bem como não foram estimados os benefícios referentes a contratações e serviços após o início da operação do sistema ao longo dos anos (peça 29, p. 1-3, itens 29 a 32). 91. A BR informou, porém, que realizou estudos de viabilidade técnica e econômica (EVTE) para um de seus projetos em andamento (peça 30). O projeto, denominado Supply Chain Management (SCM gestão da cadeia de suprimento), integrará ao sistema ERP um módulo de gestão de processos relacionados à otimização da gestão logística de suprimento, a fim de 13

14 promover ganhos de custos referentes à redução de compras do tipo spot (para aumentar ganho de escala na compra dos insumos) e à redução de armazenamento. 92. Verifica-se que o projeto busca desenvolver soluções técnicas com a criação de índices para fins de controle dos principais eventos operacionais que compõem os processos que integram a gestão da cadeia de suprimentos. 93. A partir do mapeamento dos processos que integram a gestão de suprimentos, foram identificados e estimados benefícios quantitativos, bem como foram consideradas premissas que serviram de base para modelar cálculos de retorno sobre investimento. Como resultado, foram gerados diferentes cenários de custo-benefício, dada a necessidade de considerar as possíveis imprevisibilidades do modelo. Causa a) inexistência de processo específico e consolidado para avaliação do custo-benefício para implantação de soluções de TI. Efeitos e riscos decorrentes da manutenção da situação encontrada a) contribuição do valor do ERP não está transparente; b) percepção incorreta da contribuição do valor do sistema ERP aos processos de negócio da empresa; c) dificuldade na análise dos preços dos produtos e serviços; d) riscos de ineficiência na realização de investimentos, uma vez que seu retorno em termos do negócio não é avaliado. Conclusão 94. Não há processo formal para avaliação do custo-benefício para contratação de módulos ou expansões do ambiente ERP. Não foram realizadas avaliações nesse sentido quando da implantação do sistema ERP e contratações posteriores. No entanto, para a contratação do módulo SCM, foi realizado estudo de viabilidade técnica e econômica que destaca benefícios quantificáveis, bem como permite avaliar mais objetivamente o retorno sobre os investimentos para o caso específico deste projeto. 95. Embora ainda não tenham sido definidos indicadores ou mecanismos de coleta para avaliação dos benefícios que podem ser obtidos com a implantação do projeto, o EVTE realizado para o projeto SCM é um passo nesse sentido. Propostas de encaminhamento 96. Recomendar à Petrobras Distribuidora que elabore um processo formal de avaliação da relação do custo versus o benefício do investimento para a contratação de novos serviços e produtos relacionados ao sistema integrado de gestão, prevendo a criação de indicadores de avaliação dos investimentos alinhados com o cumprimento dos objetivos estratégicos e o monitoramento periódico desses indicadores, à semelhança das orientações contidas no Cobit 4.1, PO5.5 Gerenciamento de Benefícios. Benefícios esperados a) informações mais robustas para justificar, selecionar e avaliar os investimentos realizados em TI; b) melhor percepção da contribuição do valor do sistema ERP para os processos de negócio da empresa; 14

15 c) maior eficiência dos investimentos, sendo priorizados aqueles que apresentem maior potencial de retorno. 4. PROCESSOS E MÉTODOS PARA A SUSTENTAÇÃO DO SISTEMA ERP 97. Este capítulo se destina a avaliar os principais processos e métodos empregados pela companhia para gestão e sustentação do sistema ERP. 98. Tendo em vista a complexidade e abrangência de um sistema integrado de gestão, espera-se que a organização detentora de um sistema ERP tenha estrutura condizente com a amplitude das regras, estruturas e riscos relacionados à operação de um ambiente tecnológico desse porte. 99. Dessa forma, alguns processos tradicionais de tecnologia da informação ganham ainda mais relevância. Em um sistema altamente integrado, como é o caso em análise, em que as operações empresariais são mutuamente dependentes, há que se ter especial cuidado com relação à manutenção e evolução do sistema Vários aspectos relacionados à sustentação do ambiente do sistema ERP foram avaliados. Em razão de sua relevância, o processo de gerenciamento de requisitos, de gerenciamento de mudanças, de testes, de gerenciamento de configuração e de suporte aos usuários tiveram aspectos avaliados Em especial, de acordo com as referências bibliográficas utilizadas neste trabalho e os levantamentos conduzidos em empresas detentoras de sistemas do tipo ERP, o gerenciamento de mudanças é considerado um processo crítico para o sucesso de sistemas integrados de gestão. Considerando os impactos que a alta interdependência de rotinas automatizadas pode gerar, as mudanças no sistema ERP necessitam ser controladas, gerenciadas e desenvolvidas com critério Nesse sentido, verificou-se que o processo para gestão das mudanças no sistema ERP da BR Distribuidora está adequadamente organizado e formalizado, configurando boa prática a ser seguida e que se constitui em instrumento relevante para a manutenção da estabilidade e do funcionamento do sistema. 4.1 Falhas no gerenciamento dos requisitos 103. A BR dispõe de processo estruturado de gestão de mudanças mediante o qual é especificada toda sorte de mudanças no ambiente do ERP (peças 31 e 32). Embora os requisitos estejam expressos de alguma forma na solicitação de mudança, não há processo formal de gerenciamento que assegure a documentação, o controle e a rastreabilidade sobre os requisitos especificados para o sistema ERP. Para novos projetos, tem sido utilizada ferramenta para gestão de requisitos. Critério a) Cobit 4.1, processo AI2 Adquirir e Manter Software Aplicativo, objetivo de controle AI2.9 Gestão dos Requisitos das Aplicações; Análise das evidências 104. O objetivo de controle AI2.9 do Cobit trata da importância de acompanhamento individual dos requisitos, inclusive os rejeitados, durante o projeto, desenvolvimento e implementação de um sistema de informação. Recomenda-se que as mudanças nos requisitos sejam controladas e gerenciadas. Entre as atividades deste processo, é listada a atividade de rastreamento e gerenciamento dos requisitos, o que sinaliza a relevância dessa tarefa na construção de soluções. 15

16 105. A BR possui processo estruturado para solicitação de mudanças e novos desenvolvimentos no sistema ERP (peças 31 e 32). Sua metodologia está na 11ª versão e apresenta responsabilidades, artefatos e etapas do processo (peça 32). Para automatização do processo é utilizada rotina do sistema denominada YSCDEV Com relação à documentação, a metodologia prevê a elaboração de especificação funcional e técnica, e apresenta template dessa especificação (peça 33). A especificação apresenta informações mais gerais, como: responsáveis pela especificação, objetivo, problema a ser resolvido, estratégia de desenvolvimento, diagramas e fluxos de apoio, especificações sobre o processamento, planos de testes, lógica de processamento A gestão dos requisitos está vinculada à gestão de mudanças, a qual possui processo formalizado. De acordo com as entrevistas realizadas, o órgão detém o conjunto de especificações da versão original do sistema implantada em 2002 e as especificações funcionais das solicitações de mudanças (requests) posteriores Os requisitos de cada mudança são definidos e compõem a especificação funcional e a especificação técnica construída. Contudo, não há documento de especificação atualizado que reúna o conjunto de requisitos e o comportamento de um dado processo de negócio do sistema (peça 34, p. 2-3, item 9). Assim, para se identificar o conjunto de requisitos que descrevem o comportamento de uma função do sistema, depende-se da avaliação das solicitações de mudança que eventualmente a modificaram Além disso, em caso de mudanças nos requisitos, as alterações são feitas mediante alterações no documento (formato Word) de especificação (peça 33) ou mediante nova especificação anexada à solicitação. Com efeito, o rastreamento das mudanças nos requisitos fica limitado, haja vista que as mudanças nos documentos de especificação vinculados à solicitação não são verificáveis e gerenciadas de maneira automatizada Os gestores informaram que, durante o projeto de migração, alguns processos tiveram seus requisitos documentados pela ferramenta Solution Manager. Dessa forma, constata-se que, para novos projetos, a BR tem procurado ampliar o gerenciamento sobre os requisitos do sistema ERP. No entanto, para as mudanças rotineiras, os requisitos modificados não são submetidos a processo formal de gerenciamento que garanta a manutenção de documentação atualizada e centralizada dos requisitos de uma dada funcionalidade Registre-se que, embora não haja processo formal de gerenciamento dos requisitos, o próprio processo de gestão de mudanças (peça 32, p. 5 metodologia versão 11) prevê que o gestor do processo seja o responsável pela solicitação de mudança e, posteriormente, pela aprovação do documento de visão preparado pela TI. Dessa forma, entende-se que há aprovação dos requisitos da mudança demandada, considerando que a nova funcionalidade estará descrita no documento de visão. Causa a) não identificada. Efeitos e riscos decorrentes da manutenção da situação encontrada a) risco de desenvolvimento de solução incorreta com base em entendimento inadequado dos requisitos; b) possibilidade de que os requisitos relevantes sejam descobertos tardiamente, causando aumento de custo decorrente de retrabalho e de atrasos; c) risco do surgimento de soluções que falham em atender aos requisitos de negócio; d) possibilidade de que soluções alternativas não sejam identificadas apropriadamente; 16

17 e) processos de negócio e aspectos da organização da potencial solução podem ser considerados de maneira inadequada. Conclusão 112. Não há processo formal de gerenciamento de requisitos do sistema ERP. A descrição das solicitações de mudança funciona como parte do mecanismo formal de definição dos requisitos levantados. Em novos projetos, tem sido utilizada e avaliada ferramenta como parte de um processo de gestão de requisitos. Proposta de encaminhamento 113. Recomendar à Petrobras Distribuidora que aperfeiçoe o processo de construção de novas funcionalidades no sistema integrado de gestão, de modo que este contemple as atividades de gestão dos requisitos da aplicação, em especial as relacionadas à elaboração de documentação técnica, a implantação de mecanismos de rastreamento das mudanças nos requisitos da aplicação e a aprovação formal dos requisitos por parte da área demandante, à semelhança das orientações contidas no Cobit 4.1, AI2 Adquirir e Manter Software Aplicativo, objetivo de controle AI2.9 Gestão dos Requisitos das Aplicações. Benefícios esperados a) redução dos riscos decorrentes de mudanças não controladas sobre os requisitos das aplicações; b) simplificação de esforços de manutenção em razão da disponibilidade de requisitos documentados e atualizados em relação à aplicação. 4.2 Falhas no gerenciamento de configuração dos artefatos do sistema ERP 114. Verificaram-se falhas no processo de gerenciamento de configuração de alguns artefatos, como manuais e arquivos de ajuda do sistema ERP. O gerenciamento de licenças do software ERP também não está submetido a processo formal de gerenciamento de configuração. Critério a) Cobit 4.1, processo DS9 Gerenciar a configuração, objetivos de controle, DS9.1 Repositório de configuração e perfis básicos, DS9.2 Identificação e manutenção dos itens de configuração e DS9.3 Revisão da integridade de configuração. Análise das evidências 115. O gerenciamento de configuração, conforme estabelecido no processo DS9 do Cobit, prevê que, para que seja assegurada a integridade das configurações de hardware e software de um ambiente de TI é necessário estabelecer um repositório de configuração com informações a respeito dos itens de configuração (ativos de hardware e software) que compõem o ambiente gerenciado. Um processo de gerenciamento de configuração eficaz contribui para maior disponibilidade do sistema e resolução de problemas com maior rapidez O objetivo de controle de DS9.2 do Cobit trata da importância do estabelecimento de procedimentos para registrar alterações no repositório de configuração de maneira integrada ao processo de gerenciamento de mudanças. O DS9.3 aduz a necessidade de revisões periódicas do estado dos itens de configuração e de realização de análise crítica periódica da política de uso de software verificando, por exemplo, uso de software não autorizado ou excedente ao contrato de licenças vigente A BR apresentou à equipe de fiscalização um processo de gerenciamento de configuração nos moldes preconizados pelo Information Technology Infrastructure Library (Itil) (peça 35). No entanto, em entrevistas, os técnicos informaram que as alterações nos itens de 17

