RELATÓRIO GESTÃO DO SISTEMA ERP E PLANEJAMENTO DE TECNOLOGIA DA INFORMAÇÃO (TI) TRIBUNAL DE CONTAS DA UNIÃO TC /2011-0

Tamanho: px
Começar a partir da página:

Download "RELATÓRIO GESTÃO DO SISTEMA ERP E PLANEJAMENTO DE TECNOLOGIA DA INFORMAÇÃO (TI) TRIBUNAL DE CONTAS DA UNIÃO TC 015.572/2011-0"

Transcrição

1 GRUPO I CLASSE V Plenário TC / Natureza: Relatório de Auditoria. Entidade: Petrobras Distribuidora S.A. (BR). Advogado constituído nos autos: Guilherme Rodrigues Dias OAB/RJ nº Procuração (doc. 116). SUMÁRIO: RELATÓRIO DE AUDITORIA OPERACIONAL NA PETROBRAS DISTRIBUIDORA. TEMA DE MAIOR SIGNIFICÂNCIA Nº 7 DE 2011 SOBRE SISTEMAS INFORMATIZADOS DE GESTÃO DAS EMPRESAS ESTATAIS. OPORTUNIDADES DE MELHORIA. DETERMINAÇÕES. RECOMENDAÇÕES. CHANCELA DE SIGILO EM ALGUNS DOCUMENTOS DOS AUTOS. CIÊNCIA. RELATÓRIO Adoto, como relatório, a instrução da unidade técnica (doc. 129), com manifestação de acordo do Diretor e do Secretário (docs. 130 e 131), nos seguintes termos: 22. O presente trabalho de auditoria encontra-se inserido no escopo do Tema de Maior Significância 7 Sistemas Informatizados de Gestão das Empresas Estatais (TMS 7) que se presta a traçar panorama da gestão e utilização de sistemas informatizados de gestão das empresas estatais federais. Foram considerados sistemas informatizados de gestão aqueles do tipo Enterprise Resource Planning (ERP), cuja principal característica é a integração dos processos de negócio empresariais. 23. Nesse contexto, este relatório apresenta o resultado da avaliação do sistema integrado de gestão utilizado na Petrobras Distribuidora (BR) da marca SAP (Sistemas, Aplicativos e Produtos para Processamento de Dados) em sua versão ECC Antecedentes (Deliberação) 24. A fiscalização ocorreu de 11/7 a 27/10/2011, em cumprimento ao despacho de 31/5/2011 do Ministro Walton Alencar Rodrigues (TC /2011-6). 2.2 Objetivos e questões de auditoria 25. O objetivo do trabalho é efetuar auditoria operacional sobre o uso do sistema integrado de gestão da BR e as práticas administrativas que sustentam sua operação. A partir do objetivo do trabalho e a fim de avaliar a aderência da gestão da empresa às melhores práticas e à legislação pertinente, formularam-se dez questões de auditoria (Coluna 2), agrupadas neste relatório em sete seções (Coluna 1), de acordo com a pertinência temática, conforme ilustra o quadro abaixo. GESTÃO DO SISTEMA ERP E PLANEJAMENTO DE TECNOLOGIA DA INFORMAÇÃO (TI) A gestão do sistema ERP está embasada em planos e políticas de TI? É realizada análise da relação custo versus benefício sobre os investimentos no sistema ERP? 1

2 PROCESSOS E MÉTODOS PARA A SUSTENTAÇÃO DO SISTEMA ERP ATUAÇÃO DA AUDITORIA INTERNA NO AMBIENTE ERP CONTRATOS E ASPECTOS LEGAIS CONTROLES DE SEGURANÇA DA INFORMAÇÃO RELACIONADOS AO ERP SATISFAÇÃO DOS USUÁRIOS COM O SISTEMA ERP AVALIAÇÃO DE PROCESSO DE NEGÓCIO MÓDULO DE AQUISIÇÕES 2.3 Visão geral do objeto Os profissionais que suportam e utilizam o sistema ERP recebem treinamento e informações de auxílio adequados para a realização de suas atividades? A área de TI dispõe de processos e métodos para sustentação do sistema ERP? A gestão e o uso do sistema ERP são fiscalizados pela auditoria interna? Os contratos relacionados ao sistema ERP atendem os dispositivos legais? Os controles gerais de TI associados à segurança do sistema ERP estão implementados segundo as boas práticas? Os controles de acesso ao sistema ERP estão implementados segundo as boas práticas? Os usuários estão satisfeitos com o sistema ERP? Os controles existentes no sistema ERP para a realização de aquisições públicas estão implementados segundo a legislação e as boas práticas? 26. O objeto da auditoria envolve os controles utilizados pela Petrobras Distribuidora como suporte à gestão e ao uso do sistema integrado de gestão ERP (Enterprise Resource Planning), da marca SAP (Sistemas, Aplicativos e Produtos para Processamento de Dados) em sua versão ECC 6.0. Trata-se de sistema mundialmente conhecido, fornecido pela SAP, empresa alemã de atuação mundial conhecida no mercado de softwares de aplicação empresarial. 27. Esse sistema de gestão empresarial tem como principal característica possibilitar integração entre os processos de negócio da empresa por ele controlado. Assim, o sistema ERP na BR controla, por meio de recursos computacionais integrados, processos de negócios corporativos, tais como orçamento, finanças, contabilidade, compras e recursos humanos. 28. A principal vantagem da utilização desse tipo de sistema é a integração nativa dos processos de negócio, o que permite que a empresa tenha os controles dos seus principais processos de negócio automatizados em um sistema informatizado único de gestão empresarial. 29. Para caracterizar o ambiente de utilização do ERP na Petrobras Distribuidora, serão apresentados dados coletados na pesquisa realizada junto aos usuários do sistema. O convite para participação na pesquisa foi encaminhado, por , a usuários do sistema ERP na BR, sendo que 968 usuários, cerca de 22% do total, responderam o questionário eletrônico. 30. Com relação ao tempo de experiência dos usuários na solução ERP, verifica-se que grande parte dos usuários possui significativa vivência no uso do software. Cerca de 65% dos 968 respondentes possuem mais de cinco anos de experiência, enquanto apenas 5% usam o software há menos de um ano, conforme ilustra o Gráfico 1: 2

3 Tempo de experiência na utilização do sistema Menos de 1 ano 5% Entre 1 e 3 anos 18% Mais de 5 anos 66% Entre 3 e 5 anos 11% Gráfico 1 Tempo de experiência na utilização do sistema 31. Com relação à distribuição do tempo de uso do sistema (Gráfico 2), verificou-se que o sistema ERP é muito utilizado por 77% dos respondentes da pesquisa sobre o ERP. Distribuição do tempo de uso do sistema Utilizo muito o ERP e utilizo pouco os outros sistemas 45% 32% Utilizo pouco o ERP e utilizo muito os outros sistemas 23% Utilizo o ERP por tempo aproximadamente igual ao tempo que uso outros sistemas Gráfico 2 Distribuição do tempo de uso do sistema 32. Outro aspecto revelado pela pesquisa trata dos riscos que podem advir de falhas no ambiente do ERP. Os riscos mais percebidos pelos usuários (Gráfico 3) são os de danos econômicos e financeiros citados por 44% dos respondentes e os riscos de danos ao negócio da empresa indicados por 42% dos participantes da pesquisa. Os riscos para a segurança das pessoas ou para propriedades e instalações físicas foram menos citados (2% e 3%, respectivamente). 3

4 Riscos de danos provenientes de falhas no sistema 3% 9% 2% Para a segurança das pessoas Ao negócio da empresa 44% 42% Econômicos e financeiros Para as propriedades e instalações físicas Não responderam Gráfico 3 Riscos de danos provenientes de falhas no sistema 2.4 Critérios e metodologia 33. Durante o trabalho de levantamento que precedeu as fiscalizações nas empresas selecionadas, objeto do TC , foi realizada reunião com técnicos, auditores internos e gestores da Petrobras Distribuidora para avaliar, em âmbito geral, o funcionamento e a gestão do ambiente ERP. 34. Em decorrência dessas reuniões e de outros estudos empreendidos durante o levantamento, as questões de auditoria foram direcionadas a aspectos de governança e segurança de ambientes ERP. Com o objetivo de viabilizar a execução dos testes de auditoria, foram conduzidas reuniões e entrevistas com técnicos da empresa para obtenção de documentos e informações sobre a gestão do sistema. 35. Como critérios de auditoria, foram utilizados, além dos contratos relacionados ao sistema ERP (peças 16, 58 e 60), normativos da área de segurança da informação, especialmente a Instrução Normativa (IN) nº 1/2008 do Gabinete de Segurança Institucional da Presidência da República (GSI-PR) e as normas NBR ISO/IEC :2006 e : Entretanto, o critério mais utilizado foi o Control Objectives for Information and Related Technology (Cobit), versão 4.1, compêndio de melhores práticas na governança e no controle de tecnologia da informação. Foram selecionados objetivos de controle de processos do Cobit, agrupados em quatro domínios: a) Planejar e Organizar (Plan and Organise PO); b) Adquirir e Implementar (Acquire and Implement AI); c) Entregar e Suportar (Deliver and Support DS); d) Monitorar e Avaliar (Monitor and Evaluate ME). 37. A indicação dos critérios Cobit dos achados de auditoria fará referência à versão do Cobit utilizada (4.1) e à sigla do domínio, seguidas da numeração do objetivo de controle e sua respectiva denominação, como no exemplo: AI2.9 Gestão dos Requisitos das Aplicações. 38. Algumas questões de auditoria, como as relacionadas ao processo de gestão de mudanças e gestão de segurança e de perfis de acesso, demandaram avaliações substantivas de dados. Para tanto, solicitou-se à empresa a realização de extrações dos dados necessários para 4

5 aplicação de testes. Os dados, posteriormente, foram avaliados no Tribunal com a utilização da ferramenta ACL (Audit Command Language) para análises e cruzamentos entre os arquivos fornecidos. 39. Para avaliar aspectos relacionados ao uso do sistema ERP por parte do usuário final, foi encaminhado questionário, com catorze perguntas sobre temas como usabilidade, treinamento, percepção de qualidade e confiabilidade, a todos os funcionários da BR com contas ativas de acesso ao sistema. 40. O questionário foi disponibilizado no portal do TCU (www.tcu.gov.br/pesquisar) e um foi encaminhado a cada usuário com login e senha para acesso à pesquisa. Foi assegurada aos usuários respondentes a preservação do sigilo quanto à sua identidade de forma a instituir clima de tranquilidade para o preenchimento das respostas. 41. Algumas questões de auditoria demandaram a aplicação de testes de observação, tais como visitas aos locais onde se localizam os equipamentos de processamento das informações do sistema ERP. 42. Os aspectos legais dos contratos de suporte, manutenção e consultoria relacionadas ao sistema demandaram análise documental nos autos dos processos de contratação e pagamento. Alguns documentos específicos, como faturas, relatórios e folhas de ocorrências também foram objeto de verificação. 2.5 Limitações ocorridas 43. Não foram registradas limitações. 2.6 Volume de Recursos Fiscalizados 44. O volume de recursos fiscalizados é de R$ ,06, que corresponde ao valor total estimado para execução dos Contratos (peça 16) e (peça 58), cujos valores estão discriminados a seguir: a) Contrato : R$ ,76 (peça 16, p. 5, cláusula quarta); b) Contrato : R$ ,30 (peça 58, p. 5, cláusula quinta). 3. GESTÃO DO SISTEMA ERP E PLANEJAMENTO DE TI 45. O presente capítulo tem por objetivo analisar aspectos de planejamento e gestão do sistema ERP. 46. Consoante o processo PO1 do Cobit Definir um Plano Estratégico de TI, o planejamento estratégico de TI é necessário para gerenciar todos os recursos de TI de forma alinhada com as prioridades e estratégias de negócio. Segundo o referido modelo, é importante que o plano reconheça os investimentos obrigatórios, os sustentáveis e os discricionários em TI, direcionados pelos objetivos do negócio, de forma a promover o alinhamento entre a TI e o negócio da organização. 47. Um dos instrumentos de planejamento de TI utilizados na Administração Pública Federal, sobretudo no Sistema de Administração dos Recursos de Informação e de Informática (Sisp) do Poder Executivo Federal, é o Plano Diretor de Tecnologia da Informação (PDTI). A Instrução Normativa nº 4/2010, editada pela Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão (SLTI/MP), que dispõe sobre o processo de contratação de soluções de tecnologia da informação pelos órgãos integrantes do Sisp, define PDTI como sendo o instrumento de diagnóstico, planejamento e gestão dos recursos e processos de TI que visa atender às necessidades tecnológicas e de informação de um órgão ou entidade por um determinado período. 5

