O Papel da Alta Administração na Governança de TI

Documentos relacionados
Governança de TI e Auditoria Interna

Lei de Acesso à Informação e a Governança de TI: visão geral

Governança em TI. Lúcio Melre da Silva. 2º Congresso Brasileiro de Gestão do Ministério Público

A experiência de quem trouxe a internet para o Brasil agora mais perto de você

Boas Práticas em Contratação de Soluções de TI Riscos e Controles para o planejamento da Contratação

Uso de TIC nas IFES Planejamento e Governança

Ambiente de Controles Internos

Política de Gestão de Riscos das Empresas Eletrobras

Avaliação da Segurança da Informação no âmbito da APF

Levantamento de Governança de TI 2014

O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 24ª REGIÃO, no uso de suas atribuições regimentais,

O Banco Central do Brasil em 29/06/2006 editou a Resolução 3380, com vista a implementação da Estrutura de Gerenciamento do Risco Operacional.

POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS

GOVERNANÇA DE TI: Um desafio para a Auditoria Interna. COSME LEANDRO DO PATROCÍNIO Banco Central do Brasil

APLICAÇÃO DA AUDITORIA BASEADA EM RISCOS (ABR) PARA DEFINIÇÃO DAS AÇÕES DO PAINT

METODOLOGIA DE PROMOÇÃO DA SUSTENTABILIDADE PELO GERENCIAMENTO DE PROJETOS

EXTRATO DA POLÍTICA DE GESTÃO DE RISCOS

C O B I T Control Objectives for Information and related Technology

Secretaria de Fiscalização de Tecnologia da Informação

PROJETO DE COOPERAÇÃO TÉCNICA INTERNACIONAL. Projeto 914 BRA PRODOC-MTC/UNESCO DOCUMENTO TÉCNICO Nº 03

A Função de Controles Internos em Instituições Financeiras

CETI Comitê Executivo de Tecnologia da Informação

DIRETORIA DE GESTÃO DE TECNOLOGIA DA INFORMAÇÃO CAPÍTULO I DA DIRETORIA DE GESTÃO DE TECNOLOGIA DA INFORMAÇÃO E SEUS FINS

MINISTÉRIO DA EDUCAÇÃO UNIVERSIDADE FEDERAL DE LAVRAS CONSELHO UNIVERSITÁRIO

2ª RAE 2013 ANÁLISE DA ESTRATÉGIA DE TI

Implantação da Governança a de TI na CGU

Código Revisão Data Emissão Aprovação PPG /02/2016 HS - RC RCA SUMÁRIO

POLÍTICA DE GESTÃO DE RISCO - PGR

GESPÚBLICA. Brasília ǀ 25 de Setembro de 2012

São Paulo, 04 de setembro de Bom dia, Senhoras e Senhores:

Política de Gerenciamento de Risco Operacional

Política de Gerenciamento de Risco Operacional. Departamento Controles Internos e Risco

Processo de contratação de software e serviços correlatos para entes governamentais

PORTARIA P N. 422, DE 10 DE DEZEMBRO DE 2014.

ESTRUTURA E GERENCIAMENTO DE RISCOS NO BRDE

Auditoria e Segurança de Sistemas. Prof.: Mauricio Pitangueira Instituto Federal da Bahia

Título do Slide Máximo de 2 linhas. Governança Corporativa e de TIC

Fundação Vanzolini O GERENCIAMENTO DA QUALIDADE NA SAÚDE E A ACREDITAÇÃO. Departamento de Certificação

PROPOSTA DE REGIMENTO INTERNO PARA O COMITÊ GESTOR DE TECNOLOGIA DA INFORMAÇÃO (CTI)

Gestão e Uso da TI na APF

Política de Gerenciamento de Risco Operacional Outubro 2015

Texto para discussão. Desenvolvimento profissional dos integrantes da carreira de EPPGG

ANEXO I MATRIZ DE INDICADORES E METAS

1º Congresso Alianças Sociais Responsabilidade Social Corporativa em prol da Sustentabilidade

Última atualização em: 23/4/2014 Resolução Sicoob Confederação ª edição em 14/6/2012 Resolução Sicoob Confederação 031 1/5

RELATÓRIO SINTÉTICO DAS ATIVIDADES DE AUDITORIA BIÊNIO: FEVEREIRO/2011 A JANEIRO/2013

Introdução. Escritório de projetos

ESTRUTURA DE GERENCIAMENTO DO RISCO OPERACIONAL PAPÉIS E RESPONSABILIDADES

GESTÃO DE RISCOS DAS EMPRESAS FINANCEIRAS SCHAHIN

PLANO ESTRATÉGICO DE TECNOLOGIA DA INFORMAÇÃO 2013/2018

17 a 20 de agosto de 2010, Rio de Janeiro. Projeto Web Grupo Águas do Brasil Flavia Garcia

