1 / 47

O Papel da Alta Administração na Governança de TI

O Papel da Alta Administração na Governança de TI. Ciclo de palestras 2011: Tecnologia da Informação – Controle Externo em ação. Ministro-Substituto Augusto Sherman. Brasília, 04 de agosto de 2011. Agenda. Consequências da falta de governança de TI. Governança, Gestão e Auditoria Interna.

bowen
Download Presentation

O Papel da Alta Administração na Governança de TI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. O Papel da Alta Administração na Governança de TI Ciclo de palestras 2011:Tecnologia da Informação – Controle Externo em ação Ministro-Substituto Augusto Sherman Brasília, 04 de agosto de 2011

  2. Agenda • Consequências da falta de governança de TI • Governança, Gestão e Auditoria Interna • Governança de TI: como começar?

  3. Quanto a Administração Pública Federal (e o cidadão) dependem de TI hoje? • O que ocorreria se falhassem, por exemplo, os sistemas que controlam ... • ... o recebimento do IRPF? • ... o pagamento do Bolsa Família? • ... o pagamento de aposentadorias? • ... os processos judiciais? • ... as sessões do Congresso Nacional? • ... as publicações da Imprensa Nacional?

  4. Deveríamos cuidar melhor da tecnologia da informação na Administração Pública Federal? E quando não cuidamos...

  5. O que pode ocorrer com os 97% que NÃO possuem plano de continuidade de negócio em vigor? Acórdão 172/2008-2ª Câmara e Acórdão 1.330/2008-Plenário

  6. Acórdãos 172/2008-2ªC e 1330/2008-P • Situação: • Ausência de Plano de Continuidade do Negócio • Falta/deficiência de recursos ou planos de contingência

  7. Acórdãos 172/2008-2ªC e 1330/2008-P • Consequência: • Desconhecimento de ameaças e seus impactos • Falha nos equipamentos de processamento centralizado provocou (Ac. 172/08): • Paralisação do Banco (inst. financeira) por mais de 20h • Danos à imagem • Prejuízos financeiros • Vírus gerou paralisação da rede por mais de duas semanas (Ac. 1330/08)

  8. O que pode ocorrer com os 53% que NÃO têm processo de software ao menos gerenciado (nível 2 da NBR 15.504)? TC-031.963/2008-0

  9. TC 031.963/2008-0 • Situação: • Edital e projeto básico não possuíam indicadores de qualidade e desempenho (níveis de serviço ou parâmetros de performance) • Processo de homologação do produto sem viés técnico e sem verificar a solução de TI em sua integralidade • Homologação focada só na usabilidade (ponto de vista do usuário) • Homologação focada no aceite de casos de uso individual (ausência de testes integrais)

  10. TC 031.963/2008-0 • Consequência: • Dificuldade na identificação antecipada de inconsistências e problemas de funcionamento e performance para a solução integrada • Dificuldade do ente público em atuar corretivamente junto à contratada • Impossibilitando a correção dos problemas de funcionamento

  11. TC 031.963/2008-0 • Consequência: • Produto apresentou problemas de 2004 a 2007 (momento da entrega da solução completa) • Procedimento de homologação não garantiu a qualidade do produto e não logrou exigir correções pela contratada • Não implantação do sistema, apesar de ter sido homologado e pago

  12. O que pode ocorrer com os 63% que NÃO aprovam e publicam PDTIinterna ou externamente? Acórdão 2.023/2005-Plenário

  13. Acórdão 2.023/2005-Plenário • Situação: • Planejamento deficiente • Consequência: • Desenvolvimento de sistema em 2000/2001, o qual é considerado relevante e passou pelos testes • Ausência de infra-estrutura necessária à execução do sistema (infra-est. de rede/servidores/equipamentos) • Sistema não implantado até 2005

  14. O que pode ocorrer com os 65% que NÃO possuem política corporativa de segurança da informação? Acórdão 71/2007-Plenário

  15. Acórdão 71/2007-Plenário • Situação: • Sistema de âmbito nacional com informações confidenciais e relevantes dos cidadãos • Minuta de Política de Segurança da Informação (PSI) desatualizada e não formalmente aprovada • Política de Controle de Acesso deficiente

  16. Acórdão 71/2007-Plenário • Consequência: • Dificuldade na identificação de responsabilidades quanto aos assuntos de segurança da informação • Grande vulnerabilidade do sistema • Vazamento e mau uso de informações privadas e confidenciais dos cidadãos

  17. Agenda • Consequências da falta de governança de TI • Governança, Gestão e Auditoria Interna • Governança de TI: como começar?

