Post on 18-Apr-2015
Secretaria de Fiscalização de Tecnologia da Informação
SEFTI
Brasília, novembro 2012
Cláudio Souza Castello Branco, CGAP, CIA1
Comissão de Fiscalização Financeira e Controle da Câmara dos Deputados
Agenda
• Sobre a Sefti• Forma de atuação• O que já fizemos• Trabalhos mais relevantes• Resultados alcançados
2
Sobre a Sefti
3
Criação da Sefti
• Criada em agosto de 2006 (Resolução TCU 193/2006)
“A Secretaria de Fiscalização de Tecnologia da Informação tem por finalidade fiscalizar a gestão e o uso de recursos de tecnologia da informação pela Administração Pública Federal.”
4
NegócioControle externo da governança de tecnologia da informação
na Administração Pública Federal
MissãoAssegurar que a tecnologia da informação agregue valor ao
negócio da Administração Pública Federal em benefício da sociedade
VisãoSer unidade de excelência no controle e no aperfeiçoamento da governança de tecnologia da informação
5
Áreas de atuação
•Governança •Programas e políticas•Sistemas•Dados•Segurança•Infra-estrutura•Contratações
Fiscalização operacional e/ou
conformidade
6
26 auditores e 2 técnicos
6 Mestres 8 MBA
11 CISA 6 outras
certificações
Estrutura da Secretaria
DireitoComputaçãoEngenharia
Sefti(6 anos)
03 diretorias
02 assessorias
01 serviço de administração
Competência Profissional• Formação em áreas de tecnologia
– Ciência da Computação, Engenharia e afins
• Certificações– 11 auditores CISA (Certified Information Systems Auditor)– 2 auditores CGEIT (Certified in the Governance of Enterprise)– 2 auditores CGAP (Certified Government Auditor Professional)– 1 auditor CISSP (Certified Information Systems Security
Professional)– 1 auditor CIA (Certified Internal Auditor)
• Mestrados – 6 servidores• MBA – 8 servidores
8
Forma de atuação
9
MIS
SÃO
Desenvolver competências gerenciais e profissionais
Estruturar a gestão do conhecimento organizacional
Desenvolver cultura de inovação
Modernizar e integrar as práticas de gestão
de pessoas
Fortalecer cultura orientada a resultados
Ser reconhecido como instituição de excelência no controle e no aperfeiçoamento da Administração
Pública
Atuar em cooperação com a Administração Pública e com a rede
de controle
Aprimorar o relacionamento com o Congresso Nacional
Parcerias
Intensificar a comunicação com a
sociedade
Induzir a administração
pública a divulgar informações de sua
gestão
Transparência
Facilitar a atuação do controle social
Promover a melhoria da governança no
TCU
Assegurar adequado suporte logístico às
necessidades do TCU
Assegurar recursos orçamentários para
modernização do TCU
Atuar de forma seletiva e sistêmica em áreas de risco e
relevância
Assegurar razoabilidade no
tempo de apreciação dos processos
Intensificar ações que promovam a melhoria da gestão de riscos e
de controles da Administração Pública
Aprimorar as ações de controle voltadas à
melhoria do desempenho da
Administração Pública
Governança e desempenho
Tempestividade e seletividade
MAPA ESTRATÉGICO
Otimizar o uso de TI na gestão do TCU
Intensificar e aprimorar o uso de TI nas ações de controle
Intensificar ações de controle para combate ao
desperdício de recursos públicos
Contribuir para melhoria da gestão e do
desempenho da Administração Pública
Contribuir para a transparência da
Administração Pública
Condenar efetiva e tempestivamente os