MINISTÉRIO DA EDUCAÇÃO CONSELHO NACIONAL DE EDUCAÇÃO CÂMARA DE EDUCAÇÃO SUPERIOR RESOLUÇÃO Nº 1, DE 6 DE JANEIRO DE 2015

PROGRAMA DE GERENCIAMENTO DE SEGURANÇA

PLANEJAMENTO ESTRATÉGICO

RELATÓRIO. RELATOR: Senador RICARDO FERRAÇO

UNIVERSIDADE FEDERAL DE LAVRAS PRÓ-REITORIA DE PLANEJAMENTO E GESTÃO Diretoria de Gestão da Tecnologia da Informação

Esfera: 10 Função: 20 - Agricultura Subfunção: Administração Geral UO: Ministério da Agricultura, Pecuária e Abastecimento

Implantação da Governança a de TI na CGU

Tecnologia da Informação

MBA: Master in Project Management

REGIMENTO INTERNO DO CENTRO DE ESTUDOS EM EDUCAÇÃO E LINGUAGEM (CEEL)

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI

ESTRUTURA DE GERENCIAMENTO DO RISCO OPERACIONAL

D E S P A C H O. Alinhamento Estratégico:

INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA CNPJ nº /

CÓPIA MINISTÉRIO DA FAZENDA Conselho Administrativo de Recursos Fiscais

Gestão e Tecnologia da Informação

-CAPÍTULO I ESTRUTURA DE GERENCIAMENTO DE RISCO

LISTA DE VERIFICAÇAO DO SISTEMA DE GESTAO DA QUALIDADE

Sistemas de Informação

ESTRUTURA DE GERENCIAMENTO DO RISCO OPERACIONAL DO BANCO COOPERATIVO SICREDI E EMPRESAS CONTROLADAS

CONSELHO NACIONAL DE EDUCAÇÃO CÂMARA DE EDUCAÇÃO SUPERIOR RESOLUÇÃO Nº 2, DE 27 DE SETEMBRO DE

Transcrição:

O Papel da Alta Administração na Governança de TI Ciclo de palestras 2011: Tecnologia da Informação Controle Externo em ação Ministro-Substituto Augusto Sherman Brasília, 04 de agosto de 2011

Agenda Consequências da falta de governança de TI Governança, Gestão e Auditoria Interna Governança de TI: como começar? 2

Quanto a Administração Pública Federal (e o cidadão) dependem de TI hoje? O que ocorreria se falhassem, por exemplo, os sistemas que controlam...... o recebimento do IRPF?... o pagamento do Bolsa Família?... o pagamento de aposentadorias?... os processos judiciais?... as sessões do Congresso Nacional?... as publicações da Imprensa Nacional? 3

Deveríamos cuidar melhor da tecnologia da informação na Administração Pública Federal? E quando não cuidamos... 4

O que pode ocorrer com os 97% que NÃO possuem plano de continuidade de negócio em vigor? Acórdão 172/2008-2ª Câmara e Acórdão 1.330/2008-Plenário 5

Acórdãos 172/2008-2ªC e 1330/2008-P Situação: Ausência de Plano de Continuidade do Negócio Falta/deficiência de recursos ou planos de contingência 6

Acórdãos 172/2008-2ªC e 1330/2008-P Consequência: Desconhecimento de ameaças e seus impactos Falha nos equipamentos de processamento centralizado provocou (Ac. 172/08): Paralisação do Banco (inst. financeira) por mais de 20h Danos à imagem Prejuízos financeiros Vírus gerou paralisação da rede por mais de duas semanas (Ac. 1330/08) 7

O que pode ocorrer com os 53% que NÃO têm processo de software ao menos gerenciado (nível 2 da NBR 15.504)? TC-031.963/2008-0 8

TC 031.963/2008-0 Situação: Edital e projeto básico não possuíam indicadores de qualidade e desempenho (níveis de serviço ou parâmetros de performance) Processo de homologação do produto sem viés técnico e sem verificar a solução de TI em sua integralidade Homologação focada só na usabilidade (ponto de vista do usuário) Homologação focada no aceite de casos de uso individual (ausência de testes integrais) 9

TC 031.963/2008-0 Consequência: Dificuldade na identificação antecipada de inconsistências e problemas de funcionamento e performance para a solução integrada Dificuldade do ente público em atuar corretivamente junto à contratada Impossibilitando a correção dos problemas de funcionamento 10

TC 031.963/2008-0 Consequência: Produto apresentou problemas de 2004 a 2007 (momento da entrega da solução completa) Procedimento de homologação não garantiu a qualidade do produto e não logrou exigir correções pela contratada Não implantação do sistema, apesar de ter sido homologado e pago 11

