TCU - Relatório Governança de TI

Transcrição

1 TCU - Relatório Governança de TI 1. OBJETIVO Apresentar o resumo do levantamento realizado pelo TCU em maio de 2010 sobre o nível da Governança de TI no Banco da Amazônia e demais instituições do governo federal. 2. OBJETIVO DO LEVANTAMENTO PELO TCU Retroalimentar as instituições avaliadas com informações úteis para o planejamento institucional no que se refere ao uso e gestão de tecnologia da informação, além de fornecer indicadores consolidados (que poderão ser úteis para orientar a priorização de ações de melhoria na Governança de TI) sobre sua atuação quanto a estratégias, políticas e processos relativos à Governança de TI, com o desempenho médio das instituições congêneres no mesmo segmento de negócio e também com outros segmentos da Administração Pública Federal. 3. RESUMO DA AVALIAÇÃO As instituições que responderam ao questionário GovTI 2010 foram divididas em 5 segmentos da Administração Pública Federal e enquadradas de acordo com o tipo de organização, sendo os Bancos particiantes do segmento EXE- Dest que inclui as empresas públicas federais e as sociedades de economia mista. 5 bancos foram avaliados no relatório do TCU, incluindo o Banco da Amazônia. A avaliação foi dividida em 3 partes: 1. Análise do Índice de Governança de TI: estabelecimento de indicadores pela Sefti Secretaria de Fiscalização de TI para acompanahmento da evolução da GovTI nas instituições que responderam aos questionários de 2007 e 2010 e comparar o desempenho entre instituições e setores governamentais, além de subsidiar os processos de planejamento de ações de controle do TCU e também fornecer parâmetros que permitam às próprias instituições avaliadas melhor direcionar esforços para alavancar a governança de sua TI. A métrica de governança adotada pelo TCU, denominada igovti, combina elementos de três fontes: (a) o Cobit 4.1, modelo de boas práticas adotado mundialmente para avaliação de governança de TI; (b) o Gespública, programa governamental adotado no Brasil como modelo de excelência em gestão pública; (c) As deliberações do Acórdão nº 1.603/2008-TCU-Plenário, que tratou do levantamento de governança realizado pelo TCU em Para compor o igovti, foram escolhidas somente as dimensões 1.Liderança, 2.Estratégias e Planos, 6.Pessoas e 7.Processos, pois o aprofundamento do questionário nessas dimensões foi maior e para fins de comparação, foi necessário também classificar as instituições em estágios de governança. Para tanto, a Sefti, com base nas fontes acima, definiu critérios mínimos para classificar a governança de TI como intermediária e como aprimorada. Foram definidos os seguintes estágios e respectivos limites: igovti de 0 a 0,39 considera-se em estágio INICIAL de governança de TI; igovti de 0,40 a 0,59 - considera-se em estágio INTERMEDIÁRIO; igovti a partir de 0,60 - considera-se em estágio APRIMORADO. De acordo com os estágios estabelecidos pela Sefti, o Banco foi enquadrado no nível intermediário, pois registrou o índice igovti de 0,49, conforme apresentado na tabela abaixo: Página 1 de 5

2 Os valores registrados para as demais frentes foram calculados conforme método estabelecido pela Sefti, utilizando apenas as questões que apresentaram SIM como resposta. Maiores detalhes podem ser consultados no relatório do TCU, a partir da página 36. Comparando o índice igovti do Banco da Amazônia com os índices registrados para o segmento EXE-Dest, tipos de instituição (Bancos) e todas as demais instituições participantes do levantamento, ficou assim: Banco da Amazônia = 0,49 EXE-Dest = 0,45 Tipos de instituição Bancos = 0,64 Todas as instituições = 0,39 Diante dos números apresentados, o Banco apresenta média superior que as instituições do mesmo segmento e todas as outras instituições participantes, mas média inferior à sua categoria bancária. No gráfico abaixo é apresentada a distribuição das instituições por estágios do igovti: Banco da Amazônia 2. Comparativo 2007 e 2010: Nesta parte da avaliação foi realizado um comparativo criterioso nas 30 respostas apresentadas em 2007 e 2010 pelo Banco, que resultou nos quantitativos abaixo e respectivas respostas: Das 30 questões, 18 permaneceram com o status de atendida, ou seja, o banco possui o controle questionado (sim-sim); 3 questões tiveram evolução, ou seja, em 2007 não possuia controle e em 2010 passou a ter (não-sim); 7 questões permaneceram sem evolução (ver Anexo I); 2 questões apresentaram involução (ver Anexo II). 3. Respostas da instituição em 2010 e médias do segmento e todos: Nesta etapa foram apresentadas as respostas do Banco em 2010 e calculadas as médias do segmento EXE-Dest e das demais instituições, que serviram de base para o cálculo das médias registradas na figura 1 - Índice de Governança de TI da Instituição (igovti), na página 1. Página 2 de 5

