Governança de TI e Auditoria Interna

Governança de TI e Auditoria Interna Renato Braga, CISA, CIA, CGAP, CCI Diretor Secretaria de Fiscalização de Tecnologia da Informação Tribunal de Contas da União Florianópolis, 25 de abril de 2012

Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna

Criticidade Impacto da TI na gestão pública Maturidade inicial Maturidade intermediária Maturidade aprimorada (Se o sistema parar, o negócio...)... para imediatamente. 82 63 9 154 51%... para em uma 12 6 3 21 7% semana.... para em um mês. 5 1-6 2%... é afetado, mas não para. Total 27 13 3 43 14%... não é afetado. 50 26 1 77 26% Total 176 179 16 301 100% Fonte: dados da fiscalização do Acórdão 2.308/2010-TCU-Plenário

Acórdão 2.308/2010-Plenário 9.4. determinar à Secretaria de Fiscalização de Tecnologia da Informação - Sefti que: (...) Incrementar a divulgação 9.4.2. desenvolva ações de estímulo à conscientização da alta administração das unidades da administração pública federal acerca de conceitos, objetivos, indicadores, ações e estruturas de governança de tecnologia da informação;

O papel da AI na consientização IPPF 2130.A1-1 Os auditores internos determinam se a alta administração e o conselho de administração entendem claramente que a confiabilidade e integridade da informação é uma responsabilidade da direção. Esta responsabilidade inclui toda a informação crítica da organização, sem importar como se armazena a informação.... (tradução livre)

Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna

Governança de TI Definição O sistema pelo qual o uso atual e futuro da TI é dirigido e controlado. (NBR 38.500) TI deve agregar valor ao negócio Riscos aceitáveis

Governança de TI Responsabilidade A responsabilidade por prover uma boa governança de TI é da alta administração da organização (NBR 38.500)

Fonte: Pesquisa textual na base do Sistema Juris (TCU) Deliberações do TCU sobre contratações de serviços de TI

Em 2007 o TCU realizou duas grandes fiscalizações no tema TI Acórdão 1.603/2008-TCU-Plenário (Min. Guilherme Palmeira) Acórdão 2.471/2008-TCU-Plenário (Min. Benjamin Zymler)

Acórdão 1.603/2008-TCU-Plenário (Min. Guilherme Palmeira) TC 008.380/2007-1

Alguns dados do TC 008.380/2007-1 1º Levantamento de Governança de TI 255 jurisdicionados pesquisados Questionário com 39 questões Jurisdicionados deveriam anexar evidências

Acórdão 1.603/2008-TCU-Plenário Deficiências em Governança de TI 51% NÃO alocam gastos de TI de acordo com planejamento 51% NÃO seguem metodologia de desenvolvimento de sistemas 57% NÃO têm carreira específica para TI 59% NÃO têm planejamento estratégico em vigor 64% NÃO têm política de segurança da informação 75% NÃO fazem análise de riscos de TI 80% NÃO fazem classificação da informação 88% NÃO têm plano de continuidade de negócios

Acórdão 2.471/2008-TCU-Plenário (Min. Benjamin Zymler) TC 019.230/2007-2

Alguns dados do TC 019.230/2007-2 Verificação da Governança de TI in loco 12 auditorias, em 7 UF 25 questões de auditoria 77 achados (auditoria integrada)

Alguns dados do TC 019.230/2007-2 Verificação da Governança de TI in loco VRF (Volume dos Recursos Fiscalizados) R$ 1,5 bilhão Benefícios financeiros potenciais R$ 772 milhões 92% de satisfação dos auditados

Alguns dados do TC 019.230/2007-2 Verificação da Governança de TI in loco Conclusão: confirmada a falta de governança nos 12 casos situação pior que a declarada no questionário

Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna

Criação da Sefti SEFTI Agosto de 2006 (Resolução TCU 193/2006) A Secretaria de Fiscalização de Tecnologia da Informação tem por finalidade fiscalizar a gestão e o uso de recursos de tecnologia da informação pela Administração Pública Federal.

Deliberações do TCU sobre contratações de serviços de TI Criação da SEFTI Fonte: Pesquisa textual na base do Sistema Juris (TCU)

Acórdãos estruturantes 1.603/2008 1.827/2008 371/2008 353/2008 OGS 2.471/2008 2.079/2009 786/2006 2.308/2010 2.094/2004 E outros que estão por vir...

