sumario governanca em ti

8/3/2019 Sumario Governanca Em TI

1/52

Sumrios Executivos

Levantamento acerca da Governanade Tecnologia da Informao

na Administrao Pblica Federal


2/52

Tribunal de Contas da Unio

Ministros

Walton Alencar Rodrigues, Presidente

Ubiratan Aguiar, Vice-Presidente

Marcos Vinicios Vilaa

Valmir CampeloGuilherme Palmeira

Benjamin Zymler

Augusto Nardes

Aroldo Cedraz

Raimundo Carreiro

Auditores

Augusto Sherman Cavalcanti

Marcos Bemquerer Costa

Andr Lus de Carvalho

Ministrio Pblico

Lucas Rocha Furtado, Procurador-Geral

Paulo Soares Bugarin, Subprocurador-Geral

Maria Alzira Ferreira, Subprocuradora-Geral

Marinus Eduardo de Vries Marsico, Procurador

Cristina Machado da Costa e Silva, Procuradora

Jlio Marcelo de Oliveira, Procurador

Srgio Ricardo Costa Carib, Procurador

NegcioControle Externo da Administrao Pblica

e da gesto dos recursos pblicos federais

Misso

Assegurar a efetiva e regular gesto dos

recursos pblicos em benefcio da sociedade

Viso

Ser instituio de excelncia no controle e contribuir

para o aperfeioamento da Administrao Pblica

Repblica Federativa do Brasil


3/52

Sumrios Executivos

Levantamento acerca daGovernana de Tecnologia daInformao na Administrao

Pblica Federal

RelatorMinistro Guilherme Palmeira

Braslia, Brasil 2008


4/52

Catalogao na fonte: Biblioteca Ministro Ruben Rosa

Copyright 2008, Tribunal de Contas da Unio

Impresso no Brasil / Printed in Brazil

Para leitura completa do Relatrio, do Voto e do Acrdo

n 1603/2008 - TCU - Plenrio, acesse a pgina do TCU na

Internet, no seguinte endereo:

Brasil. Tribunal de Contas da Unio.

Levantamento acerca da Governana de Tecnologia da Informao na Adminis-

trao Pblica Federal/ Tribunal de Contas da Unio ; Relator Ministro Benjamin

Zymler. Braslia : TCU, Secretaria de Fiscalizao de Tecnologia da Informao,

2008.

48 p. : il. color. (Sumrios Executivos)

1. Auditoria tecnologia da informao. 2. Trfego areo controle Brasil. 3.

Transporte areo segurana Brasil. 4. Controlador de vo Brasil. I. Ttulo. II.

Srie.

Permite-se a reproduo desta publicao,

em parte ou no todo, sem alterao do contedo,

desde que citada a fonte e sem fins comerciais.


5/52

SUMRIO

APRESENTAO; 5

AGRADECIMENTOS; 6

RESUMO; 7

OBJETIVOS DO LEVANTAMENTO; 8

COMO SE DESENVOLVEU O TRABALHO; 9

LEVANTAMENTO ACERCA DA GOVERNANA DE TI; 11Planejamento estratgico institucional e de TI; 11

Estrutura de pessoal de TI; 13

Segurana da informao; 14

Desenvolvimento de sistemas de informao; 20

Gesto de acordos de nveis de servio; 23Processo de contratao de bens e servios de TI; 24

Processo de gesto de contratos de TI; 29

Processo oramentrio de TI; 34

Auditoria de tecnologia da informao; 36

Concluso; 38

BENEFCIOS DESTE LEVANTAMENTO ; 39

ACRDO N 1603/2008 TCU PLENRIO; 39

NOTAS; 46


6/52


7/52

5Levantamento acerca da Governana de TI na Administrao Pblica Federal

APRESENTAO

Um dos grandes desafios da Administrao Pblica Federal na atuali-

dade a elevao do seu grau de governana. O Tribunal de Contas daUnio, como rgo de controle externo, tem um papel de destaque noaperfeioamento dessa rea. Nesse contexto, a governana de tecnologiada informao (TI) essencial para que se atinja esse objetivo. A TI overdadeiro motor das organizaes modernas podendo tanto impulsion-lasmuito adiante como emperrar o seu progresso.

Devido complexidade e dimenso estratgica de que se reveste otema, a Secretaria de Fiscalizao de Tecnologia da Informao (Sefti),criada em 2006, necessitava obter informaes acerca da situao dagovernana de TI na Administrao Pblica Federal para identificar cor-retamente o qu e como fiscalizar a gesto e o uso de recursos de TI pelosrgos e entidades federais. Com esse intuito, decidiu-se pela execuo dolevantamento ora apresentado.

As informaes obtidas neste levantamento sero utilizadas na elabo-rao do planejamento das fiscalizaes a serem realizadas pelo Tribunalcom intuito de aumentar a eficincia e eficcia de suas aes. O resultadofinal esperado a induo de melhorias na governana de TI na Ad-ministrao Pblica Federal e, conseqentemente, sua modernizao eaperfeioamento.

Esta publicao traz o resumo da situao encontrada, poca do le-vantamento, da governana de TI na Administrao Pblica Federal. Orespectivo processo (TC n 008.380/2007-1) foi apreciado em sesso doPlenrio de 13.08.2008, sob a relatoria do Ministro Guilherme Palmeira,resultando no Acrdo 1.603/2008-TCU-Plenrio que autorizou a divul-gao dos resultados dele decorrentes

Walton Alencar RodriguesMinistro-Presidente


8/52

6 Sumrios Executivos

AGRADECIMENTOS

O sucesso deste levantamento est relacionado parceria que a equipe

de auditoria estabeleceu com os gestores de tecnologia da informao (TI)dos rgos e entidades que responderam ao questionrio.

Durante a realizao dos trabalhos, a equipe contou com a valiosacolaborao dos Analistas de Controle Externo Antnio Martins Jnior,Rodrigo Machado Benevides e Tibrio Cesar Jocundo Loureiro, lotados naSecretaria de Fiscalizao de Tecnologia da Informao (Sefti), e Sylvio

Xavier Jnior, lotado na Secretaria de Tecnologia da Informao (Setec).

Por fim, agradece-se a colaborao de Rui Nbrega da Silva Leal,funcionrio terceirizado, pelo suporte ao trabalho e atendimento semprecordial e atencioso.


9/52


RESUMO

A dimenso estratgica da tecnologia da informao (TI), a complexida-

de de sua gesto, o aumento dos gastos pblicos com TI na administraopblica e a quantidade crescente de denncias e representaes sobreaquisies nessa rea, levaram, no final de 2006, criao da Secretaria deFiscalizao de TI (Sefti). A Sefti tem por finalidade fiscalizar a gesto e ouso de recursos de TI pela Administrao Pblica Federal (APF) e induzirmelhorias na governana de TI e, conseqentemente, sua modernizao eaperfeioamento. Para tanto, necessrio se obter informaes acerca da

situao da governana de TI na APF para identificar corretamente o que como fiscalizar e aumentar a eficincia e eficcia de suas aes.

Para isso, este levantamento foi autorizado pelo Acrdo n 435/2007-TCU-Plenrio com o objetivo de coletar informaes acerca dos processosde aquisio de bens e servios de TI, de segurana da informao, de gestode recursos humanos de TI, e das principais bases de dados e sistemas da

Administrao Pblica Federal. Assim, foram obtidas informaes paraelaborao de mapa com a situao da governana de TI na AdministraoPblica Federal e identificados os principais sistemas e bases de dados daAPF. Com essa gama de informaes, possvel identificar onde a situaoda governana de TI est mais crtica e em que reas o TCU deve atuar.Assim, o planejamento das fiscalizaes da Sefti contar com subsdiosvaliosos para seu aprimoramento.

Foram selecionados, como amostra deste levantamento, 255 rgos/entidades representativos da Administrao Pblica Federal. Dessa re-lao, constaram os ministrios, as universidades federais, os tribunaisfederais, as agncias reguladoras e as principais autarquias, secretarias,departamentos e empresas estatais. Os rgos e entidades includos naamostra responderam a questionrio composto de 39 perguntas baseadasnas normas tcnicas brasileiras sobre segurana da informao e gesto de

continuidade de negcios, e no Control Objectives for Information and relatedTechnology 4.1 (Cobit 4.1).


10/52


A partir dos dados coletados, observou-se que a situao da governan-a de TI na Administrao Pblica Federal bastante heterognea. Osaspectos que de alguma forma so regulados por leis e normas (processo

oramentrio e contratao e gesto de bens e servios de TI), somados aplanejamento estratgico, desenvolvimento de sistemas, gesto de nveisde servio e auditoria de TI, apresentam algum desenvolvimento, apesarde estarem longe do ideal. A estrutura de pessoal de TI bastante diversae est atrelada natureza jurdica da organizao.

O aspecto em que a situao da governana de TI est mais crtica

no que diz respeito ao tratamento da segurana da informao. Conclui-seque essa uma rea em que o TCU pode, e deve, atuar como indutor doprocesso de aperfeioamento da governana de TI.

Assim, existe um campo vasto para atuao deste Tribunal na rea degovernana de TI na Administrao Pblica Federal. Se essa atuao forrealizada de forma consistente e constante, os resultados sero promissores

tendo em vista que poder haver melhoria generalizada em todos os aspectosda governana de TI. Esse fato repercutir na gesto pblica como um todoe trar benefcios para o Pas e os cidados.

OBJETIVOS DO LEVANTAMENTO

O objetivo principal deste levantamento foi obter informaes paraelaborao de mapa com a situao da governana de TI na Administrao

Pblica Federal. Em paralelo, foram identificados os principais sistemas ebases de dados da Administrao Pblica Federal.

Com essa gama de informaes ser possvel verificar onde a situao dagovernana de TI est mais crtica e identificar as reas onde o TCU pode,e deve, atuar como indutor do processo de aperfeioamento da governanade TI. Alm disso, o planejamento das fiscalizaes da Sefti contar com

subsdios valiosos para seu aprimoramento.


11/52


COMO SE DESENVOLVEU O TRABALHO

Durante a fase de planejamento foi elaborada matriz de planejamento

com intuito de definir as reas da governana de TI a serem pesquisadas eorganizar a execuo do trabalho.