O que pode ocorrer com os 63% que NÃO aprovam e publicam PDTI interna ou externamente? Acórdão 2.023/2005-Plenário 12

Acórdão 2.023/2005-Plenário Situação: Planejamento deficiente Consequência: Desenvolvimento de sistema em 2000/2001, o qual é considerado relevante e passou pelos testes Ausência de infra-estrutura necessária à execução do sistema (infra-est. de rede/servidores/equipamentos) Sistema não implantado até 2005 13

O que pode ocorrer com os 65% que NÃO possuem política corporativa de segurança da informação? Acórdão 71/2007-Plenário 14

Acórdão 71/2007-Plenário Situação: Sistema de âmbito nacional com informações confidenciais e relevantes dos cidadãos Minuta de Política de Segurança da Informação (PSI) desatualizada e não formalmente aprovada Política de Controle de Acesso deficiente 15

Acórdão 71/2007-Plenário Consequência: Dificuldade na identificação de responsabilidades quanto aos assuntos de segurança da informação Grande vulnerabilidade do sistema Vazamento e mau uso de informações privadas e confidenciais dos cidadãos 16

Agenda Consequências da falta de governança de TI Governança, Gestão e Auditoria Interna Governança de TI: como começar? 17

Governança corporativa O sistema [normas, diretrizes, políticas, processos, estruturas] pelo qual as organizações são dirigidas e controladas. (NBR 38.500, item 1.6.2) 18

Gerenciamento (gestão) O sistema de controles e processos necessário para alcançar os objetivos estratégicos estabelecidos pela direção da organização. O gerenciamento está sujeito às diretrizes, às políticas e ao monitoramento estabelecidos pela governança corporativa. (NBR 38.500, item 1.6.9) 19

Governança corporativa de TI O sistema [normas, diretrizes, políticas, processos, estruturas] pelo qual o uso atual e futuro da TI é dirigido e controlado. (NBR 38.500, item 1.6.3) 20

Papel do gestor e da Alta Administração O gestor e a alta administração são responsáveis pelos processos de gestão de risco e controles da organização. (IIA, IPPF, 2120-1) 21

Papel da auditoria interna A auditoria auxilia a organização a alcançar seus objetivos por meio de uma abordagem sistemática e disciplinada para a avaliação e [indução da] melhoria da eficácia dos processos de gerenciamento de risco, controle e governança corporativa. (IIA, IPPF, Definição de Auditoria Interna) 22

Agenda Consequências da falta de governança de TI Governança, Gestão e Auditoria Interna Governança de TI: como começar? 23

Papel da Alta Administração Baseado na NBR 38.500, governar a TI é... Avaliar Dirigir Monitorar Responsabilidade Estratégia Aquisição Desempenho Conformidade Comportamento Humano 24

A primeira pergunta: Conheço a situação de GovTI da minha organização? 25

Primeiro pensamento... Preciso de um diagnóstico! 26

Um diagnóstico já existe... A Alta Administração da APF recebeu o resultado (inclusive comparativo) contido no Acórdão 2.308/2010-TCU-Plenário. 27

A partir desse diagnóstico, o que a Alta Administração já pode fazer? Uma sugestão está presente no Acórdão 2.308/2010-TCU-Plenário 28

Acórdão 2.308/2010-TCU-Plenário Orientar a alta administração a estabelecer formalmente: os objetivos institucionais de TI alinhados às estratégias de negócio (dirigir) os indicadores para cada objetivo (dirigir) as metas para cada indicador (dirigir) os mecanismos que a alta administração adotará para acompanhar o desempenho da TI da instituição (monitorar) 29

Passo 1: Aprovar um Plano Estratégico Institucional O que é? Negócio, missão, visão, valores Objetivos, indicadores, metas do negócio Iniciativas estratégias Desdobramento Divulgação Por quê? Princípio da eficiência (CF) Decreto-Lei 200/1967, art. 6º, inciso I Decreto 5.378/2005 (Programa Gespública) Resolução 70/2009-CNJ 30

Passo 1: Aprovar um Plano Estratégico Institucional Como? Envolvendo as várias áreas de negócio da organização Observando as competências legais Observando as diretrizes de governo/ogs Documento formal aprovado pela mais alta autoridade Onde obter ajuda: 79% dos pesquisados declararam que fazem (Acórdão 2.308/2010-TCU-Plenário) Enap possui treinamento regular C3S (SISP) 31