6 48. Nesse contexto, verificou-se que a Petrobras Distribuidora possui PDTI (peça 104) em vigor, que tem por finalidade descrever o direcionamento estratégico que a Gerência de Tecnologia da Informação (GTI) definiu para os exercícios de 2011 e Entre as diretrizes incluídas no PDTI, encontra-se a necessidade de atualização da atual versão do sistema ERP SAP R/3 (antiga) para a versão ECC 6.0 (atual), visto que o suporte e as atualizações daquele ambiente foram descontinuados pelo fornecedor. Essa atualização e a implantação da ferramenta de BO (Business Objects) da SAP fazem parte do plano de metas e de ações constante do PDTI, o qual também inclui a expansão do ambiente de contingência atual do sistema ERP, de modo a garantir o ambiente de produção em caso de indisponibilidade ou desastre (peça 104, p. 6-9). 49. Constatou-se também que a BR possui plano de investimentos em TI de nível estratégico (peça 105), no qual, para cada projeto, constam área, gerência, descrição, vinculação estratégica, unidade física de investimento, memória de cálculo, entre outras informações. Ademais, a companhia também possui plano de investimentos em TI de nível tático (peça 106), o qual contempla ações de investimento de recursos no sistema SAP. 50. Além do planejamento da companhia, também foram avaliados aspectos relacionados à atuação do comitê de TI, às políticas que dispõem sobre o relacionamento da BR com consultorias e empregados de empresas contratadas, bem como à gestão de riscos de TI. 3.1 Falhas na atuação dos comitês de TI 51. A Petrobras Distribuidora possui comitê de TI formalmente instituído. No entanto, constatou-se que este não tem sido atuante, visto que há evidências de que suas reuniões não são realizadas desde julho de A suspensão das atividades, segundo os gestores, decorreu da concentração de recursos para a atualização da versão do SAP. A retomada dos trabalhos está prevista para o início de Critérios a) Cobit 4.1, processo PO4 Definir os processos, organização e relacionamentos de TI, objetivos de controle PO4.2 Comitê estratégico de TI e PO4.3 Comitê executivo de TI. Análise das evidências 52. O modelo Cobit 4.1, em seus objetivos de controle PO4.2 Comitê estratégico de TI e PO4.3 Comitê executivo de TI, trata da necessidade de se estabelecer os referidos comitês para assegurar que a governança de TI seja conduzida em conformidade com a governança corporativa, bem como para deliberar sobre questões relacionadas a prioridades dos programas de investimentos em TI, ao monitoramento do estado atual dos projetos e dos níveis de serviços, além de promover a resolução de conflitos por recursos. 53. Com base nesses objetivos de controle, foram verificados aspectos relacionados ao comitê de TI da companhia. A Petrobras Distribuidora apresentou documentos que confirmam a formalização de um comitê de TI, conforme descrito no BR-DFIS/GTI 173/2006 (peça 19, p. 1-6). Como evidência de que o referido comitê se reunia e deliberava sobre questões relacionadas ao sistema ERP da BR, foi encaminhada uma ata de reunião do referido comitê sobre questão específica de controle de acesso ao sistema (peça 20) e o documento que subsidiou a apreciação desse assunto (peça 21). No entanto, a existência de apenas uma deliberação não permitiu evidenciar se a atuação do comitê é realmente importante para a tomada de decisão e para as ações de TI, em especial aquelas que abrangem o sistema SAP. 54. Em função disso, por meio do item 2 do anexo I do Ofício 2-585/2011-TCU-Sefti (peça 7, p.2), foram solicitadas todas as atas de reunião do Comitê de TI entre julho de 2010 e julho de Em resposta, a empresa absteve-se de providenciar esses documentos, informando, porém, que face à implantação de projetos de grande vulto, como a atualização da versão do SAP, foi 6

7 acordada com a alta administração da BR a suspensão das reuniões do Comitê de TI até o final de 2011, sendo prevista a retomada das atividades para o início de 2012 (peça 22, p. 1). 55. A existência de um comitê composto por diretorias executivas, de negócio e de TI é importante para a definição das prioridades das ações de TI de uma organização. Assim, no caso da BR, o cenário atual de suspensão das reuniões do comitê de TI da empresa pode comprometer o exercício de atribuições relevantes que impactam os projetos relacionados ao sistema ERP. 56. Dessa forma, é possível que decisões importantes, tais como definição de prioridades dos investimentos a serem feitos no SAP e monitoramento de nível de serviço dos contratos de desenvolvimento, manutenção e consultoria do sistema, estejam sendo tomadas com base em avaliações particulares feitas por determinado setor da instituição, como, por exemplo, pela própria área de TI, pois o órgão colegiado capaz de dar representatividade às intenções organizacionais como um todo está com suas atividades paralisadas desde, no mínimo, julho de Nesse sentido, para que investimentos e prioridades sejam definidos com base nas necessidades institucionais, faz-se necessário que o comitê de TI volte a desempenhar o seu papel. 57. Apesar do motivo alegado pela BR para justificar a interrupção das reuniões, a ausência de atuação efetiva do comitê de TI nas questões relacionadas ao sistema ERP é algo indesejável, sobretudo quando os recursos investidos e o valor estratégico do sistema são de grande relevância. Causa a) acordo realizado entre a GTI e a alta administração da BR no sentido de se priorizarem esforços para efetuar a atualização da versão do sistema ERP (peça 22, p. 1). Efeitos e riscos decorrentes da manutenção da situação encontrada a) riscos relacionados à TI desconhecidos pela alta administração da organização; b) decisões de investimentos e prioridades não estarem baseadas nas prioridades compartilhadas entre as áreas de negócio e a TI; c) riscos de a governança de TI estar desalinhada da governança corporativa; d) suporte e envolvimento potencialmente insuficientes da área de TI em processos-chave de tomada de decisão; Conclusão 58. Em que pese a definição formal de um comitê de TI na Petrobras Distribuidora, é necessário que ele se reúna periodicamente para discutir questões importantes sobre projetos e investimentos em TI, inclusive no que diz respeito ao sistema ERP. Nesse sentido, recomenda-se que a BR providencie o retorno das atividades desempenhadas pelo comitê e evite a paralisação de suas reuniões mesmo em situações especiais que demandem priorização de esforços, tais como a condução de projetos de grande vulto na empresa. Propostas de encaminhamento 59. Recomendar à Petrobras Distribuidora que: 59.1 aperfeiçoe a atuação do Comitê de Tecnologia da Informação, providenciando o retorno das suas atividades, de maneira que esse se responsabilize por alinhar os investimentos de Tecnologia da Informação com os objetivos institucionais e por apoiar a priorização de projetos a serem implantados, à semelhança das orientações contidas no Cobit 4.1, PO4.2 Comitê estratégico de TI e PO4.3 Comitê diretor de TI; 7

8 59.2 evite a paralisação das atividades desempenhadas pelo Comitê de TI mesmo em situações especiais que demandem priorização de esforços, tais como a condução de projetos de grande vulto, de forma a não prejudicar as decisões sobre alocação de recursos, projetos e investimentos de TI da companhia, à semelhança das orientações contidas no Cobit 4.1, PO4.2 Comitê estratégico de TI e PO4.3 Comitê diretor de TI. Benefícios esperados a) melhor conhecimento dos riscos de TI pela alta administração; b) maior alinhamento entre a governança de TI e a governança corporativa; c) priorização dos projetos e dos investimentos em TI. 3.2 Inexistência de regulamentos que orientem e normatizem a atuação de empresas de consultoria e profissionais contratados 60. A Petrobras Distribuidora segue as disposições do Código de Ética do Sistema Petrobras, que define as condutas esperadas de seus empregados, em especial no que tange aos valores éticos e morais da companhia. Entretanto, quando se trata da relação contratual entre a BR e seus fornecedores, aspectos importantes ligados à segurança da informação, à propriedade intelectual e às sanções aplicáveis são estabelecidos em cada instrumento contratual, não existindo políticas, normas ou regulamentos formais que consolidem essas disposições. Critérios a) Cobit 4.1, processo PO4 Definir os processos, organização e relacionamentos de TI, objetivo de controle PO4.14 Políticas e procedimentos para pessoal contratado. Análise das evidências 61. O objetivo de controle PO 4.14 do Cobit declara que, para assegurar a proteção dos ativos de informação da organização e o cumprimento das exigências contratuais firmadas, devem ser definidas e implementadas políticas e procedimentos para controlar as atividades de consultores e outros contratados da área de TI. Nesse sentido, buscou-se avaliar se nos contratos vigentes de manutenção e de suporte do sistema ERP, firmados com as empresas Politec e SAP, havia referência a políticas ou regulamentos que dispusessem sobre as condutas que deveriam ser praticadas, bem como aquelas que deveriam ser evitadas pelos empregados dessas empresas enquanto prestarem serviços para a Petrobras Distribuidora. 62. No que diz respeito às relações entre a BR e os seus empregados, verificou-se a existência do Código de Ética do Sistema Petrobras, que tem por objetivo definir com clareza os princípios éticos que norteiam as ações e os compromissos de conduta do Sistema, tanto da parte institucional como da parte dos seus empregados e empregadas, explicitando o sentido ético de sua Missão, Visão e Plano Estratégico (peça 23, p. 4). O item três desse código também estabelece, de forma geral, as condutas que os empregados devem adotar enquanto estiverem prestando serviço para a empresa, tais como a guarda do sigilo das informações, o respeito pela propriedade intelectual, a não obtenção de vantagens indevidas decorrentes do cargo, entre outras (peça 23, p. 8). O item quatro do código estabelece que o sistema Petrobrás compromete-se a requerer das empresas prestadoras de serviços que seus empregados respeitem os princípios éticos e compromissos de conduta definidos nesse Código enquanto estiverem em vigor os contratos com tais empresas (peça 23, p. 9). 63. Observou-se que as disposições contidas nesse documento não são transcritas nos Contratos (peça 16, p. 1, item 2.1.5) e (peça 24, p. 6, item 6.31), ambos relacionados ao SAP, mas apenas referenciadas, em cada um deles, de forma indireta no primeiro e de forma direta no segundo. Porém, o código de ética é mais abrangente e focado em transmitir 8