responsáveis por irregularidades e desvios
Coibir a ocorrência de fraudes e desvios de
recursos
Tribunal de Contas da União
Controlar a Administração Pública para promover seu aperfeiçoamento em benefício da sociedade
APRE
ND
IZA
DO
E
CON
HEC
IMEN
TOPR
OCE
SSO
S IN
TERN
OS
RESU
LTAD
OS
VISÃ
OO
RÇA
MEN
TO E
LO
GÍS
TICA
PRO
CESS
OS
INTE
RNO
SRE
SULT
ADO
S
Parcerias
Induzir a administração
pública a divulgar informações de sua
gestão
Transparência
Tempestividade e seletividade
MAPA ESTRATÉGICO
Intensificar ações que promovam a melhoria da gestão de riscos e
de controles da Administração Pública
Aprimorar as ações de controle voltadas
à melhoria do desempenho da Administração
Pública
Governança e desempenho
Intensificar ações de controle para
combate ao desperdício de
recursos públicos
Tribunal de Contas da UniãoPR
OCE
SSO
S IN
TERN
OS
PRO
CESS
OS
INTE
RNO
S
Atores relevantes
• Governante (alta administração)• Gestores• Auditoria interna• Controle Externo
Sociedade(principal)
ControleExterno
Dirig. máx.(Agente)
Gestorsubordinado
Gestorsubordinado
Gestorsubordinado
Gestorsubordinado
AuditoriaInterna
Ch. Poder(Agente)
Atores relevantes em Governança
14
Alta Administração
• A responsabilidade por aspectos específicos de recursos organizacionais pode ser delegada para os gerentes da organização. Entretanto, a prestação de contas (accountability) pelo uso desses recursos de forma efetiva, eficiente e aceitável na organização permanece com a alta administração e não pode ser delegada. (adaptado da NBR ISO/IEC 38.500)
Gestores
• “O gestor e a alta administração são responsáveis pelos processos de gestão de risco e controles da organização.” (IIA, IPPF, 2120-1)
15
Auditores x gestores
• Auditores são parte do modelo governamental de controle interno, mas eles não são responsáveis pela implementação dos procedimentos de controle numa organização. Este trabalho é específico do gestor. (INTOSAI -Padrões de Controle Interno, tradução livre)
16
17
Auditoria Interna
• A auditoria interna é uma atividade independente e objetiva que presta serviços de avaliação e de consultoria com o objetivo de adicionar valor e melhorar as operações de uma organização. A auditoria auxilia a organização a alcançar seus objetivos através de uma abordagem sistemática e disciplinada para a avaliação e melhoria da eficácia dos processos de gerenciamento de risco, controle e governança corporativa. (IIA IPPF, tradução livre)
18
Auditoria Interna
• A atividade de auditoria interna tem que avaliar a adequação e eficácia dos controles em resposta aos riscos relativos à governança da organização, operações e sistemas de informação, quanto à:– confiabilidade e integridade da informação financeira e
operacional;– eficiência e eficácia das operações;– salvaguarda dos ativos;– conformidade com as leis, regulamentos e contratos. (IIA IPPF,
Padrão 2130.A1, tradução livre)
Controle Externo
• À semelhança da auditoria interna, a função das Entidades de Fiscalização Superiores é avaliar a eficácia dos processos de governança, gestão e controles dos seus jurisdicionados. (INTOSAI ISSAI 9100 Governança)
Órgãos Governantes Superiores(OGS)
“Têm a responsabilidade por normatizar e fiscalizar o uso e a
gestão de TI em seus respectivos segmentos da
Administração Pública Federal” (Voto do Acórdão 1.145/2011-TCU-Plenário)
