7/25/2019 Governana Palestra Claudio Cruz
1/43
As ideias relacionadas neste trabalho so interpretaes do autor com base na legislao, doutrina e jurisprudncia; no hgarantia de que as instncias de controle (consultoria jurdica, controle interno e controle externo) adotem necessariamente essasposies; a fundamentao das ideias apresentadas um referencial para o posicionamento dos dirigentes.
Cludio Silva da CruzMSc, CGEIT, Auditor Federal de Controle Externo/TCU
E, 30/08 03/09/2010E, 30/08 03/09/2010E, 30/08 03/09/2010E, 30/08 03/09/2010
7/25/2019 Governana Palestra Claudio Cruz
2/43
22
7/25/2019 Governana Palestra Claudio Cruz
3/43
33
Congresso Nacional (1999-2000): solicitao deapurao de denncias de fraudes em contrataesde TI
TCU (2001-2002) Exame de informaes de mais de 79.000 contratos de TI Entre 1995 e 2000 foram gastos R$15 bilhes em TI por
inexigibilidade de licitao TI passou a ser foco de auditorias
Possvel origem do problema:
achar que TI no o negcio e que se pode terceirizar tudo:perda da capacidade de Governana de TI
7/25/2019 Governana Palestra Claudio Cruz
4/43
4
Problemas recorrentes nas contrataes deservios de TIEvoluo do nmero de deliberaes do TCU que se relacionam com contrataes de servios de
TI
0
100
200
300
400
500
600
1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009
Ano da deliberao
Quantidade
Evoluo do nmero de deliberaes do TCU relacionadas
com contrataes de servios de TI
7/25/2019 Governana Palestra Claudio Cruz
5/43
55
Ausncia de posse/domnio de seus sistemas ebases de dados: Acrdo 2.203/2005-Plenrio
Documentao tcnica e programas fontes no esto disponveis paraa Administrao Pblica e, por mais absurdo que possa parecer, elano tem acesso aos dados gerados por esses sistemas, a no ser da
forma como a dita empresa oferece. Ademais, atualmente impossvelpara a Administrao Pblica auditar esses dados, para verificar seso fidedignos ou buscar indcios de fraudes. A [contratada] condicionasua entrega, bem como da documentao tcnica dos sistemas,
assinatura de um Termo de Ajuste, objeto de pendncia judicial que searrasta h mais de um ano, numa verdadeira afronta soberanianacional.
E
7/25/2019 Governana Palestra Claudio Cruz
6/43
66
Completa dependncia tecnolgica:Acrdo 889/2007-Plenrio
Tal providncia, de insero nos contratos de manuteno a seremcelebrados, de clusula que possibilite a migrao dos dados, depropriedade do [ente pblico] para base de padro aberto reconhecida
por outros softwares, obviamente depende de negociao junto empresa [contratada] e do seu interesse em prestar o servio,especialmente se esse processo migratrio depender dosconhecimentos exclusivos dessa empresa sobre o sistema, ...
... no compartilhados por outras empresas ou profissionais de informtica.Tal providncia, em verdade, deveria ter sido adotada desde alicitao realizada para a aquisio do sistema, poca em que aindano havia qualquer dependncia do [ente pblico] junto ao fornecedor
da soluo pretendida.
E
7/25/2019 Governana Palestra Claudio Cruz
7/43
77
Aes paralelas, sem coordenao: TC022.059/2008-0
A deficincia da rea de governana de TI aparece tambm por conta dodesdobramento do projeto [...], oriundo de aditivo ao Contrato [...].
De acordo com a [Comisso], existe outro projeto em desenvolvimento[em outro setor do ente pblico], chamado Sistema [...], que teria a
mesma finalidade do projeto [acima].
Em reunio com a Assessoria [...], levantou-se que, embora haja certadiferena com relao abrangncia dos dois projetos, h uma
superposio entre os mesmos, com relao a finalidades e ainformaes que devem ser encaminhadas [...].
Registra-se que esta equipe de auditoria no chegou a avaliar acongruncia entre os dois projetos citados e outros atualmente emdesenvolvimento na instituio, e que podem tambm conter aesparalelas, como o Sistema [...] e o Sistema [...].
E
7/25/2019 Governana Palestra Claudio Cruz
8/43
88
Sistema contratado, pago, mas inservvel:TC 031.963/2008-0
O edital e o projeto bsico no possuam indicadores de qualidade, acordos denveis de servio ou parmetros de performance que permitisse que o [entepblico] atuasse junto contratada com relao a eventuais problemas defuncionamento.
