Governança de Tecnologia da Informação e Contas Públicas

Transcrição

1 1 Governança de Tecnologia da Informação e Contas Públicas Renato Braga, CISA Tribunal Regional Eleitoral da Paraíba Junho de Objetivo Apresentar como a governança de tecnologia da informação se relaciona com a prestação de contas da prestação de serviços à sociedade. 3 Agenda Como o TCU vem abordando o tema Governança? Para quê? Por quê? Como está a governança de TI na APF Governança não é gestão Governança de TI e o Cobit 4.1 Governança de TI e a NBR ISO/IEC Governança de TI e compras públicas Considerações finais 1

2 4 Criação da Sefti Em agosto de 2006 (Resolução TCU n.º 193/2006) A Secretaria de Fiscalização de Tecnologia da Informação tem por finalidade fiscalizar a gestão e o uso de recursos de tecnologia da informação pela Administração Pública Federal. 4 5 Negócio Controle externo da governança de tecnologia da informação na Administração Pública Federal. Missão Assegurar que a tecnologia da informação agregue valor ao negócio da Administração Pública Federal em benefício da sociedade. Visão Ser unidade de excelência no controle e no aperfeiçoamento da governança de tecnologia da informação. 5 6 Áreas de atuação Governança Segurança Sistemas Dados Infra-estrutura Contratações Programas e políticas Fiscalização operacional ou de conformidade 6 2

3 7 Acessíveis em: 8 Agenda Como o TCU vem abordando o tema Governança? Para quê? Por quê? Como está a governança de TI na APF Governança não é gestão Governança de TI e o Cobit 4.1 Governança de TI e a NBR ISO/IEC Governança de TI e compras públicas Considerações finais 9 Ausência de posse de seus sistemas e bases de dados. Acórdão 2.023/2005-Plenário 3

4 10 Acórdão 2.023/2005-Plenário Documentação técnica e programas fontes não estão disponíveis para a Administração Pública e, por mais absurdo que possa parecer, ela não tem acesso aos dados gerados por esses sistemas, a não ser da forma como a dita empresa oferece. Ademais, atualmente é impossível para a Administração Pública auditar esses dados, para verificar se são fidedignos ou buscar indícios de fraudes. A [contratada] condiciona sua entrega, bem como da documentação técnica dos sistemas, à assinatura de um Termo de Ajuste, objeto de pendência judicial que se arrasta há mais de um ano, numa verdadeira afronta à soberania nacional. 11 Ausência de PCN (Plano de Continuidade do Negocio). TC / e TC / TC / Convivendo com total falta de recursos ou planos de contingência, a atual Diretoria [...] foi alarmada pela ocorrência do dia 19/07/2005, quando uma falha nos equipamentos de processamento centralizado provocou a paralisação do banco por mais de 20 horas, gerando danos a imagem e causando prejuízos financeiros à instituição. 4

5 13 TC / Obteve-se a informação que, devido a um vírus, houve uma paralisação na rede [...] por mais de duas semanas, o que comprova que o Plano de Contingência [...] remetido [...] não tem aplicabilidade efetiva. 14 Completa dependência tecnológica. Acórdão 889/2007-Plenário 15 Acórdão 889/2007-Plenário 14. Tal providência, de inserção nos contratos de manutenção a serem celebrados, de cláusula que possibilite a migração dos dados, de propriedade do [ente público] para base de padrão aberto reconhecida por outros softwares, obviamente depende de negociação junto à empresa [contratada] e do seu interesse em prestar o serviço, especialmente se esse processo migratório depender dos conhecimentos exclusivos dessa empresa sobre o sistema,... 5

6 16 Acórdão 889/07-Plenário (continuação)..., não compartilhados por outras empresas ou profissionais de informática. Tal providência, em verdade, deveria ter sido adotada desde a licitação realizada para a aquisição do sistema, época em que ainda não havia qualquer dependência do [ente público] junto ao fornecedor da solução pretendida. 17 Ações paralelas, sem coordenação. TC / TC / A deficiência da área de governança de TI aparece também por conta do desdobramento do projeto [...], oriundo de aditivo ao Contrato [...]. De acordo com a [Comissão], existe outro projeto em desenvolvimento [em outro setor do ente público], chamado Sistema [...], que teria a mesma finalidade do projeto [acima]. Em reunião com a Assessoria [...], levantou-se que, embora haja certa diferença com relação à abrangência dos dois projetos, há uma superposição entre os mesmos, com relação a finalidades e a informações que devem ser encaminhadas [...]. 6