Foram selecionados, como amostra, 333 rgos/entidades representati-vos da Administrao Pblica Federal. Desses rgos/entidades, 29 respon-deram em conjunto com outros rgos/entidades e 14 no se consideramintegrantes da Administrao Pblica Federal, apesar de jurisdicionados

ao Tribunal, em especial os que fazem parte do Sistema S (Apndice IV,fl. 42). Outros 25 rgos/entidades no responderam pesquisa e 10 nocompletaram a quantidade mnima estabelecida de respostas (ApndiceIII, fl. 41-v). Assim, 255 rgos/entidades participaram efetivamente dolevantamento. Dessa relao constaram ministrios, universidades federais,tribunais federais, agncias reguladoras, autarquias, secretarias, departa-mentos e empresas estatais. Ainda no planejamento, para ser submetido

aos rgos e s entidades da amostra, foi elaborado questionrio compostode 39 perguntas baseadas nas normas tcnicas brasileiras NBR ISO/IEC17799:2005, NBR ISO/IEC 15999-1:2007 e no Control Objectives for In-formation and related Technology 4.1 (Cobit 4.1).

A norma NBR ISO/IEC 17799:2005 o cdigo de prtica para a gestoda segurana da informao mais adotado em todo o mundo. Essa normateve sua primeira verso internalizada pela Associao Brasileira de Normas

Tcnicas (ABNT) em setembro de 2001, e conta com a segunda versoem vigor desde setembro de 2005. Essa norma fornece recomendaes emgesto da segurana da informao para uso dos responsveis pela imple-mentao e manuteno da segurana em suas organizaes. Tem comopropsito prover uma base comum para o desenvolvimento de normas desegurana organizacional e das prticas efetivas de gesto da segurana, eprover confiana nos relacionamentos entre as organizaes.


12/52


A norma NBR 15999-1:2007 o cdigo de prtica para a gesto decontinuidade de negcios, baseada na norma inglesa BSI 25999:2006 einternalizada no Brasil pela ABNT em outubro de 2007. Seu objetivo

fornecer um sistema baseado nas boas prticas de gesto de continuidadede negcios.

O Cobit, por sua vez, um modelo de gesto orientado a processose est dividido em quatro grandes grupos: Planejar e Organizar (Plan &Organise PO), Adquirir e Implementar(Acquire & Implement AI), En-tregar e Assistir(Deliver & Support DS) e Monitorar e Avaliar(Monitor

& Evaluate ME), cujas iniciais sero utilizadas no decorrer do relatriopara fins de referncia como critrios de auditoria. O Cobit se encontradisponvel no site www.isaca.org. Vale salientar que se trata de modelo jamplamente reconhecido e utilizado, no Brasil e no mundo, no mbito datecnologia da informao, tanto por gerentes de informtica quanto porauditores de TI.

Na fase de execuo do levantamento, os rgos e entidades selecionadosreceberam, por meio de correspondncia oficial, a identificao e a senhaindividual para acesso ao questionrio e, posteriormente, via mensagemeletrnica, o link para o questionrio on-line. O software Risk Manager apoiouo envio, a coleta e a tabulao das informaes do questionrio.

Durante o preenchimento do questionrio, foi solicitado aos gestores deTI dos rgos e entidades que anexassem documentos eletrnicos para ser-

virem de evidncias s respostas apresentadas. Em geral, esses documentossolicitados so atos normativos formais da organizao, mas poderiam sertambm atas de reunio ou outras publicaes internas aceitas e reconhe-cidas pelo rgo/entidade. Deve-se observar que as informaes coletadasforam declaradas pelos gestores e no verificadas pela equipe junto aosrgos/entidades. Alm disso, nesse primeiro momento, no foi avaliadaa pertinncia e a qualidade dos documentos produzidos e anexados pelos

rgos/entidades.


13/52


Ao final da coleta de informaes, as respostas apresentadas nos ques-tionrios foram tabuladas e as evidncias organizadas em pastas eletrnicaspara consulta e tratamento posterior.

Como limitao execuo dos trabalhos, deve-se destacar que algunsrgos/entidades no dispunham de todas as informaes solicitadas e fi-zeram muito esforo para obt-las. Mesmo assim, alguns rgos/entidadesno conseguiram obter todas as informaes e as questes relativas a elasficaram sem resposta.

LEVANTAMENTO ACERCA DA GOVERNANA DE TI

Nesse levantamento, foram identificados os principais problemas degovernana de tecnologia da informao na Administrao Pblica Federalnas seguintes reas: planejamento estratgico institucional e de TI; estruturade pessoal de TI; segurana da informao; desenvolvimento de sistemas deinformao; gesto de acordos de nveis de servio; processo de contratao

de bens e servios de TI; processo de gesto de contratos de TI; processooramentrio de TI; e auditoria de tecnologia da informao.

Planejamento estratgico institucional e de TI

Um percentual expressivo dos 255 rgos/entidades pesquisados (47%)no tem planejamento estratgico institucional em vigor. Esse fato demons-tra que quase metade das organizaes pesquisadas no possuem a cultura

de planejar estrategicamente suas aes e apenas reagem s demandas es mudanas ocorridas no seu mbito de atuao. Essa forma de atuaodificulta o planejamento das aes de TI1.

O confronto desses dados com a informao de que 59% das organizaespesquisadas no fazem planejamento estratgico de TI, permite algumasanlises, conforme apresentado no Grfico 1. Dos 47% dos rgos/entidades

que afirmaram no possuir planejamento estratgico institucional, 81%,


14/52


isto , 97 rgos/entidades no possuem planejamento estratgico de TI.Por outro lado, o fato de haver planejamento estratgico institucional, porsi s, no garante que haver planejamento estratgico de TI. Em 40% das

organizaes que dispunham do primeiro, no havia o segundo.

Grfico 1 Planejamento Estratgico Institucional e de TI

19% 81% 60% 40%

53%47% SimNo

Planejamento Estratgico Institucional

Planejamento Institucional de TI

A partir dos dados coletados, pde-se inferir que a falta de planejamentoestratgico institucional inibe e/ou prejudica o planejamento das aes de

TI. O estmulo elaborao de planejamento estratgico institucional deveser a primeira ao para a melhoria da governana de TI. O segundo passodeve ser o estmulo a que, em consonncia com o planejamento estratgicoinstitucional, seja elaborado o planejamento estratgico de TI.


15/52


O planejamento estratgico de TI2 essencial para que as organizaespossam identificar e alocar corretamente os recursos da rea de TI deacordo com as prioridades institucionais e com os resultados esperados. O

percentual de 59% dos 255 rgos/entidades pesquisados sem planejamentoestratgico de TI preocupante porque a ausncia de planejamento estra-tgico leva ao enfraquecimento das aes e da prpria rea de TI devido descontinuidade dos projetos e conseqente insatisfao dos usuriose resultados abaixo do esperado. Isso pode comprometer toda a rea deTI e influenciar negativamente o desempenho do rgo/entidade na suamisso institucional j que a TI representa importante ferramenta para o

desenvolvimento das aes previstas.

A existncia de um comit diretivo de TI (IT Steering Committee)3, quedetermine as prioridades de investimento e alocao de recursos nos diversosprojetos e aes de TI, de fundamental importncia para o alinhamentoentre as atividades de TI e o negcio da organizao, bem como para aotimizao dos recursos disponveis e a reduo do desperdcio. O fato de

menos de um tero dos rgos/entidades pesquisados terem um comit dire-tivo de TI funcionando demonstra a pouca importncia dada participaode todos os setores da organizao nas decises estratgicas de TI.

Estrutura de pessoal de TI

Quanto estrutura de pessoal de TI, a equipe do levantamento iden-tificou que um total de 29% dos 255 rgos/entidades pesquisados possui

menos de 1/3 de seu quadro de TI composto por servidores4, o que podeacarretar risco de dependncia de indivduos sem vnculo com o rgo/entidade para a execuo de atividades crticas ao negcio, alm de perdado conhecimento organizacional.


16/52


Grfico 2 Proporo entre servidores e colaboradores

externos nos rgos/entidades pesquisados

47%

24%

29%

acima de 2/3 so servidores

entre 1/3 e 2/3 so servidores

menos de 1/3 so servidores

Segundo as informaes levantadas no questionrio, somente 37% dosservidores do quadro das reas de TI dos rgos/entidades possuem forma-o especfica em TI5 (incluindo aqui doutorado, mestrado, ps-graduaolato sensu e nvel superior). Alm disso, 43% dos rgos/entidades possuemcarreira especfica para a rea. Esse resultado preocupa em funo do au-

mento da importncia estratgica da TI para as organizaes, que corremo risco de no terem pessoal qualificado suficiente nem para executar asatividades bsicas nem para fiscalizar eventuais contratados.

De acordo com as respostas ao questionrio, 60% dos pesquisados noconsideram competncias gerenciais, tcnicas e resultados produzidosanteriormente na seleo de gerentes de TI6. Com esse resultado, no sepde verificar se a escolha de chefias no rgos/entidades participantes

objetiva e baseada no mrito.

Segurana da informao

Neste tpico, o objetivo delinear a qualidade do tratamento dado pelosrgos pblicos segurana das informaes sob sua responsabilidade.

A importncia do correto tratamento para a confidencialidade, a inte-gridade e a disponibilidade das informaes de rgos pblicos evidente,


17/52


sem falar na autenticidade, na responsabilidade pelos dados e na garantiade no-repdio7. A prpria prestao do servio de uma instituio pblicaaos cidados depende da confiabilidade das informaes por ela tratadas

e ofertadas.

Foram solicitados como evidncias os documentos sobre a Poltica deSegurana da Informao (PSI), o Plano de Continuidade de Negcios(PCN), normas/procedimentos relacionados classificao de informaese as normas/procedimentos de controle de acesso, que devem orientar otratamento da segurana das informaes.

A poltica de segurana da informao o documento que contm asdiretrizes da instituio quanto ao tratamento da segurana da informa-o. De acordo com as orientaes da norma NBR ISO/IEC 17799:2005da ABNT, a poltica deve declarar explicitamente o comprometimento dadireo da instituio com a segurana da informao. Alm disso, devetambm conter definies dos termos relacionados dentro do escopo da

instituio e apontar os objetivos de controle, os controles, as estruturasque implementam esses controles, as responsabilidades e tambm aspolticas e normas que disciplinam e complementam esse documento dediretrizes, incluindo referncias legislao e aos requisitos regulamentarese contratuais8. Em geral, esse o documento da gesto da segurana dainformao a partir do qual derivam os documentos especficos para cadameio de armazenamento, transporte, manipulao ou tratamento especficoda segurana da informao em TI.