O processo de homologao adotado pelo [ente pblico] durante odesenvolvimento do [sistema] estava focado basicamente na usabilidade (doponto de vista do usurio) e no aceite dos casos de uso individualmente,carecendo de um vis tcnico que permitisse a identificao antecipada deinconsistncias e problemas de funcionamento e performance para a soluo
integrada.
O produto entregue pela [contratada] apresentou problemas de funcionamento,os quais foram identificados desde 2004 e tambm apontados aps a entregada soluo completa em 2007. Os problemas de funcionamento foram tambm
identificados no treinamento dos multiplicadores (setembro/2006) e naimplantao piloto (julho/2007).
E
7/25/2019 Governana Palestra Claudio Cruz
9/43
99
Sistema contratado, pago, servvel, mas noimplantadoAcrdo 2.203/2005-Plenrio
Um exemplo real constatado nesta auditoria concernente faltade planejamento foi o desenvolvimento do sistema (...). Trata-
se de sistema desenvolvido entre 2000 e 2001 e que, at osdias atuais, no foi implantado, embora j tenham sidofeitos vrios testes satisfatrios e o gestor do negcioache de extrema relevncia (...) o problema da noimplantao do [sistema] est relacionado falta de infra-estrutura necessria que comporte a execuo desse sistema:infra-estrutura de rede, servidores ...
E
7/25/2019 Governana Palestra Claudio Cruz
10/43
1010
Ausncia de PCN (Plano de Continuidade doNegcio):TC 026.196/2007-9 e TC 026.200/2007-3
Convivendo com total falta de recursos ou planos decontingncia, a atual Diretoria [...] foi alarmada pela ocorrnciado dia 19/07/2005, quando uma falha nos equipamentos deprocessamento centralizado provocou a paralisao [daentidade] por mais de 20 horas, gerando danos imagem ecausando prejuzos financeiros instituio.(TC 026.196/2007-9)
Obteve-se a informao que, devido a um vrus, houve umaparalisao na rede [...] por mais de duas semanas, o quecomprova que o Plano de Contingncia [...] remetido [...] notem aplicabilidade efetiva.
(TC 026.200/2007-3)
E
7/25/2019 Governana Palestra Claudio Cruz
11/43
1111
? ...
... !
7/25/2019 Governana Palestra Claudio Cruz
12/43
1212
Se os resultados advm da estratgia de ao ...
... ento precisamos de gestores da estratgia de ao, pois,
quem faz a estratgia funcionar a rea de negcio e, no, area de TI.
Pessoas
Processos
Estratgia
ResultadosEficciaEficinciaEfetividadeEconomicidade
Tecnologias(p.ex., Tecnologia da Informao)
Pessoas
Processos
Estratgia
ResultadosEficciaEficinciaEfetividadeEconomicidade
Tecnologias(p.ex., Tecnologia da Informao)
7/25/2019 Governana Palestra Claudio Cruz
13/43
1313
Gestor de negcio (titular)
Papis do gestor do negciogestor de estratgia de negcio
gestor de pessoas alocadasgestor de processos de negciogestor de tecnologias aplicadas
Unidade de negcio(unidade gestora)
Nesse sentido, como anda a Governana de TI no setor pblico?
7/25/2019 Governana Palestra Claudio Cruz
14/43
1414
7/25/2019 Governana Palestra Claudio Cruz
15/43
15
Governo grande contratador de TI Em 2004, ~23% do mercado de outsourcing de TI(E-Consulting apud GONALVES; OLIVEIRA, 2004)
Em 2007, gastos com TI: R$ 6Bi(Ac1934/2007-P, primeira aproximao, sem detalhes)
Em 2010, TI gastar: (Fonte: SIDOR/DEST, 2010) R$ 6,1Bi no oramento fiscal e da seguridade social
R$ 6,4Bi em investimentos nas estatais/economia mista Total: R$ 12,5Bilhes
7/25/2019 Governana Palestra Claudio Cruz
16/43
16
Mas o que mais preocupa que a TI.Gov ...... implementa/controla/suporta (ou deveria) aexecuo do oramento da Unio:
R$ 1,86 TRILHO!!!
Temos Governana de TI para fazer isso?
7/25/2019 Governana Palestra Claudio Cruz
17/43
17
Estamos usando TI com eficcia, eficincia,efetividade e economicidade? Os resultados atuais do uso de TI so
satisfatrios ...... OU PODEMOS OBTER MUITO MAIS?
7/25/2019 Governana Palestra Claudio Cruz
18/43
18
C
E? ...
7/25/2019 Governana Palestra Claudio Cruz
19/43
19
...
/EC 38500
7/25/2019 Governana Palestra Claudio Cruz
20/43
20
A AB
B /EC 38500
7/25/2019 Governana Palestra Claudio Cruz
21/43
21
E B /EC 38500
B I/IEC 38500: E
,
I A :
E
...