9 os valores morais e éticos do Sistema Petrobras, não contemplando aspectos específicos importantes quando se trata da relação contratual entre a BR e os seus fornecedores. 64. A análise dos referidos ajustes revelou que são incluídas, em partes específicas do termo contratual, disposições mais detalhadas sobre a forma de agir dos empregados das empresas contratadas pela BR. Como exemplo, cita-se a cláusula onze do Contrato , firmado entre a BR e a empresa Politec, que trata do sigilo e da confidencialidade das informações. O subitem 11.2 dessa cláusula define que as partes se comprometem a cientificar os seus empregados ou prepostos sobre o caráter sigiloso das informações confidenciais às quais podem ter acesso em razão do contrato (peça 16, p. 12). 65. Disposição semelhante também está presente no pacto celebrado entre a BR e a SAP, no Contrato , conforme consta da cláusula quatorze, item 14.2 (peça, 24 p. 14). Nesse mesmo ajuste, também consta a obrigação de os empregados fazerem uso ostensivo de crachás de identificação fornecidos pela BR, conforme item 6.25 (peça 24, p. 5). 66. As exigências constantes desses contratos, embora todas apropriadas, são aplicáveis somente àquela relação entre a BR e o contratado. Convém, portanto, que a BR institua um conjunto de políticas e regulamentos gerais da organização que consolidem critérios e diretrizes para a atuação de empresas prestadoras de serviços de TI, sobretudo no que diz respeito à segurança da informação, às sanções aplicáveis e à propriedade intelectual. Esses regulamentos configuram instrumento de institucionalização das regras e dos controles a serem aplicados no caso dos profissionais contratados externamente, cujo cumprimento pudesse ser exigido como obrigação da contratada em qualquer contrato. Causa a) não identificada. Efeitos e riscos decorrentes da manutenção da situação encontrada a) dificuldades para observância das regras e disposições contratuais; b) custos de potenciais litígios originados de divergências sobre expectativas e responsabilidades. Conclusão 67. A despeito de a BR possuir um código de ética para definir os princípios que norteiam as condutas da própria instituição e de seus empregados, inexistem regulamentos de caráter específico que consolidem a atuação das consultorias e dos funcionários das empresas contratadas. Essas relações têm sido reguladas individualmente por meio de dispositivos estabelecidos em cada contrato. 68. Dessa forma, seria interessante que fosse definido um conjunto de políticas e regulamentos que consolidassem critérios e diretrizes a serem respeitadas por todos os funcionários de empresas contratadas e pelos consultores, a fim de que as condutas a serem observadas pelas pessoas envolvidas fossem formalmente definidas e não ficassem esparsas nos contratos de prestação de serviços de TI. Proposta de encaminhamento 69. Recomendar à Petrobras Distribuidora que defina formalmente regulamento(s) que contenha(m) as atribuições e as responsabilidades dos profissionais contratados para atuarem na sustentação e evolução do sistema integrado de gestão, de modo a definir as sanções aplicáveis para o caso de infrações das políticas de acesso e de segurança da informação, à semelhança das orientações contidas no Cobit 4.1, PO4.14 Políticas e Procedimentos para Pessoal Contratado. 9

10 Benefício esperado a) padronização de atribuições e responsabilidades das consultorias e dos funcionários de empresas contratadas, com ganhos esperados na maior disseminação dessas informações e na conformidade com a conduta esperada. 3.3 Falhas na gestão de riscos de TI 70. A Petrobras Distribuidora dispõe de normativos que não estabelecem plenamente um processo de gestão de riscos de TI. Os relatórios de riscos encaminhados pela empresa consideram apenas os eventos associados ao impacto que eventuais falhas em ativos de TI tais como equipamentos servidores, firewall, sistemas operacionais, entre outros possam ocasionar nos serviços de TI fornecidos pela empresa. O relatório enviado abstém-se de avaliar outros tipos de ameaças que possam impactar a disponibilidade de sistemas importantes da organização, a exemplo do sistema ERP. Ademais, os riscos de TI não estão claramente identificados, tampouco sua forma de tratamento. Critérios a) Cobit 4.1, processo PO4 Definir os processos, organização e relacionamentos de TI, objetivo de controle PO4.8 Responsabilidades por riscos, segurança e conformidade; b) Cobit 4.1, processo PO9 Avaliar e Gerenciar os Riscos de TI, objetivos de controle PO9.1 Alinhamento da gestão de riscos de TI e de Negócios, PO9.2 Estabelecimento do Contexto de Risco, PO9.3 Identificação de Eventos, PO9.4 Avaliação de Risco, PO9.5 Resposta ao Risco e PO9.6 Manutenção e Monitoramento do Plano de Ação de Risco. Análise das evidências 71. O objetivo de controle PO4.8 do Cobit dispõe que é conveniente que se definam e atribuam os papéis críticos para o gerenciamento dos riscos de TI, incluindo a responsabilidade específica pela segurança da informação, segurança física e conformidade. Ainda segundo o PO4.8, convém estabelecer responsabilidade pelo gerenciamento de risco e segurança no nível organizacional. Os objetivos de controle PO9.1 a PO9.6, pertencentes ao processo PO9 Avaliar e Gerenciar os Riscos de TI, por sua vez, abordam uma série de boas práticas a serem observadas na atividade de gerenciamento de riscos de TI. 72. Tendo em vista a relevância do sistema ERP para a BR e considerando o disposto nos referidos objetivos de controle do Cobit, buscou-se verificar como ocorre o processo de gestão de riscos de TI na companhia e se ele abrange riscos específicos relacionados ao sistema ERP. 73. Em resposta aos itens dezessete e dezoito do anexo I do Ofício 243/2011-TCU-Sefti (peça 1, p. 3), a BR encaminhou quatro documentos: NC-GTI-DFIN-019 Norma de Análise de Riscos de TI (peça 25), Risk Scorecard Análise de Riscos Petrobras Distribuidora (2008; peça 26), Relatório de Análise de Riscos (peça 27) e Relatório Operacional de Riscos (peça 28). Cabe registrar que, à exceção da norma de análise de riscos de TI, os demais documentos foram elaborados pela empresa Módulo contratada para realizar diagnóstico de riscos de TI na BR. 74. A norma específica de análise de riscos de TI define, em seu item 6.2, que a responsabilidade pela gestão de riscos de TI é da própria GTI (peça 25, p. 4). Nesse documento é estabelecida uma sistemática de análise de riscos de TI, abrangendo estratégia de análise, critérios de aceitação, identificação, análise e avaliação dos riscos, avaliação das opções para tratamento dos riscos e implantação dos controles para eliminá-los ou mitigá-los. Essa sistemática, de maneira geral, pode ser considerada como um processo de gestão de riscos de TI. 75. O item 4.1 do Relatório de Análise de Riscos apresenta uma tabela com informações e consolidações dos indicadores de Processo de Negócio (PSR), Conformidade e Risco, que devem 10

11 ser utilizadas para priorizar as ações nos ativos que suportam cada processo de negócio de maior risco, ou mesmo para acompanhar a evolução dos riscos (peça 27, p. 19). Nessa tabela, os processos de negócio associados ao sistema ERP estão relacionados com: a) a implementação e manutenção do SAP R/3 e softwares parceiros associados aos processos de comercialização, logística e finanças (peça 27, p. 19); b) a atribuição dos perfis de elaboração de demonstrações contábeis anuais da companhia acompanhadas pelas notas explicativas. (peça 27, p. 20). 76. Por sua vez, o item 6.1 do referido documento apresenta outra tabela que relaciona a relevância de determinados ativos aos respectivos processos de negócio, sendo que, para os processos relacionados ao sistema ERP, esses ativos são, em sua maioria, serviços de software e equipamentos, a exemplo do correio eletrônico, da aplicação Lotus Notes, do banco de dados corporativo, do servidor de arquivos, entre outros (peça 27, p ). O item 6.2 expõe um relacionamento entre os agentes definidos e as possíveis ameaças provocadas por eles, sem, no entanto, correlacionar, explicitamente, tais ameaças com os processos de negócio (peça 27, p ), o que dificulta a identificação das ameaças existentes sobre os processos do ERP. 77. Já o Relatório Operacional de Riscos, feito também pela empresa Módulo, tem por objetivo orientar o gestor na priorização das recomendações que devem ser aplicadas de acordo com o seu nível de risco (peça 28, p. 3). Nele são apresentados controles e recomendações para tratar riscos operacionais da organização, sendo que, para cada controle, existe uma recomendação de como implementá-lo. No entanto, não se verifica a correlação entre controles e riscos de TI que se destina mitigar ou eliminar. 78. Na análise desses documentos (peças 25, 26, 27 e 28), não foi identificada uma lista de riscos associados ao sistema ERP da empresa. Conforme se verifica no Relatório de Análise de Riscos, foram listados apenas os serviços de TI (internet, correio eletrônico, aplicação Lotus Notes, banco de dados corporativos etc. peça 27, p ) que poderiam impactar dois processos de negócio específicos relacionados ao sistema ERP, sem, no entanto, explicitar como a eventual interrupção ou degradação desses serviços (impacto) poderia afetar o ERP e os processos de negócio por ele suportados. 79. Ademais, a lista de riscos de TI está incompleta, por não estarem presentes, por exemplo, riscos de interrupção inesperada do contrato de manutenção e de customização, além de outros não associados, necessariamente, aos serviços de TI que suportam o ERP. Além disso, os detalhes dos controles propostos no Relatório Operacional de Riscos (peça 28) são de cunho mais técnico, isto é, destinam-se, em sua maioria, a resolver problemas de configuração de determinados ativos de TI (servidores, firewall, sistemas operacionais, entre outros), visando garantir a segurança e a disponibilidade dos serviços de TI providos pela instituição. Assim, não estão claros os riscos de TI que esses controles tendem a mitigar, tampouco se identificam, da análise do documento, os riscos ligados ao sistema ERP. 80. Nesse contexto, verifica-se que uma das falhas de gestão de riscos de TI na BR decorre da ausência de tratamento adequado dos riscos existentes, em especial daqueles relacionados ao ERP, pois não foi possível identificar, na análise da documentação encaminhada, uma lista de riscos associada ao ERP. De acordo com as melhores práticas de gestão de TI, entende-se que uma boa forma de lidar com riscos abrange definição de estratégia de tratamento (mitigação, eliminação ou transferência do risco), mapeamento, priorização e definição das ações necessárias a tratá-los, o que não foi constatado na BR. Como consequência, uma possível interrupção do sistema ERP, oriunda de uma materialização de risco não previsto, pode gerar prejuízos financeiros à empresa, tendo em vista que esse sistema é utilizado por diversos setores da companhia no apoio à execução dos processos de negócio. 11

