Governança Palestra Claudio Cruz

7/25/2019 Governana Palestra Claudio Cruz

1/43

As ideias relacionadas neste trabalho so interpretaes do autor com base na legislao, doutrina e jurisprudncia; no hgarantia de que as instncias de controle (consultoria jurdica, controle interno e controle externo) adotem necessariamente essasposies; a fundamentao das ideias apresentadas um referencial para o posicionamento dos dirigentes.

Cludio Silva da CruzMSc, CGEIT, Auditor Federal de Controle Externo/TCU

E, 30/08 03/09/2010E, 30/08 03/09/2010E, 30/08 03/09/2010E, 30/08 03/09/2010


2/43

22


3/43

33

Congresso Nacional (1999-2000): solicitao deapurao de denncias de fraudes em contrataesde TI

TCU (2001-2002) Exame de informaes de mais de 79.000 contratos de TI Entre 1995 e 2000 foram gastos R$15 bilhes em TI por

inexigibilidade de licitao TI passou a ser foco de auditorias

Possvel origem do problema:

achar que TI no o negcio e que se pode terceirizar tudo:perda da capacidade de Governana de TI


4/43

4

Problemas recorrentes nas contrataes deservios de TIEvoluo do nmero de deliberaes do TCU que se relacionam com contrataes de servios de

TI

0

100

200

300

400

500

600

1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009

Ano da deliberao

Quantidade

Evoluo do nmero de deliberaes do TCU relacionadas

com contrataes de servios de TI


5/43

55

Ausncia de posse/domnio de seus sistemas ebases de dados: Acrdo 2.203/2005-Plenrio

Documentao tcnica e programas fontes no esto disponveis paraa Administrao Pblica e, por mais absurdo que possa parecer, elano tem acesso aos dados gerados por esses sistemas, a no ser da

forma como a dita empresa oferece. Ademais, atualmente impossvelpara a Administrao Pblica auditar esses dados, para verificar seso fidedignos ou buscar indcios de fraudes. A [contratada] condicionasua entrega, bem como da documentao tcnica dos sistemas,

assinatura de um Termo de Ajuste, objeto de pendncia judicial que searrasta h mais de um ano, numa verdadeira afronta soberanianacional.

E


6/43

66

Completa dependncia tecnolgica:Acrdo 889/2007-Plenrio

Tal providncia, de insero nos contratos de manuteno a seremcelebrados, de clusula que possibilite a migrao dos dados, depropriedade do [ente pblico] para base de padro aberto reconhecida

por outros softwares, obviamente depende de negociao junto empresa [contratada] e do seu interesse em prestar o servio,especialmente se esse processo migratrio depender dosconhecimentos exclusivos dessa empresa sobre o sistema, ...

... no compartilhados por outras empresas ou profissionais de informtica.Tal providncia, em verdade, deveria ter sido adotada desde alicitao realizada para a aquisio do sistema, poca em que aindano havia qualquer dependncia do [ente pblico] junto ao fornecedor

da soluo pretendida.

E


7/43

77

Aes paralelas, sem coordenao: TC022.059/2008-0

A deficincia da rea de governana de TI aparece tambm por conta dodesdobramento do projeto [...], oriundo de aditivo ao Contrato [...].

De acordo com a [Comisso], existe outro projeto em desenvolvimento[em outro setor do ente pblico], chamado Sistema [...], que teria a

mesma finalidade do projeto [acima].

Em reunio com a Assessoria [...], levantou-se que, embora haja certadiferena com relao abrangncia dos dois projetos, h uma

superposio entre os mesmos, com relao a finalidades e ainformaes que devem ser encaminhadas [...].

Registra-se que esta equipe de auditoria no chegou a avaliar acongruncia entre os dois projetos citados e outros atualmente emdesenvolvimento na instituio, e que podem tambm conter aesparalelas, como o Sistema [...] e o Sistema [...].

E


8/43

88

Sistema contratado, pago, mas inservvel:TC 031.963/2008-0

O edital e o projeto bsico no possuam indicadores de qualidade, acordos denveis de servio ou parmetros de performance que permitisse que o [entepblico] atuasse junto contratada com relao a eventuais problemas defuncionamento.

O processo de homologao adotado pelo [ente pblico] durante odesenvolvimento do [sistema] estava focado basicamente na usabilidade (doponto de vista do usurio) e no aceite dos casos de uso individualmente,carecendo de um vis tcnico que permitisse a identificao antecipada deinconsistncias e problemas de funcionamento e performance para a soluo

integrada.

O produto entregue pela [contratada] apresentou problemas de funcionamento,os quais foram identificados desde 2004 e tambm apontados aps a entregada soluo completa em 2007. Os problemas de funcionamento foram tambm

identificados no treinamento dos multiplicadores (setembro/2006) e naimplantao piloto (julho/2007).

E


9/43

99

Sistema contratado, pago, servvel, mas noimplantadoAcrdo 2.203/2005-Plenrio

Um exemplo real constatado nesta auditoria concernente faltade planejamento foi o desenvolvimento do sistema (...). Trata-

se de sistema desenvolvido entre 2000 e 2001 e que, at osdias atuais, no foi implantado, embora j tenham sidofeitos vrios testes satisfatrios e o gestor do negcioache de extrema relevncia (...) o problema da noimplantao do [sistema] est relacionado falta de infra-estrutura necessria que comporte a execuo desse sistema:infra-estrutura de rede, servidores ...

E


10/43

1010

Ausncia de PCN (Plano de Continuidade doNegcio):TC 026.196/2007-9 e TC 026.200/2007-3

Convivendo com total falta de recursos ou planos decontingncia, a atual Diretoria [...] foi alarmada pela ocorrnciado dia 19/07/2005, quando uma falha nos equipamentos deprocessamento centralizado provocou a paralisao [daentidade] por mais de 20 horas, gerando danos imagem ecausando prejuzos financeiros instituio.(TC 026.196/2007-9)

Obteve-se a informao que, devido a um vrus, houve umaparalisao na rede [...] por mais de duas semanas, o quecomprova que o Plano de Contingncia [...] remetido [...] notem aplicabilidade efetiva.

(TC 026.200/2007-3)

E


11/43

1111

? ...

... !


12/43

1212

Se os resultados advm da estratgia de ao ...

... ento precisamos de gestores da estratgia de ao, pois,

quem faz a estratgia funcionar a rea de negcio e, no, area de TI.

Pessoas

Processos

Estratgia

ResultadosEficciaEficinciaEfetividadeEconomicidade

Tecnologias(p.ex., Tecnologia da Informao)

Pessoas

Processos

Estratgia

ResultadosEficciaEficinciaEfetividadeEconomicidade

Tecnologias(p.ex., Tecnologia da Informao)


13/43

1313

Gestor de negcio (titular)

Papis do gestor do negciogestor de estratgia de negcio

gestor de pessoas alocadasgestor de processos de negciogestor de tecnologias aplicadas

Unidade de negcio(unidade gestora)

Nesse sentido, como anda a Governana de TI no setor pblico?


14/43

1414


15/43

15

Governo grande contratador de TI Em 2004, ~23% do mercado de outsourcing de TI(E-Consulting apud GONALVES; OLIVEIRA, 2004)

Em 2007, gastos com TI: R$ 6Bi(Ac1934/2007-P, primeira aproximao, sem detalhes)

Em 2010, TI gastar: (Fonte: SIDOR/DEST, 2010) R$ 6,1Bi no oramento fiscal e da seguridade social

R$ 6,4Bi em investimentos nas estatais/economia mista Total: R$ 12,5Bilhes


16/43

16

Mas o que mais preocupa que a TI.Gov ...... implementa/controla/suporta (ou deveria) aexecuo do oramento da Unio:

R$ 1,86 TRILHO!!!

Temos Governana de TI para fazer isso?


17/43

17

Estamos usando TI com eficcia, eficincia,efetividade e economicidade? Os resultados atuais do uso de TI so

satisfatrios ...... OU PODEMOS OBTER MUITO MAIS?