Têm a responsabilidade por normatizar e fiscalizar o uso e a gestão de TI em seus respectivos segmentos da Administração Pública Federal (Voto do Acórdão 1.145/2011-TCU-Plenário) Órgãos Governantes Superiores (OGS)

AGU CGU CNJ CNMP Dest/M P Enap/M P GSI/PR SLTI/MP SOF/MP STN/MF Órgãos governantes superiores de TI (OGS)

Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna

O Questionário 2º Levantamento de Governança de TI 300 jurisdicionados pesquisados 30 perguntas 152 subitens Divididas segundo 7 dimensões do Gespública Liderança Estratégias e planos Cidadãos Sociedade Informações e conhecimento Pessoas Processos Evidências conforme solicitado

Acórdão 2.308/2010-TCU-Plenário: Temas que merecem atenção Resultados (Dimensão Processos) 53% NÃO têm processo de software ao menos gerenciado 63% NÃO aprovam e publicam PDTI interna ou externamente 65% NÃO possuem política corporativa de segurança da informação 74% NÃO inventariam todos os ativos de informação 75% NÃO gerenciam os incidentes de segurança da informação 83% NÃO analisam os riscos aos quais a informação está submetida 89% NÃO classificam a informação para o negócio 97% NÃO possuem plano de continuidade de negócio em vigor

Acórdão 2.308/2010-TCU-Plenário: Temas que merecem atenção Resultados (Dimensão Liderança) A Alta Administração NÃO :... se responsabiliza pelas políticas de TI (51%)... designou formalmente um comitê de TI (48%)... estabeleceu objetivos de desempenho de gestão e uso de TI (57%)... definiu indicadores de desempenho de gestão e uso de TI (76%)

Acórdão 2.308/2010-TCU-Plenário: Melhorias observadas Mas houve melhorias? Planejamento estratégico institucional 2007 53% 2010 79% (p.ex. Res CNJ 70/2009) Carreira de TI 2007 43% 2010 78% (p.ex. SISP ATI+GSISP)

Acórdão 2.308/2010-TCU-Plenário: Melhorias observadas Conclusão: Os indicativos de melhoria em planejamento e em quadro de pessoal sinalizam possibilidade de avanço em outras dimensões no futuro.

Í n d i c e 2010 - igovti Instituições x estágios do igovti Aprimorado Intermediário Inicial igovti de 0,6 a 0,84 igovti de 0,4 a 0,59 igovti de 0,0 a 0,39 5% 38% 57% 0 25 50 75 100 125 150 175 Quantidade de Instituições

Risco de TI em função de igovti e Orçamento de TI R$ 10.000.000.000,00 Governança de TI x Orçamento de TI O r ç a m e n t o R$ 1.000.000.000,00 R$ 100.000.000,00 T I R$ 10.000.000,00 2 0 1 0 R$ 1.000.000,00 R$ 100.000,00 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% igovti

Risco de TI em função de igovti, Orçamento de TI e sistemas críticos R$ 10.000.000.000,00 Governança de TI x Orçamento de TI x Sistemas Críticos O r ç a m e n t o R$ 1.000.000.000,00 R$ 100.000.000,00 T I R$ 10.000.000,00 2 0 1 0 R$ 1.000.000,00 R$ 100.000,00 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% igovti Possui sistema crítico Não possui sistema crítico

Risco de TI em função de igovti, na visão da Sefti R$ 10.000.000.000,00 Governança de TI x Orçamento de TI x Sistemas Críticos O r ç a m e n t o R$ 1.000.000.000,00 R$ 100.000.000,00 T I R$ 10.000.000,00 2 0 1 0 R$ 1.000.000,00 R$ 100.000,00 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% igovti Possui sistema crítico Não possui sistema crítico

Quantidade de Instituições Riscos de TI: IGovTI - Segurança da Informação Distribuição por igovti-seg 120 1/3 100 101 80 60 56 40 40 44 23 20 0 12 7 9 7 2 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% igovti-seg

Quantidade de Instituições Riscos de TI: IGovTI - Segurança da Informação Distribuição por igovti-seg 120 100 101 80 88% 60 56 40 40 44 23 20 0 12 7 9 7 2 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% igovti-seg

Papel da liderança na Governança de TI Análise de correlação entre as dimensões avaliadas Dimensão Liderança Estratégias e Planos Gestão de Pessoas Liderança --- --- --- Estratégias e Planos 0,48 --- --- Gestão de Pessoas 0,32 0,23 --- Processos 0,60 0,46 0,29

governança em processos de TI Papel da liderança na Governança de TI Correlação entre governança em liderança e governança em processos de TI 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% governança em liderança de TI

Acórdão 2308/2010-TCU-Plenário: Recomendações aos OGS Orientações à Alta Administração: objetivos institucionais de TI indicadores para cada objetivo metas para cada indicador mecanismos para acompanhar desempenho da TI

Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna

Orientações (2) Situação de GestãoTI (1) TCU Gestores Orientações (2308/2010) (4) Informações consolidadas (6) Situação de GovTI Alta Administração Objetivos Indicadores Metas (3) (5)

E essa dinâmica deve gerar mudanças... Governança de TI Implementação/aprimoramento do modelo de governança Alta Administração (responsabilidade) Desgovernança de TI

Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna

Quanto a Administração Pública Federal (e o cidadão) dependem de TI hoje? O que ocorreria se falhassem, por exemplo, os sistemas que controlam...... o recebimento do IRPF?... o pagamento do Bolsa Família?... o pagamento de aposentadorias?... os processos judiciais?... as sessões do Congresso Nacional?... as publicações da Imprensa Nacional? 43

Deveríamos cuidar melhor da tecnologia da informação na Administração Pública Federal? E quando não cuidamos... 44

O que pode ocorrer com os 97% que NÃO possuem plano de continuidade de negócio em vigor? Acórdão 172/2008-2ª Câmara e Acórdão 1.330/2008-Plenário