• AGU• CGU• CNJ• CNMP• Dest/MP• Enap/MP• GSI/PR• SLTI/MP• SOF/MP• STN/MF• Segep/MP
Sociedade
APF
Ações de controle
Situação de GovTI
Recomendações
Boas práticas
OGSTCU
Critérios de auditoria
Normatização, orientações, fiscalizações
(1)
(2)(4)
(6)
(3)
(5)
Mais e melhores serviços
Ratifica legitmidade
(7) (8)
21
Induzindo a mudança
Governança
Implementação/Aprimoramento do modelo de governança
Desgovernança
Alta Administração
(responsabilidade)
22
23
O que já fizemos
23
O que já fizemos (2007/2012)• Processos (223) • Fiscalizações (113)• Palestras ministradas (126)• Treinamentos ministrados (31)• Orientações Formais aos Gestores
– Cartilha de Boas Práticas em Segurança da Informação - 4ª edição
– Base de Normas e Jurisprudência de TI www.tcu.gov.br/fiscalizacaoti
24
O que já fizemos (2007-2012)• Notas Técnicas
1 – Termo de Referência 2 – Uso do Pregão3 – Credenciamento de licitantes pelos fabricantes4 – Amostra5 – Certificação para qualidade de processo de
software6 – Níveis de Serviço em Contratos de TI
Divulgação
26
28
Trabalhos mais relevantes
28
Trabalhos mais relevantesLevantamentos
29
30
Diagnóstico da APFLevantamento – GovTI 2012
ASPECTOS QUE DEMANDAM ATENÇÃO
45%
37%
31%
24%
23%
18%
17%
17%
16%
10%
Possui política de segurança da informação
Estabeleceu indicadores de desempenho de TI
Possui processo formalizado de gestão de contratos de TI
Inventaria os ativos de informação
Acompanha os indicadores de benefícios dos principais sistemas
Possui processo formal de planejamento das contratações de TI
Realiza gestão da continuidade dos serviços
Possui processo de classificação da informação
Realiza gestão de incidentes de seg. da informação
Realiza análise de risco
85%
81%
78%
78%
Realiza planejamento estratégico institucional
Utiliza os benefícios reais como critério para prorrogar o contrato
Realiza planejamento estratégico de TI
Designou Comitê de TI
Diagnóstico da APFLevantamento – GovTI 2012
ASPECTOS POSITIVOS
32
Diagnóstico da APF Levantamento – GovTI 2012
PRINCIPAIS EVOLUÇÕES 2007 – 2012
43%
53%
41%
32%
78%
80%
67%
50%
43%
47%
78%
85%
78%
78%
54%
54%
Possuem Carreira de TI
Planejamento Estratégico Institucional
Planejamento Estratégico de TI
Alta Administração designou Comitê de TI
Estabeleceu objetivos de desempenho de TI
Alta Administração responsabiliza-se pelas políticas de TI
2012 2010 2007
33
INSTITUIÇÕES x ESTÁGIOS DO iGovTI
Diagnóstico da APF Levantamento – GovTI
57%
34%
38%
50%
5%
16%
Perfil GovTI 2010
Perfil GovTI 2012
60 a 100%(aprimorado) 40 a 59%(intermediário) 0 a 39%(inicial)
34
Levantamento – GovTI 2012
R$ 100.000,00
R$ 1.000.000,00
R$ 10.000.000,00
R$ 100.000.000,00
R$ 1.000.000.000,00
R$ 10.000.000.000,00
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
Orça
mento
TI
2012
iGovTI2012
Governança de TI x Orçamento de TI
35
Levantamento – GovTI 2012
R$ 100.000,00
R$ 1.000.000,00
R$ 10.000.000,00
R$ 100.000.000,00
R$ 1.000.000.000,00
R$ 10.000.000.000,00
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
Orça
mento
TI
2012
iGovTI2012
Governança de TI x Orçamento de TI x Sistemas Críticos
Possui sistema críticoNão possui sistema crítico
Visão dos dirigentes máximos:51%: o negócio para em até uma semana
Trabalhos mais relevantesLevantamentos
36
Trabalhos mais relevantesLevantamentos (cont.)