7/25/2019 Governana Palestra Claudio Cruz
22/43
22
B B /EC 38500
G:
, I
I
C:
,
:
, , , , , , , .
D:
I
C A
C
I .
7/25/2019 Governana Palestra Claudio Cruz
23/43
23
I/IEC 38500: I:
E
A
D
C
C H
7/25/2019 Governana Palestra Claudio Cruz
24/43
24
I/IEC 38500: I:
I , .
I I ().
A I , , , ,
. A I
.
A I . A , .
A , I
.
AA
7/25/2019 Governana Palestra Claudio Cruz
25/43
25
AA
, , I, (AA)
:
I;
I ;
.
A
7/25/2019 Governana Palestra Claudio Cruz
26/43
26
B38500
D
suportados por
7/25/2019 Governana Palestra Claudio Cruz
27/43
27
E:A
7/25/2019 Governana Palestra Claudio Cruz
28/43
28
D. 2271/1997, . 2 A
, , ,
:
I ;
II
;
III
,
.
A
7/25/2019 Governana Palestra Claudio Cruz
29/43
29
A
Governana das contrataes de TI
AltaAdministrao
Jurdico rea deNegcio
(Requisitante)
Administrao(licitao, oramento...)
Direode TI
Gesto
Contratual
GestoTcnica
GestoAdministrativa
GestoNegocial
ControleInterno
B
Cliente-cidado
Resultados do contrato
(Plano de trabalho,
D2271, art. 2)
A1382/09
ControleExterno
Governana das contrataes de TI
AltaAdministrao
Jurdico rea deNegcio
(Requisitante)
Administrao(licitao, oramento...)
Direode TI
Gesto
Contratual
GestoTcnica
GestoAdministrativa
GestoNegocial
rea deNegcio
(Requisitante)
Administrao(licitao, oramento...)
Direode TI
rea deNegcio
(Requisitante)
Administrao(licitao, oramento...)
Direode TI
Gesto
Contratual
GestoTcnica
GestoAdministrativa
GestoNegocial
GestoTcnica
GestoAdministrativa
GestoNegocial
ControleInterno
B
Cliente-cidadoCliente-cidado
Resultados do contrato
(Plano de trabalho,
D2271, art. 2)
A1382/09
ControleExterno
7/25/2019 Governana Palestra Claudio Cruz
30/43
30
C:C ?
/2007
7/25/2019 Governana Palestra Claudio Cruz
31/43
31
Etapas do trabalho: Elaborao de questionrio (39 questes).
Identificao do pblico alvo (255 rgos/entidades daAPF).
Identificao dos responsveis pela resposta.
Utilizao de software para coleta das respostas. Resposta pesquisa (respostas declarativas, comanexao de evidncias).
Suporte ao processo de resposta dos questionrios.
Encerramento da pesquisa. Avaliao dos dados coletados.
/2007
BRAGA 2009
/2007
7/25/2019 Governana Palestra Claudio Cruz
32/43
32
Planejamento Estratgico Institucional
53%
47%Sim No
19% 81%
40%
60%
Relao entre Plano Estratgico Institucional ePlano Estratgico de TI (PETI):
PETI
/2007
BRAGA 2009
/2007
7/25/2019 Governana Palestra Claudio Cruz
33/43
33
Deficincias em Governana de TI
0% 20% 40% 60% 80% 100%
No aloca gastos de TI de acordo com planejamento (51%)
No adota processo de trabalho p/ contratao de TI (46%)
No h transferncia de conhecimento (57%)
No h planejamento estratgico em vigor (59%)
No segue metodologia de desenvolvimento sistemas (51%)
No efetuada gesto de nveis de servios (74%)
No foi realizada auditoria de TI nos ltimos 5 anos (60%)
No h carreiras especficas para TI (57%)
No h poltica de segurana de informao (64%)
No faz anlise de riscos de TI (75%)
No faz classificao da informao (80%)
No h plano de continuidade de negcios (88%)
/2007
BRAGA 2009
/2007
7/25/2019 Governana Palestra Claudio Cruz
34/43
34
0%
10%
20%
30%
40%
50%60%
70%
80%
90%
PCN(
88%)
gest
odemud
ana
s(88
%)
gest
odecapac
idade
(84%
)
classi
ficao
dainform
ao(
80%)
gern
ciade
incid
entes
(76%
)
anlis
ederiscos
deTI
(75%
)
reae
spec
ficapara
SI(6
4%)
PSI(6
4%)
proce
d.co
ntroleace
sso(4
8%)
Deficincias na segurana da informao
/2007
BRAGA 2009
/2007
7/25/2019 Governana Palestra Claudio Cruz
35/43
35
Principais recomendaes (Ac1603/2008-P): Implantar processo de planejamento institucional e de TI Criao do comit de TI Prover/manter quadro de servidores de TI adequado Implantar processo de contratao de TI Implantar poltica e processo de segurana da informao Implantar processo de gesto de servios
Implantar processo de software Implantar processo de auditoria de TI Implantar gesto oramentria de TI, alinhada com
negcio
/2007
BRAGA 2009
7/25/2019 Governana Palestra Claudio Cruz
36/43
36
, ?
