Lei de Acesso à Informação e a Governança de TI: visão geral

Lei de Acesso à Informação e a Governança de TI: visão geral Cláudio Silva da Cruz, MSc, CGEIT Auditor Federal de Controle Externo, SEFTI/TCU Tesoureiro da ISACA Capítulo Brasília 6º Encontro de Governança Aplicada, Brasília-DF, 14/6/2012

Precedida por acordos assinados, e.g.: (Ac1050/12-P) Declaração Universal dos Direitos Humanos (art. 19) Convenção das Nações Unidas contra a Corrupção (arts. 10 e 13) Declaração Interamericana de Princípios de Liberdade de Expressão (item 4) Pacto Internacional dos Direitos Civis e Políticos (art. 19) Participação no Open Government Partnership assegurar compromissos de governos nas áreas de promoção da transparência, luta contra a corrupção, participação social e de fomento ao desenvolvimento de novas tecnologias, de maneira a tornar os governos mais abertos, efetivos e responsáveis. Veja: Declaração de Governo Aberto (Set2011) www.isaca brasilia.org 2

Atende a comando constitucional: Art. 5º [...] XXXIII - todos têm direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, que serão prestadas no prazo da lei, sob pena de responsabilidade, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado; Art. 37 [...] 3º A lei disciplinará as formas de participação do usuário na administração pública direta e indireta, regulando especialmente: [...] II - o acesso dos usuários a registros administrativos e a informações sobre atos de governo, observado o disposto no art. 5º, X e XXXIII; Art. 216 [...] 2º Cabem à administração pública, na forma da lei, a gestão da documentação governamental e as providências para franquear sua consulta a quantos dela necessitem;". www.isaca brasilia.org 3

Precedida por outras iniciativas legislativas, e.g.: Lei 9755/1998 ( Lei Hauly ) Obrigação de publicar informações sobre contas públicas Todos os poderes, todas as esferas TCU como consolidador das informações Lei Complementar 101/2000 (modif. LC131/2009) Responsabilidade pressupõe ação planejada e transparente Publicação det. da execução orçament./financeira na internet Estímulo à adoção de práticas de transparência Sistema integrado de adm. financeira e controle www.isaca brasilia.org 4

Já havia agentes designados para estimular a transparência, e.g.: Lei 10.683/2003, art. 17. À Controladoria-Geral da União compete assistir direta e imediatamente ao Presidente da República no desempenho de suas atribuições quanto aos assuntos e providências que, no âmbito do Poder Executivo, sejam atinentes à defesa do patrimônio público, ao controle interno, à auditoria pública, à correição, à prevenção e ao combate à corrupção, às atividades de ouvidoria e ao incremento da transparência da gestão no âmbito da administração pública federal. Decreto 7.063/2010, art. 6º Ao Departamento de Coordenação e Governança das Empresas Estatais compete: [...] XII - contribuir para o aumento da eficiência e transparência das empresas estatais e para o aperfeiçoamento e integração dos sistemas de monitoramento econômico-financeiro, bem como para o aperfeiçoamento da gestão dessas empresas. www.isaca brasilia.org 5

Publicidade e transparência são a mesma coisa? Princípio da publicidade (CF, art. 37): Publicar, por coerção legal, os atos administrativos (tomada de decisão) e sua fundamentação (L9784, arts. 2º e 50) Princípio da transparência (CF, arts. 5º, XXXIII, 37, 3º, e 216, 2º; LC101, art. 1º, 1º; IBGC, 2009): Publicar, mesmo sem coerção legal específica, toda informação potencialmente útil ao interesse público (IBGC: desejar ser transparente ) Conceitos distintos, mas não independentes! Às vezes os termos se confundem na legislação! www.isaca brasilia.org 6

Diretrizes: Publicidade/transparência como regra; sigilo é exceção Divulgação independentemente de solicitação Uso dos meios disponíveis de comunicação (textualmente, TI!!!) Fomento à cultura de transparência Desenvolvimento do controle social www.isaca brasilia.org 7