  18. Governança corporativa • “O sistema [normas, diretrizes, políticas, processos, estruturas]pelo qual as organizações são dirigidas e controladas.” (NBR 38.500, item 1.6.2)

  19. Gerenciamento (gestão) • “O sistema de controles e processos necessário para alcançar os objetivos estratégicos estabelecidos pela direção da organização. • O gerenciamento está sujeito às diretrizes, às políticas e ao monitoramento estabelecidos pela governança corporativa.” (NBR 38.500, item 1.6.9)

  20. Governança corporativa de TI • “O sistema [normas, diretrizes, políticas, processos, estruturas] pelo qual o uso atual e futuro da TI é dirigido e controlado.” (NBR 38.500, item 1.6.3)

  21. Papel do gestor e da Alta Administração • “O gestor e a alta administração são responsáveis pelos processos de gestão de risco e controles da organização.” (IIA, IPPF, 2120-1)

  22. Papel da auditoria interna • “A auditoria auxilia a organização a alcançar seus objetivos por meio de uma abordagem sistemática e disciplinada para a avaliação e [indução da] melhoria da eficácia dos processos de gerenciamento de risco, controle e governança corporativa.” (IIA, IPPF, Definição de Auditoria Interna)

  23. Agenda • Consequências da falta de governança de TI • Governança, Gestão e Auditoria Interna • Governança de TI: como começar?

  24. Papel da Alta AdministraçãoBaseado na NBR 38.500, governar a TI é ... Responsabilidade Avaliar Dirigir Monitorar Estratégia Aquisição Desempenho Conformidade Comportamento Humano

  25. A primeira pergunta: Conheço a situação de GovTI da minha organização?

  26. Primeiro pensamento... Preciso de um diagnóstico!

  27. Um diagnóstico já existe ... A Alta Administração da APF recebeu o resultado (inclusive comparativo) contido no Acórdão 2.308/2010-TCU-Plenário.

  28. A partir desse diagnóstico, o que a Alta Administração já pode fazer? Uma sugestão está presente no Acórdão 2.308/2010-TCU-Plenário

  29. Acórdão 2.308/2010-TCU-Plenário • Orientar a alta administração a estabelecer formalmente: • os objetivos institucionais de TI alinhados às estratégias de negócio (dirigir) • os indicadores para cada objetivo (dirigir) • as metas para cada indicador (dirigir) • os mecanismos que a alta administração adotará para acompanhar o desempenho da TI da instituição (monitorar)

  30. Passo 1: Aprovar um Plano Estratégico Institucional • O que é? • Negócio, missão, visão, valores • Objetivos, indicadores, metas do negócio • Iniciativas estratégias • Desdobramento • Divulgação • Por quê? • Princípio da eficiência (CF) • Decreto-Lei 200/1967, art. 6º, inciso I • Decreto 5.378/2005 (Programa Gespública) • Resolução 70/2009-CNJ

  31. Passo 1: Aprovar um Plano Estratégico Institucional • Como? • Envolvendo as várias áreas de negócio da organização • Observando as competências legais • Observando as diretrizes de governo/OGS • Documento formal aprovado pela mais alta autoridade • Onde obter ajuda: • 79% dos pesquisados declararam que fazem (Acórdão 2.308/2010-TCU-Plenário) • Enap possui treinamento regular • C3S (SISP)

  32. Passo 2: Aprovar um Plano Estratégico de TI • O que é? • Conteúdo semelhante ao PEI (objetivos, indicadores, metas da TI, iniciativas estratégias, desdobramento, divulgação) e mais... • Alocação de recursos (financeiros, humanos, materiais etc) • Estratégia de terceirização • Por quê? • Princípio da eficiência (CF) • Decreto-Lei 200/1967, art. 6º, inciso I • IN 04/2010-SLTI, art. 4º • Resolução 90/2009-CNJ, art. 11

  33. Passo 2: Aprovar um Plano Estratégico de TI • Como? • Alinhamento (TI ao negócio) • Documento formal aprovado pela mais alta autoridade • É da organização, e não da área de TI • Onde obter ajuda: • 37% dos pesquisados declararam que fazem (Acórdão 2.308/2010-TCU-Plenário) • Enap possui treinamento regular • C3S (SISP)