A gesto da continuidade do negcio, por sua vez, o processo queobjetiva minimizar um impacto sobre a organizao e recuperar perdasde informaes a um nvel aceitvel, por meio da combinao de aesde preveno e recuperao. O plano de continuidade de negcios umdocumento ou conjunto de documentos que, tipicamente, contm ascondies para sua ativao, as responsabilidades individuais, os proce-

dimentos de emergncia, os procedimentos operacionais temporrios eos procedimentos de recuperao. O plano (ou planos) de continuidade


18/52


deve(m) ser periodicamente testado(s) e avaliado(s), para garantir quefuncione(m) quando necessrio.

A classificao de informaes, por sua vez, o processo que visa garantirque cada informao tenha o tratamento de segurana adequado ao seuvalor, aos requisitos legais, sensibilidade e ao risco de sua perda para aorganizao. Nesse processo devem existir, pelo menos, dois documentos dereferncia: o esquema de classificao, que contm as definies dos nveisde proteo considerados, e um conjunto apropriado de procedimentos pararotulao e tratamento da informao segundo esse esquema.9

A gesto do controle de acesso, por fim, o processo que visa garantirque o acesso informao seja controlado com base nos requisitos denegcio e na adequada segurana da informao. O principal documentorelacionado a esse processo a poltica de controle de acesso, que contmas regras de controle de acesso e direitos para cada usurio ou grupos deusurios, e relaciona claramente os requisitos de negcio e os controles

associados.Os rgos foram tambm questionados sobre algumas estruturas or-

ganizacionais para assistir a execuo das diretrizes de segurana: reaespecfica para tratamento de segurana, rea especfica para tratamentode incidentes, evidncias de gesto centralizada para mudanas, capacidadee compatibilidade de solues de TI.

A infra-estrutura para a adequada gesto da segurana da informaona organizao tratada no item 6.1 da NBR ISO/IEC 17799:2005. Cadargo/entidade deve adotar a estrutura organizacional que mais se adeqe cultura e ao tamanho da instituio, assegurando, contudo, que a im-plementao dos controles de segurana da informao tenha uma coor-denao que permeie toda a organizao. Assim, as organizaes podemat usar um frum j existente (por exemplo, um conselho de diretores),

desde que este assuma tambm, de forma explcita, as atividades de gestoda segurana da informao. O mais freqente tem sido o uso de um frum


19/52


especfico (por exemplo, um grupo especfico para gerenciar a segurana dainformao) ou mesmo um gestor individual (que conhecido no mercadocomo CSO Chief Security Officer).

O objetivo do processo de gesto de incidentes de segurana assegurarque seja aplicado tratamento consistente e efetivo para os incidentes, queincluem desde falhas de sistemas at violaes intencionais da poltica desegurana. Para isso, h que se designar claramente as responsabilidades notratamento de incidentes, bem como os procedimentos a serem adotados,em sintonia com outras diretrizes, como o plano de continuidade de neg-

cio e a classificao das informaes. A existncia de uma rea especfica uma recomendao para a operacionalizao desses controles, no spela NBR ISO/IEC 17799:2005, como tambm por vrias diretrizes paragovernana de TI.

Outros processos de infra-estrutura relacionados com a segurana so agesto centralizada de mudanas e a gesto de capacidade e compatibilidade.

Na gesto centralizada de mudanas, h controle rgido das mudanas noambiente operacional para garantir a estabilidade do ambiente e a audi-toria das alteraes realizadas. O controle inadequado de modificaesnos sistemas e nos recursos de processamento da informao uma causacomum de falhas de segurana ou de sistema.

J a gesto de capacidade e compatibilidade visa principalmente ga-rantir a disponibilidade das informaes, ao verificar continuamente se as

solues de TI suportam adequadamente a demanda por informaes semsobrecarregar os sistemas, gerar descontinuidade de operao e/ou falhasno nvel de servio acordado.

Finalmente, os rgos/entidades foram instados a apresentar as evi-dncias de que estariam preocupados em realizar o tratamento dos riscosrelacionados ao processamento das informaes sob sua responsabilidade

por meio das solues de TI. O tratamento dos riscos inclui a identificao,a quantificao e a classificao dos riscos quanto sua prioridade, com


20/52


base em critrios sintonizados com o negcio da organizao. Os resultadosdessa anlise devem orientar as aes de gesto e as prioridades para ogerenciamento dos riscos de segurana da informao e para a implemen-

tao dos controles selecionados. Por isso, a anlise de risco estratgicana gesto da segurana e deve ser feita em bases peridicas para garantir aadequao entre gesto e negcio.

As respostas fornecidas pelos 255 rgos/entidades pesquisados squestes sobre o tratamento dado segurana das informaes sob suaresponsabilidade indicam que preciso mais ateno ao tema. Dentre

as nove questes sobre esse assunto, apenas uma obteve mais de 50% deresposta positiva.

A ausncia de plano de continuidade de negcios (PCN) em 88% dosrgos/entidades pesquisados aponta para a falta de cultura acerca decontinuidade de negcios. Isso constitui um alto risco para a segurana dasinformaes tratadas por essas instituies governamentais, ao deix-las

vulnerveis perda ou ao comprometimento de informaes em caso deinterrupo de servios por causas naturais ou intencionais.

Grfico 3 Deficincias na segurana da informao

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

PCN

(88%

)

PSI(

64%)

gest

odemudanas

gest

odecapacidade

classifica

oda

gernciad

einc

identes

anlise

deriscosd

eTI

rea

esp

ecfica

para

proc

ed.contro

le


21/52


A seu turno, a ausncia de uma gesto de mudanas em 88% dospesquisados declarada pelos pesquisados indica que a maior parte dessesrgos/entidades corre risco de instabilidade e falhas de segurana no

tratamento das informaes no seu ambiente de TI quando da ocorrnciade mudanas. Alm disso, h o risco de enfrentar dificuldades quando forrealizar auditoria ou investigao por ocasio de problemas ocorridos emmudanas no ambiente de TI.

Sobre a gesto de capacidade e compatibilidade do ambiente de TI,vale ressaltar que sua ausncia em 84% dos pesquisados expe o risco de

indisponibilidade em quantidade significativa dessas organizaes da Admi-nistrao Pblica Federal. Alm disso, um indcio de que os gerentes deTI dessas entidades no dispem de instrumentos adequados para embasaras necessidades de investimento em infra-estrutura de TI.

A classificao das informaes, por sua vez, um dos pilares da gestoda segurana da informao numa organizao. A declarao de sua au-

sncia por um percentual to expressivo de pesquisados (80%) indcio deque o tratamento da segurana sobre as informaes no feito de formaconsistente e independente do meio que as armazenam nesses rgos/entidades da Administrao Pblica Federal. Alm disso, essa ausnciaaumenta o risco de que a proteo das informaes no esteja adequadas necessidades do negcio.

A existncia de rea especfica para gerncia de incidentes no garante

que um incidente no ocorra, mas promove o melhor tratamento possvelaos incidentes. Assim, o fato de que 76% dos pesquisados declararam nopossuir tal rea acarreta risco para o negcio dessas organizaes. Almdisso, a ausncia dessa rea inviabiliza a articulao do governo para otratamento de incidentes que envolvam vrios rgos e dificulta o trabalhode grupos de resposta a incidentes existentes. Dessa forma, essa falha podeprejudicar, inclusive, aqueles que possuem grupo constitudo.


22/52


A anlise de riscos de TI outra importante ferramenta de gesto dasegurana da informao. Sua ausncia em 75% dos rgos/entidades pes-quisados indica falha significativa que pode resultar em desperdcio, aes

ineficazes e lacunas no tratamento da segurana.

Apenas 36% dos pesquisados declararam ter rea especfica para lidarestrategicamente com segurana da informao. A inexistncia dessa rearepresenta um risco de ausncia de aes de segurana da informaoou ocorrncia de aes ineficazes, descoordenadas e sem alinhamentocom o negcio.

J a poltica de segurana da informao (PSI) foi declarada inexistentenas organizaes de 64% dos pesquisados. Como a definio dessa poltica um dos primeiros passos para o reconhecimento da importncia da se-gurana da informao na organizao e seu tratamento, isso um indciode que a gesto de segurana da informao inexistente ou incipientena maior parte desses rgos/entidades da administrao pblica.

Finalmente, dentre os itens relacionados diretamente com a seguran-a da informao, a existncia de procedimentos de controle de acessoapresentou o resultado mais positivo, pois 52% dos rgos/entidadespesquisados declararam possuir tais procedimentos. Entretanto, 48%ainda um percentual preocupante de ausncia, pois a falta dessesprocedimentos um indcio de que, nessas organizaes, o controle deacesso implementado no est adequado ao nvel de proteo necessrio

para a informao.

Desenvolvimento de sistemas de informao

Embora haja uma conscincia relativamente generalizada de que as reasde TI nas organizaes no so simplesmente produtoras de software10, odesenvolvimento de sistemas de informao , sem dvida, uma de suas

principais atividades. A qualidade desse desenvolvimento interfere direta-


23/52


mente na qualidade do servio prestado pela rea de TI. A necessidade deconectividade com a Internet e com sistemas em outras organizaes faz dasegurana da informao um requisito de projeto. Os clientes, cada vez mais

exigentes, esperam sistemas rpidos, fceis de usar, robustos e que realmenteatendam s suas necessidades. Alm disso, a parceria com o cliente deveocorrer j no prprio processo de desenvolvimento, que no pode ser maislento do que a velocidade com que mudam as necessidades, e no pode serobscuro quanto a prioridades, prazos, qualidade e segurana.

A aplicao de modelos de gesto para qualidade de software vem,

exatamente, ao encontro desses requisitos, e o desenvolvimento de sis-temas pautado em uma metodologia um requisito bsico de quaisquerdesses modelos. A metodologia de desenvolvimento define como fazerdo jeito certo, enquanto a gesto da qualidade se concentra em avaliare aprimorar o processo de uso dessa metodologia de desenvolvimento naorganizao.