12 Causa TRIBUNAL DE CONTAS DA UNIÃO TC / a) metodologia de análise de risco de TI empregada pela empresa contratada considera apenas riscos relacionados a falhas nos ativos de hardware. Efeitos e riscos decorrentes da manutenção da situação encontrada a) proteção potencialmente insuficiente dos ativos de informação; b) provável falta de comprometimento da gestão na segurança organizacional; c) prováveis dificuldades no entendimento do apetite a risco da organização; d) riscos de TI e organizacionais podem ser gerenciados independentemente; e) impacto de um risco de TI para o negócio pode não ser considerado; f) risco pode ser notado como uma ameaça única ao invés de ser tratado como parte de um contexto geral; g) suporte insuficiente para a avaliação do risco pelos gestores; h) tratamentos podem ser ineficazes para os riscos identificados; i) riscos de negócio residuais podem não ser identificados; j) provável uso ineficiente dos recursos para responder aos riscos; k) controles de mitigação de riscos podem não funcionar apropriadamente; l) controles compensatórios podem ficar desassociados dos riscos identificados. Conclusão 81. Apesar de a BR possuir uma norma de análise de risco de TI que pode ser considerada como um processo de gestão de riscos de TI, existem fragilidades na forma como a empresa realiza a gestão dos riscos de TI. A estratégia de contratação de empresa para apoiar esse processo pode ser interessante, porém o trabalho por ela executado deve abranger detecção, priorização e ações para tratamento de diversos tipos de riscos de TI da empresa. 82. Não foi possível identificar, na análise da documentação encaminhada, uma lista de riscos associada ao ERP. A análise empregada pela empresa contratada, a Módulo, limitou-se a considerar ameaças decorrentes de falhas nos ativos de TI da BR (tais como equipamentos servidores, firewall, sistemas operacionais), desconsiderando outros tipos de risco que possam impactar o ambiente de TI da companhia, em especial no que se refere à sustentação, à operação e à evolução do sistema ERP. Proposta de encaminhamento 83. Recomendar à Petrobras Distribuidora que aperfeiçoe a gestão de riscos de TI de modo a considerar, em especial, os riscos associados à gestão e ao uso do sistema integrado de gestão e a avaliar a eficácia dos controles utilizados para tratar os riscos, de forma a considerar também os riscos relacionados aos sistemas essenciais para a sustentação do negócio da empresa, à semelhança das orientações contidas no Cobit 4.1, PO4.8 Responsabilidade por riscos, segurança e conformidade e observando as boas práticas contidas nos objetivos de controle do processo PO9 Avaliar e Gerenciar os Riscos de TI. Benefício esperado a) gerenciamento de riscos de TI não relacionados apenas a ativos de TI. 3.4 Falhas na avaliação de custo versus benefício nos investimentos no sistema ERP 12

13 84. No projeto de implantação do módulo de gerenciamento da cadeia de suprimentos (SCM Supply Chain Management) foi desenvolvido estudo de viabilidade técnica e econômica para avaliar o projeto. O estudo, que destaca benefícios quantitativos de sua adoção, representa um avanço no sentido de se avaliar mais objetivamente os custos e benefícios de implantação de soluções, contudo não foram realizadas avaliações de custo-benefício para as demais contratações relativas ao ERP executadas na Petrobras Distribuidora e tampouco há processo formal de avaliação para tanto. Critério a) Cobit 4.1, processo PO5 Gerenciar o investimento de TI, PO5.5 Gerenciamento de benefícios. Análise das evidências 85. O processo PO5 do Cobit orienta quanto ao estabelecimento de uma estrutura para gerenciamento dos investimentos em TI, contemplando custos, benefícios, prioridades e orçamento. Um dos objetivos de controle desse processo trata especificamente da importância de se implementar um processo de monitoramento dos benefícios que soluções de TI apropriadas podem prover. 86. Segundo o Cobit, as contribuições esperadas da TI para com os resultados de negócio devem ser identificadas, pactuadas, monitoradas e reportadas, tanto como parte de um componente dos programas de investimento, quanto como parte da operação de suporte regular. 87. Tendo em vista, ainda, a necessidade de justificar os investimentos em TI como parte do processo regular inerente às contratações públicas, a avaliação do custo-benefício da implantação de soluções informatizadas deve ser uma iniciativa sempre louvada e perseguida. 88. No entanto, entende-se que o processo de medir os impactos de uma solução de TI nos resultados da organização pode não ser direto ou simples. Alguns resultados podem ser mais facilmente observáveis, tais como em casos de redução de custos em função de substituição de sistemas e de redução de pessoal. Contudo, quando consideradas variáveis relativas aos benefícios esperados em termos do negócio das empresas, a verificação dos benefícios pode se tornar mais complexa. Dificilmente as variáveis podem ser isoladas e frequentemente sofrem influência de diversos fatores, tais como a própria flutuação de mercado. 89. Nada obstante, existem técnicas e metodologias que permitem a avaliação de cenários e o estudo da influência dessas variáveis nos resultados da organização, de forma a propiciar maior controle e segurança para a realização de investimentos significativos em TI, tais como aqueles decorrentes da implantação de um sistema integrado de gestão. 90. Por meio dos itens 29 a 32 do anexo I do Ofício 243/2011-TCU/Sefti (peça 1, p.4), a BR foi questionada sobre a realização de análises de custo-benefício sobre investimentos realizados no sistema ERP. Em resposta, a empresa informou que, em relação à implementação do sistema, contratações e serviços associados à operacionalização e expansão (consultoria, suporte, manutenção, implementação de novos aplicativos), não foram realizados estudos sobre o retorno dos investimentos relacionados a implementações no sistema ERP, bem como não foram estimados os benefícios referentes a contratações e serviços após o início da operação do sistema ao longo dos anos (peça 29, p. 1-3, itens 29 a 32). 91. A BR informou, porém, que realizou estudos de viabilidade técnica e econômica (EVTE) para um de seus projetos em andamento (peça 30). O projeto, denominado Supply Chain Management (SCM gestão da cadeia de suprimento), integrará ao sistema ERP um módulo de gestão de processos relacionados à otimização da gestão logística de suprimento, a fim de 13

14 promover ganhos de custos referentes à redução de compras do tipo spot (para aumentar ganho de escala na compra dos insumos) e à redução de armazenamento. 92. Verifica-se que o projeto busca desenvolver soluções técnicas com a criação de índices para fins de controle dos principais eventos operacionais que compõem os processos que integram a gestão da cadeia de suprimentos. 93. A partir do mapeamento dos processos que integram a gestão de suprimentos, foram identificados e estimados benefícios quantitativos, bem como foram consideradas premissas que serviram de base para modelar cálculos de retorno sobre investimento. Como resultado, foram gerados diferentes cenários de custo-benefício, dada a necessidade de considerar as possíveis imprevisibilidades do modelo. Causa a) inexistência de processo específico e consolidado para avaliação do custo-benefício para implantação de soluções de TI. Efeitos e riscos decorrentes da manutenção da situação encontrada a) contribuição do valor do ERP não está transparente; b) percepção incorreta da contribuição do valor do sistema ERP aos processos de negócio da empresa; c) dificuldade na análise dos preços dos produtos e serviços; d) riscos de ineficiência na realização de investimentos, uma vez que seu retorno em termos do negócio não é avaliado. Conclusão 94. Não há processo formal para avaliação do custo-benefício para contratação de módulos ou expansões do ambiente ERP. Não foram realizadas avaliações nesse sentido quando da implantação do sistema ERP e contratações posteriores. No entanto, para a contratação do módulo SCM, foi realizado estudo de viabilidade técnica e econômica que destaca benefícios quantificáveis, bem como permite avaliar mais objetivamente o retorno sobre os investimentos para o caso específico deste projeto. 95. Embora ainda não tenham sido definidos indicadores ou mecanismos de coleta para avaliação dos benefícios que podem ser obtidos com a implantação do projeto, o EVTE realizado para o projeto SCM é um passo nesse sentido. Propostas de encaminhamento 96. Recomendar à Petrobras Distribuidora que elabore um processo formal de avaliação da relação do custo versus o benefício do investimento para a contratação de novos serviços e produtos relacionados ao sistema integrado de gestão, prevendo a criação de indicadores de avaliação dos investimentos alinhados com o cumprimento dos objetivos estratégicos e o monitoramento periódico desses indicadores, à semelhança das orientações contidas no Cobit 4.1, PO5.5 Gerenciamento de Benefícios. Benefícios esperados a) informações mais robustas para justificar, selecionar e avaliar os investimentos realizados em TI; b) melhor percepção da contribuição do valor do sistema ERP para os processos de negócio da empresa; 14

15 c) maior eficiência dos investimentos, sendo priorizados aqueles que apresentem maior potencial de retorno. 4. PROCESSOS E MÉTODOS PARA A SUSTENTAÇÃO DO SISTEMA ERP 97. Este capítulo se destina a avaliar os principais processos e métodos empregados pela companhia para gestão e sustentação do sistema ERP. 98. Tendo em vista a complexidade e abrangência de um sistema integrado de gestão, espera-se que a organização detentora de um sistema ERP tenha estrutura condizente com a amplitude das regras, estruturas e riscos relacionados à operação de um ambiente tecnológico desse porte. 99. Dessa forma, alguns processos tradicionais de tecnologia da informação ganham ainda mais relevância. Em um sistema altamente integrado, como é o caso em análise, em que as operações empresariais são mutuamente dependentes, há que se ter especial cuidado com relação à manutenção e evolução do sistema Vários aspectos relacionados à sustentação do ambiente do sistema ERP foram avaliados. Em razão de sua relevância, o processo de gerenciamento de requisitos, de gerenciamento de mudanças, de testes, de gerenciamento de configuração e de suporte aos usuários tiveram aspectos avaliados Em especial, de acordo com as referências bibliográficas utilizadas neste trabalho e os levantamentos conduzidos em empresas detentoras de sistemas do tipo ERP, o gerenciamento de mudanças é considerado um processo crítico para o sucesso de sistemas integrados de gestão. Considerando os impactos que a alta interdependência de rotinas automatizadas pode gerar, as mudanças no sistema ERP necessitam ser controladas, gerenciadas e desenvolvidas com critério Nesse sentido, verificou-se que o processo para gestão das mudanças no sistema ERP da BR Distribuidora está adequadamente organizado e formalizado, configurando boa prática a ser seguida e que se constitui em instrumento relevante para a manutenção da estabilidade e do funcionamento do sistema. 4.1 Falhas no gerenciamento dos requisitos 103. A BR dispõe de processo estruturado de gestão de mudanças mediante o qual é especificada toda sorte de mudanças no ambiente do ERP (peças 31 e 32). Embora os requisitos estejam expressos de alguma forma na solicitação de mudança, não há processo formal de gerenciamento que assegure a documentação, o controle e a rastreabilidade sobre os requisitos especificados para o sistema ERP. Para novos projetos, tem sido utilizada ferramenta para gestão de requisitos. Critério a) Cobit 4.1, processo AI2 Adquirir e Manter Software Aplicativo, objetivo de controle AI2.9 Gestão dos Requisitos das Aplicações; Análise das evidências 104. O objetivo de controle AI2.9 do Cobit trata da importância de acompanhamento individual dos requisitos, inclusive os rejeitados, durante o projeto, desenvolvimento e implementação de um sistema de informação. Recomenda-se que as mudanças nos requisitos sejam controladas e gerenciadas. Entre as atividades deste processo, é listada a atividade de rastreamento e gerenciamento dos requisitos, o que sinaliza a relevância dessa tarefa na construção de soluções. 15