  34. Passo 3: Criar um comitê de TI • O que é? • Instância (consultiva ou deliberativa) de apoio à alta administração • Por quê? • Princípio da eficiência (CF) • Cobit 4.1, PO4.2 - Comitê estratégico de TI • Cobit 4.1, PO4.3 - Comitê diretor de TI • Resolução 7/2010-SISP (EGTI 2010-2011) • Iniciativa Estratégica 12 • Resolução 90/2009-CNJ, art. 12

  35. Passo 3: Criar um comitê de TI • Como? • Envolvendo as várias áreas do negócio e a TI • Documento “Diretrizes do Sisp para criação de comitês de TI” (www.sisp.gov.br) • Onde obter ajuda: • 32% dos pesquisados declararam que têm (Acórdão 2.308/2010-TCU-Plenário) • C3S (SISP)

  36. Passo 4: Utilizar a auditoria interna (AI) • O que é? • “A auditoria auxilia a organização a alcançar seus objetivos por meio de uma abordagem sistemática e disciplinada para a avaliação e [indução da] melhoria da eficácia dos processos de gerenciamento de risco, controle e governança corporativa.” (Definição de AI, do IIA) • Por quê? • Decreto 3.591/2001,art. 17 • IN 63/2010-TCU, art.1º, inciso XI • Boas práticas (IIA, IPPF)

  37. Passo 4: Utilizar a auditoria interna (AI) • Como? • Normas do IIA • Onde obter ajuda: • 10% dos pesquisados declararam que fazem auditoria de governança de TI (Acórdão 2.308/2010-TCU-Plenário) • Cursos do TCU/Sefti (IATI, Avaliação de Controles Gerais de TI etc)

  38. Passo 5: Monitorar os resultados • O que é? • Acompanhar os indicadores • Analisar riscos (com base no impacto no negócio) • Priorizar ações • Acompanhar ações críticas • Por quê? • Decreto-Lei 200/1967, art. 6º, inciso V • Boas práticas (Cobit, domínio ME – Monitorar e avaliar)

  39. Passo 5: Monitorar os resultados • Como? • Utilizando as informações apresentadas pelo Comitê de TI e pela Auditoria Interna • Pressupostos: • Assegurar o bom funcionamento do Comitê de TI , não o deixando existir “só no papel” • Assegurar o bom funcionamento da Auditoria Interna • Onde obter ajuda: • 23% dos pesquisados declararam que fazem (Acórdão 2.308/2010-TCU-Plenário)

  40. Passo inicial: Obter, capacitar e valorizar recursos humanos

  41. Recursos humanos • “91.Todavia, deve-se ressaltar que esses resultados somente serão plenamente alcançados se os órgãos e entidades da Administração Pública estiverem preparados para executar as atividades estratégicas de planejar, definir, especificar, supervisionar e controlar a operação de seus setores de informática de maneira independente das empresas prestadoras de serviço.” (excerto do voto condutor do Acórdão 786/2006-TCU-Plenário)

  42. Como vimos, encontra-se dentro da própria APF boa parte das soluções para os problemas de governança de TI!

  43. Em resumo... • Passo inicial: Obter, capacitar e valorizar recursos humanos • Passo 1: Aprovar um Plano Estratégico Institucional • Passo 2: Aprovar um Plano Estratégico de TI • Passo 3: Criar um comitê de TI • Passo 4: Utilizar a auditoria interna (AI) • Passo 5: Monitorar os resultados

  44. Governar a TI é ação da Alta Administração, e não da área de TI.

  45. A alta administração governa a TI para ... • Apoiar o alcance dos resultados da organização, legitimando-a ante à sociedade • Identificar e mitigar os riscos, diminuindo, entre outros, o risco de exposição da imagem • Gerir os recursos públicos de forma responsável, corrigindo rumos quando necessário • Aproveitar as oportunidades que a TI proporciona para melhorar os serviços prestados à sociedade

  46. ... e para evitar que aconteça ... Reportagem na TV

  47. O Papel da Alta Administração na Governança de TI Ciclo de palestras 2011:Tecnologia da Informação – Controle Externo em ação Ministro-Substituto Augusto Sherman Brasília, 04 de agosto de 2011

More Related