Do acesso e da divulgação: Obrigações das instituições públicas: Gestão transparente da informação, dando acesso e divulgação Proteção da informação (disponib./autenticid./integridade) Proteção da informação sigilosa e da informação pessoal Algumas formas básicas: Acesso eletrônico ou qualquer outro meio Catálogo de informações disponíveis Ferramentas de pesquisa Linguagem clara/acessível Formatos fáceis e documentados Interoperabilidade Acessibilidade www.isaca brasilia.org 8

Da restrição de acesso: Classificação da informação (em até 2 anos depois da lei) Somente PESSOAS AUTORIZADAS podem classificar: Ultrassecreta (25 anos): autoridades de Estado Secreta (15 anos): anteriores+titulares autarquias/fundações e adm. Indireta Reservado (5 anos): anteriores+altos gestores locais, conforme regulamento local Atenção!!!!: Descumprir a L12527 ensejará a aplicação das sanções previstas na L8112 (servidores) ou semelhantes à L8666 (contratados). e.g. impedir ou dificultar o acesso à informação público ou gerir incorretamente a informação sigilosa/pessoal www.isaca brasilia.org 9

Pergunta... As instituições públicas estão maduras para esse desafio? Quais as implicações da LAI em termos de Governança de TI? www.isaca brasilia.org 10

2º Levantamento de Governança de TI jurisdicionados pesquisados: 265 no prazo, incorporados ao relatório (Ac2308/10-P) 301 (100% alcançado em Jun2011) 30 perguntas 152 subitens Divididas segundo 7 das 8* dimensões do Gespública Liderança Estratégias e planos Cidadãos Sociedade Informações e conhecimento Pessoas Processos *A dimensão Resultados será incluída no ciclo 2012 da pesquisa link www.isaca brasilia.org 11

Instituições x estágios do igovti (Ac2308/10-P) Aprimorado Intermediário Inicial Í n d i c e igovti de 0,6 a 0,79 igovti de 0,4 a 0,59 igovti de 0,0 a 0,39 5% 36% 59% 0 25 50 75 100 125 150 175 200 Quantidade de Instituições N=301 12

Resultados (Dimensão Liderança) A Alta Administração NÃO :... se responsabiliza pelas políticas de TI (51%)... designou formalmente um comitê de TI (48%)... estabeleceu objetivos de desempenho de gestão e uso de TI (57%)... definiu indicadores de desempenho de gestão e uso de TI (76%) Isto é governança N=265 frágil! 13

Resultados (Dimensão Processos) 53% NÃO têm processo de software ao menos gerenciado 63% NÃO aprovam e publicam PDTI interna ou externamente 65% NÃO possuem política corporativa de segurança da informação 74% NÃO inventariam todos os ativos de informação 75% NÃO gerenciam os incidentes de segurança da informação 83% NÃO analisam os riscos aos quais a informação está submetida 89% NÃO classificam a informação para o negócio 97% NÃO possuem plano de continuidade de negócio em vigor Isto é gestão N=265 frágil! 14

governança em processos de TI governança em processos de TI 100% 100% 90% 90% 80% 80% 70% 70% 60% 60% 50% 50% 40% 40% 30% 30% 20% 20% 10% 10% 0% Correlação entre governança em liderança e governança em processos de TI 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 0% -liderança 0% 10% 20% 30% 40% governança 50% em liderança 60% de TI 70% 80% 90% 100% -processo governança em liderança de TI Coeficiente de correlação=0,60 +liderança +processo 15

Orientar a alta administração a estabelecer formalmente: os objetivos institucionais de TI alinhados às estratégias de negócio (dirigir) os indicadores para cada objetivo (dirigir) as metas para cada indicador (dirigir) os mecanismos que a alta administração adotará para acompanhar o desempenho da TI da instituição (monitorar)

As instituições públicas estão maduras para esse desafio? A maioria não está!!! Mas... e as implicações da LAI na Governança de TI e vice-versa? www.isaca brasilia.org 17

A LAI determina que a Alta Administração governe a gestão da informação!!! Veja exemplos...