18 configuração internos do sistema ERP (código-fonte, help e manuais) não são controladas por tal processo Alguns dos itens de configuração do sistema ERP são mantidos e controlados pelo próprio software, tais como o código-fonte (peça 36). Entretanto, segundo informaram os técnicos, manuais e arquivos de ajuda ficam armazenados em pastas na rede interna da BR e não estão organizados em um banco de dados de gestão de configuração (CMDB) O controle de licenças de uso dos softwares, outro aspecto abordado pela gestão de configuração, também foi alvo de verificações. No que tange ao sistema ERP, foi informado pelos gestores que há execução periódica de uma ferramenta fornecida pela própria SAP para gestão do quantitativo de licenças em uso do software ERP. Segundo os técnicos da BR, o resultado da execução desse software não é disponibilizado à SAP Em princípio, entende-se que não há subutilização da quantidade de licenças, sendo que, em alguns casos, são processadas mudanças estruturais nos processos e sistemas para que seja possível manter o quantitativo de licenças em uso em patamares inferiores ao contratado. Segundo nos informou a BR (peça 37), a última avaliação foi realizada em 27/8/2009 e culminou na contratação adicional de 370 licenças A auditoria interna (Audi) também sinalizou, em auditoria realizada de fevereiro a março de 2011, ineficiência no processo de controle de licenças de programas de computadores (peça 38). Segundo relatório da Audi, a BR possui licenças do sistema ERP contratadas, mas, no entanto, conta com usuários cadastrados no sistema (peça 38, p. 5). O relatório recomenda ainda que se implemente procedimento que estabelecerá revisões periódicas dos quantitativos de licenças visando à renegociação de contratos com as empresas fornecedoras com previsão de conclusão para dezembro de 2011 (peça 38, p. 6) Não é possível afirmar, contudo, que a BR não efetua gestão sobre as licenças de uso do sistema ERP disponíveis. Essa atividade é de fato realizada, mas de maneira empírica, sem o suporte de um processo formal que defina responsabilidades, periodicidade, escopo, entre outros aspectos que podem colaborar para que o controle sobre o licenciamento seja mais eficaz. Deve-se estabelecer controle, registro e acompanhamento das licenças e medidas adotadas em decorrência das avaliações. Entende-se que, assim, será possível realizar, de forma planejada e gerenciada, a aquisição das licenças de uso do sistema ERP conforme necessário Por fim, relata-se que foi iniciado, por demanda da contratada, a SAP Brasil Ltda., realização de fiscalização no quantitativo de licenças em uso pela Petrobras Distribuidora (peça 39). A avaliação será realizada por consultoria externa contratada pela SAP. Causa a) ausência de processo formal de gestão de configuração. Efeitos e riscos decorrentes da manutenção da situação encontrada a) atividades ligadas à gestão de licenciamento podem não ser tratadas adequadamente e tempestivamente; b) maior risco de a documentação do sistema não refletir a situação real; c) maiores custos para a resolução de problemas; d) risco de os ativos de informação não serem protegidos adequadamente. Conclusão 124. Os ativos de software associados ao sistema ERP não estão submetidos a um processo formal de gestão de configuração. Ainda assim, o versionamento de alguns artefatos é mantido 18

19 pelo próprio sistema ERP, tais como o código-fonte. Para esses, a ferramenta dispõe de recursos como gestão de acesso e rastreabilidade sobre mudanças No entanto, manuais e arquivos de ajuda associados ao sistema ERP e produzidos com ferramentas e em ambiente externo ao SAP não são hospedados em banco de dados de itens de configuração (CMDB) Conforme já apontado pela auditoria interna da BR, a gestão de licenças de uso de software, em particular do sistema ERP, não estão suportadas por processo formal de gerenciamento de configuração. Eventuais falhas na gestão podem resultar na utilização indevida de licenças e em implicações legais ou financeiras junto aos fabricantes. Proposta de encaminhamento 127. Recomendar à Petrobras Distribuidora que aperfeiçoe o processo de gerenciamento de configuração dos artefatos do sistema integrado de gestão, em especial quanto às atividades relacionadas ao registro das alterações nos itens de configuração e à análise tempestiva da disponibilidade de licenças de uso do sistema, bem como à previsão de utilização de uma ferramenta automatizada de suporte à gestão de configuração, à semelhança das orientações contidas no Cobit 4.1, DS9.1 Repositório de Configuração e Perfis Básicos, DS9.2 Identificação e Manutenção dos Itens de Configuração e DS9.3 Revisão da Integridade de Configuração. Benefícios esperados a) maior garantia de integridade dos itens de configuração de software ligados ao ERP, em especial dos arquivos de ajuda e manuais, permitindo a solução de problemas com maior rapidez; b) mitigação dos riscos de cobranças e multas decorrentes do uso de software sem licenciamento adequado. 5. ATUAÇÃO DA AUDITORIA INTERNA NO AMBIENTE ERP 128. Em termos organizacionais, a Auditoria Interna da Petrobras Distribuidora está vinculada ao Conselho de Administração da companhia e possui um auditor designado para coordenação dos trabalhos de Auditoria de Tecnologia da Informação. Esse coordenador é responsável pelo desempenho das seguintes atribuições (Manual de organização da auditoria interna, peça 40, p. 3): a) desenvolver projetos de auditoria para exame dos processos de sistemas de informação, infraestrutura, serviços e segurança de tecnologia da informação, primando pela eficiência, eficácia e economicidade, em conformidade com as Leis, Normas e melhores práticas de mercado; b) elaborar modelagem de controles internos para tecnologia da informação, orientado para o gerenciamento de riscos associados, com objetivo de assegurar a integridade da informação e dos sistemas de informação para o atendimento à Lei Sarbanes-Oxley e à Governança Corporativa; c) manter a base de conhecimento e mapear riscos associados aos processos de TI, com o propósito de orientar o Plano Anual de Auditoria e promover as revisões dos programas de auditoria; d) assessorar a área de TI e disseminar a cultura de controle interno para melhoria de processos A respeito desse manual, cabe uma observação sobre o item b. Tal item estabelece como responsabilidade da auditoria interna a modelagem de controles internos para TI em 19

20 contraposição ao que dispõem as melhores práticas. Conforme as Diretrizes para Padrões de Controles Internos para o Setor Público, da Organização Internacional de Entidades Fiscalizadoras Superiores (Intosai, em inglês), essa responsabilidade é do gestor e não do auditor interno: Papéis e responsabilidades (...) Auditores internos: examinam e contribuem para a efetividade do sistema de controles internos por meio de suas avaliações e recomendações e, portanto, desempenham papel significativo na efetividade dos controles internos. Contudo, eles não devem ter a responsabilidade essencialmente gerencial de projetar, implementar, manter e documentar os controles internos. (INTOSAI Guidelines for Internal Control Standards for the Public Sector, 2004, p. 43, tradução livre) Por outro lado, constatou-se que a Audi da BR tem realizado verificações de controles e estruturas relacionadas ao sistema ERP. Além disso, a unidade também desempenhou trabalhos de auditoria em áreas de negócio da companhia utilizando informações provenientes do sistema de gestão Em resposta ao item 7 do Ofício de Requisição 243/2011 (peça 1) e aos itens 17 a 19 Ofício 2-585/2011-TCU/Sefti (peça 7), foram encaminhados trabalhos realizados pela auditoria interna que demonstram satisfatório grau de cumprimento das atribuições referentes à coordenação de auditoria de tecnologia da informação (peças 38 e 41-47) Dentre os trabalhos realizados, destacam-se as seguintes auditorias de TI: Execução contratual de serviços de tecnologia da informação (peça 42), Licenças de programas de microcomputadores (peça 38), Controle de acesso físico ao data center (peça 43), Controles internos de TI previstos na Sarbanes-Oxley e Cobit (peça 44) Verificou-se habitualidade na utilização dos dados extraídos do sistema ERP para subsidiar e munir de informações as fiscalizações realizadas na área fim da companhia. Destacamse os trabalhos em que falhas pontuais apontam para soluções que sugerem correções ou implementações nos sistemas de informação da companhia, o que demonstra a disseminação da cultura de uso de controles de TI para aprimoramento dos controles dos processos de negócio (Relatório de atividades de auditoria interna com uso do ERP; peça 41). 5.1 Falhas no processo de monitoramento do cumprimento das ações corretivas recomendadas pela auditoria interna 134. A auditoria interna tem monitorado as ações adotadas pelas unidades da empresa em resposta às suas recomendações. No entanto, esse processo não está respaldado por normativos e regulamentos internos, o que representa riscos para a continuidade da atividade e a efetividade das orientações expedidas. Critérios a) Cobit 4.1, processo ME1 Monitorar e avaliar o desempenho de TI, objetivo de controle ME1.6 Ações corretivas; b) Cobit 4.1, processo ME2 Monitorar e avaliar os controles internos, objetivo de controle ME2.7 Ações corretivas. Análise das evidências 135. Os processos ME1 Monitorar e Avaliar o Desempenho de TI e ME2 Monitorar e Avaliar Controles Internos do Cobit possuem objetivos de controle vinculados ao monitoramento e à implementação de ações como resultado de avaliação dos controles e do desempenho da unidade de TI. 20

RELATÓRIO [...] TRIBUNAL DE CONTAS DA UNIÃO TC 015.570/2011-8

RELATÓRIO [...] TRIBUNAL DE CONTAS DA UNIÃO TC 015.570/2011-8 GRUPO I CLASSE V Plenário TC 015.570/2011-8. Natureza: Relatório de Auditoria. Entidades: Centrais Elétricas do Norte S/A (Eletronorte), Centrais Elétricas Brasileiras S/A (Eletrobras), Casa da Moeda do

Leia mais

RELATÓRIO TRIBUNAL DE CONTAS DA UNIÃO TC 015.575/2011-0

RELATÓRIO TRIBUNAL DE CONTAS DA UNIÃO TC 015.575/2011-0 GRUPO I CLASSE V Plenário TC 015.575/2011-0. Natureza: Relatório de Auditoria. Entidade: Empresa Brasileira de Correios e Telégrafos (ECT). Advogado constituído nos autos: não há. SUMÁRIO: RELATÓRIO DE

Leia mais

RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013

RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013 Publicada no DJE/STF, n. 127, p. 1-3 em 3/7/2013. RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013 Dispõe sobre a Governança Corporativa de Tecnologia da Informação no âmbito do Supremo Tribunal Federal e dá outras

Leia mais

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 Dispõe sobre a Política de Governança de Tecnologia da Informação do Tribunal de Contas da União (PGTI/TCU). O TRIBUNAL DE CONTAS DA UNIÃO, no uso de suas

Leia mais

Tribunal Regional Eleitoral de Santa Catarina

Tribunal Regional Eleitoral de Santa Catarina Planejamento Estratégico de Tecnologia da Informação e Comunicação (PETI) Secretaria de Tecnologia da Informação Florianópolis, março de 2010. Apresentação A informatização crescente vem impactando diretamente

Leia mais

PODER JUDICIÁRIO TRIBUNAL REGIONAL DO TRABALHO DA 3ª REGIÃO

PODER JUDICIÁRIO TRIBUNAL REGIONAL DO TRABALHO DA 3ª REGIÃO Controle de Versões Autor da Solicitação: Subseção de Governança de TIC Email:dtic.governanca@trt3.jus.br Ramal: 7966 Versão Data Notas da Revisão 1 03.02.2015 Versão atualizada de acordo com os novos

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC 1. Diretor da Secretaria de Tecnologia da Informação e Comunicação Coordenar

Leia mais

ANEXO I. Colegiado Gestor e de Governança

ANEXO I. Colegiado Gestor e de Governança ANEXO I CENTRO DE SERVIÇOS COMPARTILHADOS DO CAU Política de Governança e de Gestão da Tecnologia da Informação do Centro de Serviço Compartilhado do Conselho de Arquitetura e Urbanismo Colegiado Gestor

Leia mais

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Emerson de Melo Brasília Novembro/2011 Principais Modelos de Referência para Auditoria de TI Como focar no negócio da Instituição

Leia mais

Encontro com o mercado privado de TI Contratações Públicas de TI Sistemas Integrados de Gestão das Empresas Estatais