O uso de metodologia para desenvolvimento de sistemas no um temanovo e vem, progressivamente, incorporando os conceitos de engenhariade software11 para tornar o processo de desenvolvimento de sistemas maiscontrolvel, mensurvel e eficaz. Com a metodologia, busca-se no sgarantir que as vrias etapas tpicas do desenvolvimento (levantamento,projeto, programao, testes e homologao) sejam executadas de formasistemtica e documentada, mas tambm permitir a avaliao e melhoriado processo, com vistas produo de software de qualidade.

O governo brasileiro tem mostrado preocupao com a qualidade dosoftware produzido no Brasil ao instituir programas e aes de incentivo busca de melhorias. Como exemplo disso, h o Programa Brasileiro deQualidade e Produtividade do Software (PBQP-Sw)12 e o Modelo de Me-lhoria de Processos de Software (MPS.BR)13. Nessas orientaes, a exis-tncia de metodologia requisito fundamental na construo de software

de qualidade.


24/52


Alm das informaes sobre metodologia de desenvolvimento, outrainformao solicitada aos rgos/entidades sobre os seus sistemas foi aexistncia de servios transacionais via Internet. Sobre esse assunto, 76%

dos pesquisados informaram que prestam servios pela Internet com trocabidirecional de informaes entre o rgo/entidade e seus clientes. Essepercentual expressivo chama ateno para o uso, por rgos/entidadesda Administrao Pblica, de sistemas web na execuo da sua misso deprestao de servios aos cidados.

O uso de metodologia de desenvolvimento de sistemas um requisito

fundamental para a produo de software de qualidade. A sua ausnciadeclarada por 51% dos 255 pesquisados preocupa pelo risco que repre-sentam, para a segurana da informao, produtos de software de baixaqualidade. Alm disso, outras conseqncias, como maior dificuldade nogerenciamento do processo de desenvolvimento, seja ele interno ou tercei-rizado, representam risco de m gesto dos recursos dos rgos/entidadesda Administrao Pblica Federal.

Adicionalmente, h que se considerar o perfil delineado por 76% dasorganizaes que declararam possuir sistemas transacionais via Internet.Tais sistemas apresentam um risco inerente relacionado maior exposioa aes indevidas que podem afetar a integridade, a disponibilidade e a con-fidencialidade das informaes por eles tratadas. Esse risco aumentado napresena de controles fracos que afetem diretamente esses sistemas, como o caso da ausncia de metodologia para desenvolvimento de sistemas ou

deficincias nos controles de segurana da informao, ambos identificadosno presente levantamento. Nesse cenrio, a atuao da auditoria de TI podecolaborar diretamente por meio da recomendao de controles, inclusiveaqueles especficos para sistemas transacionais via Internet. Para tanto, imperativo que o auditor esteja familiarizado com tais tecnologias, seus riscose as boas prticas e ferramentas que auxiliam a mitigao desses riscos.


25/52


Gesto de acordos de nveis de servio

A prestao de um bom servio para os cidados , em ltima instncia,

o negcio de toda instituio pblica. A definio do que um bom servi-o, sintonizando as expectativas dos clientes com a oferta, exatamenteo que constitui um acordo de nvel de servio (SLA, sigla do ingls ServiceLevel Agreement).

No caso de um acordo de nvel de servio de TI definida a qualidadedos servios de TI em funo das necessidades da organizao, quantificadas

e especificadas para cada servio. Assim, a disponibilidade da infra-estruturade rede, o desempenho dos sistemas, o tempo de soluo de problemas eoutros dados semelhantes costumam constituir indicadores dos documentosde acordos de nveis de servio, e devem ser adequadamente verificados etratados quando detectadas falhas, de modo a atender s necessidades donegcio. Sem a definio de tais indicadores, fica difcil responder questo:os servios de TI da minha organizao esto adequados s necessidades

do negcio?. Igualmente, fica difcil priorizar investimentos e aes narea de TI sem saber onde o desempenho est mais prximo ao limite doesperado ou mais crtico para o negcio.

Um aspecto particularmente importante a gesto de nveis de ser-vio tambm para servios contratados. A especificao formal de taisindicadores pode ser o principal instrumento dos gestores para garantir ocumprimento dos contratos de TI e possibilitar a aplicao de penalida-

des em casos de no-atendimento. A necessidade de acordo prvio e demensurao da qualidade de servios de TI citada, inclusive, em trechosde Acrdos do TCU, como o Acrdo no 2.172/2005-TCU-Plenrio14 e oAcrdo no 786/2006-TCU-Plenrio15. O termo acordo de nvel de serviopara contratos de TI tambm j conhecido do TCU, e foi mencionadono Acrdo no 1.878/2005-TCU-Plenrio16.


26/52


A gesto de acordos de nveis de servio o principal instrumento denegociao de qualidade de servio entre as gerncias de TI e os seus clien-tes. A sua ausncia em 89% dos pesquisados um indcio de que as reas

de TI desses rgos/entidades ainda esto distantes dos seus usurios e nonegociam adequadamente com eles sobre a qualidade dos seus servios.As conseqncias mais provveis para tal cenrio so clientes insatisfeitose investimentos inadequados.

Alm disso, 74% dos pesquisados informaram que no executam a ges-to de nveis de servio dos servios contratados, ou seja, mesmo quando

o rgo/entidade cliente e no fornecedor, no h preocupao com aavaliao e o controle dos resultados. Assim, como em ltima instnciaum servio contratado pela rea de TI visa atender necessidade dos seusclientes, a ausncia da gesto externa tem as mesmas conseqncias daausncia da gesto interna dos nveis de servio.

Processo de contratao de bens e servios de TI

Na contratao de bens e servios de TI essencial a adoo de pro-cesso de trabalho formalizado, padronizado e judicioso quanto ao custo, oportunidade e aos benefcios advindos para a organizao. Esse processomelhora o relacionamento com os fornecedores e prestadores de servios,maximiza a utilizao dos recursos financeiros alocados rea de TI e con-tribui decisivamente para que os servios de TI dem o necessrio suportes aes da organizao no alcance de seus objetivos e metas.

Mesmo que a maioria (54%) dos rgos/entidades pesquisados tenhainformado que adota processo formal de trabalho para contrataes de TI, asituao est longe do ideal, j que um percentual expressivo de organizaes(46%) no adota processo formal de trabalho para contrataes de TI.

Deve-se observar que isso no significa deixar de cumprir a legislao

especfica. Entretanto, a falta de um processo de trabalho definido, padro-nizado, documentado e aprovado para realizar as contrataes de TI pode


27/52


trazer conseqncias danosas organizao. Como no existe um padrooficial e disseminado pela organizao, cada rea pode adquirir os recursosde que necessita de uma forma diferente. Dessa maneira, a organizao se

expe a riscos desnecessrios que poderiam ser evitados com a adoo deum processo de trabalho formalizado.

Devido complexidade da legislao de licitaes vigente, o primeirorisco de que, eventualmente, no sejam observados todos os disposi-tivos legais e normativos. Provavelmente, nem todos os responsveispelas contrataes de TI so especialistas no assunto e, caso no haja um

processo formal de trabalho, em algumas aquisies, dispositivos legaispodem deixar de ser observados. Alm disso, improvvel que todos osresponsveis acompanhem as alteraes normativas e estejam atualizadossobre as mudanas na interpretao da legislao e na jurisprudncia darea. O mais seguro para a organizao que o processo de contrataoesteja padronizado e disponvel para todos os responsveis para minorar aocorrncia de dvidas e falhas nas aquisies de TI. Deve-se reforar que

muitas falhas no processo de aquisio tm srias repercusses no processode gesto dos contratos durante sua vigncia e, em alguns casos, mesmoaps seu encerramento devido a pendncias judiciais.

Outro risco decorrente da no-existncia de processo formal a reali-zao de aquisies desnecessrias, com baixa qualidade ou que no este-jam alinhadas s necessidades do negcio a mdio e longo prazos. Dessassituaes decorre, normalmente, desperdcio de recursos. Em alguns casos,

inclusive, a ocorrncia de fraudes e desvios fica facilitada exatamente pelafalta ou dificuldade de controle sobre processos no padronizados.

O item 9.4 do Acrdo n 786/2006-TCU-Plenrio recomendou Secretaria de Logstica e Tecnologia da Informao do Ministrio do Pla-nejamento, Oramento e Gesto (SLTI) que elaborasse um modelo delicitao e contratao de servios de informtica para a Administrao

Pblica Federal e promovesse a implantao dele nos diversos rgos eentidades sob sua coordenao mediante orientao normativa. Em aten-


28/52


dimento a esse acrdo, a SLTI publicou a Instruo Normativa n 4, de 19de maio de 2008. A IN-4 da SLTI dispe sobre o processo de contrataode servios de TI pela Administrao Pblica Federal direta, autrquica e

fundacional. A norma contempla as fases de planejamento de contratao,seleo do fornecedor e gerenciamento do contrato e entrar em vigor nodia 2 de janeiro de 2009.

Alm de processo formal de contratao de bens e servios de TI, parase obter uma boa gesto necessria a otimizao dos recursos disponveis.No caso especfico da rea de TI, essa preocupao se torna essencial tendo

em vista as rpidas e constantes mudanas tecnolgicas. Assim, impera-tivo que qualquer contratao de soluo de TI seja precedida de estudode viabilidade e de anlise de custo/benefcio. Apesar dessa mxima noser contestada, apenas pouco mais da metade (53%) dos rgos/entidadespesquisados realiza essa anlise.

importante notar que toda contratao de TI deve ser anteriormente

aprovada levando-se em conta seus aspectos tcnicos, sua funcionalidade,sua viabilidade, seu alinhamento com o planejamento estratgico e se osbenefcios advindos compensam o seu custo. As contrataes de TI, almde referendadas pela rea de TI, devem ser aprovadas pelo gestor da reaafetada. Em alguns casos, quando envolverem valores elevados, assuntosrelevantes ou quando envolverem diversas reas da organizao, as con-trataes devem ser aprovadas pelo comit diretivo de TI.

Os artigos 10 a 12 da supracitada IN-4 da SLTI indicam atividades quedevero ser executadas para anlise de viabilidade da contratao.