7 19 TC / Registra-se que esta equipe de auditoria não chegou a avaliar a congruência entre os dois projetos citados e outros atualmente em desenvolvimento na instituição, e que podem também conter ações paralelas, como o Sistema [...] e o Sistema [...]. A presença de atividades paralelas e superpostas evidencia a lacuna na governança de TI e a importância da centralização, no mínimo da supervisão, das ações de TI, consubstanciadas em um Plano Estratégico de TI e coordenadas por um Comitê Gestor de TI (Cobit P04.3). 20 Perda irreparável de dados. Acórdão 1.333/2009-Plenário 21 Acórdão 1.333/2009-Plenário De fato, observou-se que não são realizados testes regulares das informações contidas nas fitas, para verificar a completude dos dados e tampouco para verificar a integridade das mídias. Apesar da informação, obtida em entrevista, de que seria realizado um controle quanto à vida útil das mídias e quanto à obsolescência da tecnologia,... 7

8 22 Acórdão 1.333/2009-Plenário (sigiloso)...[o ente público] não conseguiu extrair alguns dados [...], que estariam gravados em fitas antigas do tipo DLT (Digital Linear Tape), prejudicando a atividade de análise de dados planejada pela equipe de auditoria. De fato, conforme informado no item 3 do Ofício [...], as fitas de backups com os arquivos [...] referentes ao período de 1/1/2003 a 14/3/2004 e de 8/10/2004 a 20/12/2006 foram danificadas. 23 Sistema contratado, pago, mas inservível. TC / TC / O edital e o projeto básico não possuíam indicadores de qualidade, acordos de níveis de serviço ou parâmetros de performance que permitisse que o [ente público] atuasse junto à contratada com relação a eventuais problemas de funcionamento. O processo de homologação adotado pelo [ente público] durante o desenvolvimento do [sistema] estava focado basicamente na usabilidade (do ponto de vista do usuário) e no aceite dos casos de uso individualmente, carecendo de um viés técnico que permitisse a identificação antecipada de inconsistências e problemas de funcionamento e performance para a solução integrada. 8

9 25 TC / O produto entregue pela [contratada] apresentou problemas de funcionamento, os quais foram identificados desde 2004 e também apontados após a entrega da solução completa em Os problemas de funcionamento foram também identificados no treinamento dos multiplicadores (setembro/2006) e na implantação piloto (julho/2007). 26 TC / O processo de homologação da solução de TI como um todo, referente ao desenvolvimento do [sistema] mostrou-se falho, visto que não contemplava os aspectos técnicos necessários para garantir o bom funcionamento do sistema entregue pela contratada, e não foi bem sucedido no que tange a exigir da contratada as correções dos vícios e defeitos que não permitiram a instalação do produto em condições de uso pelo [ente público]. 27 TC / Apesar de não ter sido possível a implementação e utilização do [Sistema] em sua versão final entregue pela [contratada], o produto foi homologado e pago, inclusive a última parcela reservada para efetivação após o aceite final da solução de TI contratada. 9

10 28 Sistema contratado, pago, desenvolvido, servível, mas não implantado. Acórdão 2.023/2005-Plenário 29 Acórdão 2.023/2005-Plenário Um exemplo real constatado nesta auditoria concernente à falta de planejamento foi o desenvolvimento do sistema... Trata-se de sistema desenvolvido entre 2000 e 2001 e que, até os dias atuais, não foi implantado, embora já tenham sido feitos vários testes satisfatórios e o gestor do negócio ache de extrema relevância (...) o problema da não implantação do [sistema] está relacionado à falta de infra-estrutura necessária que comporte a execução desse sistema: infraestrutura de rede, servidores Não priorização de ações voltadas à gestão da segurança da informação. Acórdão 71/2007-Plenário 10

