O Papel da Alta Administração na Governança de TI

Transcrição

1 O Papel da Alta Administração na Governança de TI Ciclo de palestras 2011: Tecnologia da Informação Controle Externo em ação Ministro-Substituto Augusto Sherman Brasília, 04 de agosto de 2011

2 Agenda Consequências da falta de governança de TI Governança, Gestão e Auditoria Interna Governança de TI: como começar? 2

3 Quanto a Administração Pública Federal (e o cidadão) dependem de TI hoje? O que ocorreria se falhassem, por exemplo, os sistemas que controlam o recebimento do IRPF?... o pagamento do Bolsa Família?... o pagamento de aposentadorias?... os processos judiciais?... as sessões do Congresso Nacional?... as publicações da Imprensa Nacional? 3

4 Deveríamos cuidar melhor da tecnologia da informação na Administração Pública Federal? E quando não cuidamos... 4

5 O que pode ocorrer com os 97% que NÃO possuem plano de continuidade de negócio em vigor? Acórdão 172/2008-2ª Câmara e Acórdão 1.330/2008-Plenário 5

6 Acórdãos 172/2008-2ªC e 1330/2008-P Situação: Ausência de Plano de Continuidade do Negócio Falta/deficiência de recursos ou planos de contingência 6

7 Acórdãos 172/2008-2ªC e 1330/2008-P Consequência: Desconhecimento de ameaças e seus impactos Falha nos equipamentos de processamento centralizado provocou (Ac. 172/08): Paralisação do Banco (inst. financeira) por mais de 20h Danos à imagem Prejuízos financeiros Vírus gerou paralisação da rede por mais de duas semanas (Ac. 1330/08) 7

8 O que pode ocorrer com os 53% que NÃO têm processo de software ao menos gerenciado (nível 2 da NBR )? TC /

9 TC / Situação: Edital e projeto básico não possuíam indicadores de qualidade e desempenho (níveis de serviço ou parâmetros de performance) Processo de homologação do produto sem viés técnico e sem verificar a solução de TI em sua integralidade Homologação focada só na usabilidade (ponto de vista do usuário) Homologação focada no aceite de casos de uso individual (ausência de testes integrais) 9

10 TC / Consequência: Dificuldade na identificação antecipada de inconsistências e problemas de funcionamento e performance para a solução integrada Dificuldade do ente público em atuar corretivamente junto à contratada Impossibilitando a correção dos problemas de funcionamento 10

11 TC / Consequência: Produto apresentou problemas de 2004 a 2007 (momento da entrega da solução completa) Procedimento de homologação não garantiu a qualidade do produto e não logrou exigir correções pela contratada Não implantação do sistema, apesar de ter sido homologado e pago 11

12 O que pode ocorrer com os 63% que NÃO aprovam e publicam PDTI interna ou externamente? Acórdão 2.023/2005-Plenário 12

13 Acórdão 2.023/2005-Plenário Situação: Planejamento deficiente Consequência: Desenvolvimento de sistema em 2000/2001, o qual é considerado relevante e passou pelos testes Ausência de infra-estrutura necessária à execução do sistema (infra-est. de rede/servidores/equipamentos) Sistema não implantado até

14 O que pode ocorrer com os 65% que NÃO possuem política corporativa de segurança da informação? Acórdão 71/2007-Plenário 14

15 Acórdão 71/2007-Plenário Situação: Sistema de âmbito nacional com informações confidenciais e relevantes dos cidadãos Minuta de Política de Segurança da Informação (PSI) desatualizada e não formalmente aprovada Política de Controle de Acesso deficiente 15

16 Acórdão 71/2007-Plenário Consequência: Dificuldade na identificação de responsabilidades quanto aos assuntos de segurança da informação Grande vulnerabilidade do sistema Vazamento e mau uso de informações privadas e confidenciais dos cidadãos 16

17 Agenda Consequências da falta de governança de TI Governança, Gestão e Auditoria Interna Governança de TI: como começar? 17