37
ObservatórioSefti
Trabalhos mais relevantesAuditorias
38
39
Trabalhos mais relevantesAuditorias
Trabalhos mais relevantesOrientação/Divulgação
Manual de Auditoria de
Tecnologia da Informação
40
• Siconv• Auditoria para avaliar a economia, eficiência e
eficácia das empresas públicas prestadoras de serviços de TI (Acórdão 906/2009-P)
• Avaliação mensurável dos resultados da aplicação das boas práticas
• Avaliação das políticas públicas de TI
Trabalhos mais relevantesem andamento ou planejados
Resultados
91
Benefícios das ações de controle
• Financeiros: R$ 7,5 bilhões (2007-2012)– Relação custo/benefício: R$ 266 para R$ 1– Débitos, multas, economias e ganhos
• Benefícios não financeiros– melhorias na organização administrativa, nos
controles internos, na gestão de riscos, na governança e na forma de atuação dos órgãos fiscalizados;
– fornecimento de subsídios para a atuação do Ministério Público e do Congresso Nacional;
– recomendações para aprimoramento de normas.
92
Alguns Resultados• Judiciário
CNJ–Resolução 70, de 18.03.2009 –dispõe sobre o Planejamento e a Gestão Estratégica no âmbito do Poder Judiciário
CNJ–Resolução 99, de 24.11.2009 –dispõe sobre o Planejamento Estratégico de TI no âmbito do Judiciário
Resolução-CNMP 70/2011 – Criação do Comitê Estratégico de TI
• Executivo– GSI/PR–IN GSI/PR 01, de 13.06.2008 – disciplina a Gestão
de Segurança da Informação na APF– GSI/PR–7 Notas Complementares (entre outubro de 2008 e maio de 2010)
93
Alguns Resultados• Executivo MP–IN/SLTI 04/2008, de 19.05.2008 –dispõe sobre
processo de trabalho para contratações de TI MP–Portaria 63, de 27.03.2009 e Portaria nº 107 de
04.03.2010 –autorizam a realização de concurso público para provimento e a contratação de 230 Analistas de TI
MP–Indução da previsão e execução das despesas de TI no OGU (Acórdão 371/2008 –Plenário)
94
Estímulo ao desenvolvimento do marco normativo para governança de TI
• Ac 1603/2008-P, 2471/2008-P, 1233/2012-P
• Critérios gerais de controle interno, gestão de risco e governança na administração pública – PLS 229/2009 e subsídio para elaboração de normativo
Resumo
• Sobre a Sefti• Forma de atuação• O que já fizemos• Trabalhos mais relevantes• Resultados alcançados
96
Induzindo a mudança
Governança de TI
Implementação/Aprimoramento do modelo de governança
Desgovernança de TI
Alta Administração
(responsabilidade)
97
Avaliação do gestor (TMS 6/2010)
• É comum no Serviço Público a expressão "Sofremos fiscalização do TCU", após essa segunda auditoria, a primeira fora realizada no ano de 2007, posso dizer que a expressão contém imprecisão grande.
Avaliação do gestor (TMS 6/2010)
• A Divisão de Informática do Itamaraty não "sofreu" fiscalização, pois cada uma das observações serviu para o aprimoramento de nossos processos, sobretudo os de contratação, que já passaram por modificações extensas que culminarão em Pregão Eletrônico a ser realizado nesta segunda-feira 14 de fevereiro.
Avaliação do gestor (TMS 6/2010)
• Dessa maneira, a palavra "sofreu" que implica dizer que houve sofrimento da parte auditada, não é a mais adequada para descrever o processo ao qual nos submetemos. Ao contrário, as diversas reuniões com a equipe de auditores proporcionou ao Ministério momentos de aprendizado e aprimoramento de práticas únicos.
“A TI é o coração da Administração Pública, podendo fazê-la avançar ou
parar ”
Ministro Augusto Sherman
101
102
Grato pela atenção.
Missão da Sefti: “Assegurar que a tecnologia da informação agregue valor ao negócio da Administração
Pública em benefício da sociedade.”
http://www.tcu.gov.br/fiscalizacaotisefti@tcu.gov.br