Passo 2: Aprovar um Plano Estratégico de TI O que é? Conteúdo semelhante ao PEI (objetivos, indicadores, metas da TI, iniciativas estratégias, desdobramento, divulgação) e mais... Alocação de recursos (financeiros, humanos, materiais etc) Estratégia de terceirização Por quê? Princípio da eficiência (CF) Decreto-Lei 200/1967, art. 6º, inciso I IN 04/2010-SLTI, art. 4º Resolução 90/2009-CNJ, art. 11 32

Passo 2: Aprovar um Plano Estratégico de TI Como? Alinhamento (TI ao negócio) Documento formal aprovado pela mais alta autoridade É da organização, e não da área de TI Onde obter ajuda: 37% dos pesquisados declararam que fazem (Acórdão 2.308/2010-TCU-Plenário) Enap possui treinamento regular C3S (SISP) 33

Passo 3: Criar um comitê de TI O que é? Instância (consultiva ou deliberativa) de apoio à alta administração Por quê? Princípio da eficiência (CF) Cobit 4.1, PO4.2 - Comitê estratégico de TI Cobit 4.1, PO4.3 - Comitê diretor de TI Resolução 7/2010-SISP (EGTI 2010-2011) Iniciativa Estratégica 12 Resolução 90/2009-CNJ, art. 12 34

Passo 3: Criar um comitê de TI Como? Envolvendo as várias áreas do negócio e a TI Documento Diretrizes do Sisp para criação de comitês de TI (www.sisp.gov.br) Onde obter ajuda: 32% dos pesquisados declararam que têm (Acórdão 2.308/2010-TCU-Plenário) C3S (SISP) 35

Passo 4: Utilizar a auditoria interna (AI) O que é? A auditoria auxilia a organização a alcançar seus objetivos por meio de uma abordagem sistemática e disciplinada para a avaliação e [indução da] melhoria da eficácia dos processos de gerenciamento de risco, controle e governança corporativa. (Definição de AI, do IIA) Por quê? Decreto 3.591/2001,art. 17 IN 63/2010-TCU, art.1º, inciso XI Boas práticas (IIA, IPPF) 36

Passo 4: Utilizar a auditoria interna (AI) Como? Normas do IIA Onde obter ajuda: 10% dos pesquisados declararam que fazem auditoria de governança de TI (Acórdão 2.308/2010-TCU-Plenário) Cursos do TCU/Sefti (IATI, Avaliação de Controles Gerais de TI etc) 37

Passo 5: Monitorar os resultados O que é? Acompanhar os indicadores Analisar riscos (com base no impacto no negócio) Priorizar ações Acompanhar ações críticas Por quê? Decreto-Lei 200/1967, art. 6º, inciso V Boas práticas (Cobit, domínio ME Monitorar e avaliar) 38

Passo 5: Monitorar os resultados Como? Utilizando as informações apresentadas pelo Comitê de TI e pela Auditoria Interna Pressupostos: Assegurar o bom funcionamento do Comitê de TI, não o deixando existir só no papel Assegurar o bom funcionamento da Auditoria Interna Onde obter ajuda: 23% dos pesquisados declararam que fazem (Acórdão 2.308/2010-TCU-Plenário) 39

Passo inicial: Obter, capacitar e valorizar recursos humanos 40

Recursos humanos 91.Todavia, deve-se ressaltar que esses resultados somente serão plenamente alcançados se os órgãos e entidades da Administração Pública estiverem preparados para executar as atividades estratégicas de planejar, definir, especificar, supervisionar e controlar a operação de seus setores de informática de maneira independente das empresas prestadoras de serviço. (excerto do voto condutor do Acórdão 786/2006-TCU-Plenário) 41

Como vimos, encontra-se dentro da própria APF boa parte das soluções para os problemas de governança de TI! 42

Em resumo... Passo inicial: Obter, capacitar e valorizar recursos humanos Passo 1: Aprovar um Plano Estratégico Institucional Passo 2: Aprovar um Plano Estratégico de TI Passo 3: Criar um comitê de TI Passo 4: Utilizar a auditoria interna (AI) Passo 5: Monitorar os resultados 43

Governar a TI é ação da Alta Administração, e não da área de TI. 44

A alta administração governa a TI para... Apoiar o alcance dos resultados da organização, legitimando-a ante à sociedade Identificar e mitigar os riscos, diminuindo, entre outros, o risco de exposição da imagem Gerir os recursos públicos de forma responsável, corrigindo rumos quando necessário Aproveitar as oportunidades que a TI proporciona para melhorar os serviços prestados à sociedade 45

... e para evitar que aconteça... Reportagem na TV 46

O Papel da Alta Administração na Governança de TI Ciclo de palestras 2011: Tecnologia da Informação Controle Externo em ação Ministro-Substituto Augusto Sherman Brasília, 04 de agosto de 2011

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback