O Papel da Alta Administração na Governança de TI
description
Transcript of O Papel da Alta Administração na Governança de TI
Ciclo de palestras 2011:Tecnologia da Informação – Controle Externo em ação
Brasília, 04 de agosto de 2011
Ministro-Substituto Augusto Sherman
O Papel da Alta Administração na Governança de TI
Agenda
Consequências da falta de governança de TI
Governança de TI: como começar?
2
Governança, Gestão e Auditoria Interna
Quanto a Administração Pública Federal (e o cidadão) dependem de TI hoje?
O que ocorreria se falhassem, por exemplo, os sistemas que controlam ... ... o recebimento do IRPF? ... o pagamento do Bolsa Família? ... o pagamento de aposentadorias? ... os processos judiciais? ... as sessões do Congresso Nacional? ... as publicações da Imprensa Nacional?
3
Deveríamos cuidar melhor da tecnologia da informação na
Administração Pública Federal?
E quando não cuidamos...
4
O que pode ocorrer com os 97% que NÃO possuem plano de continuidade de negócio em vigor?
Acórdão 172/2008-2ª Câmara
e
Acórdão 1.330/2008-Plenário
5
Acórdãos 172/2008-2ªC e 1330/2008-P
Situação:
• Ausência de Plano de Continuidade do Negócio• Falta/deficiência de recursos ou planos de
contingência
6
Acórdãos 172/2008-2ªC e 1330/2008-P
Consequência:• Desconhecimento de ameaças e seus impactos• Falha nos equipamentos de processamento
centralizado provocou (Ac. 172/08):• Paralisação do Banco (inst. financeira) por mais de 20h• Danos à imagem• Prejuízos financeiros
• Vírus gerou paralisação da rede por mais de duas semanas (Ac. 1330/08)
7
O que pode ocorrer com os 53% que NÃO têm processo de software ao menos gerenciado
(nível 2 da NBR 15.504)?
TC-031.963/2008-0
8
TC 031.963/2008-0
Situação:• Edital e projeto básico não possuíam indicadores
de qualidade e desempenho (níveis de serviço ou parâmetros de performance)
• Processo de homologação do produto sem viés técnico e sem verificar a solução de TI em sua integralidade
• Homologação focada só na usabilidade (ponto de vista do usuário)• Homologação focada no aceite de casos de uso individual
(ausência de testes integrais)
9
TC 031.963/2008-0
Consequência:
• Dificuldade na identificação antecipada de inconsistências e problemas de funcionamento e performance para a solução integrada
• Dificuldade do ente público em atuar corretivamente junto à contratada
• Impossibilitando a correção dos problemas de funcionamento
10
TC 031.963/2008-0
Consequência:• Produto apresentou problemas de 2004 a 2007
(momento da entrega da solução completa)• Procedimento de homologação não garantiu a
qualidade do produto e não logrou exigir correções pela contratada
• Não implantação do sistema, apesar de ter sido homologado e pago
11
O que pode ocorrer com os 63% que NÃO aprovam e publicam PDTI interna ou externamente?
Acórdão 2.023/2005-Plenário
12
Acórdão 2.023/2005-Plenário
Situação:
• Planejamento deficiente
Consequência:
• Desenvolvimento de sistema em 2000/2001, o qual é considerado relevante e passou pelos testes
• Ausência de infra-estrutura necessária à execução do sistema (infra-est. de rede/servidores/equipamentos)
• Sistema não implantado até 2005
13
O que pode ocorrer com os 65% que NÃO possuem política corporativa de
segurança da informação?
Acórdão 71/2007-Plenário
14
Acórdão 71/2007-Plenário
Situação:
• Sistema de âmbito nacional com informações confidenciais e relevantes dos cidadãos
• Minuta de Política de Segurança da Informação (PSI) desatualizada e não formalmente aprovada
• Política de Controle de Acesso deficiente
15
Acórdão 71/2007-Plenário
Consequência:
• Dificuldade na identificação de responsabilidades quanto aos assuntos de segurança da informação
• Grande vulnerabilidade do sistema• Vazamento e mau uso de informações privadas e
confidenciais dos cidadãos
16
Agenda
Consequências da falta de governança de TI
Governança de TI: como começar?
17
Governança, Gestão e Auditoria Interna
18
Governança corporativa
“O sistema [normas, diretrizes, políticas, processos, estruturas] pelo qual as organizações são dirigidas e controladas.”
(NBR 38.500, item 1.6.2)
19
Gerenciamento (gestão)
“O sistema de controles e processos necessário para alcançar os objetivos estratégicos estabelecidos pela direção da organização.
O gerenciamento está sujeito às diretrizes, às políticas e ao monitoramento estabelecidos pela governança corporativa.”
(NBR 38.500, item 1.6.9)
20
Governança corporativa de TI
“O sistema [normas, diretrizes, políticas, processos, estruturas] pelo qual o uso atual e futuro da TI é dirigido e controlado.”
(NBR 38.500, item 1.6.3)
Papel do gestor e da Alta Administração
“O gestor e a alta administração são responsáveis pelos processos de gestão de risco e controles da organização.”
(IIA, IPPF, 2120-1)
21
Papel da auditoria interna
“A auditoria auxilia a organização a alcançar seus objetivos por meio de uma abordagem sistemática e disciplinada para a avaliação e [indução da] melhoria da eficácia dos processos de gerenciamento de risco, controle e governança corporativa.”
(IIA, IPPF, Definição de Auditoria Interna)
22
Agenda
Consequências da falta de governança de TI
Governança de TI: como começar?
23
Governança, Gestão e Auditoria Interna
Papel da Alta AdministraçãoBaseado na NBR 38.500, governar a TI é ...
Responsabilidade
Estratégia
Aquisição
Desempenho
Conformidade
Comportamento Humano
Avaliar
Dirigir
Monitorar
24
A primeira pergunta:
Conheço a situação de GovTI da minha
organização?
25
Primeiro pensamento...
Preciso de um diagnóstico!
26
Um diagnóstico já existe ...
A Alta Administração da APF recebeu o resultado (inclusive comparativo)
contido no Acórdão 2.308/2010-TCU-Plenário.
27
A partir desse diagnóstico, o que a Alta Administração
já pode fazer?
Uma sugestão está presente noAcórdão 2.308/2010-TCU-Plenário
28
Acórdão 2.308/2010-TCU-Plenário
Orientar a alta administração a estabelecer formalmente: os objetivos institucionais de TI alinhados às
estratégias de negócio (dirigir) os indicadores para cada objetivo (dirigir) as metas para cada indicador (dirigir) os mecanismos que a alta administração adotará para
acompanhar o desempenho da TI da instituição (monitorar)
29
Passo 1: Aprovar um Plano Estratégico InstitucionalO que é?
Negócio, missão, visão, valores Objetivos, indicadores, metas do negócio Iniciativas estratégias Desdobramento Divulgação
Por quê? Princípio da eficiência (CF) Decreto-Lei 200/1967, art. 6º, inciso I Decreto 5.378/2005 (Programa Gespública) Resolução 70/2009-CNJ
30
Passo 1: Aprovar um Plano Estratégico Institucional
Como? Envolvendo as várias áreas de negócio da organização Observando as competências legais Observando as diretrizes de governo/OGS Documento formal aprovado pela mais alta autoridade
Onde obter ajuda: 79% dos pesquisados declararam que fazem (Acórdão
2.308/2010-TCU-Plenário)
Enap possui treinamento regular C3S (SISP)
31
Passo 2: Aprovar um Plano Estratégico de TI
O que é? Conteúdo semelhante ao PEI (objetivos, indicadores, metas da TI,
iniciativas estratégias, desdobramento, divulgação) e mais... Alocação de recursos (financeiros, humanos, materiais
etc) Estratégia de terceirização
Por quê? Princípio da eficiência (CF) Decreto-Lei 200/1967, art. 6º, inciso I IN 04/2010-SLTI, art. 4º Resolução 90/2009-CNJ, art. 11
32
Passo 2: Aprovar um Plano Estratégico de TI
Como? Alinhamento (TI ao negócio) Documento formal aprovado pela mais alta autoridade É da organização, e não da área de TI
Onde obter ajuda: 37% dos pesquisados declararam que fazem (Acórdão
2.308/2010-TCU-Plenário)
Enap possui treinamento regular C3S (SISP)
33
Passo 3: Criar um comitê de TI
O que é? Instância (consultiva ou deliberativa) de apoio à alta
administração
Por quê? Princípio da eficiência (CF)
Cobit 4.1, PO4.2 - Comitê estratégico de TI Cobit 4.1, PO4.3 - Comitê diretor de TI
Resolução 7/2010-SISP (EGTI 2010-2011) Iniciativa Estratégica 12
Resolução 90/2009-CNJ, art. 12
34
Passo 3: Criar um comitê de TI
Como? Envolvendo as várias áreas do negócio e a TI Documento “Diretrizes do Sisp para criação de comitês
de TI” (www.sisp.gov.br)
Onde obter ajuda: 32% dos pesquisados declararam que têm (Acórdão
2.308/2010-TCU-Plenário)
C3S (SISP)
35
Passo 4: Utilizar a auditoria interna (AI)
O que é? “A auditoria auxilia a organização a alcançar seus
objetivos por meio de uma abordagem sistemática e disciplinada para a avaliação e [indução da] melhoria da eficácia dos processos de gerenciamento de risco, controle e governança corporativa.” (Definição de AI, do IIA)
Por quê? Decreto 3.591/2001,art. 17 IN 63/2010-TCU, art.1º, inciso XI Boas práticas (IIA, IPPF)
36
Passo 4: Utilizar a auditoria interna (AI)
Como? Normas do IIA
Onde obter ajuda: 10% dos pesquisados declararam que fazem auditoria
de governança de TI (Acórdão 2.308/2010-TCU-Plenário)
Cursos do TCU/Sefti (IATI, Avaliação de Controles Gerais de TI etc)
37
Passo 5: Monitorar os resultados
O que é? Acompanhar os indicadores Analisar riscos (com base no impacto no negócio) Priorizar ações Acompanhar ações críticas
Por quê? Decreto-Lei 200/1967, art. 6º, inciso V Boas práticas (Cobit, domínio ME – Monitorar e avaliar)
38
Passo 5: Monitorar os resultados
Como? Utilizando as informações apresentadas pelo Comitê de
TI e pela Auditoria Interna Pressupostos:
Assegurar o bom funcionamento do Comitê de TI , não o deixando existir “só no papel”
Assegurar o bom funcionamento da Auditoria Interna
Onde obter ajuda: 23% dos pesquisados declararam que fazem (Acórdão
2.308/2010-TCU-Plenário)
39
Passo inicial: Obter, capacitar e valorizar recursos humanos
40
Recursos humanos
“91.Todavia, deve-se ressaltar que esses resultados somente serão plenamente alcançados se os órgãos e entidades da Administração Pública estiverem preparados para executar as atividades estratégicas de planejar, definir, especificar, supervisionar e controlar a operação de seus setores de informática de maneira independente das empresas prestadoras de serviço.”
(excerto do voto condutor do Acórdão 786/2006-TCU-Plenário)
41
Como vimos, encontra-se dentro da própria APF boa parte das soluções para os problemas de governança
de TI!
42
Em resumo...
Passo inicial: Obter, capacitar e valorizar recursos humanos
Passo 1: Aprovar um Plano Estratégico InstitucionalPasso 2: Aprovar um Plano Estratégico de TIPasso 3: Criar um comitê de TIPasso 4: Utilizar a auditoria interna (AI)Passo 5: Monitorar os resultados
43
Governar a TI é ação da Alta Administração, e não da área de TI.
44
A alta administração governa a TI para ...
Apoiar o alcance dos resultados da organização, legitimando-a ante à sociedade
Identificar e mitigar os riscos, diminuindo, entre outros, o risco de exposição da imagem
Gerir os recursos públicos de forma responsável, corrigindo rumos quando necessário
Aproveitar as oportunidades que a TI proporciona para melhorar os serviços prestados à sociedade
45
... e para evitar que aconteça ...
46
Reportagemna TV
Ciclo de palestras 2011:Tecnologia da Informação – Controle Externo em ação
Brasília, 04 de agosto de 2011
Ministro-Substituto Augusto Sherman
O Papel da Alta Administração na Governança de TI