16 105. A BR possui processo estruturado para solicitação de mudanças e novos desenvolvimentos no sistema ERP (peças 31 e 32). Sua metodologia está na 11ª versão e apresenta responsabilidades, artefatos e etapas do processo (peça 32). Para automatização do processo é utilizada rotina do sistema denominada YSCDEV Com relação à documentação, a metodologia prevê a elaboração de especificação funcional e técnica, e apresenta template dessa especificação (peça 33). A especificação apresenta informações mais gerais, como: responsáveis pela especificação, objetivo, problema a ser resolvido, estratégia de desenvolvimento, diagramas e fluxos de apoio, especificações sobre o processamento, planos de testes, lógica de processamento A gestão dos requisitos está vinculada à gestão de mudanças, a qual possui processo formalizado. De acordo com as entrevistas realizadas, o órgão detém o conjunto de especificações da versão original do sistema implantada em 2002 e as especificações funcionais das solicitações de mudanças (requests) posteriores Os requisitos de cada mudança são definidos e compõem a especificação funcional e a especificação técnica construída. Contudo, não há documento de especificação atualizado que reúna o conjunto de requisitos e o comportamento de um dado processo de negócio do sistema (peça 34, p. 2-3, item 9). Assim, para se identificar o conjunto de requisitos que descrevem o comportamento de uma função do sistema, depende-se da avaliação das solicitações de mudança que eventualmente a modificaram Além disso, em caso de mudanças nos requisitos, as alterações são feitas mediante alterações no documento (formato Word) de especificação (peça 33) ou mediante nova especificação anexada à solicitação. Com efeito, o rastreamento das mudanças nos requisitos fica limitado, haja vista que as mudanças nos documentos de especificação vinculados à solicitação não são verificáveis e gerenciadas de maneira automatizada Os gestores informaram que, durante o projeto de migração, alguns processos tiveram seus requisitos documentados pela ferramenta Solution Manager. Dessa forma, constata-se que, para novos projetos, a BR tem procurado ampliar o gerenciamento sobre os requisitos do sistema ERP. No entanto, para as mudanças rotineiras, os requisitos modificados não são submetidos a processo formal de gerenciamento que garanta a manutenção de documentação atualizada e centralizada dos requisitos de uma dada funcionalidade Registre-se que, embora não haja processo formal de gerenciamento dos requisitos, o próprio processo de gestão de mudanças (peça 32, p. 5 metodologia versão 11) prevê que o gestor do processo seja o responsável pela solicitação de mudança e, posteriormente, pela aprovação do documento de visão preparado pela TI. Dessa forma, entende-se que há aprovação dos requisitos da mudança demandada, considerando que a nova funcionalidade estará descrita no documento de visão. Causa a) não identificada. Efeitos e riscos decorrentes da manutenção da situação encontrada a) risco de desenvolvimento de solução incorreta com base em entendimento inadequado dos requisitos; b) possibilidade de que os requisitos relevantes sejam descobertos tardiamente, causando aumento de custo decorrente de retrabalho e de atrasos; c) risco do surgimento de soluções que falham em atender aos requisitos de negócio; d) possibilidade de que soluções alternativas não sejam identificadas apropriadamente; 16

17 e) processos de negócio e aspectos da organização da potencial solução podem ser considerados de maneira inadequada. Conclusão 112. Não há processo formal de gerenciamento de requisitos do sistema ERP. A descrição das solicitações de mudança funciona como parte do mecanismo formal de definição dos requisitos levantados. Em novos projetos, tem sido utilizada e avaliada ferramenta como parte de um processo de gestão de requisitos. Proposta de encaminhamento 113. Recomendar à Petrobras Distribuidora que aperfeiçoe o processo de construção de novas funcionalidades no sistema integrado de gestão, de modo que este contemple as atividades de gestão dos requisitos da aplicação, em especial as relacionadas à elaboração de documentação técnica, a implantação de mecanismos de rastreamento das mudanças nos requisitos da aplicação e a aprovação formal dos requisitos por parte da área demandante, à semelhança das orientações contidas no Cobit 4.1, AI2 Adquirir e Manter Software Aplicativo, objetivo de controle AI2.9 Gestão dos Requisitos das Aplicações. Benefícios esperados a) redução dos riscos decorrentes de mudanças não controladas sobre os requisitos das aplicações; b) simplificação de esforços de manutenção em razão da disponibilidade de requisitos documentados e atualizados em relação à aplicação. 4.2 Falhas no gerenciamento de configuração dos artefatos do sistema ERP 114. Verificaram-se falhas no processo de gerenciamento de configuração de alguns artefatos, como manuais e arquivos de ajuda do sistema ERP. O gerenciamento de licenças do software ERP também não está submetido a processo formal de gerenciamento de configuração. Critério a) Cobit 4.1, processo DS9 Gerenciar a configuração, objetivos de controle, DS9.1 Repositório de configuração e perfis básicos, DS9.2 Identificação e manutenção dos itens de configuração e DS9.3 Revisão da integridade de configuração. Análise das evidências 115. O gerenciamento de configuração, conforme estabelecido no processo DS9 do Cobit, prevê que, para que seja assegurada a integridade das configurações de hardware e software de um ambiente de TI é necessário estabelecer um repositório de configuração com informações a respeito dos itens de configuração (ativos de hardware e software) que compõem o ambiente gerenciado. Um processo de gerenciamento de configuração eficaz contribui para maior disponibilidade do sistema e resolução de problemas com maior rapidez O objetivo de controle de DS9.2 do Cobit trata da importância do estabelecimento de procedimentos para registrar alterações no repositório de configuração de maneira integrada ao processo de gerenciamento de mudanças. O DS9.3 aduz a necessidade de revisões periódicas do estado dos itens de configuração e de realização de análise crítica periódica da política de uso de software verificando, por exemplo, uso de software não autorizado ou excedente ao contrato de licenças vigente A BR apresentou à equipe de fiscalização um processo de gerenciamento de configuração nos moldes preconizados pelo Information Technology Infrastructure Library (Itil) (peça 35). No entanto, em entrevistas, os técnicos informaram que as alterações nos itens de 17

18 configuração internos do sistema ERP (código-fonte, help e manuais) não são controladas por tal processo Alguns dos itens de configuração do sistema ERP são mantidos e controlados pelo próprio software, tais como o código-fonte (peça 36). Entretanto, segundo informaram os técnicos, manuais e arquivos de ajuda ficam armazenados em pastas na rede interna da BR e não estão organizados em um banco de dados de gestão de configuração (CMDB) O controle de licenças de uso dos softwares, outro aspecto abordado pela gestão de configuração, também foi alvo de verificações. No que tange ao sistema ERP, foi informado pelos gestores que há execução periódica de uma ferramenta fornecida pela própria SAP para gestão do quantitativo de licenças em uso do software ERP. Segundo os técnicos da BR, o resultado da execução desse software não é disponibilizado à SAP Em princípio, entende-se que não há subutilização da quantidade de licenças, sendo que, em alguns casos, são processadas mudanças estruturais nos processos e sistemas para que seja possível manter o quantitativo de licenças em uso em patamares inferiores ao contratado. Segundo nos informou a BR (peça 37), a última avaliação foi realizada em 27/8/2009 e culminou na contratação adicional de 370 licenças A auditoria interna (Audi) também sinalizou, em auditoria realizada de fevereiro a março de 2011, ineficiência no processo de controle de licenças de programas de computadores (peça 38). Segundo relatório da Audi, a BR possui licenças do sistema ERP contratadas, mas, no entanto, conta com usuários cadastrados no sistema (peça 38, p. 5). O relatório recomenda ainda que se implemente procedimento que estabelecerá revisões periódicas dos quantitativos de licenças visando à renegociação de contratos com as empresas fornecedoras com previsão de conclusão para dezembro de 2011 (peça 38, p. 6) Não é possível afirmar, contudo, que a BR não efetua gestão sobre as licenças de uso do sistema ERP disponíveis. Essa atividade é de fato realizada, mas de maneira empírica, sem o suporte de um processo formal que defina responsabilidades, periodicidade, escopo, entre outros aspectos que podem colaborar para que o controle sobre o licenciamento seja mais eficaz. Deve-se estabelecer controle, registro e acompanhamento das licenças e medidas adotadas em decorrência das avaliações. Entende-se que, assim, será possível realizar, de forma planejada e gerenciada, a aquisição das licenças de uso do sistema ERP conforme necessário Por fim, relata-se que foi iniciado, por demanda da contratada, a SAP Brasil Ltda., realização de fiscalização no quantitativo de licenças em uso pela Petrobras Distribuidora (peça 39). A avaliação será realizada por consultoria externa contratada pela SAP. Causa a) ausência de processo formal de gestão de configuração. Efeitos e riscos decorrentes da manutenção da situação encontrada a) atividades ligadas à gestão de licenciamento podem não ser tratadas adequadamente e tempestivamente; b) maior risco de a documentação do sistema não refletir a situação real; c) maiores custos para a resolução de problemas; d) risco de os ativos de informação não serem protegidos adequadamente. Conclusão 124. Os ativos de software associados ao sistema ERP não estão submetidos a um processo formal de gestão de configuração. Ainda assim, o versionamento de alguns artefatos é mantido 18

19 pelo próprio sistema ERP, tais como o código-fonte. Para esses, a ferramenta dispõe de recursos como gestão de acesso e rastreabilidade sobre mudanças No entanto, manuais e arquivos de ajuda associados ao sistema ERP e produzidos com ferramentas e em ambiente externo ao SAP não são hospedados em banco de dados de itens de configuração (CMDB) Conforme já apontado pela auditoria interna da BR, a gestão de licenças de uso de software, em particular do sistema ERP, não estão suportadas por processo formal de gerenciamento de configuração. Eventuais falhas na gestão podem resultar na utilização indevida de licenças e em implicações legais ou financeiras junto aos fabricantes. Proposta de encaminhamento 127. Recomendar à Petrobras Distribuidora que aperfeiçoe o processo de gerenciamento de configuração dos artefatos do sistema integrado de gestão, em especial quanto às atividades relacionadas ao registro das alterações nos itens de configuração e à análise tempestiva da disponibilidade de licenças de uso do sistema, bem como à previsão de utilização de uma ferramenta automatizada de suporte à gestão de configuração, à semelhança das orientações contidas no Cobit 4.1, DS9.1 Repositório de Configuração e Perfis Básicos, DS9.2 Identificação e Manutenção dos Itens de Configuração e DS9.3 Revisão da Integridade de Configuração. Benefícios esperados a) maior garantia de integridade dos itens de configuração de software ligados ao ERP, em especial dos arquivos de ajuda e manuais, permitindo a solução de problemas com maior rapidez; b) mitigação dos riscos de cobranças e multas decorrentes do uso de software sem licenciamento adequado. 5. ATUAÇÃO DA AUDITORIA INTERNA NO AMBIENTE ERP 128. Em termos organizacionais, a Auditoria Interna da Petrobras Distribuidora está vinculada ao Conselho de Administração da companhia e possui um auditor designado para coordenação dos trabalhos de Auditoria de Tecnologia da Informação. Esse coordenador é responsável pelo desempenho das seguintes atribuições (Manual de organização da auditoria interna, peça 40, p. 3): a) desenvolver projetos de auditoria para exame dos processos de sistemas de informação, infraestrutura, serviços e segurança de tecnologia da informação, primando pela eficiência, eficácia e economicidade, em conformidade com as Leis, Normas e melhores práticas de mercado; b) elaborar modelagem de controles internos para tecnologia da informação, orientado para o gerenciamento de riscos associados, com objetivo de assegurar a integridade da informação e dos sistemas de informação para o atendimento à Lei Sarbanes-Oxley e à Governança Corporativa; c) manter a base de conhecimento e mapear riscos associados aos processos de TI, com o propósito de orientar o Plano Anual de Auditoria e promover as revisões dos programas de auditoria; d) assessorar a área de TI e disseminar a cultura de controle interno para melhoria de processos A respeito desse manual, cabe uma observação sobre o item b. Tal item estabelece como responsabilidade da auditoria interna a modelagem de controles internos para TI em 19