18 Governança corporativa O sistema [normas, diretrizes, políticas, processos, estruturas] pelo qual as organizações são dirigidas e controladas. (NBR , item 1.6.2) 18

19 Gerenciamento (gestão) O sistema de controles e processos necessário para alcançar os objetivos estratégicos estabelecidos pela direção da organização. O gerenciamento está sujeito às diretrizes, às políticas e ao monitoramento estabelecidos pela governança corporativa. (NBR , item 1.6.9) 19

20 Governança corporativa de TI O sistema [normas, diretrizes, políticas, processos, estruturas] pelo qual o uso atual e futuro da TI é dirigido e controlado. (NBR , item 1.6.3) 20

21 Papel do gestor e da Alta Administração O gestor e a alta administração são responsáveis pelos processos de gestão de risco e controles da organização. (IIA, IPPF, ) 21

22 Papel da auditoria interna A auditoria auxilia a organização a alcançar seus objetivos por meio de uma abordagem sistemática e disciplinada para a avaliação e [indução da] melhoria da eficácia dos processos de gerenciamento de risco, controle e governança corporativa. (IIA, IPPF, Definição de Auditoria Interna) 22

23 Agenda Consequências da falta de governança de TI Governança, Gestão e Auditoria Interna Governança de TI: como começar? 23

24 Papel da Alta Administração Baseado na NBR , governar a TI é... Avaliar Dirigir Monitorar Responsabilidade Estratégia Aquisição Desempenho Conformidade Comportamento Humano 24

25 A primeira pergunta: Conheço a situação de GovTI da minha organização? 25

26 Primeiro pensamento... Preciso de um diagnóstico! 26

27 Um diagnóstico já existe... A Alta Administração da APF recebeu o resultado (inclusive comparativo) contido no Acórdão 2.308/2010-TCU-Plenário. 27

28 A partir desse diagnóstico, o que a Alta Administração já pode fazer? Uma sugestão está presente no Acórdão 2.308/2010-TCU-Plenário 28

29 Acórdão 2.308/2010-TCU-Plenário Orientar a alta administração a estabelecer formalmente: os objetivos institucionais de TI alinhados às estratégias de negócio (dirigir) os indicadores para cada objetivo (dirigir) as metas para cada indicador (dirigir) os mecanismos que a alta administração adotará para acompanhar o desempenho da TI da instituição (monitorar) 29

30 Passo 1: Aprovar um Plano Estratégico Institucional O que é? Negócio, missão, visão, valores Objetivos, indicadores, metas do negócio Iniciativas estratégias Desdobramento Divulgação Por quê? Princípio da eficiência (CF) Decreto-Lei 200/1967, art. 6º, inciso I Decreto 5.378/2005 (Programa Gespública) Resolução 70/2009-CNJ 30

31 Passo 1: Aprovar um Plano Estratégico Institucional Como? Envolvendo as várias áreas de negócio da organização Observando as competências legais Observando as diretrizes de governo/ogs Documento formal aprovado pela mais alta autoridade Onde obter ajuda: 79% dos pesquisados declararam que fazem (Acórdão 2.308/2010-TCU-Plenário) Enap possui treinamento regular C3S (SISP) 31

32 Passo 2: Aprovar um Plano Estratégico de TI O que é? Conteúdo semelhante ao PEI (objetivos, indicadores, metas da TI, iniciativas estratégias, desdobramento, divulgação) e mais... Alocação de recursos (financeiros, humanos, materiais etc) Estratégia de terceirização Por quê? Princípio da eficiência (CF) Decreto-Lei 200/1967, art. 6º, inciso I IN 04/2010-SLTI, art. 4º Resolução 90/2009-CNJ, art

33 Passo 2: Aprovar um Plano Estratégico de TI Como? Alinhamento (TI ao negócio) Documento formal aprovado pela mais alta autoridade É da organização, e não da área de TI Onde obter ajuda: 37% dos pesquisados declararam que fazem (Acórdão 2.308/2010-TCU-Plenário) Enap possui treinamento regular C3S (SISP) 33

34 Passo 3: Criar um comitê de TI O que é? Instância (consultiva ou deliberativa) de apoio à alta administração Por quê? Princípio da eficiência (CF) Cobit 4.1, PO4.2 - Comitê estratégico de TI Cobit 4.1, PO4.3 - Comitê diretor de TI Resolução 7/2010-SISP (EGTI ) Iniciativa Estratégica 12 Resolução 90/2009-CNJ, art

35 Passo 3: Criar um comitê de TI Como? Envolvendo as várias áreas do negócio e a TI Documento Diretrizes do Sisp para criação de comitês de TI ( Onde obter ajuda: 32% dos pesquisados declararam que têm (Acórdão 2.308/2010-TCU-Plenário) C3S (SISP) 35

36 Passo 4: Utilizar a auditoria interna (AI) O que é? A auditoria auxilia a organização a alcançar seus objetivos por meio de uma abordagem sistemática e disciplinada para a avaliação e [indução da] melhoria da eficácia dos processos de gerenciamento de risco, controle e governança corporativa. (Definição de AI, do IIA) Por quê? Decreto 3.591/2001,art. 17 IN 63/2010-TCU, art.1º, inciso XI Boas práticas (IIA, IPPF) 36

37 Passo 4: Utilizar a auditoria interna (AI) Como? Normas do IIA Onde obter ajuda: 10% dos pesquisados declararam que fazem auditoria de governança de TI (Acórdão 2.308/2010-TCU-Plenário) Cursos do TCU/Sefti (IATI, Avaliação de Controles Gerais de TI etc) 37

38 Passo 5: Monitorar os resultados O que é? Acompanhar os indicadores Analisar riscos (com base no impacto no negócio) Priorizar ações Acompanhar ações críticas Por quê? Decreto-Lei 200/1967, art. 6º, inciso V Boas práticas (Cobit, domínio ME Monitorar e avaliar) 38

39 Passo 5: Monitorar os resultados Como? Utilizando as informações apresentadas pelo Comitê de TI e pela Auditoria Interna Pressupostos: Assegurar o bom funcionamento do Comitê de TI, não o deixando existir só no papel Assegurar o bom funcionamento da Auditoria Interna Onde obter ajuda: 23% dos pesquisados declararam que fazem (Acórdão 2.308/2010-TCU-Plenário) 39

40 Passo inicial: Obter, capacitar e valorizar recursos humanos 40

41 Recursos humanos 91.Todavia, deve-se ressaltar que esses resultados somente serão plenamente alcançados se os órgãos e entidades da Administração Pública estiverem preparados para executar as atividades estratégicas de planejar, definir, especificar, supervisionar e controlar a operação de seus setores de informática de maneira independente das empresas prestadoras de serviço. (excerto do voto condutor do Acórdão 786/2006-TCU-Plenário) 41

42 Como vimos, encontra-se dentro da própria APF boa parte das soluções para os problemas de governança de TI! 42

43 Em resumo... Passo inicial: Obter, capacitar e valorizar recursos humanos Passo 1: Aprovar um Plano Estratégico Institucional Passo 2: Aprovar um Plano Estratégico de TI Passo 3: Criar um comitê de TI Passo 4: Utilizar a auditoria interna (AI) Passo 5: Monitorar os resultados 43

44 Governar a TI é ação da Alta Administração, e não da área de TI. 44

45 A alta administração governa a TI para... Apoiar o alcance dos resultados da organização, legitimando-a ante à sociedade Identificar e mitigar os riscos, diminuindo, entre outros, o risco de exposição da imagem Gerir os recursos públicos de forma responsável, corrigindo rumos quando necessário Aproveitar as oportunidades que a TI proporciona para melhorar os serviços prestados à sociedade 45

46 ... e para evitar que aconteça... Reportagem na TV 46

47 O Papel da Alta Administração na Governança de TI Ciclo de palestras 2011: Tecnologia da Informação Controle Externo em ação Ministro-Substituto Augusto Sherman Brasília, 04 de agosto de 2011