Acórdãos 172/2008-2ªC e 1330/2008-P Situação: Ausência de Plano de Continuidade do Negócio Falta/deficiência de recursos ou planos de contingência 46

Acórdãos 172/2008-2ªC e 1330/2008-P Consequência: Desconhecimento de ameaças e seus impactos Falha nos equipamentos de processamento centralizado provocou (Ac. 172/08): Paralisação do Banco (inst. financeira) por mais de 20h Danos à imagem Prejuízos financeiros Vírus gerou paralisação da rede por mais de duas semanas (Ac. 1330/08) 47

O que pode ocorrer com os 63% que NÃO aprovam e publicam PDTI interna ou externamente? Acórdão 2.023/2005-Plenário

Acórdão 2.023/2005-Plenário Situação: Planejamento deficiente Consequência: Desenvolvimento de sistema em 2000/2001, o qual é considerado relevante e passou pelos testes Ausência de infra-estrutura necessária à execução do sistema (infra-est. de rede/servidores/equipamentos) Sistema não implantado até 2005 49

O que pode ocorrer com os 65% que NÃO possuem política corporativa de segurança da informação? Acórdão 71/2007-Plenário

Acórdão 71/2007-Plenário Situação: Sistema de âmbito nacional com informações confidenciais e relevantes dos cidadãos Minuta de Política de Segurança da Informação (PSI) desatualizada e não formalmente aprovada Política de Controle de Acesso deficiente

Acórdão 71/2007-Plenário Consequência: Dificuldade na identificação de responsabilidades quanto aos assuntos de segurança da informação Grande vulnerabilidade do sistema Vazamento e mau uso de informações privadas e confidenciais dos cidadãos 52

Agenda Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna

IIA, IPPF, 1210.A3 Os auditores internos devem possuir conhecimento suficiente sobre os principais riscos e controles de tecnologia da informação e sobre as técnicas de auditoria baseadas em tecnologia disponíveis para a execução dos trabalhos a eles designados. Entretanto, não se espera que todos os auditores internos possuam a especialização de um auditor interno cuja principal responsabilidade seja auditoria de tecnologia da informação. 54

IIA, IPPF, 2110.A2 A atividade de auditoria interna deve avaliar se a governança de tecnologia da informação da organização dá suporte às estratégias e objetivos da organização.

IIA, IPPF, 2120.A1 A atividade de auditoria interna deve avaliar as exposições a riscos relacionadas à governança, às operações e aos sistemas de informação da organização, em relação a: Confiabilidade e integridade das informações financeiras e operacionais; Eficácia e eficiência das operações e programas; Salvaguarda dos ativos; e Conformidade com leis, regulamentos, políticas, procedimentos e contratos.

IIA, IPPF, 2130.A1 A atividade de auditoria interna deve avaliar a adequação e a eficácia dos controles em resposta aos riscos, abrangendo a governança, as operações e os sistemas de informação da organização, com relação a: Confiabilidade e integridade das informações financeiras e operacionais; Eficácia e eficiência das operações e programas; Salvaguarda dos ativos; e Conformidade com leis, regulamentos, políticas e procedimentos e contratos. 57

Nesse sentido... O TCU promoveu dois eventos (16 de junho e 4 de agosto de 2011) para conscientizar a alta administração da APF e foi sugerido... (ver apresentação do Ministro-substituto Augusto Sherman)

Em resumo... Passo inicial: Obter, capacitar e valorizar recursos humanos Passo 1: Aprovar um Plano Estratégico Institucional Passo 2: Aprovar um Plano Estratégico de TI Passo 3: Criar um comitê de TI Passo 4: Utilizar a auditoria interna (AI) Passo 5: Monitorar os resultados 59

Passo 4: Utilizar a auditoria interna (AI) O que é? A auditoria auxilia a organização a alcançar seus objetivos por meio de uma abordagem sistemática e disciplinada para a avaliação e [indução da] melhoria da eficácia dos processos de gerenciamento de risco, controle e governança corporativa. (Definição de AI, do IIA) Por quê? Decreto 3.591/2001,art. 17 IN 63/2010-TCU, art.1º, inciso XI Boas práticas (IIA, IPPF) 60

Passo 4: Utilizar a auditoria interna (AI) Como? Normas do IIA Onde obter ajuda: 10% dos pesquisados declararam que fazem auditoria de governança de TI (Acórdão 2.308/2010-TCU-Plenário) Cursos do TCU/Sefti (IATI, Avaliação de Controles Gerais de TI etc) 61

Governar a TI é ação da Alta Administração, e não da área de TI. 62

O questionário do levantamento na versão 2012 está vindo aí!

Resumo Por que conscientizar? Situação da governança de TI em 2007 Ações indutoras do Controle Externo Situação da governança de TI em 2010 Visão sistêmica da governança de TI na APF Por que se preocupar com GovTI? O papel da auditoria interna

Governança de TI e Auditoria Interna Renato Braga, CISA, CIA, CGAP, CCI Diretor Secretaria de Fiscalização de Tecnologia da Informação Tribunal de Contas da União Florianópolis, 25 de abril de 2012