11 31 Acórdão 71/2007-Plenário estabeleça e identifique formalmente responsabilidades relativas às questões de segurança das informações do [sistema], de acordo com o previsto no item da NBR ISO/IEC 17799:2005; defina formalmente uma Política de Segurança da Informação - PSI - para o [sistema], que forneça orientação e apoio para a segurança da informação da rede, promovendo-se ampla divulgação do documento para todos os usuários, de acordo com o previsto no item da NBR ISO/IEC 17799:2005; 32 Acórdão 71/2007-Plenário defina formalmente uma Política de Controle de Acesso - PCA - para o [sistema],..., de acordo com o previsto no item da NBR ISO/IEC 17799:2005; conduza, a intervalos regulares, a análise crítica dos direitos de acesso dos usuários do [sistema], por meio de um processo formal, de acordo com o previsto no item da NBR ISO/IEC 17799: Entretanto, 18 meses depois... Reportagem na TV 11

12 34 Agenda Como o TCU vem abordando o tema Governança? Para quê? Por quê? Como está a governança de TI na APF Governança não é gestão Governança de TI e o Cobit 4.1 Governança de TI e a NBR ISO/IEC Governança de TI e compras públicas Considerações finais 35 Levantamento sobre a governança de TI na APF TC / Acórdão 1.603/2008-Plenário 36 Alguns dados do TC / Ferramenta: questionário eletrônico Respostas com evidências em anexo 39 perguntas Cerca de 250 auditados 12

13 37 Deficiências em Governança de TI 0% 20% 40% 60% 80% 100% Não aloca gastos de TI de acordo com planejamento (51%) Não adota processo de trabalho p/ contratação de TI (46%) Não há transferência de conhecimento (57%) Não há planejamento estratégico em vigor (59%) Não segue metodologia de desenvolvimento sistemas (51%) Não é efetuada gestão de níveis de serviços (74%) Não foi realizada auditoria de TI nos últimos 5 anos (60%) Não há carreiras específicas para TI (57%) Não há política de segurança de informação (64%) Não faz análise de riscos de TI (75%) Não faz classificação da informação (80%) Não há plano de continuidade de negócios (88%) Deficiências na segurança da informação 38 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% PCN (88%) gestão de mudanças (88%) gestão de capacidade (84%) classificação da informação (80%) gerência de incidentes (76%) análise de riscos de TI (75%) área específica para SI (64%) PSI (64%) proced. controle acesso (48%) 39 Avaliação de Terceirização e Governança de TI TC / Acórdão 2.471/2008-Plenário 13

14 40 Alguns dados do TC / auditorias (incluindo as 2 pilotos), em 7 UF 25 questões de auditoria com 77 possíveis achados (auditoria integrada) VRF (Volume dos Recursos Fiscalizados) R$ 1,5 bilhão Benefícios financeiros potenciais R$ 772 milhões Pesquisa revelou 92% de satisfação dos auditados com o trabalho realizado 41 Discrepâncias com trabalho anterior... A análise das respostas apresentadas, em confronto com o que foi verificado em campo, apresenta discrepância que podem ser oriundas de má interpretação das perguntas do questionário ou uma tentativa de não apresentar a real situação do órgão/entidade. Citemos três exemplos: a) 6 entes declararam ter Planejamento Estratégico de TI em vigor, mas apenas 2 de fato o têm; b) 4 entes declararam ter PCN, mas nenhum deles tinha; c) 5 entes declararam ter processo formal de gestão de mudanças, mas apenas um tem. 42 Resultados ratificam trabalho anterior ou... Com base nestas verificações, é provável que o cenário traçado no TC / que não é bom, na verdade seja ainda pior. 14