20 contraposição ao que dispõem as melhores práticas. Conforme as Diretrizes para Padrões de Controles Internos para o Setor Público, da Organização Internacional de Entidades Fiscalizadoras Superiores (Intosai, em inglês), essa responsabilidade é do gestor e não do auditor interno: Papéis e responsabilidades (...) Auditores internos: examinam e contribuem para a efetividade do sistema de controles internos por meio de suas avaliações e recomendações e, portanto, desempenham papel significativo na efetividade dos controles internos. Contudo, eles não devem ter a responsabilidade essencialmente gerencial de projetar, implementar, manter e documentar os controles internos. (INTOSAI Guidelines for Internal Control Standards for the Public Sector, 2004, p. 43, tradução livre) Por outro lado, constatou-se que a Audi da BR tem realizado verificações de controles e estruturas relacionadas ao sistema ERP. Além disso, a unidade também desempenhou trabalhos de auditoria em áreas de negócio da companhia utilizando informações provenientes do sistema de gestão Em resposta ao item 7 do Ofício de Requisição 243/2011 (peça 1) e aos itens 17 a 19 Ofício 2-585/2011-TCU/Sefti (peça 7), foram encaminhados trabalhos realizados pela auditoria interna que demonstram satisfatório grau de cumprimento das atribuições referentes à coordenação de auditoria de tecnologia da informação (peças 38 e 41-47) Dentre os trabalhos realizados, destacam-se as seguintes auditorias de TI: Execução contratual de serviços de tecnologia da informação (peça 42), Licenças de programas de microcomputadores (peça 38), Controle de acesso físico ao data center (peça 43), Controles internos de TI previstos na Sarbanes-Oxley e Cobit (peça 44) Verificou-se habitualidade na utilização dos dados extraídos do sistema ERP para subsidiar e munir de informações as fiscalizações realizadas na área fim da companhia. Destacamse os trabalhos em que falhas pontuais apontam para soluções que sugerem correções ou implementações nos sistemas de informação da companhia, o que demonstra a disseminação da cultura de uso de controles de TI para aprimoramento dos controles dos processos de negócio (Relatório de atividades de auditoria interna com uso do ERP; peça 41). 5.1 Falhas no processo de monitoramento do cumprimento das ações corretivas recomendadas pela auditoria interna 134. A auditoria interna tem monitorado as ações adotadas pelas unidades da empresa em resposta às suas recomendações. No entanto, esse processo não está respaldado por normativos e regulamentos internos, o que representa riscos para a continuidade da atividade e a efetividade das orientações expedidas. Critérios a) Cobit 4.1, processo ME1 Monitorar e avaliar o desempenho de TI, objetivo de controle ME1.6 Ações corretivas; b) Cobit 4.1, processo ME2 Monitorar e avaliar os controles internos, objetivo de controle ME2.7 Ações corretivas. Análise das evidências 135. Os processos ME1 Monitorar e Avaliar o Desempenho de TI e ME2 Monitorar e Avaliar Controles Internos do Cobit possuem objetivos de controle vinculados ao monitoramento e à implementação de ações como resultado de avaliação dos controles e do desempenho da unidade de TI. 20

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 Dispõe sobre a Política de Governança de Tecnologia da Informação do Tribunal de Contas da União (PGTI/TCU). O TRIBUNAL DE CONTAS DA UNIÃO, no uso de suas

Leia mais

PODER JUDICIÁRIO TRIBUNAL REGIONAL DO TRABALHO DA 3ª REGIÃO

PODER JUDICIÁRIO TRIBUNAL REGIONAL DO TRABALHO DA 3ª REGIÃO Controle de Versões Autor da Solicitação: Subseção de Governança de TIC Email:dtic.governanca@trt3.jus.br Ramal: 7966 Versão Data Notas da Revisão 1 03.02.2015 Versão atualizada de acordo com os novos

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013

RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013 Publicada no DJE/STF, n. 127, p. 1-3 em 3/7/2013. RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013 Dispõe sobre a Governança Corporativa de Tecnologia da Informação no âmbito do Supremo Tribunal Federal e dá outras

Leia mais

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti e d a id 4 m IN r fo a n m Co co M a n ua l Governança AMIGA Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti Um dos grandes desafios atuais da administração

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

Encontro com o mercado privado de TI Contratações Públicas de TI Sistemas Integrados de Gestão das Empresas Estatais

Encontro com o mercado privado de TI Contratações Públicas de TI Sistemas Integrados de Gestão das Empresas Estatais Encontro com o mercado privado de TI Contratações Públicas de TI Sistemas Integrados de Gestão das Empresas Estatais Wesley Vaz, MSc., CISA Sefti/TCU Brasília, 6 de novembro de 2012 Sistemas Integrados

Leia mais

AVALIAÇÃO QUALITATIVA E QUANTITATIVA DO QUADRO DE SERVIDORES DA COTEC

AVALIAÇÃO QUALITATIVA E QUANTITATIVA DO QUADRO DE SERVIDORES DA COTEC MINISTÉRIO DO MEIO AMBIENTE INSTITUTO CHICO MENDES DE CONSERVAÇÃO DA BIODIVERSIDADE DIRETORIA DE PLANEJAMENTO, ADMINISTRAÇÃO E LOGÍSTICA Coordenação-Geral de Administração e Tecnologia da Informação Coordenação

Leia mais

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Emerson de Melo Brasília Novembro/2011 Principais Modelos de Referência para Auditoria de TI Como focar no negócio da Instituição

Leia mais

POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS

POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS Versão 2.0 30/10/2014 Sumário 1 Objetivo... 3 2 Conceitos... 3 3 Referências... 4 4 Princípios... 4 5 Diretrizes... 5 5.1 Identificação dos riscos...

Leia mais

Diretoria de Informática TCE/RN 2012 PDTI PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO. Brivaldo Marinho - Consultor. Versão 1.0

Diretoria de Informática TCE/RN 2012 PDTI PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO. Brivaldo Marinho - Consultor. Versão 1.0 TCE/RN 2012 PDTI PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO Brivaldo Marinho - Consultor Versão 1.0 CONTROLE DA DOCUMENTAÇÃO Elaboração Consultor Aprovação Diretoria de Informática Referência do Produto

Leia mais

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC 1. Diretor da Secretaria de Tecnologia da Informação e Comunicação Coordenar

Leia mais

Estrutura de Gerenciamento do Risco Operacional - 2010

Estrutura de Gerenciamento do Risco Operacional - 2010 Estrutura de Gerenciamento do Risco Operacional - 2010 Sumário 1. Introdução:...3 2. Abrangência:...3 3. Estrutura do Gerenciamento de Risco Operacional:...3 3.1. Estrutura de Gerenciamento do Risco Operacional:...4

Leia mais

RELATÓRIO [...] TRIBUNAL DE CONTAS DA UNIÃO TC 015.570/2011-8

RELATÓRIO [...] TRIBUNAL DE CONTAS DA UNIÃO TC 015.570/2011-8 GRUPO I CLASSE V Plenário TC 015.570/2011-8. Natureza: Relatório de Auditoria. Entidades: Centrais Elétricas do Norte S/A (Eletronorte), Centrais Elétricas Brasileiras S/A (Eletrobras), Casa da Moeda do

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

Número do Recibo:83500042

Número do Recibo:83500042 1 de 21 06/06/2012 18:25 Número do Recibo:83500042 Data de Preenchimento do Questionário: 06/06/2012. Comitête Gestor de Informática do Judiciário - Recibo de Preenchimento do Questionário: GOVERNANÇA

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM GESTÃO DE CONTINUIDADE DOS

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Elaboração Luiz Guilherme D CQSMS 10 00 Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes Avaliação da Necessidade de Treinamento

Leia mais

Plano de Ação Política de Gestão de Pessoas

Plano de Ação Política de Gestão de Pessoas Plano de Ação Política de Gestão de Pessoas (Produto 1) TRIBUNAL DE CONTAS DOS MUNICÍPIOS DO ESTADO DA BAHIA PROGRAMA DE MODERNIZAÇÃO DO SISTEMA DE CONTROLE EXTERNO DOS ESTADOS, DISTRITO FEDERAL E MUNICÍPIOS

Leia mais

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 O CONSELHO UNIVERSITÁRIO da Universidade Federal do Pampa, em sessão de 30/10/2014, no uso das atribuições que lhe são conferidas pelo Artigo 19, Inciso XVII do

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

Avenida Presidente Wilson, 231 11 andar 20030-905 Rio de Janeiro- RJ ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL

Avenida Presidente Wilson, 231 11 andar 20030-905 Rio de Janeiro- RJ ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL MARÇO, 2015 ÍNDICE OBJETIVO 3 ESCOPO 3 DEFINIÇÕES Risco Inerente 4 DEFINIÇÕES Risco Operacional 4 DEFINIÇÕES Evento de Risco Operacional 4 FUNÇÕES E RESPONSABILIDADES

Leia mais

TERMO DE REFERÊNCIA (TR) GAUD 4.6.8 01 VAGA

TERMO DE REFERÊNCIA (TR) GAUD 4.6.8 01 VAGA INSTITUTO INTERAMERICANO DE COOPERAÇÃO PARA A AGRICULTURA TERMO DE REFERÊNCIA (TR) GAUD 4.6.8 01 VAGA 1 IDENTIFICAÇÃO DA CONSULTORIA Contratação de consultoria pessoa física para serviços de preparação

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

Alinhamento Estratégico. A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1

Alinhamento Estratégico. A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1 Conhecimento em Tecnologia da Informação Alinhamento Estratégico A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1 2010 Bridge Consulting Apresentação

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014 Dispõe sobre a aprovação do Documento Acessório Diferenciado "Política de Gestão de

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

ITIL. Conteúdo. 1. Introdução. 2. Suporte de Serviços. 3. Entrega de Serviços. 4. CobIT X ITIL. 5. Considerações Finais

ITIL. Conteúdo. 1. Introdução. 2. Suporte de Serviços. 3. Entrega de Serviços. 4. CobIT X ITIL. 5. Considerações Finais ITIL Conteúdo 1. Introdução 2. Suporte de Serviços 3. Entrega de Serviços 4. CobIT X ITIL 5. Considerações Finais Introdução Introdução Information Technology Infrastructure Library O ITIL foi desenvolvido,

Leia mais

Implantação da Governança a de TI na CGU

Implantação da Governança a de TI na CGU Implantação da Governança a de TI na CGU José Geraldo Loureiro Rodrigues Diretor de Sistemas e Informação Controladoria-Geral da União I Workshop de Governança de TI da Embrapa Estratégia utilizada para

Leia mais

Governança de TI: O desafio atual da Administração Pública. André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011

Governança de TI: O desafio atual da Administração Pública. André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011 Governança de TI: O desafio atual da Administração Pública André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011 André Luiz Furtado Pacheco, CISA Graduado em Processamento de

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI 1. PI06 TI 1.1. Processos a serem Atendidos pelos APLICATIVOS DESENVOLVIDOS Os seguintes processos do MACROPROCESSO

Leia mais

Superior Tribunal de Justiça

Superior Tribunal de Justiça Superior Tribunal de Justiça RESOLUÇÃO STJ/GP N. 11 DE 12 DE NOVEMBRO DE 2015. Institui a política de segurança da informação do Superior Tribunal de Justiça e dá outras providências. O PRESIDENTE DO SUPERIOR

Leia mais

Estabelecer os procedimentos para o gerenciamento dos sistemas e demais aplicações informatizadas do TJAC.