/2010
7/25/2019 Governana Palestra Claudio Cruz
37/43
37
/2010
Principais objetivos: Criar processo de mensurao peridico de Governana
de TI Fornecer feedback aos gestores, sugerindo onde
melhorar Identificar os melhores e piores casos e estud-los Subsidiar as fiscalizaes em campo
7/25/2019 Governana Palestra Claudio Cruz
38/43
38
,
AF
*Orgos governantes:- rgo central do SISP (SLTI) e setoriais (SEs)- DG/Cmara, CD/Senado, Segedam/TCU- Conselhos superiores (CNMP, CNJ, CNJT, CJF, CATI/MCT etc.)- GSI/PR, Sepin/MCT- Departamento de Coordenao e Controle das Empresas Estatais -DEST/MP
Base DWGovTI
fontes
A
( ) Instituies deensino epesquisa
D
K
JurisdicionadosAlta Administrao
Comit de TIGestores de TI
A +
rgosgovernantes
A..+.
TCU E DC
CongressoNacionalA..+.
ControleInterno
A
+
TCU e CN
rgosgovernantes*C
RefernciasAcademia
Organiz.Audit.
F
,
AF
*Orgos governantes:- rgo central do SISP (SLTI) e setoriais (SEs)- DG/Cmara, CD/Senado, Segedam/TCU- Conselhos superiores (CNMP, CNJ, CNJT, CJF, CATI/MCT etc.)- GSI/PR, Sepin/MCT- Departamento de Coordenao e Controle das Empresas Estatais -DEST/MP
Base DWGovTI
fontes
A
( ) Instituies deensino epesquisa
D
K
Instituies deensino epesquisa
D
K
JurisdicionadosAlta Administrao
Comit de TIGestores de TI
A +
JurisdicionadosAlta Administrao
Comit de TIGestores de TI
A +
rgosgovernantes
A..+.
rgosgovernantes
A..+.
TCU E DC TCU
E DC
CongressoNacionalA..+. CongressoNacionalA..+.
ControleInterno
A
+
ControleInterno
A
+
TCU e CN TCU e CN
rgosgovernantes*C rgosgovernantes*C
RefernciasAcademia
Organiz.Audit.
F
C 2010 E
7/25/2019 Governana Palestra Claudio Cruz
39/43
39
C 2010 E
Vindas do TCU: (Ac786/2006-P, Ac1603 e 2471/2008-P) Governana pela Alta Administrao Suporte de TI s principais aes oramentrias Pessoal para gesto de TI
Processos (Segurana da Informao/Software/Projetos/Gesto de servios/Contrataes)
Vindas do Min. Planej., Or. e Gesto Pessoal (cargos, funes, capacitao) Estrutura de governana Comits de TI Gespblica
Vindas das normas/frameworks NBR 38500 Responsabilidade da Alta Administrao Cobit, ITIL, NBR 27002, NBR 15504
(D 5.378/2005)
7/25/2019 Governana Palestra Claudio Cruz
40/43
40
(D 5.378/2005)
C 2010
7/25/2019 Governana Palestra Claudio Cruz
41/43
41
Perfil GovTI 2010 Base DW GovTI disponvel para consultas
Dados do questionrio
Dados de outras fontes (SIDOR, SIAFI etc.) Recomendaes:
Jurisdicionados rgos Governantes de TI (normas) Controle Interno (verificao de controles)
Instituies de Ensino e Pesquisa Relatrio ao Congresso Nacional
7/25/2019 Governana Palestra Claudio Cruz
42/43
42
Apreciao pelo TCU prevista para 08SET Maioria das instituies pblicas ainda est
abaixo no nvel mnimo de governana de TI
Melhorias comeam a ser sentidas em doisaspectos: Melhoria na percepo da Alta Administrao
quanto a seu papel na Governana de TI Melhoria do quadro de pessoal (quantidade e
qualidade) Auditorias de governana de TI serointensificadas
7/25/2019 Governana Palestra Claudio Cruz
43/43
A !
Cludio [email protected]
Top Related