Por outro lado, apesar de seu importante papel na consecuo dosobjetivos institucionais nas organizaes, a tecnologia da informao nopode ser encarada como um fim em si mesma. Todas as aes de TI devemconcorrer para que a organizao alcance seus objetivos e metas.


29/52


O Tribunal, em diversos acrdos, tem destacado a importncia edeterminado a necessidade da harmonia entre as contrataes de TI e oplanejamento estratgico dos rgos/entidades federais. O item 9.3.11 do

Acrdo n 1.558/2003-TCU-Plenrio taxativo: ao proceder a licitaode bens e servios de informtica, elabore previamente minucioso planeja-mento, realizado em harmonia com o planejamento estratgico da unidadee com o seu plano diretor de informtica, (...). Aponta na mesma direoo item 9.1.1 do Acrdo n 2.094/2004-TCU-Plenrio: todas as aquisi-es devem ser realizadas em harmonia com o planejamento estratgicoda instituio (...).

Assim, toda contratao de TI deve ter seus benefcios para a organi-zao explicitados, ou seja, deve ser justificada como ir colaborar para aconsecuo dos objetivos institucionais. Apesar desse entendimento j con-solidado, 40% dos rgos e entidades pesquisados ainda no se preocupamem justificar e destacar os benefcios esperados para a organizao. Por outrolado, a letra c do inciso V do art. 10 da recm publicada IN-4 da SLTI

determina que a justificativa da soluo escolhida contenha a identificaodos benefcios que sero alcanados com a efetivao da contratao emtermos de eficcia, eficincia, efetividade e economicidade.

No tocante ao valor, muitas contrataes de TI tm seu valor final cal-culado a partir da soma de valores de diversos componentes. Especialmentena contratao de uma soluo de TI, os custos dos componentes podemvariar ao longo do tempo de durao do contrato de maneira diferente.

Tome-se como exemplo uma soluo de TI que envolva recursos humanos,aluguel de equipamentos e recursos de telecomunicao. Pode ser necess-rio, para se manter o equilbrio econmico-financeiro do contrato, que hajaa repactuao com a assinatura de termo aditivo por questes econmicas,de mercado ou tecnolgicas. Se no se souber o quanto cada componenterepresenta na formao do valor final, no se poder repactuar o contratode maneira justa e no lesiva aos interesses pblicos.


30/52


Diante dessa situao, torna-se importante a exigncia de que, antes daadjudicao do contrato, seja apresentado o demonstrativo de formaode preo. De acordo com as respostas dos gestores, essa prtica somente

observada por metade dos rgos/entidades participantes do levantamento,apesar da Lei n 8.666/1993 j recomend-la, mesmo que implicitamente,em seus artigos 7 e 46.

No que diz respeito ao processo de contratao de bens e servios de TI,pode-se concluir que uma quantidade expressiva (46%), pouco menos quea metade dos rgos/entidades pesquisados, no dispe de processo formal

de trabalho. Essa uma situao que merece ateno especial dos rgos/entidades no sentido da implantao de processo formal de contratao deTI, para evitar falhas, fraudes e desperdcios de recursos.

A despeito das dificuldades enfrentadas, como falta de recursos huma-nos e outras condies fundamentais para o bom funcionamento das reasde TI, o fato de apenas 53% do universo pesquisado realizarem anlise de

custo/benefcio das contrataes de TI demonstra que a melhor utilizaodos recursos pblicos ainda no uma preocupao para boa parte dosgestores de TI.

Apesar da maioria dos rgos/entidades pesquisados explicitarem osbenefcios para a obteno dos resultados institucionais esperados com cadacontratao de TI, um percentual ainda muito expressivo no adota talprtica (40%). Essa situao, em conjunto com os achados sobre o processo

de gesto de contratos de TI, mostra que muito ainda precisa ser feito paraque haja controle efetivo sobre a convenincia das contrataes de TI.

O fato de metade dos rgos/entidades pesquisados no exigir o de-monstrativo de formao de preo antes da adjudicao indica que umaquantidade significativa de gestores no est atenta para os problemas quepoder enfrentar na gesto dos contratos decorrentes das aquisies de

bens e servios TI. Essa viso imediatista poder trazer riscos conclusodo contrato e/ou prejuzos organizao.


31/52


Processo de gesto de contratos de TI

Da mesma forma que importante que haja processo de trabalho

formalizado para contratao de bens e servios de TI, essencial que oscontratos advindos dessas aquisies sejam bem geridos.

Apesar de a Lei n 8.666/1993 determinar algumas aes que devemser obrigatoriamente realizadas, no h indicao do que deve constar deprocessos de trabalho para gesto dos contratos. Entretanto, para todos oscontratos e, especialmente, para os contratos de TI, a boa gesto essencial

para se atingir os objetivos esperados. Para se gerir adequadamente os riscosinerentes s atividades de TI, a adoo de processo formal de trabalho desuma importncia. Esse processo de trabalho deve ser definido, padronizado,documentado, aprovado e divulgado para toda a organizao.

A maioria (55%) dos rgos/entidades participantes do levantamentoafirmou que no adota processo formal de trabalho para gesto de contratos

de TI. Essa situao merece ser observada com ateno.A ausncia desse processo de trabalho pode causar problemas ao bom

funcionamento da rea de TI da organizao. Se os contratos de TI, quegarantem os servios de infra-estrutura de TI, o desenvolvimento de apli-cativos e o atendimento aos usurios, por exemplo, no forem bem geridos,todas as atividades de TI sero afetadas. Alm disso, todas as atividadesda organizao que dependem de servios de TI podero sofrer com inter-

rupes ou nveis de servio abaixo do desejado e comprometer metas eobjetivos da instituio.

Caso a organizao no consiga exigir dos seus fornecedores uma pres-tao de servio adequada sua necessidade, muitos projetos e atividadescorrem risco de no serem realizados no prazo necessrio, acarretandoperdas ou desperdcio de recursos. Eventualmente, tambm, alguma deter-

minao legal poder deixar de ser cumprida, o que tornar a organizaovulnervel em termos jurdicos e na sua prestao de contas.


32/52


interessante notar que 78% das organizaes consultadas afirmaramque designam formalmente um gestor para cada contrato de TI. Esse gestorpode, eventualmente, ser a mesma pessoa do representante da administra-

o previsto no art. 67 da Lei n 8.666/1993. Entretanto, observa-se que,apesar de 78% das organizaes pesquisadas terem um gestor designado parao contrato, boa parte desses gestores no dispe de um processo de trabalhoformalmente definido. Assim, o bom desempenho da funo depende dacapacidade e do conhecimento individual do gestor, quando deveria ser umaatividade impessoal que qualquer funcionrio habilitado pudesse exercerde acordo com o processo de trabalho padro. A recm publicada IN-4 da

SLTI dedica toda a Seo III ao gerenciamento do contrato.

Outro fato que causa preocupao que 65% dos rgos/entidadesque participaram do levantamento no realizam reunies peridicas comos contratados para avaliar o desempenho de cada contrato de TI. Esseprocedimento deve fazer parte do processo formal de trabalho para gestodos contratos de TI.

O art. 67 da Lei n 8.666/1993 no determina explicitamente a reali-zao de reunies peridicas com os fornecedores, entretanto, determinaque a execuo do contrato dever ser acompanhada e fiscalizada por umrepresentante da Administrao especialmente designado que anotarem registro prprio todas as ocorrncias relacionadas com a execuo docontrato, determinando o que for necessrio regularizao das faltas oudefeitos observados.

A forma mais simples e eficiente para o cumprimento desse dispositivolegal , sem dvida alguma, a realizao de reunies com a periodicidadeadequada para avaliar o andamento do servio, bem como os problemas en-frentados e as decises a serem tomadas para solucion-los. Outra vantagemsignificativa da realizao de reunies com os contratados a possibilidadede anteviso de problemas futuros baseada na evoluo do desempenho


33/52


e outros indicadores que, eventualmente, podem apontar degradao donvel de servios ou outros riscos iminentes.

Praticamente metade (53%) dos rgos/entidades que participaram dolevantamento afirmou que atesta as faturas apresentadas com base em itenspreviamente definidos. Por outro lado, 47% das organizaes pesquisadasno definem previamente um critrio para avaliao se as faturas apresen-tadas correspondem realidade e se no contm erros.

Esse procedimento especfico deve constar do processo formal de tra-

balho para gesto dos contratos de TI. A sua ausncia pode dificultar otrabalho do responsvel por atestar tecnicamente a realizao do servio.Caso esse responsvel tenha que atestar muitas faturas e essas faturastenham muitos itens a serem verificados, o risco de que sejam aprovadospagamentos indevidos bastante razovel.

No levantamento, 90% das organizaes consultadas disseram que

fazem o monitoramento tcnico dos contratos de TI. Foram informadas,tambm, a quantidade de contratos de TI e a quantidade de profissionaisque executam essa tarefa. Em 17% dos rgos/entidades pesquisados cadaprofissional monitora tecnicamente, em mdia, mais de cinco contratosde TI. A maior quantidade calculada foi de 14,7 contratos por pessoa e amenor foi de 0,5 contrato por pessoa. Deve-se ter sempre em mente queessas informaes devem ser analisadas com cuidado porque esses contratospodem variar do fornecimento de um nico item simples de ser controlado

ao complexo controle de uma fbrica de software.

J a monitorao administrativa dos contratos deve ser feita em cumpri-mento ao disposto no inciso XIII do art. 55 c/c art. 29 da Lei n 8.666/1993.Tal monitorao envolve a verificao de aspectos trabalhistas (encargos,subordinao direta, desvio de funo, no-verificao da impessoalida-de, ingerncia administrativa), aspectos fiscais (regularidade cadastral),


34/52


manuteno das condies de habilitao na licitao, atendimento aosnormativos internos do rgo ou entidade e regularidade dos recolhimentosde contribuies sociais.

Nem todos os profissionais de TI esto aptos a realizar a monitoraoadministrativa, sem uma preparao especfica, por ser uma atividade querequer o acompanhamento da legislao e jurisprudncia da rea de licita-es e contratos. Alm disso, essa atividade pode tomar um tempo elevadodevido quantidade de documentos e requisitos burocrticos a serem obser-vados. Se a atividade for realizada por pessoa no preparada devidamente

ou que no esteja atualizada nessa matria, o risco de problemas futurospara a organizao considervel. Levando tudo isso em considerao, amonitorao administrativa deve ser realizada por setor especializado queno precisa necessariamente estar ligado rea de TI.