Encontro com o mercado privado de TI Contratações Públicas de TI Sistemas Integrados de Gestão das Empresas Estatais Encontro com o mercado privado de TI Contratações Públicas de TI Sistemas Integrados de Gestão das Empresas Estatais Wesley Vaz, MSc., CISA Sefti/TCU Brasília, 6 de novembro de 2012 Sistemas Integrados

Leia mais

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM GESTÃO DE CONTINUIDADE DOS

Leia mais

SUMÁRIO EXECUTIVO RELATÓRIO DE AUDITORIA Nº 017/2014

SUMÁRIO EXECUTIVO RELATÓRIO DE AUDITORIA Nº 017/2014 PRESIDÊNCIA DA REPÚBLICA EMPRESA BRASIL DE COMUNICAÇÃO AUDITORIA INTERNA SUMÁRIO EXECUTIVO RELATÓRIO DE AUDITORIA Nº 017/2014 Tema: EXAME DAS ATIVIDADES DE TI SOB A RESPONSABILIDADE DA SUCOM. Tipo de Auditoria:

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

CONSULTA PÚBLICA até 28/08/2009. até a data acima mencionada

CONSULTA PÚBLICA até 28/08/2009. até a data acima mencionada CONSULTA PÚBLICA O Banco Nacional de Desenvolvimento Econômico e Social BNDES está preparando processo licitatório para contratação de serviços de consultoria técnica especializada, conforme detalhado

Leia mais

Diretoria de Informática TCE/RN 2012 PDTI PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO. Brivaldo Marinho - Consultor. Versão 1.0

Diretoria de Informática TCE/RN 2012 PDTI PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO. Brivaldo Marinho - Consultor. Versão 1.0 TCE/RN 2012 PDTI PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO Brivaldo Marinho - Consultor Versão 1.0 CONTROLE DA DOCUMENTAÇÃO Elaboração Consultor Aprovação Diretoria de Informática Referência do Produto

Leia mais

José Geraldo Loureiro Rodrigues Orientador: João Souza Neto

José Geraldo Loureiro Rodrigues Orientador: João Souza Neto José Geraldo Loureiro Rodrigues Orientador: João Souza Neto Análise dos três níveis: Governança Corporativa Governança de TI Gerenciamento da Área de TI ORGANIZAÇÃO Governança Corporativa Governança

Leia mais

Lista de Exercícios - COBIT 5

Lista de Exercícios - COBIT 5 Lista de Exercícios - COBIT 5 1. O COBIT 5 possui: a) 3 volumes, 7 habilitadores, 5 princípios b) 3 volumes, 5 habilitadores, 7 princípios c) 5 volumes, 7 habilitadores, 5 princípios d) 5 volumes, 5 habilitadores,

Leia mais

Número do Recibo:83500042

Número do Recibo:83500042 1 de 21 06/06/2012 18:25 Número do Recibo:83500042 Data de Preenchimento do Questionário: 06/06/2012. Comitête Gestor de Informática do Judiciário - Recibo de Preenchimento do Questionário: GOVERNANÇA

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

PDTI UFLA: Plano Diretor de Tecnologia da Informação Segundo Modelo de Referência da SLTI/MPOG

PDTI UFLA: Plano Diretor de Tecnologia da Informação Segundo Modelo de Referência da SLTI/MPOG PDTI UFLA: Plano Diretor de Tecnologia da Informação Segundo Modelo de Referência da SLTI/MPOG Forplad Regional Sudeste 22 de Maio de 2013 Erasmo Evangelista de Oliveira erasmo@dgti.ufla.br Diretor de

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

Questionário de Governança de TI 2014

Questionário de Governança de TI 2014 Questionário de Governança de TI 2014 De acordo com o Referencial Básico de Governança do Tribunal de Contas da União, a governança no setor público compreende essencialmente os mecanismos de liderança,

Leia mais

Governança de TI: O desafio atual da Administração Pública. André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011

Governança de TI: O desafio atual da Administração Pública. André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011 Governança de TI: O desafio atual da Administração Pública André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011 André Luiz Furtado Pacheco, CISA Graduado em Processamento de

Leia mais

Conceitos Básicos e Implementação. Entrega de Serviços. Professor Gledson Pompeu (gledson.pompeu@gmail.com)

Conceitos Básicos e Implementação. Entrega de Serviços. Professor Gledson Pompeu (gledson.pompeu@gmail.com) Conceitos Básicos e Implementação Pref. Mun. Vitória 2007 Analista de Suporte 120 A ITIL (information technology infrastructure library) visa documentar as melhores práticas na gerência, no suporte e na

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

Regimento da Superintendência de Tecnologia da Informação

Regimento da Superintendência de Tecnologia da Informação SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO UNIVERSIDADE FEDERAL DA PARAÍBA Regimento da Superintendência de Tecnologia da Informação DOS OBJETIVOS E ORGANIZAÇÃO DA SUPERINTENDÊNCIA Capítulo I - DA

Leia mais

ACÓRDÃO Nº 1233/2012 TCU Plenário

ACÓRDÃO Nº 1233/2012 TCU Plenário ACÓRDÃO Nº 1233/2012 TCU Plenário 1. Processo nº TC 011.772/2010-7. 2. Grupo I Classe de Assunto V: Relatório de Auditoria 3. Interessados/Responsáveis: 3.1. Interessada: Secretaria de Fiscalização de

Leia mais

AVALIAÇÃO QUALITATIVA E QUANTITATIVA DO QUADRO DE SERVIDORES DA COTEC

AVALIAÇÃO QUALITATIVA E QUANTITATIVA DO QUADRO DE SERVIDORES DA COTEC MINISTÉRIO DO MEIO AMBIENTE INSTITUTO CHICO MENDES DE CONSERVAÇÃO DA BIODIVERSIDADE DIRETORIA DE PLANEJAMENTO, ADMINISTRAÇÃO E LOGÍSTICA Coordenação-Geral de Administração e Tecnologia da Informação Coordenação

Leia mais

Governança e Qualidade em Serviços de TI COBIT Governança de TI

Governança e Qualidade em Serviços de TI COBIT Governança de TI Governança e Qualidade em Serviços de TI COBIT Governança de TI COBIT Processos de TI Aplicativos Informações Infraestrutura Pessoas O que é o CObIT? CObIT = Control Objectives for Information and Related

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

Relatório de Gestão DGTI

Relatório de Gestão DGTI Relatório de Gestão DGTI 1.Contextualização Histórico Administrativa Com o projeto de expansão do Governo Federal que criou os Institutos Federais em todo o Brasil, o antigo Centro Federal de Educação

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

Levantamento de Governança de TI 2014

Levantamento de Governança de TI 2014 Levantamento de Governança de TI 2014 Resultado individual: INSTITUTO FEDERAL DE RONDÔNIA Segmento: Executivo - Sisp Tipo: Instituição de Ensino A classificação deste documento é de responsabilidade da

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Estrutura de Gerenciamento do Risco Operacional - 2010

Estrutura de Gerenciamento do Risco Operacional - 2010 Estrutura de Gerenciamento do Risco Operacional - 2010 Sumário 1. Introdução:...3 2. Abrangência:...3 3. Estrutura do Gerenciamento de Risco Operacional:...3 3.1. Estrutura de Gerenciamento do Risco Operacional:...4

Leia mais

A NOVA POLÍTICA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO DO ESTADO DO ESPÍRITO SANTO

A NOVA POLÍTICA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO DO ESTADO DO ESPÍRITO SANTO Centro de Convenções Ulysses Guimarães Brasília/DF 4, 5 e 6 de junho de 2012 A NOVA POLÍTICA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO DO ESTADO DO ESPÍRITO SANTO Pablo Sandin Amaral Renato Machado Albert

Leia mais

Incentivar a inovação em processos funcionais. Aprimorar a gestão de pessoas de TIC

Incentivar a inovação em processos funcionais. Aprimorar a gestão de pessoas de TIC Incentivar a inovação em processos funcionais Aprendizagem e conhecimento Adotar práticas de gestão participativa para garantir maior envolvimento e adoção de soluções de TI e processos funcionais. Promover

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014 Dispõe sobre a aprovação do Documento Acessório Diferenciado "Política de Gestão de

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO DEZEMBRO/2011 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cgti@listas.ifbaiano.edu.br Site: http://www.ifbaiano.edu.br

Leia mais

Política da Segurança da Tecnologia da Informação

Política da Segurança da Tecnologia da Informação Política da Segurança da Tecnologia da Informação INTRODUÇÃO A informação é um ativo que possui grande valor para a CREMER S/A, devendo ser adequadamente utilizada e protegida contra ameaças e riscos.

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 08/08/2014 19:53:40 Endereço IP: 150.164.72.183 1. Liderança da alta administração 1.1. Com

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

Uso de TIC nas IFES Planejamento e Governança

Uso de TIC nas IFES Planejamento e Governança Uso de TIC nas IFES Planejamento e Governança IV Encontro do Forplad Daniel Moreira Guilhon, CISA Novembro/2012 1 O que pretendemos? Conceituar os aspectos relacionados à boa governança para assegurar

Leia mais

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 O CONSELHO UNIVERSITÁRIO da Universidade Federal do Pampa, em sessão de 30/10/2014, no uso das atribuições que lhe são conferidas pelo Artigo 19, Inciso XVII do

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

Auditoria Interna na Área de Tecnologia da Informação

Auditoria Interna na Área de Tecnologia da Informação Auditoria Interna na Área de Tecnologia da Informação André Luiz Furtado Pacheco, CISA 4º Workshop de Auditoria de TI da Caixa Brasília, agosto de 2011 Agenda Introdução Exemplos de Deliberações pelo TCU

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Elaboração Luiz Guilherme D CQSMS 10 00 Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes Avaliação da Necessidade de Treinamento

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 12/06/2014 13:58:56 Endereço IP: 200.252.42.196 1. Liderança da alta administração 1.1. Com

Leia mais

AUDITORIA DE PROCESSOS BASEADA EM RISCOS. Diorgens Miguel Meira

AUDITORIA DE PROCESSOS BASEADA EM RISCOS. Diorgens Miguel Meira AUDITORIA DE PROCESSOS BASEADA EM RISCOS Diorgens Miguel Meira AGENDA 1 2 3 4 5 O BANCO DO NORDESTE TECNOLOGIA DA INFORMAÇÃO NO BNB AUDITORIA NO BANCO DO NORDESTE SELEÇÃO DE PROCESSOS CRÍTICOS AUDITORIA

Leia mais

Implantação da Governança a de TI na CGU

Implantação da Governança a de TI na CGU Implantação da Governança a de TI na CGU José Geraldo Loureiro Rodrigues Diretor de Sistemas e Informação Controladoria-Geral da União I Workshop de Governança de TI da Embrapa Estratégia utilizada para

Leia mais

Região. O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 24ª REGIÃO, no uso de suas atribuições legais, regimentais e regulamentares,

Região. O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 24ª REGIÃO, no uso de suas atribuições legais, regimentais e regulamentares, PODER JUDICIÁRIO JUSTIÇA DO TRABALHO TRIBUNAL REGIONAL DO TRABALHO DA 24ª REGIÃO PORTARIA TRT/GP/DGCA Nº 630/2011 Define a Política de Planejamento Estratégico de Tecnologia da Informação e Comunicações

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 32/2014 Institui a política de segurança da informação da UFPB, normatiza procedimentos com esta finalidade e

Leia mais

Gestão estratégica em finanças

Gestão estratégica em finanças Gestão estratégica em finanças Resulta Consultoria Empresarial Gestão de custos e maximização de resultados A nova realidade do mercado tem feito com que as empresas contratem serviços especializados pelo

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL Gerenciamento de Serviços de TI com ITIL A Filosofia do Gerenciamento de Serviços em TI Avanços tecnológicos; Negócios totalmente dependentes da TI; Qualidade, quantidade e a disponibilidade (infra-estrutura

Leia mais

CONTAS CONTROLADAS. Sede do TCU em Brasília R I S K M A N A G E M E N T R E V I E W 1 9 DIVULGAÇÃO

CONTAS CONTROLADAS. Sede do TCU em Brasília R I S K M A N A G E M E N T R E V I E W 1 9 DIVULGAÇÃO CONTAS CONTROLADAS TCU adota modelo de governança de TI no ambiente interno alinhando com seu plano estratégico para realizar o controle externo das contas da União com maior eficiência COMO ÓRGÃO RESPONsável

Leia mais

Modelo de Referência. Plano Diretor de Tecnologia da Informação PDTI 2010

Modelo de Referência. Plano Diretor de Tecnologia da Informação PDTI 2010 Modelo de Referência Plano Diretor de Tecnologia da Informação PDTI 2010 Versão 1.0 Premissas do modelo 1. Este modelo foi extraído do material didático do curso Elaboração do Plano Diretor de Tecnologia

Leia mais

Implantação da Governança a de TI na CGU

Implantação da Governança a de TI na CGU Implantação da Governança a de TI na CGU José Geraldo Loureiro Rodrigues Diretor de Sistemas e Informação Controladoria-Geral da União Palestra UNICEUB Estratégia utilizada para implantação da Governança

Leia mais

TRIBUNAL DE JUSTIÇA MILITAR DO ESTADO

TRIBUNAL DE JUSTIÇA MILITAR DO ESTADO PLANO DE AUDITORIA DE LONGO PRAZO (PALP) 2013-2014 Sumário: 1 INTRODUÇÃO... 3 2 BIÊNIO 2013-2014: ATIVIDADES DE MONITORAMENTO E ACOMPANHAMENTO.... 3 2.1 Apoio ao Tribunal de Contas do Estado de São Paulo...

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. 06/IN01/DSIC/GSIPR 01 11/NOV/09 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE CONTINUIDADE DE NEGÓCIOS EM SEGURANÇA DA

Leia mais

TERMO DE REFERÊNCIA (TR) GAUD 4.6.8 01 VAGA

TERMO DE REFERÊNCIA (TR) GAUD 4.6.8 01 VAGA INSTITUTO INTERAMERICANO DE COOPERAÇÃO PARA A AGRICULTURA TERMO DE REFERÊNCIA (TR) GAUD 4.6.8 01 VAGA 1 IDENTIFICAÇÃO DA CONSULTORIA Contratação de consultoria pessoa física para serviços de preparação

Leia mais

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014.

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. Altera a Portaria nº 4.772/2008, a qual instituiu a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 4ª Região. A PRESIDENTE

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

Profa. Gislaine Stachissini. Unidade III GOVERNANÇA DE TI

Profa. Gislaine Stachissini. Unidade III GOVERNANÇA DE TI Profa. Gislaine Stachissini Unidade III GOVERNANÇA DE TI Information Technology Infrastructure Library ITIL Criado pelo governo do Reino Unido, tem como objetivo a criação de um guia com as melhores práticas

Leia mais

&&&'( '$ Núcleo de Projetos Especiais Divisão de Processos e Segurança da Informação #$%$

&&&'( '$ Núcleo de Projetos Especiais Divisão de Processos e Segurança da Informação #$%$ &&&'( '$!" Núcleo de Projetos Especiais Divisão de Processos e Segurança da Informação #$%$ Governança Corporativa - conjunto de boas práticas para melhoria do desempenho organizacional; - nasce da necessidade

Leia mais

POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS

POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS Versão 2.0 30/10/2014 Sumário 1 Objetivo... 3 2 Conceitos... 3 3 Referências... 4 4 Princípios... 4 5 Diretrizes... 5 5.1 Identificação dos riscos...

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

COBIT FOUNDATION - APOSTILA DE RESUMO

COBIT FOUNDATION - APOSTILA DE RESUMO COBIT FOUNDATION - APOSTILA DE RESUMO GOVERNANÇA DE TI O QUE É GOVERNANÇA DE TI É um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratégias

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY)

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) Universidade Federal de Santa Catarina Departamento de Informática e Estatística INE Curso: Sistemas de Informação Disciplina: Projetos I Professor: Renato Cislaghi Aluno: Fausto Vetter Orientadora: Maria

Leia mais

PORTOSEG S.A. CRÉDITO, FINANCIAMENTO E INVESTIMENTO

PORTOSEG S.A. CRÉDITO, FINANCIAMENTO E INVESTIMENTO RELATÓRIO DESCRITIVO DA ESTRUTURA DE GERENCIAMENTO DE RISCOS DATA-BASE: JANEIRO/2014 PORTOSEG S.A. CRÉDITO, FINANCIAMENTO E INVESTIMENTO Contexto Operacional A Portoseg S.A. Crédito, Financiamento e Investimento

Leia mais

IMPLANTAÇÃO DE GOVERNANÇA DE TI

IMPLANTAÇÃO DE GOVERNANÇA DE TI 1 IMPLANTAÇÃO DE GOVERNANÇA DE TI André Luiz Guimarães dos Reis 1 1 João Souza Neto 2 1 Tomas Roberto C. Orlandi 3 1 andrer@correios.com.br szneto@correios.com.br tomasroberto@correios.com.br 1 Empresa

Leia mais

Avaliação da Segurança da Informação no âmbito da APF

Avaliação da Segurança da Informação no âmbito da APF Avaliação da Segurança da Informação no âmbito da APF Pedro Coutinho Filho Sefti Brasília, 17 de maio de 2013 www.tcu.gov.br/fiscalizacaoti 2 da TI o Levantamento IGovTI o Objetivos Agenda o Principais

Leia mais

Gerenciamento de Serviços de TI com base na ITIL

Gerenciamento de Serviços de TI com base na ITIL Gerenciamento de Serviços de TI com base na ITIL Information Technology Infrastructure Library ou Biblioteca de Infraestrutura da Tecnologia da Informação A TI de antes (ou simplesmente informática ),

Leia mais

Alinhamento Estratégico. A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1

Alinhamento Estratégico. A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1 Conhecimento em Tecnologia da Informação Alinhamento Estratégico A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1 2010 Bridge Consulting Apresentação

Leia mais

Relatório de Consultoria PD.33.10.83A.0080A/RT-05-AA. Levantamento da Gestão de TIC