18/43

18

C

E? ...


19/43

19

...

/EC 38500


20/43

20

A AB

B /EC 38500


21/43

21

E B /EC 38500

B I/IEC 38500: E

,

I A :

E

...


22/43

22

B B /EC 38500

G:

, I

I

C:

,

:

, , , , , , , .

D:

I

C A

C

I .


23/43

23

I/IEC 38500: I:

E

A

D

C

C H


24/43

24

I/IEC 38500: I:

I , .

I I ().

A I , , , ,

. A I

.

A I . A , .

A , I

.

AA


25/43

25

AA

, , I, (AA)

:

I;

I ;

.

A


26/43

26

B38500

D

suportados por


27/43

27

E:A


28/43

28

D. 2271/1997, . 2 A

, , ,

:

I ;

II

;

III

,

.

A


29/43

29

A

Governana das contrataes de TI

AltaAdministrao

Jurdico rea deNegcio

(Requisitante)

Administrao(licitao, oramento...)

Direode TI

Gesto

Contratual

GestoTcnica

GestoAdministrativa

GestoNegocial

ControleInterno

B

Cliente-cidado

Resultados do contrato

(Plano de trabalho,

D2271, art. 2)

A1382/09

ControleExterno

Governana das contrataes de TI

AltaAdministrao

Jurdico rea deNegcio

(Requisitante)


Direode TI

Gesto

Contratual

GestoTcnica

GestoAdministrativa

GestoNegocial

rea deNegcio

(Requisitante)


Direode TI

rea deNegcio

(Requisitante)


Direode TI

Gesto

Contratual

GestoTcnica

GestoAdministrativa

GestoNegocial

GestoTcnica

GestoAdministrativa

GestoNegocial

ControleInterno

B

Cliente-cidadoCliente-cidado

Resultados do contrato

(Plano de trabalho,

D2271, art. 2)

A1382/09

ControleExterno


30/43

30

C:C ?

/2007


31/43

31

Etapas do trabalho: Elaborao de questionrio (39 questes).

Identificao do pblico alvo (255 rgos/entidades daAPF).

Identificao dos responsveis pela resposta.

Utilizao de software para coleta das respostas. Resposta pesquisa (respostas declarativas, comanexao de evidncias).

Suporte ao processo de resposta dos questionrios.

Encerramento da pesquisa. Avaliao dos dados coletados.

/2007

BRAGA 2009

/2007


32/43

32

Planejamento Estratgico Institucional

53%

47%Sim No

19% 81%

40%

60%

Relao entre Plano Estratgico Institucional ePlano Estratgico de TI (PETI):

PETI

/2007

BRAGA 2009

/2007


33/43

33

Deficincias em Governana de TI

0% 20% 40% 60% 80% 100%

No aloca gastos de TI de acordo com planejamento (51%)

No adota processo de trabalho p/ contratao de TI (46%)

No h transferncia de conhecimento (57%)

No h planejamento estratgico em vigor (59%)

No segue metodologia de desenvolvimento sistemas (51%)

No efetuada gesto de nveis de servios (74%)

No foi realizada auditoria de TI nos ltimos 5 anos (60%)

No h carreiras especficas para TI (57%)

No h poltica de segurana de informao (64%)

No faz anlise de riscos de TI (75%)

No faz classificao da informao (80%)

No h plano de continuidade de negcios (88%)

/2007

BRAGA 2009

/2007


34/43

34

0%

10%

20%

30%

40%

50%60%

70%

80%

90%

PCN(

88%)

gest

odemud

ana

s(88

%)

gest

odecapac

idade

(84%

)

classi

ficao

dainform

ao(

80%)

gern

ciade

incid

entes

(76%

)

anlis

ederiscos

deTI

(75%

)

reae

spec

ficapara

SI(6

4%)

PSI(6

4%)

proce

d.co

ntroleace

sso(4

8%)

Deficincias na segurana da informao

/2007

BRAGA 2009

/2007


35/43

35

Principais recomendaes (Ac1603/2008-P): Implantar processo de planejamento institucional e de TI Criao do comit de TI Prover/manter quadro de servidores de TI adequado Implantar processo de contratao de TI Implantar poltica e processo de segurana da informao Implantar processo de gesto de servios

Implantar processo de software Implantar processo de auditoria de TI Implantar gesto oramentria de TI, alinhada com

negcio

/2007

BRAGA 2009


36/43

36

, ?