Das organizaes consultadas, em menos da metade (45%) a monito-rao administrativa realizada por setor especializado no vinculado

rea de TI. Nos outros 55% dos rgos/entidades pesquisados, uma partesignificativa do tempo de profissionais especializados de TI gasto nodesempenho dessa tarefa.

Esse procedimento especfico deve constar do processo formal detrabalho para gesto dos contratos de TI e ser realizado por profissionaispreparados para tal. Caso contrrio, o risco de serem descumpridos dispo-sitivos legais que podero acarretar pendncias judiciais para a organizao

significativo. Nesse aspecto, interessante lembrar o caso recentementejulgado pelo Tribunal, em que rgos da Administrao Pblica Federalpagavam 0,5% a mais de FGTS, em contratos de TI, por no terem ob-servado a mudana da alquota em 1 de janeiro de 2007, conforme a LeiComplementar n 110/2001 (Acrdo n 353/2008-TCU-Plenrio).

Outra informao que chama a ateno que menos da metade (43%)

dos rgos/entidades participantes do levantamento informou que exigea transferncia de conhecimento nos contratos relativos aos produtos e


35/52


servios de TI terceirizados. O percentual restante, 57%, significativo,principalmente quando so analisados alguns dos motivos que levam asorganizaes a terceirizarem servios de TI: necessidade de acesso a tecno-

logias mais avanadas e reduo de riscos associados a essas tecnologias.

um contra-senso no exigir a transferncia do conhecimento necess-rio para realizao de servios importantes para a organizao, contratadosporque no h os recursos necessrios para serem realizados internamente.Deve-se observar que a organizao paga inclusive pela aquisio do co-nhecimento por parte do prestador e, em muitos contratos, no assegura,

ao seu trmino, a manuteno do conhecimento na instituio.

Esse procedimento especfico deve constar dos processos formais detrabalho para contratao de TI e para gesto dos contratos de TI. Noprimeiro caso, necessrio que a transferncia de conhecimento constedesde o incio da contratao, ou seja, no edital da licitao. No segun-do caso, deve haver a verificao se a transferncia de conhecimento

realizada. Caso contrrio, h risco de que os servios terceirizados, apso final do contrato, no possam ser realizados pelo pessoal da prpriainstituio.

Em concluso, o processo formal de trabalho para gesto dos contratosde TI uma necessidade que menos da metade (45%) das organizaesconsultadas adota. Mesmo a maioria (90%) realizando a monitorao tc-nica, apenas 78% designam formalmente um gestor para cada contrato e

somente 53% definem previamente os itens a serem verificados para atestaras faturas apresentadas. A monitorao administrativa ainda realizadapela rea de TI em 55% das organizaes pesquisadas.

Um percentual pequeno (35%) das organizaes consultadas realizaperiodicamente reunies com os contratados para avaliao da execuode cada contrato de TI. Somente 43% exigem em contrato que o conhe-

cimento seja transferido pelos prestadores de servio aos servidores dorgo/entidade.


36/52


Os rgos/entidades da Administrao Pblica Federal devem ser enco-rajados a adotar processo formal de trabalho para gesto dos contratos deTI para minimizar os riscos de descumprimento da legislao, desperdcio

de recursos, interrupo de servios de TI, baixa qualidade de servioscontratados, entre outros.

Processo oramentrio de TI

No Brasil, apesar do processo oramentrio ser regulamentado na reapblica, para se prever adequadamente o valor necessrio para a rea de

TI, so necessrios dois elementos essenciais: planejamento e controle.

O planejamento estratgico de TI, aliado com os planos de ao e asdecises do comit diretivo de TI, indica quais gastos devero ser realizados,a prioridade na execuo financeira e como se dar a expanso dos serviosde TI. O controle das atividades de TI, por sua vez, indica as aes queatingem os resultados esperados e aquelas que precisam ser modificadas

para alcanar os objetivos determinados. O acompanhamento dos gastosde TI um dos componentes essenciais para o controle eficiente das aesde TI. A partir da anlise das informaes obtidas no acompanhamento doplanejamento e das atividades de TI, pode-se fazer uma previso oramen-tria apropriada para a rea de TI. Entretanto, a falta de conhecimentodetalhado dos gastos de TI prejudica tal previso.

Nesse aspecto, observou-se que uma quantidade razovel de orga-

nizaes participantes do levantamento teve dificuldade de responderrapidamente o total de gastos com TI e como est distribudo esse gasto.Deve-se ressaltar que, sobre esse assunto, o Tribunal j se manifestou noAcrdo n 371/2008-TCU-Plenrio, com determinaes Secretaria doTesouro Nacional (STN) do Ministrio da Fazenda, ao Departamento deCoordenao e Governana das Empresas Estatais (Dest) e Secretariade Oramento Federal (SOF) do Ministrio do Planejamento, Oramento


37/52


e Gesto. Com a finalidade de permitir a identificao clara, objetiva etransparente da previso e da execuo dos gastos em TI, foi determinadoque estes elaborassem e encaminhassem ao TCU proposta de alterao do

Oramento Geral da Unio e do Programa de Dispndios Globais (PDG).No mesmo Acrdo, o Tribunal props a criao de uma ou mais aes queagreguem as despesas relacionadas a TI, de elemento de despesa que identi-fique execuo de despesas com bens e servios de TI e de rubricas prpriasde TI tanto para despesas correntes como para despesas de capital.

Apesar de a maioria (61%) dos rgos/entidades participantes do levan-

tamento afirmar que, em 2006, foram levadas em considerao as aesprevistas para o exerccio seguinte na solicitao do oramento para 2007,um percentual significativo (39%) no utilizou essas informaes. A partirdesses dados, pode-se supor que 39% das organizaes consultadas, quandoda solicitao de oramento para a rea de TI em 2007, ou repetiram osvalores do ano anterior ou simplesmente aplicaram um percentual de au-mento linear sobre as despesas realizadas ou, ainda, acrescentaram um valor

ao total do ano anterior sem a utilizao de um critrio transparente.Diante disso, verifica-se que a elaborao do oramento para a rea

de TI nem sempre utiliza os insumos necessrios obteno de resultadomais prximo da realidade. Isso causa preocupao, j que o controle sobreos gastos de TI de suma importncia para o melhor aproveitamento dosrecursos disponveis, para a solicitao de recursos financeiros adequados necessidade da rea de TI e para o atendimento das aes consideradas

prioritrias. Esse processo de trabalho est ligado aos processos de plane-jamento e contratao de bens e servios de TI.

Apesar de 82% dos rgos/entidades pesquisados afirmarem que realizamessa atividade, foi observado que, em muitos casos, as informaes sobregastos de TI foram de difcil obteno. Esse fato denota a necessidade demelhoria no controle de gastos de TI.


38/52


Auditoria de tecnologia da informao

A rea de TI foi considerada, por muito tempo, uma caixa preta,

sobre a qual a administrao tinha pouco controle e da qual no se sabiaao certo o que esperar como benefcio para a organizao. Com o aumentoda importncia estratgica das reas de TI, essa situao no pde maisse sustentar. H uma busca pela aplicao de modelos de governana deTI17, com o objetivo de tornar a rea de TI controlvel, com resultadosmensurveis e orientada aos objetivos do negcio da organizao.

Nessa perspectiva, a auditoria de TI consiste em verificar um ou vriosaspectos da governana de TI de uma organizao. Note-se que essa ainda uma definio ampla e abrange vrios tipos e perspectivas para auditorias.Assim, uma auditoria de TI pode, por exemplo, avaliar apenas controlesde acesso lgico ao ambiente de TI, por meio de anlise de vulnerabilida-de. J se for realizada com um objetivo mais gerencial, a auditoria podeavaliar se os processos de TI ligados ao desenvolvimento de sistemas, por

exemplo, esto sendo executados conforme a poltica da empresa e estogerando sistemas eficazes. Outra possibilidade uma auditoria para verifi-car a integridade e fidedignidade das informaes armazenadas nas basesde dados da organizao. Ou, ainda, pode-se verificar se a contratao debens e servios de TI feita de acordo com as normas da organizao e alegislao vigente.

Em termos gerais, a auditoria de TI , assim, uma ferramenta para

avaliar a conformidade, a qualidade, a eficcia e a efetividade de uma reade TI. Por isso mesmo, h uma tendncia em incluir/valorizar atividadesde auditoria peridica como instrumento para gesto. Um reflexo dessatendncia o fato de que uma das principais mudanas quando da atua-lizao do Cobit verso 3.0 para a verso 4.0, em 2005, foi o incremento


39/52


e a reorganizao do domnio de monitorao, que passou a se chamarMonitorao e Avaliao, como descrito no Apndice V do Cobit 4.1,que sinaliza que esse domnio passou a ser visto como parte do processo de

melhoria da governana de TI.

Por isso, foram includas nesse levantamento questes para verificarse esse tipo de auditoria realizado nos rgos/entidades pesquisados daAdministrao Pblica Federal. Alguns dentre os rgos/entidades pesqui-sados tm, por fora de legislao, a obrigao de executar periodicamenteauditorias independentes em vrias reas, inclusive em TI.

Outro objetivo verificar se os rgos/entidades possuem a figura doauditor interno de TI. Esse papel , em muitos aspectos, complementar aodo auditor externo: o auditor interno no apenas verifica a abrangncia eefetividade dos controles internos de TI18 em sua auditoria, como tambm agente de melhoria desses controles e, assim, pode ser um agente demelhoria da prpria gesto.

Auditorias de TI ainda so pouco freqentes entre os pesquisados:apenas 40% declararam ter realizado alguma auditoria de TI nos ltimoscinco anos. Mesmo entre os 101 rgos/entidades que a realizaram,68% executaram no mximo uma auditoria de TI por ano. Alm disso,apenas 19% dos pesquisados declararam possuir equipe interna de au-ditoria de TI.

Tal resultado indica que a realizao de auditorias de TI em bases pe-ridicas no uma realidade entre os pesquisados. Com isso, esses rgos/entidades esto perdendo a oportunidade de usar essas auditorias paraaperfeioar os seus controles internos de TI e, conseqentemente, promovera melhoria da sua governana de TI.