3 Anexo I Questões: 10. Existe Plano de Continuidade de Negócios em vigor? Existe a NP Gestão de Continuidade de Negócios, normatizada pela GCONF, que define o formulário padrão de Plano de Resposta a Incidentes. Apesas de vários PRI s já terem sido formalizados, ainda não existe a definição do modelo do Plano de Continuidade de Negócio e nenhum documento parecido foi formalizado pela GCONF. Resposta da GCONF para essa questão no rating 2010; O Banco dispõe de planos de resposta a incidentes para os principais processos críticos identificados através da Análise de Impacto nos Negócios. Esses planos de ação visam a continuidade operacional, isto é, garantir que os serviços essenciais sejam preservados e os negócios não sejam afetados até o retorno à situação normal de funcionamento do Banco. Os principais incidentes que podem afetar os processos, contudo, estão relacionados a falhas no ambiente tecnológico. Para os serviços de automação bancária, em caso de eventual indisponibilidade dos sistemas, causada por falhas de comunicação nos canais de dados e voz das unidades, indisponibilidade dos aplicativos Bank Link e Next Bank, que acarretem problemas na abertura ou interrupção do funcionamento das referidas unidades o Banco dispõe de Plano que permite contingência. A atualização dos planos é de responsabilidade dos gestores dos processos, em conjunto com a área de risco operacional. 15. Existe uma área específica para gerência de incidentes de segurança? Não evoluímos porque não existe uma área específica para tratar essa questão, mas poderá vir a ser realizada com a inclusão de atividades específicas nas atribuições da COSTI, basta solicitar à GEREO a inclusão dessa nova atribuição na norma de estrutura da COSTI. 21. E efetuada a gestao de acordos de níveis de serviço das soluções de TI do Órgao/Entidade oferecidas aos seus clientes? As ações para superar essa fragilidade já estão em andamento. Existema acordos de níveis de serviço estabelecidos pela GPROD, mas a gestão ainda não foi realizada, pois precisa concluir a implantação da central de serviços que viabilizará a geração automática de relatórios gerenciais para acompanhamento do cumprimentos dos SLA s, além disso, o PGOTI já iniciou a definição desse processo de gestão do nível de serviço que apoiará todas as áreas de TI no momento da definição dos SLA s com terceiros e internamente entre as áreas de TI. 22. E efetuada a gestão dos níveis de serviço acordados para os serviços de TI prestados ao Órgäo/Entidade? As ações para superar essa fragilidade já estão em andamento. Existema acordos de níveis de serviço estabelecidos pela GPROD, mas a gestão ainda não foi realizada, pois precisa concluir a implantação da central de serviços que viabilizará a geração automática de relatórios gerenciais para acompanhamento do cumprimentos dos SLA s, além disso, o PGOTI já iniciou a definição desse processo de gestão do nível de serviço que apoiará todas as áreas de TI no momento da definição dos SLA s com terceiros e internamente entre as áreas de TI. 24. Na elaboração do projeto básico das contratações de TI é feita análise de custo/benefício da solução a ser contratada? Esta ação é reincidente em vários relatórios de auditorias e a ação para superá-la já foi adota, através da normatização pela COGTI da NP 042 Gerenciar Projetos de TI que substituiiu a NP 016 Gestão de Demandas de TI. Na NP 042, os formulários da SDP e do anteprojeto tratam essa questão do custobenefício detalhadamente, basta que a GEPTI, GSIST e GPROD cumpram o estabelecido na NP. 25. Na elaboração do projeto básico das contratações de TI são explicitados os benefícios da contratação em termos de negócio do Órgão/Entidade e não somente em termos de TI? Página 3 de 5

4 A mesma resposta da anterior. Os formulários citados acima devem conter objetivamente os benefícios da contratação para o negócio, além de serem incluídos no termo de referência Órgão/Entidade adota processo de trabalho formal na gestão de contratos de bens e serviços de TI? A NP 036 Gerenciar Serviços Terceirizados de TI, publicada pela COGTI no SISNOR em julho/2010 trata parcialmente da gestão contratual, pois tem o foco para a fiscalização da qualidade da prestação dos serviços terceirizados pela área de TI. A implantação desse processo já está em andamento pelo PGOTI e tem data prevista para término em nov/2010. A parte administrativa fica a cargo da GESUP que deverá formalizar seu processo de gestão contratual e se for o caso, poderá utilizar a própria NP 036 para isso, apenas incluindo seus procedimentos. Deverá ser negociada com a GESUP essa questão. Página 4 de 5

5 Anexo II Questões: Órgäo/Entidade utiliza mais de uma fonte na elaboração da estimativa de preços das licitações de TI? A NP 025 Seleção e Aquisição de Produtos e Serviços de TI engloba as definições da IN04 que diz que a estimativa de preços deverá ser realizada atarves de várias fontes: contratos atuais da instituição, valor dos contratos com outras instituições para os mesmos serviços, coleta de propostas de fornecedores do mercado, etc. Portanto, como o Banco já possui a norma desde 2008, a GEPTI, GSIST e GPROD deverão ser consultadas para informarem se a questão é atendida no processo de contratação interno. 32. A monitoraçâo administrativa dos contratos relativos a bens e serviços de TI é feita pela Area de TI? A mesma resposta da questão 28 do Anexo I. Página 5 de 5