/2010


37/43

37

/2010

Principais objetivos: Criar processo de mensurao peridico de Governana

de TI Fornecer feedback aos gestores, sugerindo onde

melhorar Identificar os melhores e piores casos e estud-los Subsidiar as fiscalizaes em campo


38/43

38

,

AF

*Orgos governantes:- rgo central do SISP (SLTI) e setoriais (SEs)- DG/Cmara, CD/Senado, Segedam/TCU- Conselhos superiores (CNMP, CNJ, CNJT, CJF, CATI/MCT etc.)- GSI/PR, Sepin/MCT- Departamento de Coordenao e Controle das Empresas Estatais -DEST/MP

Base DWGovTI

fontes

A

( ) Instituies deensino epesquisa

D

K

JurisdicionadosAlta Administrao

Comit de TIGestores de TI

A +

rgosgovernantes

A..+.

TCU E DC

CongressoNacionalA..+.

ControleInterno

A

+

TCU e CN

rgosgovernantes*C

RefernciasAcademia

Organiz.Audit.

F

,

AF

*Orgos governantes:- rgo central do SISP (SLTI) e setoriais (SEs)- DG/Cmara, CD/Senado, Segedam/TCU- Conselhos superiores (CNMP, CNJ, CNJT, CJF, CATI/MCT etc.)- GSI/PR, Sepin/MCT- Departamento de Coordenao e Controle das Empresas Estatais -DEST/MP

Base DWGovTI

fontes

A

( ) Instituies deensino epesquisa

D

K

Instituies deensino epesquisa

D

K



A +



A +

rgosgovernantes

A..+.

rgosgovernantes

A..+.

TCU E DC TCU

E DC

CongressoNacionalA..+. CongressoNacionalA..+.

ControleInterno

A

+

ControleInterno

A

+

TCU e CN TCU e CN

rgosgovernantes*C rgosgovernantes*C

RefernciasAcademia

Organiz.Audit.

F

C 2010 E


39/43

39

C 2010 E

Vindas do TCU: (Ac786/2006-P, Ac1603 e 2471/2008-P) Governana pela Alta Administrao Suporte de TI s principais aes oramentrias Pessoal para gesto de TI

Processos (Segurana da Informao/Software/Projetos/Gesto de servios/Contrataes)

Vindas do Min. Planej., Or. e Gesto Pessoal (cargos, funes, capacitao) Estrutura de governana Comits de TI Gespblica

Vindas das normas/frameworks NBR 38500 Responsabilidade da Alta Administrao Cobit, ITIL, NBR 27002, NBR 15504

(D 5.378/2005)


40/43

40

(D 5.378/2005)

C 2010


41/43

41

Perfil GovTI 2010 Base DW GovTI disponvel para consultas

Dados do questionrio

Dados de outras fontes (SIDOR, SIAFI etc.) Recomendaes:

Jurisdicionados rgos Governantes de TI (normas) Controle Interno (verificao de controles)

Instituies de Ensino e Pesquisa Relatrio ao Congresso Nacional


42/43

42

Apreciao pelo TCU prevista para 08SET Maioria das instituies pblicas ainda est

abaixo no nvel mnimo de governana de TI

Melhorias comeam a ser sentidas em doisaspectos: Melhoria na percepo da Alta Administrao

quanto a seu papel na Governana de TI Melhoria do quadro de pessoal (quantidade e

qualidade) Auditorias de governana de TI serointensificadas


43/43

A !

Cludio [email protected]

Documents

Governança Palestra Claudio Cruz