40/52


Concluso

O objetivo desse levantamento foi obter informaes para elaborao

de mapa com a situao da governana de TI na Administrao PblicaFederal. Ao final do processo, 255 rgos/entidades representativos daAdministrao Pblica Federal enviaram tais informaes ao TCU por meiode questionrio eletrnico elaborado pela Sefti. Dessa relao, constaramos ministrios, as universidades federais, os tribunais federais, as agnciasreguladoras e as principais autarquias, secretarias, departamentos e em-presas estatais.

Diante do quadro apresentado nos itens anteriores, observa-se que asituao da governana de TI na Administrao Pblica Federal bastanteheterognea do ponto de vista dos seus diversos aspectos. Os aspectos quede alguma forma so regulados por leis e normas (processo oramentrioe contratao e gesto de bens e servios de TI), somados a planejamentoestratgico, desenvolvimento de sistemas, gesto de nveis de servio e

auditoria de TI, apresentam algum desenvolvimento, apesar de estaremlonge do ideal. A questo de estrutura de pessoal de TI bastante diversae est atrelada natureza jurdica da organizao.

O aspecto em que a situao da governana de TI est mais crtica noque diz respeito ao tratamento da segurana da informao. Conclui-se queessa uma rea em que o TCU pode, e deve, atuar como indutor do processode aperfeioamento da governana de TI. O Tribunal j acertou, inclusive,

ao editar, em 2003 e 2007, a Cartilha de Segurana da Informao paraservir como orientao sobre o tema. Outra maneira de induzir a melhoriano tratamento da segurana a realizao de auditorias de TI com foco emsegurana da informao, que podero fornecer subsdios valiosos para osgestores sobre os principais controles que devem ser implementados visando


41/52


garantir a confiabilidade, a integridade e a disponibilidade das informaestratadas pelos rgos/entidades da Administrao Pblica Federal.

Assim, existe um campo vasto para atuao desse Tribunal na rea degovernana de TI na Administrao Pblica Federal. Se essa atuao forrealizada de forma consistente e constante, os resultados sero promissores,tendo em vista que poder haver melhoria generalizada em todos os aspectosda governana de TI. Esse fato repercutir na gesto pblica como um todoe trar benefcios para o Pas e os cidados.

BENEFCIOS DESTE LEVANTAMENTO

As informaes coletadas no presente trabalho possibilitaro Sefti oplanejamento de aes de controle mais efetivas para atingir seu objetivode aperfeioar a governana de TI nos principais rgos/entidades da Ad-ministrao Pblica Federal. As equipes de futuras fiscalizaes na rea deTI tero disposio informaes que auxiliaro o planejamento de seus

trabalhos. Alm disso, a Sefti contar com repositrio de contatos dosgestores de TI dos rgos/entidades participantes do levantamento.

ACRDO N 1603/2008 TCU PLENRIO

1. Processo: n. TC - 008.380/2007-1 (com 9 anexos)

2. Grupo I; Classe de Assunto: V - Levantamento de Auditoria

3. Interessado: Congresso Nacional

4. rgo: Diversos rgos e entidades da Administrao PblicaFederal


42/52


5. Relator: Ministro Guilherme Palmeira

6. Representante do Ministrio Pblico: no atuou

7. Unidade Tcnica: Secretaria de Fiscalizao de Tecnologia da Infor-mao Sefti

8. Advogado constitudo nos autos: no h

9. Acrdo:

VISTOS, relatados e discutidos estes autos de Levantamento de Au-ditoria efetuado pela Secretaria de Fiscalizao de Tecnologia da Informa-o Sefti, junto a diversos rgos e entidades da Administrao PblicaFederal, com vistas a obter informaes acerca da situao da gesto e douso de Tecnologia da Informao TI.

ACORDAM os Ministros do Tribunal de Contas da Unio, reunidosem Sesso Plenria, ante as razes expostas pelo Relator, em:

9.1. recomendar ao Conselho Nacional de Justia - CNJ e ao ConselhoNacional do Ministrio Pblico - CNMP que, nos rgos integrantes daestrutura do Poder Judicirio Federal e do Ministrio Pblico da Unio,respectivamente:

9.1.1. promovam aes com o objetivo de disseminar a importnciado planejamento estratgico, procedendo, inclusive mediante orientaonormativa, aes voltadas implantao e/ou aperfeioamento de plane-jamento estratgico institucional, planejamento estratgico de TI e comitdiretivo de TI, com vistas a propiciar a alocao dos recursos pblicosconforme as necessidades e prioridades da organizao;

9.1.2. atentem para a necessidade de dotar a estrutura de pessoal de TIdo quantitativo de servidores efetivos necessrio ao pleno desempenho das


43/52


atribuies do setor, garantindo, outrossim, sua capacitao, como forma deevitar o risco de perda de conhecimento organizacional, pela atuao ex-cessiva de colaboradores externos no comprometidos com a instituio;

9.1.3. orientem sobre a importncia do gerenciamento da seguranada informao, promovendo, inclusive mediante normatizao, aes quevisem estabelecer e/ou aperfeioar a gesto da continuidade do negcio, agesto de mudanas, a gesto de capacidade, a classificao da informao,a gerncia de incidentes, a anlise de riscos de TI, a rea especfica paragerenciamento da segurana da informao, a poltica de segurana da

informao e os procedimentos de controle de acesso;

9.1.4. estimulem a adoo de metodologia de desenvolvimento de siste-mas, procurando assegurar, nesse sentido, nveis razoveis de padronizaoe bom grau de confiabilidade e segurana;

9.1.5. promovam aes voltadas implantao e/ou aperfeioamento

de gesto de nveis de servio de TI, de forma a garantir a qualidade dosservios prestados internamente, bem como a adequao dos servioscontratados externamente s necessidades da organizao;

9.1.6. envidem esforos visando implementao de processo de tra-balho formalizado de contratao de bens e servios de TI, bem como degesto de contratos de TI, buscando a uniformizao de procedimentosnos moldes recomendados no item 9.4 do Acrdo 786/2006-TCU-

Plenrio;

9.1.7. adotem providncias com vistas a garantir que as propostas ora-mentrias para a rea de TI sejam elaboradas com base nas atividades queefetivamente pretendam realizar e alinhadas aos objetivos do negcio;

9.1.8. introduzam prticas voltadas realizao de auditorias de TI, que

permitam a avaliao regular da conformidade, da qualidade, da eficciae da efetividade dos servios prestados;


44/52


9.2. recomendar ao Gabinete de Segurana Institucional da Presidnciada Repblica - GSI/PR que oriente os rgos/entidades da AdministraoPblica Federal sobre a importncia do gerenciamento da segurana da

informao, promovendo, inclusive mediante orientao normativa, aesque visem estabelecer e/ou aperfeioar a gesto da continuidade do negcio,a gesto de mudanas, a gesto de capacidade, a classificao da informa-o, a gerncia de incidentes, a anlise de riscos de TI, a rea especficapara gerenciamento da segurana da informao, a poltica de seguranada informao e os procedimentos de controle de acesso;

9.3. recomendar Controladoria-Geral da Unio - CGU que realize re-gularmente auditorias de TI e/ou promova aes para estimular a realizaodessas auditorias nos rgos/entidades da Administrao Pblica Federal;

9.4. recomendar ao Ministrio do Planejamento, Oramento e Gesto- MPOG que, nos rgos/entidades da Administrao Pblica Federal:

9.4.1. promova aes com o objetivo de disseminar a importncia doplanejamento estratgico, procedendo, inclusive mediante orientao nor-mativa, execuo de aes voltadas implantao e/ou aperfeioamentode planejamento estratgico institucional, planejamento estratgico deTI e comit diretivo de TI, com vistas a propiciar a alocao dos recursospblicos conforme as necessidades e prioridades da organizao;

9.4.2. atente para a necessidade de dotar a estrutura de pessoal de TI

do quantitativo de servidores efetivos necessrio ao pleno desempenho dasatribuies do setor, garantindo, outrossim, sua capacitao, como forma deevitar o risco de perda de conhecimento organizacional, pela atuao ex-cessiva de colaboradores externos no comprometidos com a instituio;

9.4.3. estimule a adoo de metodologia de desenvolvimento de siste-mas, procurando assegurar, nesse sentido, nveis razoveis de padronizao

e bom grau de confiabilidade e segurana;


45/52


9.4.4. promova aes voltadas implantao e/ou aperfeioamento degesto de nveis de servio de TI, de forma a garantir a qualidade dos serviosprestados internamente, bem como a adequao dos servios contratados

externamente s necessidades da organizao;

9.4.5. adote providncias com vistas a garantir que as propostas ora-mentrias para a rea de TI sejam elaboradas com base nas atividades queefetivamente pretendam realizar e alinhadas aos objetivos de negcio;

9.5. recomendar Diretoria-Geral do Senado Federal e Diretoria-

Geral da Cmara dos Deputados que adotem, no mbito de suas CasasLegislativas, as providncias contidas no item 9.1;

9.6. recomendar Secretaria-Geral da Presidncia - Segepres e Secretaria-Geral de Administrao - Segedam que adotem, no mbito desteTribunal, as providncias contidas no item 9.1;

9.7. determinar Secretaria-Geral de Controle Externo - Segecex queoriente suas unidades tcnicas para considerarem as informaes armaze-nadas na Secretaria de Fiscalizao de Tecnologia da Informao Seftiquando forem executar aes de controle em governana de TI;

9.8. reiterar diligncia aos rgos/entidades que no responderam ouque no completaram as respostas pesquisa levada a efeito pela Secreta-ria de Fiscalizao de Tecnologia da Informao - Sefti, fixando prazo de

30 (trinta) dias para que sejam enviados, em meio magntico, conformeorientao daquela Secretaria, as informaes necessrias para resposta aoquestionrio utilizado neste levantamento;

9.9. determinar Secretaria de Fiscalizao de Tecnologia da In-formao - Sefti que realize fiscalizaes nas reas consideradas maiscrticas da governana de TI nos rgos/entidades fiscalizados e organize

outros levantamentos com o intuito de acompanhar e manter base de


46/52


dados atualizada com a situao da governana de TI na AdministraoPblica Federal;

9.10. remeter cpias do presente Acrdo, acompanhado do Relatrioe Voto que o fundamentam, bem como cpia integral do Relatrio de Le-vantamento Comisso de Cincia, Tecnologia, Inovao, Comunicaoe Informtica do Senado Federal; Subcomisso Permanente de Serviosde Informtica do Senado Federal; Diretoria-Geral do Senado Federal; Secretaria Especial de Informtica do Senado Federal - Prodasen; Co-misso de Fiscalizao Financeira e Controle da Cmara dos Deputados;

Comisso de Trabalho, de Administrao e Servio Pblico da Cmara dosDeputados; Comisso de Cincia e Tecnologia, Comunicao e Inform-tica da Cmara dos Deputados; Subcomisso Permanente de Cincia eTecnologia e Informtica da Cmara dos Deputados; Diretoria-Geral daCmara dos Deputados; ao Centro de Informtica da Cmara dos Deputa-dos; ao Conselho Nacional de Justia; ao Conselho Nacional do MinistrioPblico; ao Gabinete de Segurana Institucional da Presidncia da Rep-

blica; Controladoria-Geral da Unio; ao Ministrio do Planejamento,Oramento e Gesto; Secretaria de Logstica Tecnologia da Informao- SLTI do Ministrio do Planejamento, Oramento e Gesto; Secretariade Oramento Federal - SOF do Ministrio do Planejamento, Oramentoe Gesto; ao Departamento de Coordenao e Controle das EmpresasEstatais - Dest da Secretaria-Executiva do Ministrio do Planejamento,Oramento e Gesto; aos rgos/entidades que responderam pesquisapromovida pela Sefti (Apndice II do Relatrio);

9.11. autorizar, a partir da data do acrdo que vier a ser proferido, adivulgao das informaes consolidadas constantes deste levantamentoem sumrios executivos e informativos;


47/52


9.12. arquivar os presentes autos na Secretaria de Fiscalizao de Tec-nologia da Informao - Sefti.

10. Ata n 32/2008 Plenrio

11. Data da Sesso: 13/8/2008 Ordinria

12. Cdigo eletrnico para localizao na pgina do TCU na Internet:AC-1603-32/08-P

13. Especificao do qurum:

13.1. Ministros presentes: Walton Alencar Rodrigues (Presidente),Marcos Vinicios Vilaa, Valmir Campelo, Guilherme Palmeira (Relator),Ubiratan Aguiar, Benjamin Zymler, Augusto Nardes, Aroldo Cedraz eRaimundo Carreiro.

13.2. Auditores presentes: Augusto Sherman Cavalcanti, Marcos Be-mquerer Costa e Andr Lus de Carvalho.

WALTON ALENCAR RODRIGUESPresidente

GUILHERME PALMEIRA

Relator

Fui presente:PAULO SOARES BUGARINProcurador-Geral, em exerccio


48/52


NOTAS1 Cobit 4.1 - PO1.2 Business-IT Alignment (Alinhamento de TI com negcio Estabelecer processos

de educao bidirecional e de envolvimento recproco no planejamento estratgico para obteno

de alinhamento e integrao entre o negcio e as aes de TI. As prioridades devem ser acordadas

mutuamente a partir da negociao das necessidades do negcio e da rea de TI ).2 Cobit 4.1 - PO1.4 IT Strategic Plan (Plano Estratgico de TI Criar um plano estratgico que defina,

em cooperao com os principais interessados, como as metas de TI contribuiro para os objetivos

estratgicos da organizao e quais os custos e riscos associados. O plano deve incluir os servios

de TI, os ativos de TI e como a rea de TI dar suporte aos projetos dependentes de tecnologia da

informao. A rea de TI deve definir como os objetivos sero alcanados, as mtricas a serem usadas

e os procedimentos para obter a aprovao formal dos interessados. O plano estratgico de TI deveconter oramento para investimentos e custeio de TI, fontes de recursos, estratgia de aquisies, e

requisitos legais e regulatrios. O plano estratgico deve ser suficientemente detalhado para permitir

a definio de planos tticos de TI).3 Cobit 4.1 - PO4.3 IT Steering Committee (Comit Diretivo de TI Criar um comit diretivo de TI (ou

equivalente) composto de gerentes executivos, de negcios e de TI, para: determinar as prioridades

de investimento e alocao de recursos nas aes de TI, alinhadas s estratgias e prioridades da

organizao; acompanhar o estgio de desenvolvimento dos projetos e resolver conflitos relativos a

recursos; e monitorar os nveis de servio de TI e suas melhorias).4 Cobit 4.1 - PO7.5 Dependence Upon Individuals (Dependncia em Indivduos Minimizar a ocorrncia

de dependncia crtica em indivduos chave por meio de aquisio de conhecimento (documentao),

compartilhamento de conhecimento, planejamento de sucesso e equipe reserva).5 Cobit 4.1 - PO7.2 Personnel Competencies (Competncias Pessoais Regularmente verificar que

os profissionais de TI tm as competncias necessrias para exercer sua funo com base em sua

formao, treinamento e/ou experincia. Definir as competncias de TI bsicas e verificar que so

mantidas, por meio de programas de qualificao e certificao quando apropriados).6 Decreto no 5.707, de 23 de fevereiro de 2006, art. 3o, incisos VI e VII.7 Caracterstica que impede a negao da autoria/execuo de uma ao por parte de um agente. Por

exemplo: um usurio pode alegar que, dadas as fragilidades fraude do protocolo padro de e-mail,

uma determinada correspondncia eletrnica no foi de fato enviada por ele, apesar de aparecer seu

nome como remetente, negando sua autoria. Nesse caso, um e-mail dotado de no-repdio deveria

possuir uma caracterstica que garantisse que apenas o usurio listado no remetente poderia de fato


49/52


ter escrito aquele texto e o enviado. Isso pode ser conseguido, por exemplo, por meio de assinatura

digital.8 O Decreto n 3.505, de 13 de junho de 2000, instituiu a Poltica de Segurana da Informao nos rgos

e entidades da Administrao Pblica Federal e tem alcance sobre muitas instituies pesquisadas

neste levantamento. Esse documento, porm, uma norma qual a PSI especfica deve aderir.9 O Decreto n 4.553 de 27 de dezembro de 2002 estabelece um esquema de classificao da informa-

o quanto ao sigilo e tem alcance sobre muitas instituies pesquisadas. Esse documento, porm,

uma norma qual o esquema de classificao especfico deve aderir.10 Numa perspectiva mais atual, espera-se que a rea de TI seja mais estratgica e no simplesmente

entregue sistemas, mas fornea solues de TI um conceito mais amplo que engloba servios,

infra-estrutura e sistemas de informao, todos sintonizados com as prioridades da organizao.11 rea do conhecimento da informtica, voltada para a especificao, desenvolvimento e manuteno

de sistemas, que aplica tecnologias e prticas de cincia da computao, gerncia de projetos e outras

disciplinas, objetivando organizao, produtividade e qualidade.12 Programa que procura estimular a adoo de normas, mtodos, tcnicas e ferramentas da qualidade

e da engenharia de software, bem como promover a melhoria da qualidade dos processos, produtos

e servios de software brasileiros, de modo a tornar as empresas mais capacitadas a competir em um

mercado globalizado. Embora voltado para empresas em geral, uma de suas estratgias fomentar

a qualidade de softwareem empresas e organismos governamentais.13 Modelo de qualidade de processo voltado para a realidade do mercado de empresas de desenvol-

vimento de software no Brasil, compatvel com outros padres internacionais, como a Capability

Maturity Model Integration (CMMI).14 9.1.11. defina os parmetros que devero ser utilizados para balizar a mensurao da disponibilidade da

rede corporativa de computadores, incluindo o horrio que ser considerado na medio da varivel, a

abrangncia da responsabilidade da contratada e a forma de contabilizao das paradas para manuteno

no percentual de disponibilidade, entre outros pontos que venham a ser considerados cabveis;15 9.1.2. faa constar do edital a metodologia de mensurao de servios e resultados, inclusive os

critrios de controle e remunerao dos servios executados, relativamente ao item 1.2 do objeto,

levando em considerao a determinao contida no item 9.1.1 supra e as determinaes exaradas

nos Acrdos do Plenrio 667/2005, 2.103/2005, 2.171/2005 e 2.172/2005;16 9.3.22. caso entendam necessrio incluir a exigncia de Acordo de Nvel de Servio no contrato

a ser celebrado, especifiquem com preciso, no edital, discriminadamente (...)


50/52


17 Segundo a definio contida no Cobit 4.1, governana de TI um conjunto composto de liderana,

estruturas organizacionais e processos que garantem que a rea de TI da organizao apia e expande

os objetivos e estratgias da organizao.18 Polticas, procedimentos, prticas e estruturas organizacionais desenhadas para garantir o efetivo

alinhamento da TI ao seu prprio modelo de governana, e que os desvios sejam prevenidos ou

detectados e corrigidos.


51/52

Responsabilidade Editorial

Secretaria-Geral de Controle Externo

Secretaria de Fiscalizao de Tecnologia da Informao

Equipe de Auditoria

Andr Luiz Furtado Pacheco (coordenador)

Cludia Augusto Dias (supervisora)

Luisa Helena Santos FrancoRoberta Ribeiro de Queiroz Martins (supervisora)

Capa e Editorao

Secretaria-Geral da Presidncia

Instituto Serzedello Corra

Centro de Documentao

Editora do TCU

Impresso pela Sesap/Segedam


52/52

Endereo para contato, solicitao de exemplares econsulta na Internet

TRIBUNAL DE CONTAS DA UNIOSecretaria de Fiscalizao deTecnologia da Informao (Sefti)SAFS, Quadra 4, Lote 1Anexo II, Sala 31170042-900 Braslia-DFFone: (61) 3316.5371/7396Fax: (61) 3316.5372http://www.tcu.gov.br/[email protected]

Secretaria de Fiscalizao de Tecnologia da Informao

Negcio

Controle externo da governana de tecnologia dainformao na Administrao Pblica Federal.

Misso

Assegurar que a tecnologia da informao agregue valor ao negcioda Administrao Pblica Federal em benefcio da sociedade.

Viso

Ser unidade de excelncia no controle e no

sumario governanca em ti

Documents