Relatório de Consultoria PD.33.10.83A.0080A/RT-05-AA. Levantamento da Gestão de TIC Relatório de Consultoria PD.33.10.83A.0080A/RT-05-AA Levantamento da Gestão de TIC Cotação: 23424/09 Cliente: PRODABEL Contato: Carlos Bizzoto E-mail: cbizz@pbh.gov.br Endereço: Avenida Presidente Carlos

Leia mais

Avenida Presidente Wilson, 231 11 andar 20030-905 Rio de Janeiro- RJ ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL

Avenida Presidente Wilson, 231 11 andar 20030-905 Rio de Janeiro- RJ ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL MARÇO, 2015 ÍNDICE OBJETIVO 3 ESCOPO 3 DEFINIÇÕES Risco Inerente 4 DEFINIÇÕES Risco Operacional 4 DEFINIÇÕES Evento de Risco Operacional 4 FUNÇÕES E RESPONSABILIDADES

Leia mais

Planejamento Estratégico de Tecnologia da Informação PETI 2014-2016

Planejamento Estratégico de Tecnologia da Informação PETI 2014-2016 MINISTÉRIO DA EDUCAÇÃO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO SUDESTE DE MINAS GERAIS Planejamento Estratégico de Tecnologia da Informação PETI 2014-2016 Versão 1.0 1 APRESENTAÇÃO O Planejamento

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

CONSELHO NACIONAL DE JUSTIÇA RESOLUÇÃO Nº 99, DE 24 DE NOVEMBRO DE 2009

CONSELHO NACIONAL DE JUSTIÇA RESOLUÇÃO Nº 99, DE 24 DE NOVEMBRO DE 2009 CONSELHO NACIONAL DE JUSTIÇA RESOLUÇÃO Nº 99, DE 24 DE NOVEMBRO DE 2009 Institui o Planejamento Estratégico de Tecnologia da Informação e Comunicação no âmbito do Poder Judiciário. O PRESIDENTE DO CONSELHO

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

ANEXO À RESOLUÇÃO Nº /2010 REGIMENTO DA DIRETORIA DE TECNOLOGIA DE INFORMAÇÃO E COMUNICAÇÃO

ANEXO À RESOLUÇÃO Nº /2010 REGIMENTO DA DIRETORIA DE TECNOLOGIA DE INFORMAÇÃO E COMUNICAÇÃO ANEXO À RESOLUÇÃO Nº /2010 REGIMENTO DA DIRETORIA DE TECNOLOGIA DE INFORMAÇÃO E COMUNICAÇÃO Art. 1º - A Diretoria de Tecnologia de Informação e Comunicação DTIC da Universidade FEDERAL DO ESTADO DO RIO

Leia mais

Fundação Municipal de Tecnologia da Informação e Comunicação de Canoas Diretoria Executiva PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO

Fundação Municipal de Tecnologia da Informação e Comunicação de Canoas Diretoria Executiva PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO Fundação Municipal de Tecnologia da Informação e Comunicação de Canoas Diretoria Executiva PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO 2012 2015 Controle de Revisão Ver. Natureza Data Elaborador Revisor

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 06/06/2014 18:22:39 Endereço IP: 189.9.1.20 1. Liderança da alta administração 1.1. Com relação

Leia mais

Planejamento Estratégico da Tecnologia da Informação (PETI)

Planejamento Estratégico da Tecnologia da Informação (PETI) 00 dd/mm/aaaa 1/15 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação ABRANGÊNCIA Este da Informação abrange todo o IFBA. SUMÁRIO 1. Escopo 2. Documentos de referência 3. Metodologia

Leia mais

PRESIDÊNCIA DA REPÚBLICA CONTROLADORIA-GERAL DA UNIÃO DIRETORIA DE SISTEMAS E INFORMAÇÃO

PRESIDÊNCIA DA REPÚBLICA CONTROLADORIA-GERAL DA UNIÃO DIRETORIA DE SISTEMAS E INFORMAÇÃO PRESIDÊNCIA DA REPÚBLICA CONTROLADORIA-GERAL DA UNIÃO DIRETORIA DE SISTEMAS E INFORMAÇÃO PLANO ESTRATÉGICO DE TECNOLOGIA DA INFORMAÇÃO TRIÊNIO /2015 DSI/CGU-PR Publicação - Internet 1 Sumário 1. RESULTADOS

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

RIO 2016 POLÍTICA DE COMPLIANCE

RIO 2016 POLÍTICA DE COMPLIANCE COMITÊ ORGANIZADOR DOS JOGOS OLÍMPICOS RIO 206 RIO 206 POLÍTICA DE 25/02/205 / 2 Sumário. OBJETIVO... 2 2. DEFINIÇÕES... 2 3. ATRIBUIÇÕES E RESPONSABILIDADES... 5 4. DIRETRIZES... 7 4. Programa Geral de...

Leia mais

Orientações para contratação de SIGAD e serviços correlatos

Orientações para contratação de SIGAD e serviços correlatos Conselho Nacional de Arquivos Câmara Técnica de Documentos Eletrônicos Orientação Técnica n.º 1 Abril / 2011 Orientações para contratação de SIGAD e serviços correlatos Este documento tem por objetivo

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013

SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013 SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013 Dispõe sobre a Política de Segurança da Informação e

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti e d a id 4 m IN r fo a n m Co co M a n ua l Governança AMIGA Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti Um dos grandes desafios atuais da administração

Leia mais

RELATÓRIO FINAL DE AUDITORIA

RELATÓRIO FINAL DE AUDITORIA MINISTÉRIO DA EDUCAÇÃO SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA BAIANO AUDITORIA INTERNA Rua do Rouxinol, 115 - Bairro do Imbuí - CEP: 41720052

Leia mais

INSTRUÇÃO NORMATIVA Nº 3, DE 18 DE DEZEMBRO DE 2014

INSTRUÇÃO NORMATIVA Nº 3, DE 18 DE DEZEMBRO DE 2014 INSTRUÇÃO NORMATIVA Nº 3, DE 18 DE DEZEMBRO DE 2014 Institui a Política de Integração e Segurança da Informação do Sistema de Cadastro Ambiental Rural e dá outras providências. A MINISTRA DE ESTADO DO

Leia mais