Estabelecer os procedimentos para o gerenciamento dos sistemas e demais aplicações informatizadas do TJAC. Código: MAP-DITEC-001 Versão: 00 Data de Emissão: 01/01/2013 Elaborado por: Gerência de Sistemas Aprovado por: Diretoria de Tecnologia da Informação 1 OBJETIVO Estabelecer os procedimentos para o gerenciamento

Leia mais

CobIT. Eduardo Mayer Fagundes. Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações

CobIT. Eduardo Mayer Fagundes. Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações CobIT Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações Eduardo Mayer Fagundes Copyright(c)2008 por Eduardo Mayer Fagundes 1 Agenda 1. Princípio de Gestão Empresarial

Leia mais

RESOLUÇÃO Nº 080/2014, DE 25 DE JUNHO DE 2014 CONSELHO UNIVERSITÁRIO UNIVERSIDADE FEDERAL DE ALFENAS UNIFAL-MG

RESOLUÇÃO Nº 080/2014, DE 25 DE JUNHO DE 2014 CONSELHO UNIVERSITÁRIO UNIVERSIDADE FEDERAL DE ALFENAS UNIFAL-MG RESOLUÇÃO Nº 080/2014, DE 25 DE JUNHO DE 2014 CONSELHO UNIVERSITÁRIO UNIVERSIDADE FEDERAL DE ALFENAS UNIFAL-MG O Conselho Universitário da UNIFAL-MG, no uso de suas atribuições regimentais e estatutárias,

Leia mais

PDTI UFLA: Plano Diretor de Tecnologia da Informação Segundo Modelo de Referência da SLTI/MPOG

PDTI UFLA: Plano Diretor de Tecnologia da Informação Segundo Modelo de Referência da SLTI/MPOG PDTI UFLA: Plano Diretor de Tecnologia da Informação Segundo Modelo de Referência da SLTI/MPOG Forplad Regional Sudeste 22 de Maio de 2013 Erasmo Evangelista de Oliveira erasmo@dgti.ufla.br Diretor de

Leia mais

NORMA CONTROLE DO PARQUE DE INFORMÁTICA

NORMA CONTROLE DO PARQUE DE INFORMÁTICA CONTROLE DO PARQUE DE INFORMÁTICA Data: 17 de dezembro de 2009 Pág. 1 de 13 SUMÁRIO SUMÁRIO 2 1. INTRODUÇÃO 3 2. FINALIDADE 3 3. ÂMBITO DE APLICAÇÃO 3 4. PADRONIZAÇÃO DOS RECURSOS DE T.I. 4 5. AQUISIÇÃO

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO 10/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Inventário e Mapeamento de Ativos de Informação nos

Leia mais

RESOLUÇÃO CFC Nº 1.036/05

RESOLUÇÃO CFC Nº 1.036/05 RESOLUÇÃO CFC Nº 1.036/05 Aprova a NBC T 11.8 Supervisão e Controle de Qualidade. O Conselho Federal de Contabilidade, no exercício de suas atribuições legais e regimentais, Considerando que as Normas

Leia mais

Tribunal Regional Eleitoral de Santa Catarina

Tribunal Regional Eleitoral de Santa Catarina Planejamento Estratégico de Tecnologia da Informação e Comunicação (PETI) Secretaria de Tecnologia da Informação Florianópolis, março de 2010. Apresentação A informatização crescente vem impactando diretamente

Leia mais

Implantação da Governança a de TI na CGU

Implantação da Governança a de TI na CGU Implantação da Governança a de TI na CGU José Geraldo Loureiro Rodrigues Diretor de Sistemas e Informação Controladoria-Geral da União Palestra UNICEUB Estratégia utilizada para implantação da Governança

Leia mais

TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010

TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010 TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010 O SECRETÁRIO DE TECNOLOGIA DA INFORMAÇÃO DO TRIBUNAL SUPERIOR DO TRABALHO, no

Leia mais

RIO 2016 POLÍTICA DE COMPLIANCE

RIO 2016 POLÍTICA DE COMPLIANCE COMITÊ ORGANIZADOR DOS JOGOS OLÍMPICOS RIO 206 RIO 206 POLÍTICA DE 25/02/205 / 2 Sumário. OBJETIVO... 2 2. DEFINIÇÕES... 2 3. ATRIBUIÇÕES E RESPONSABILIDADES... 5 4. DIRETRIZES... 7 4. Programa Geral de...

Leia mais

RELATÓRIO TRIBUNAL DE CONTAS DA UNIÃO TC 015.575/2011-0

RELATÓRIO TRIBUNAL DE CONTAS DA UNIÃO TC 015.575/2011-0 GRUPO I CLASSE V Plenário TC 015.575/2011-0. Natureza: Relatório de Auditoria. Entidade: Empresa Brasileira de Correios e Telégrafos (ECT). Advogado constituído nos autos: não há. SUMÁRIO: RELATÓRIO DE

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

Importância do GED. Implantação de um Sistema de GED

Importância do GED. Implantação de um Sistema de GED Implantação de um Sistema de GED Gerenciamento Eletrônico de Documentos Importância do GED O GED tem uma importante contribuição na tarefa da gestão eficiente da informação; É a chave para a melhoria da

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

Gestão estratégica em finanças

Gestão estratégica em finanças Gestão estratégica em finanças Resulta Consultoria Empresarial Gestão de custos e maximização de resultados A nova realidade do mercado tem feito com que as empresas contratem serviços especializados pelo

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Nº de Páginas: 1 / 5 1. OBJETIVOS Os objetivos desta Política de Segurança da Informação são estabelecer orientações gerais de segurança da informação no âmbito da Braslight, fornecendo o apoio conceitual

Leia mais

POLÍTICA DE COMPRAS E CONTRATAÇÕES INVEPAR. A melhor forma de usar nossos recursos.

POLÍTICA DE COMPRAS E CONTRATAÇÕES INVEPAR. A melhor forma de usar nossos recursos. POLÍTICA DE COMPRAS E CONTRATAÇÕES INVEPAR. A melhor forma de usar nossos recursos. 1. OBJETIVO Este documento tem a finalidade de estabelecer diretrizes para a aquisição de bens e serviços nas empresas

Leia mais

PORTARIA Nº 1.998, DE 22 DE ABRIL DE 2015.

PORTARIA Nº 1.998, DE 22 DE ABRIL DE 2015. PORTARIA Nº 1.998, DE 22 DE ABRIL DE 2015. Institui o macroprocesso da fase de Gestão de Contratos de Tecnologia da Informação e Comunicações no âmbito do Tribunal Regional do Trabalho da 4ª Região. A

Leia mais

Política de Gestão de Riscos

Política de Gestão de Riscos Política de Gestão de Riscos 1 OBJETIVO Fornecer as diretrizes para a Gestão de Riscos da Fibria, assim como conceituar, detalhar e documentar as atividades a ela relacionadas. 2 ABRANGÊNCIA Abrange todas

Leia mais

INSTRUÇÃO NORMATIVA Nº 3, DE 18 DE DEZEMBRO DE 2014

INSTRUÇÃO NORMATIVA Nº 3, DE 18 DE DEZEMBRO DE 2014 INSTRUÇÃO NORMATIVA Nº 3, DE 18 DE DEZEMBRO DE 2014 Institui a Política de Integração e Segurança da Informação do Sistema de Cadastro Ambiental Rural e dá outras providências. A MINISTRA DE ESTADO DO

Leia mais

PROCURADORIA-GERAL DE JUSTIÇA. ATO PGJ nº 19/2009

PROCURADORIA-GERAL DE JUSTIÇA. ATO PGJ nº 19/2009 ATO PGJ nº 19/2009 - Alterado o inciso III, do art. 3º, pelo Ato nº 23/2010, de 27/05/10, art. 1º. - Ver Errata do Ato-PGJ n.23/2010, publicado no DOMP n. 255 em 11/06/2010. - Ver Ato-PGJ n. 18/2009, arts.

Leia mais

Ajuda da pesquisa acerca da Governança de TI da Administração Pública Federal

Ajuda da pesquisa acerca da Governança de TI da Administração Pública Federal Ajuda da pesquisa acerca da Governança de TI da Administração Pública Federal 1. Há planejamento institucional em vigor? Deverá ser respondido SIM caso o Órgão/Entidade possua um planejamento estratégico

Leia mais

SETE BRASIL PARTICIPAÇÕES S.A.

SETE BRASIL PARTICIPAÇÕES S.A. SETE BRASIL PARTICIPAÇÕES S.A. CONSELHO DE ADMINISTRAÇÃO REGIMENTO INTERNO DOS COMITÊS COMITÊ DE FINANÇAS E ORÇAMENTO APROVADO PELO CONSELHO DE ADMINISTRAÇÃO EM 24 DE SETEMBRO DE 2014 SUMÁRIO I INTRODUÇÃO

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Project and Portfolio Management [PPM] Sustainable value creation.

Project and Portfolio Management [PPM] Sustainable value creation. Project and Portfolio Management [PPM] Sustainable value creation. O SoftExpert PPM Suite é a solução mais robusta, funcional e fácil para priorizar, planejar, gerenciar e executar projetos, portfólios

Leia mais

ANEXO I. Colegiado Gestor e de Governança

ANEXO I. Colegiado Gestor e de Governança ANEXO I CENTRO DE SERVIÇOS COMPARTILHADOS DO CAU Política de Governança e de Gestão da Tecnologia da Informação do Centro de Serviço Compartilhado do Conselho de Arquitetura e Urbanismo Colegiado Gestor

Leia mais

PRESIDÊNCIA DA REPÚBLICA CONTROLADORIA-GERAL DA UNIÃO DIRETORIA DE SISTEMAS E INFORMAÇÃO

PRESIDÊNCIA DA REPÚBLICA CONTROLADORIA-GERAL DA UNIÃO DIRETORIA DE SISTEMAS E INFORMAÇÃO PRESIDÊNCIA DA REPÚBLICA CONTROLADORIA-GERAL DA UNIÃO DIRETORIA DE SISTEMAS E INFORMAÇÃO PLANO ESTRATÉGICO DE TECNOLOGIA DA INFORMAÇÃO TRIÊNIO /2015 DSI/CGU-PR Publicação - Internet 1 Sumário 1. RESULTADOS

Leia mais

MINISTÉRIO DA EDUCAÇÃO INSTITUTO FEDERAL DE EDUCAÇAO, CIÊNCIA E TECNOLOGIA DE RONDÔNIA COMISSÃO DE ELABORAÇÃO DO PLANO DIRETOR DE TI

MINISTÉRIO DA EDUCAÇÃO INSTITUTO FEDERAL DE EDUCAÇAO, CIÊNCIA E TECNOLOGIA DE RONDÔNIA COMISSÃO DE ELABORAÇÃO DO PLANO DIRETOR DE TI MINISTÉRIO DA EDUCAÇÃO INSTITUTO FEDERAL DE EDUCAÇAO, CIÊNCIA E TECNOLOGIA DE RONDÔNIA COMISSÃO DE ELABORAÇÃO DO PLANO DIRETOR DE TI Plano de Trabalho Elaboração do Plano Diretor de Tecnologia da Informação