15 43 Agenda Como o TCU vem abordando o tema Governança? Para quê? Por quê? Como está a governança de TI na APF Governança não é gestão Governança de TI e o Cobit 4.1 Governança de TI e a NBR ISO/IEC Governança de TI e compras públicas Considerações finais 44 Governança corporativa É o sistema pelo qual as sociedades são dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal. As boas práticas de governança corporativa têm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade. (IBGC - Instituto Brasileiro de Governança Corporativa) 45 Governança corporativa Sistema pelo qual as organizações são dirigidas e controladas (tradução livre do item da ISO/IEC ) 15

16 46 Gestão O sistema de controles e processos necessários para atingir os objetivos estratégicos definidos pela governança (tradução livre do item da ISO/IEC ) 47 Governança de TI Governança de TI é uma estrutura de relacionamentos e processos para dirigir e controlar a TI a fim de alcançar as metas da instituição pela agregação de valor, enquanto se mantém o equilíbrio dos riscos versus retorno sobre esta função e seus processos. (tradução livre de texto do ITGI IT Governance Institute) 48 Governança corporativa de TI Sistema pelo qual a utilização atual e futura da TI é dirigida e controlada (tradução livre do item da ISO/IEC ) 16

17 49 Resumindo... Gestão controla tarefas executivas, enquanto governança controla a gestão. Governança não controla diretamente tarefas executivas. Controla se há controles sobre as tarefas executivas, monitorando-os e adotando medidas corretivas sob certas situações de risco (pré-definidas). (fonte: palestrante) 50 Agenda Como o TCU vem abordando o tema Governança? Para quê? Por quê? Como está a governança de TI na APF Governança não é gestão Governança de TI e o Cobit 4.1 Governança de TI e a NBR ISO/IEC Governança de TI e compras públicas Considerações finais 51 Cobit: Control Objectives for Information and Related Technology É um padrão de melhores práticas em controles sobre a informação e uso da tecnologia (IT) desenvolvido e baseado em conceitos do ITGI - IT Governance Institute da ISACA - Information System Control and Audit Association 17

18 52 Histórico Primeira versão em 1996 Segunda versão em 1998 Terceira versão em 2000 (Cobit 3ª edição) Quarta versão em 2005 (Cobit 4.0) Refinamento em 2007 (Cobit 4.1) 53 Popularização do Cobit Lei americana Sarbanes-Oxley Comitê da Basiléia Resolução nº do Banco Central Circular nº 249 da Susep 54 Focos da Governança de TI Alinhamento estratégico Entrega de valor Gerência de recursos Gerência de riscos Avaliação do desempenho Foco em controle (o que) e não na execução (como)! 18

19 55 O documento do Cobit 4.1 Domínios Processos Controles Maturidade RACI Chart 56 Agenda Como o TCU vem abordando o tema Governança? Para quê? Por quê? Como está a governança de TI na APF Governança não é gestão Governança de TI e o Cobit 4.1 Governança de TI e a NBR ISO/IEC Governança de TI e compras públicas Considerações finais 57 Tecnologia da Informação Recursos necessários pra adquirir, processar, armazenar e disponibilizar informação (tradução livre do item da ISO/IEC ) 19

20 58 Recursos Pessoas, procedimentos, software, informação, equipamentos, consumíveis, infraestrutura, capital, tempo (tradução livre do item da ISO/IEC ) 59 Pela NBR ISO/IEC , governar a TI é realizar 3 tarefas sobre 6 princípios... Governar a TI é Avaliar Dirigir Monitorar Responsabilidade Estratégia Aquisição Desempenho Conformidade Procedimentos humanos 20

21 61 Responsabilidade A responsabilidade por aspectos específicos de TI podem ser delegados para os gerentes da organização. Entretanto, a prestação de contas (accountability) pelo uso da TI de forma efetiva, eficiente e aceitável na organização permanece com a alta administração e não pode ser delegada Tradução livre da nota constante da pg. 8 da ISO/IEC Agenda Como o TCU vem abordando o tema Governança? Para quê? Por quê? Como está a governança de TI na APF Governança não é gestão Governança de TI e o Cobit 4.1 Governança de TI e a NBR ISO/IEC Governança de TI e compras públicas Considerações finais 63 A necessidade de estrutura para gerir contratos bem feitos decorrente do novo modelo de contratação que não é tão simples......vamos ver alguns exemplos? 21

22 64 IN 04/08 SLTI Art. 3º As contratações de que trata esta Instrução Normativa deverão ser precedidas de planejamento, elaborado em harmonia com o Plano Diretor de Tecnologia da Informação - PDTI, alinhado à estratégia do órgão ou entidade. Corolário: os entes públicos só podem contratar se possuírem planejamento de longo prazo institucional e de TI (Cobit 4.1, PO1 Planejamento Estratégico de TI). 65 LDO 2008/2009 (art. 12) e LOA 2009 Os gestores deverão prever e acompanhar a execução do seu orçamento de TI. Corolário: sem planejamento orçamentário (Cobit 4.1, PO5 Gerenciar investimentos em TI), o orçamento de TI pode não ser aprovado ou sua execução não ser autorizada! IN 04/08 SLTI 66 Art. 11. Compete ao Requisitante do Serviço definir os seguintes requisitos, quando aplicáveis:... Art. 12. Compete à Área de Tecnologia da Informação definir, quando aplicáveis, os seguintes requisitos tecnológicos, em adequação àqueles definidos pelo Requisitante do Serviço:... Corolário: deve ser implantado um processo de gestão de requisitos como pré-requisitos às contratações (Cobit 4.1, AI1.1 definir requisitos funcionais (do negócio) e técnicos) 22

23 67 E não é só para os entes do Sisp, pois... O modelo conceitual da IN 04/2008-SLTI está baseado em princípios e a súmula TCU nº 222 diz... As Decisões do Tribunal de Contas da União, relativas à aplicação de normas gerais de licitação,sobre as quais cabe privativamente à União legislar, devem ser acatadas pelos administradores dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios. 68 Agenda Como o TCU vem abordando o tema Governança? Para quê? Por quê? Como está a governança de TI na APF Governança não é gestão Governança de TI e o Cobit 4.1 Governança de TI e a NBR ISO/IEC Governança de TI e compras públicas Considerações finais 69 O que o TCU perguntou sobre governança de TI em 2007? Menu boas práticas Informações sobre governança de TI que o TCU solicitou no TMS de 2007 e Questões utilizadas no Levantamento acerca da Governança de TI 23

24 70 O que pode mudar na governança de TI do setor público federal? Acórdão 2.471/2008-Plenário e Acórdão 1.603/2008-Plenário 71 Modelo de governança de TI (9.4.4) Recomendação ao MPOG para que elabore um modelo de governança de TI para os entes integrantes do Sisp e promova sua implementação mediante orientação normativa. (9.4.4) Referida orientação deve conter, no mínimo os itens descritos no acórdão. Extensão das propostas Subitens 9.13, 9.14, 9.15, 9.16, 9.17, 9.18: Recomendar adoção das providências contidas nos itens 9.4, 9.6, 9.8 e 9.10 do acórdão no âmbito de sua esfera de competência à (ao)... Dest (Empresas Estatais); CNJ (Poder Judiciário); CNMP (Ministério Público); Secretaria-Geral da Presidência do TCU; Diretoria-Geral Câmara dos Deputados; Diretoria-Geral do Senado Federal

25 73 Primeiros movimentos... Planejamento e Gestão Estratégica no Poder Judiciário Resolução nº 70 CNJ Criação de carreiras e funções comissionadas no Poder Executivo Federal para gestores de TI Há 4 ações de capacitação promovidas pela Enap entrando em linha de produção Planejamento de contratações, seleção de fornecedores, gestão de contratos e elaboração de PDTI 74 Mensagem semi-final 1º - As pessoas 2º - Os processos 75 Mensagens finais A responsabilidade pela governança de TI é da alta administração. Quando a alta administração se envolve, a organização tende a amadurecer muito mais rápido. A boa governança de TI induzirá a boa governança corporativa (opinião pessoal). 25

26 76 Grato pela atenção. Renato Braga, CISA Missão da Sefti: Assegurar que a tecnologia da informação agregue valor ao negócio da Administração Pública em benefício da sociedade. sefti@tcu.gov.br 77 Debate. 26