Art. 26. As autoridades públicas adotarão as providências necessárias para que o pessoal a elas subordinado hierarquicamente conheça as normas e observe as medidas e procedimentos de segurança para tratamento de informações sigilosas. Parágrafo único. A pessoa física ou entidade privada que, em razão de qualquer vínculo com o poder público, executar atividades de tratamento de informações sigilosas adotará as providências necessárias para que seus empregados, prepostos ou representantes observem as medidas e procedimentos de segurança das informações resultantes da aplicação desta Lei. www.isaca brasilia.org 19

Art. 27. A classificação do sigilo de informações no âmbito da administração pública federal é de competência: I - no grau de ultrassecreto, das seguintes autoridades:[...] II - no grau de secreto, das autoridades referidas no inciso I, dos titulares de autarquias, fundações ou empresas públicas e sociedades de economia mista; e III - no grau de reservado, das autoridades referidas nos incisos I e II e das que exerçam funções de direção, comando ou chefia, nível DAS 101.5, ou superior, do Grupo-Direção e Assessoramento Superiores, ou de hierarquia equivalente, de acordo com regulamentação específica de cada órgão ou entidade, observado o disposto nesta Lei. www.isaca brasilia.org 20

Art. 30. A autoridade máxima de cada órgão ou entidade publicará, anualmente, em sítio à disposição na internet e destinado à veiculação de dados e informações administrativas, nos termos de regulamento: I - rol das informações que tenham sido desclassificadas nos últimos 12 (doze) meses; II - rol de documentos classificados em cada grau de sigilo, com identificação para referência futura; III - relatório estatístico contendo a quantidade de pedidos de informação recebidos, atendidos e indeferidos, bem como informações genéricas sobre os solicitantes. www.isaca brasilia.org 21

Relatório do Acórdão 1233/2012-TCU-Plenário: A governança de TI exerce grande influência sobre as definições da governança corporativa em virtude das possibilidades que a tecnologia da informação oferece de suporte e alavancagem do negócio. Por outro lado, a construção de um modelo de governança de TI sofre a influência dos princípios gerais da governança corporativa, em especial dos princípios da transparência e da prestação de contas, e a forma como cada organização implementa esses princípios dirige a maneira de construir o modelo de governança de TI. Portanto, embora possa até haver interesse da alta administração de uma instituição pública em alcançar um bom nível de governança de TI, isso não será possível até que essa mesma alta administração lance os fundamentos e construa as estruturas de governança corporativa necessários para governar todos os seus recursos críticos, tais como pessoas, finanças, TI etc. www.isaca brasilia.org 22

APOIAR o alcance dos resultados da instituição, legitimando-a ante à sociedade IDENTIFICAR e mitigar os riscos, diminuindo, entre outros, o risco de exposição da imagem GERIR os recursos públicos de forma responsável, corrigindo rumos quando necessário APROVEITAR as oportunidades que a TI proporciona para melhorar os serviços prestados à sociedade

O sucesso do Governo Aberto depende de: a) Diretrizes, políticas e normas claras que induzam a transparência b) Levantar e priorizar a demanda de publicação de informação c) Inventariar a informação com potencial de divulgação (bases de dados) d) Classificar a informação (norma interna urgente: prazo = 2 anos) e) Estabelecer objetivos, indicadores e metas pró-transparência f) Estabelecer mecanismos de controle pró-transparência g) Estabelecer acordos de nível de serviço claros para disponibilização da informação (entes externos dependerão desse serviço) h) Estabelecer mecanismos de verificação e de melhoria da qualidade da informação oferecida i) Estabelecer mecanismos de mensuração do efeito da publicação

Conclusão Diante da grave situação da governança de tecnologia da informação na Administração Pública Federal, deve-se incentivar a sua melhoria paralelamente à implantação do Governo Aberto, para o pleno alcance de seus objetivos.