Leia mais

RELATÓRIO DE GERENCIAMENTO DO RISCO OPERACIONAL NO BANCO BMG POSIÇAO EM 31 DE DEZEMBRO DE 2008

RELATÓRIO DE GERENCIAMENTO DO RISCO OPERACIONAL NO BANCO BMG POSIÇAO EM 31 DE DEZEMBRO DE 2008 SUPERINTENDÊNCIA DE CONTROLE GERÊNCIA DE CONTROLE DE TESOURARIA ANÁLISE DE RISCO OPERACIONAL RELATÓRIO DE GERENCIAMENTO DO RISCO OPERACIONAL NO BANCO BMG POSIÇAO EM 31 DE DEZEMBRO DE 2008 Belo Horizonte

Leia mais

AUDITORIA DE PROCESSOS BASEADA EM RISCOS. Diorgens Miguel Meira

AUDITORIA DE PROCESSOS BASEADA EM RISCOS. Diorgens Miguel Meira AUDITORIA DE PROCESSOS BASEADA EM RISCOS Diorgens Miguel Meira AGENDA 1 2 3 4 5 O BANCO DO NORDESTE TECNOLOGIA DA INFORMAÇÃO NO BNB AUDITORIA NO BANCO DO NORDESTE SELEÇÃO DE PROCESSOS CRÍTICOS AUDITORIA

Leia mais

PODERJUD1CIÂRIO TRIBUNAL DEJUSTIÇA DO ESTADO DE PERNAMBUCO SECRETARIA DE GESTÃO DE PESSOAS TERMO DE REFERÊNCIA

PODERJUD1CIÂRIO TRIBUNAL DEJUSTIÇA DO ESTADO DE PERNAMBUCO SECRETARIA DE GESTÃO DE PESSOAS TERMO DE REFERÊNCIA PODERJUD1CIÂRIO TRIBUNAL DEJUSTIÇA DO ESTADO DE PERNAMBUCO TERMO DE REFERÊNCIA l. DO OBJETO CONTRATAÇÃO DE CONSULTORIA ESPECIALIZADA EM CLIMA ORGANIZACIONAL PARA ATUAR EM TODAS AS UNIDADES DO PODER JUDICIÁRIO

Leia mais

Região. O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 24ª REGIÃO, no uso de suas atribuições legais, regimentais e regulamentares,

Região. O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 24ª REGIÃO, no uso de suas atribuições legais, regimentais e regulamentares, PODER JUDICIÁRIO JUSTIÇA DO TRABALHO TRIBUNAL REGIONAL DO TRABALHO DA 24ª REGIÃO PORTARIA TRT/GP/DGCA Nº 630/2011 Define a Política de Planejamento Estratégico de Tecnologia da Informação e Comunicações

Leia mais

O Valor da TI. Introduzindo os conceitos do Val IT para mensuração do valor de Tecnologia da Informação. Conhecimento em Tecnologia da Informação

O Valor da TI. Introduzindo os conceitos do Val IT para mensuração do valor de Tecnologia da Informação. Conhecimento em Tecnologia da Informação Conhecimento em Tecnologia da Informação Conhecimento em Tecnologia da Informação O Valor da TI Introduzindo os conceitos do Val IT para mensuração do valor de Tecnologia da Informação 2010 Bridge Consulting

Leia mais

Planejamento Estratégico de Tecnologia da Informação PETI 2014-2016

Planejamento Estratégico de Tecnologia da Informação PETI 2014-2016 MINISTÉRIO DA EDUCAÇÃO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO SUDESTE DE MINAS GERAIS Planejamento Estratégico de Tecnologia da Informação PETI 2014-2016 Versão 1.0 1 APRESENTAÇÃO O Planejamento

Leia mais

MINISTÉRIO DO PLANEJAMENTO, ORÇAMENTO E GESTÃO SECRETARIA EXECUTIVA COMITÊ DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

MINISTÉRIO DO PLANEJAMENTO, ORÇAMENTO E GESTÃO SECRETARIA EXECUTIVA COMITÊ DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES MINISTÉRIO DO PLANEJAMENTO, ORÇAMENTO E GESTÃO SECRETARIA EXECUTIVA COMITÊ DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES NORMA OPERACIONAL/DTI/ Nº 01, DE 1 DE SETEMBRO DE 2014. Dispõe sobre a governança e

Leia mais

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES MINISTÉRIO DA INTEGRAÇÃO NACIONAL POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES PRINCÍPIOS E DIRETRIZES JUNHO, 2013. Sumário 1. POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA

Leia mais

ESTADO DO RIO GRANDE DO SUL ASSEMBLEIA LEGISLATIVA Gabinete de Consultoria Legislativa

ESTADO DO RIO GRANDE DO SUL ASSEMBLEIA LEGISLATIVA Gabinete de Consultoria Legislativa ESTADO DO RIO GRANDE DO SUL ASSEMBLEIA LEGISLATIVA Gabinete de Consultoria Legislativa DECRETO Nº 51.307, DE 20 DE MARÇO DE 2014. (publicado no DOE n.º 055, de 21 de março de 2014) Estabelece o Sistema

Leia mais

Gerenciamento do Risco Operacional. Gerenciamento do Risco Operacional

Gerenciamento do Risco Operacional. Gerenciamento do Risco Operacional Gerenciamento do Risco Operacional Controle do documento Data Autor Versão Outubro/2010 Compliance 001 Dezembro/2011 Compliance 002 Dezembro/2012 Compliance 003 Agosto/2014 Compliance 004 Revisão do documento

Leia mais

Metodologia para Análise de Maturidade de Governança de TI. Soluções em Gestão e TI que adicionam valor aos negócios

Metodologia para Análise de Maturidade de Governança de TI. Soluções em Gestão e TI que adicionam valor aos negócios Metodologia para Análise de Maturidade de Governança de TI Soluções em Gestão e TI que adicionam valor aos negócios Garanta a eficiência e a competitividade da sua empresa Análise de Maturidade de Governança

Leia mais

CONSULTA PÚBLICA até 28/08/2009. até a data acima mencionada

CONSULTA PÚBLICA até 28/08/2009. até a data acima mencionada CONSULTA PÚBLICA O Banco Nacional de Desenvolvimento Econômico e Social BNDES está preparando processo licitatório para contratação de serviços de consultoria técnica especializada, conforme detalhado

Leia mais

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14 ANEXO I PSI Índice 1. FINALIDADE... 4 2. ABRANGÊNCIA... 4 3. FREQUÊNCIA DE REVISÃO... 4 4. PORTAL DE SEGURANÇA DA INFORMAÇÃO... 4 5. TERMOS E DEFINIÇÕES... 4 5.1. Segurança da Informação... 4 5.2. Confidencialidade...

Leia mais

SISTEMAS INTEGRADOS DE GESTÃO. Requisitos e Diretrizes para a Integração de Sistemas de Gestão PAS 99:2012

SISTEMAS INTEGRADOS DE GESTÃO. Requisitos e Diretrizes para a Integração de Sistemas de Gestão PAS 99:2012 Risk Tecnologia Coleção Risk Tecnologia SISTEMAS INTEGRADOS DE GESTÃO Requisitos e Diretrizes para a Integração de Sistemas de Gestão PAS 99:2012 Aplicável às Atuais e Futuras Normas ISO 9001, ISO 14001,

Leia mais

Resolução CC-52, de 23-6-2004

Resolução CC-52, de 23-6-2004 Resolução CC-52, de 23-6-2004 ANEXO I Institui a Política e o Plano Estratégico de Uso de Software na Administração Pública Estadual O Secretário-Chefe da Casa Civil, na qualidade de Presidente do Comitê

Leia mais

Modelo de Referência 2011-2012

Modelo de Referência 2011-2012 MINISTÉRIO DO PLANEJAMENTO, ORÇAMENTO E GESTÃO Secretaria de Logística e Tecnologia da Informação - SLTI Modelo de Referência 2011-2012 Plano Diretor de Tecnologia de Informação Ministério do Planejamento,

Leia mais

Análise de Risco na Validação de Sistemas Computadorizados

Análise de Risco na Validação de Sistemas Computadorizados Análise de Risco na Validação de Sistemas Computadorizados Meg Lima Andrade Agenda Objetivos; Conceito de Sistemas Computadorizados; Conceito de Risco; Identificação de Riscos; Avaliação de Riscos; Classificação;

Leia mais

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa Gestão e Governança de TI e Regulamentações de Compliance Prof. Marcel Santos Silva A consiste: No sistema pelo qual as sociedades são dirigidas, monitoradas e incentivadas, envolvendo o relacionamento

Leia mais

Pitrez Informática MANUAL DA QUALIDADE. Norma NBR ISO 9001:2008

Pitrez Informática MANUAL DA QUALIDADE. Norma NBR ISO 9001:2008 Título Manual da Qualidade Folha: 1 de 20 Pitrez Informática MANUAL DA QUALIDADE Norma NBR ISO 9001:2008 Título Manual da Qualidade Folha: 2 de 20 Título Manual da Qualidade Folha: 3 de 20 Índice 1. Apresentação...

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Classificação das Informações 5/5/2015 Confidencial [ ] Uso Interno [ X ] Uso Público ÍNDICE 1 OBJETIVO... 3 2 ABRANGÊNCIA... 3 3 CONCEITOS... 3 4 ESTRUTURA NORMATIVA...

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

UNIDADE DE AUDITORIA INTERNA (UAUDI) Conceitos & Normativos

UNIDADE DE AUDITORIA INTERNA (UAUDI) Conceitos & Normativos UNIDADE DE AUDITORIA INTERNA (UAUDI) Conceitos & Normativos Exercício 2015 Auditoria Interna Unidade de Auditoria Interna - CEFET/RJ Normativos: Portaria nº 07, de 15/01/2001: cria a Unidade de Auditoria

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. 06/IN01/DSIC/GSIPR 01 11/NOV/09 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE CONTINUIDADE DE NEGÓCIOS EM SEGURANÇA DA

Leia mais

TRIBUNAL REGIONAL FEDERAL DA 2ª REGIÃO Secretaria de Tecnologia da Informação

TRIBUNAL REGIONAL FEDERAL DA 2ª REGIÃO Secretaria de Tecnologia da Informação TRIBUNAL REGIONAL FEDERAL DA 2ª REGIÃO Secretaria de Tecnologia da Informação REGIONALIZAÇÃO DE SERVIÇOS DE TI MAPEAMENTO DE PROVIDÊNCIAS INICIAIS Março/2014 V 1.1 REGIONALIZAÇÃO DE SERVIÇOS DE TI MAPEAMENTO

Leia mais

CONTAS CONTROLADAS. Sede do TCU em Brasília R I S K M A N A G E M E N T R E V I E W 1 9 DIVULGAÇÃO

CONTAS CONTROLADAS. Sede do TCU em Brasília R I S K M A N A G E M E N T R E V I E W 1 9 DIVULGAÇÃO CONTAS CONTROLADAS TCU adota modelo de governança de TI no ambiente interno alinhando com seu plano estratégico para realizar o controle externo das contas da União com maior eficiência COMO ÓRGÃO RESPONsável

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO 05/IN01/DSIC/GSIPR 00 14/AGO/09 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações CRIAÇÃO DE EQUIPES DE TRATAMENTO E RESPOSTA A INCIDENTES

Leia mais

Módulo 3 Procedimento e processo de gerenciamento de riscos, PDCA e MASP

Módulo 3 Procedimento e processo de gerenciamento de riscos, PDCA e MASP Módulo 3 Procedimento e processo de gerenciamento de riscos, PDCA e MASP 6. Procedimento de gerenciamento de risco O fabricante ou prestador de serviço deve estabelecer e manter um processo para identificar

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais