Secretaria de Fiscalização de Tecnologia da Informação Comissão de Fiscalização Financeira e Controle da Câmara dos Deputados Cláudio Souza Castello Branco, CGAP, CIA 1 Brasília, novembro 2012 Agenda • • • • • 2 Sobre a Sefti Forma de atuação O que já fizemos Trabalhos mais relevantes Resultados alcançados Sobre a Sefti 3 Criação da Sefti • Criada em agosto de 2006 (Resolução TCU 193/2006) “A Secretaria de Fiscalização de Tecnologia da Informação tem por finalidade fiscalizar a gestão e o uso de recursos de tecnologia da informação pela Administração Pública Federal.” 4 Negócio Controle externo da governança de tecnologia da informação na Administração Pública Federal Missão Assegurar que a tecnologia da informação agregue valor ao negócio da Administração Pública Federal em benefício da sociedade Visão Ser unidade de excelência no controle e no aperfeiçoamento da governança de tecnologia da informação 5 Áreas de atuação •Governança •Programas e políticas •Sistemas •Dados •Segurança •Infra-estrutura •Contratações 6 Fiscalização operacional e/ou conformidade Estrutura da Secretaria Sefti (6 anos) 11 CISA 6 outras certificações 03 diretorias 02 assessorias Direito Computação Engenharia 6 Mestres 8 MBA 26 auditores e 2 técnicos 01 serviço de administração Competência Profissional • Formação em áreas de tecnologia – Ciência da Computação, Engenharia e afins • Certificações – – – – 11 auditores CISA (Certified Information Systems Auditor) 2 auditores CGEIT (Certified in the Governance of Enterprise) 2 auditores CGAP (Certified Government Auditor Professional) 1 auditor CISSP (Certified Information Systems Security Professional) – 1 auditor CIA (Certified Internal Auditor) • Mestrados – 6 servidores • MBA – 8 servidores 8 Forma de atuação 9 Contribuir para a transparência da Administração Pública Transparência APRENDIZADO E CONHECIMENTO PROCESSOS INTERNOS Governança e desempenho Intensificar ações que promovam a melhoria da gestão de riscos e de controles da Administração Pública Aprimorar as ações de controle voltadas à melhoria do desempenho da Administração Pública Intensificar ações de controle para combate ao desperdício de recursos públicos Intensificar a comunicação com a sociedade Tempestividade e seletividade Atuar de forma seletiva e sistêmica em áreas de risco e relevância Fortalecer cultura orientada a resultados Desenvolver cultura de inovação Estruturar a gestão do conhecimento organizacional Induzir a administração pública a divulgar informações de sua gestão Facilitar a atuação do controle social Parcerias Assegurar razoabilidade no tempo de apreciação dos processos Desenvolver competências gerenciais e profissionais Condenar efetiva e tempestivamente os responsáveis por irregularidades e desvios Coibir a ocorrência de fraudes e desvios de recursos Modernizar e integrar as práticas de gestão de pessoas Aprimorar o relacionamento com o Congresso Nacional Intensificar e aprimorar o uso de TI nas ações de controle Promover a melhoria da governança no TCU Atuar em cooperação com a Administração Pública e com a rede de controle Otimizar o uso de TI na gestão do TCU Assegurar adequado suporte logístico às necessidades do TCU Assegurar recursos orçamentários para modernização do TCU PROCESSOS INTERNOS Contribuir para melhoria da gestão e do desempenho da Administração Pública Ser reconhecido como instituição de excelência no controle e no aperfeiçoamento da Administração Pública RESULTADOS Controlar a Administração Pública para promover seu aperfeiçoamento em benefício da sociedade VISÃO MAPA ESTRATÉGICO ORÇAMENTO E LOGÍSTICA RESULTADOS MISSÃO Tribunal de Contas da União Tribunal de Contas da União MAPA ESTRATÉGICO Governança e desempenho Intensificar ações que promovam a melhoria da gestão de riscos e Tempestividade e seletividade de controles da Administração Pública Aprimorar as ações de controle voltadas à melhoria do desempenho da Administração Pública Induzir a administração Intensificar ações pública a divulgar informações de sua de controle para gestão combate ao Parcerias desperdício de recursos públicos PROCESSOS INTERNOS PROCESSOS INTERNOS Transparência Atores relevantes • • • • Governante (alta administração) Gestores Auditoria interna Controle Externo Atores relevantes em Governança Sociedade (principal) Ch. Poder (Agente) Controle Externo Dirig. máx. (Agente) Auditoria Interna Gestor Gestor Gestor Gestor subordinado subordinado subordinado subordinado Alta Administração • A responsabilidade por aspectos específicos de recursos organizacionais pode ser delegada para os gerentes da organização. Entretanto, a prestação de contas (accountability) pelo uso desses recursos de forma efetiva, eficiente e aceitável na organização permanece com a alta administração e não pode ser delegada. (adaptado da NBR ISO/IEC 38.500) 14 Gestores • “O gestor e a alta administração são responsáveis pelos processos de gestão de risco e controles da organização.” (IIA, IPPF, 2120-1) 15 Auditores x gestores • Auditores são parte do modelo governamental de controle interno, mas eles não são responsáveis pela implementação dos procedimentos de controle numa organização. Este trabalho é específico do gestor. (INTOSAI -Padrões de Controle Interno, tradução livre) 16 Auditoria Interna • A auditoria interna é uma atividade independente e objetiva que presta serviços de avaliação e de consultoria com o objetivo de adicionar valor e melhorar as operações de uma organização. A auditoria auxilia a organização a alcançar seus objetivos através de uma abordagem sistemática e disciplinada para a avaliação e melhoria da eficácia dos processos de gerenciamento de risco, controle e governança corporativa. (IIA IPPF, tradução livre) 17 Auditoria Interna • A atividade de auditoria interna tem que avaliar a adequação e eficácia dos controles em resposta aos riscos relativos à governança da organização, operações e sistemas de informação, quanto à: – confiabilidade e integridade da informação financeira e operacional; – eficiência e eficácia das operações; – salvaguarda dos ativos; – conformidade com as leis, regulamentos e contratos. (IIA IPPF, Padrão 2130.A1, tradução livre) 18 Controle Externo • À semelhança da auditoria interna, a função das Entidades de Fiscalização Superiores é avaliar a eficácia dos processos de governança, gestão e controles dos seus jurisdicionados. (INTOSAI ISSAI 9100 Governança) Órgãos Governantes Superiores (OGS) • • • “Têm a responsabilidade por • normatizar e fiscalizar o uso e a • gestão de TI em seus • respectivos segmentos da Administração Pública Federal” • (Voto do Acórdão 1.145/2011-TCU-Plenário) • • • • AGU CGU CNJ CNMP Dest/MP Enap/MP GSI/PR SLTI/MP SOF/MP STN/MF Segep/MP Recomendações (3) Critérios de auditoria (6) TCU Situação de GovTI (2) Normatização, orientações, fiscalizações (5) Ações de controle (1) Boas práticas (4) APF Mais e melhores serviços (7) Ratifica legitmidade (8) Sociedade 21 OGS Induzindo a mudança Governança Implementação/Aprimoramento do modelo de governança Desgovernança 22 Alta Administração (responsabilidade) O que já fizemos 23 23 O que já fizemos (2007/2012) • • • • • Processos (223) Fiscalizações (113) Palestras ministradas (126) Treinamentos ministrados (31) Orientações Formais aos Gestores – Cartilha de Boas Práticas em Segurança da Informação - 4ª edição – Base de Normas e Jurisprudência de TI www.tcu.gov.br/fiscalizacaoti 24 O que já fizemos (2007-2012) • Notas Técnicas 1 – Termo de Referência 2 – Uso do Pregão 3 – Credenciamento de licitantes pelos fabricantes 4 – Amostra 5 – Certificação para qualidade de processo de software 6 – Níveis de Serviço em Contratos de TI Divulgação 26 Trabalhos mais relevantes 28 28 Trabalhos mais relevantes Levantamentos 29 Diagnóstico da APF Levantamento – GovTI 2012 ASPECTOS QUE DEMANDAM ATENÇÃO Realiza análise de risco Realiza gestão de incidentes de seg. da informação 16% Possui processo de classificação da informação 17% Realiza gestão da continuidade dos serviços 17% Possui processo formal de planejamento das contratações de TI Acompanha os indicadores de benefícios dos principais sistemas Inventaria os ativos de informação Possui processo formalizado de gestão de contratos de TI Estabeleceu indicadores de desempenho de TI Possui política de segurança da informação 30 10% 18% 23% 24% 31% 37% 45% Diagnóstico da APF Levantamento – GovTI 2012 ASPECTOS POSITIVOS Designou Comitê de TI 78% Realiza planejamento estratégico de TI 78% Utiliza os benefícios reais como critério para prorrogar o contrato Realiza planejamento estratégico institucional 81% 85% Diagnóstico da APF Levantamento – GovTI 2012 PRINCIPAIS EVOLUÇÕES 2007 – 2012 2012 2010 2007 54% Alta Administração responsabiliza-se pelas políticas de TI 47% 54% Estabeleceu objetivos de desempenho de TI Alta Administração designou Comitê de TI 43% 78% 50% 32% 78% Planejamento Estratégico de TI 67% 41% 85% Planejamento Estratégico Institucional Possuem Carreira de TI 32 53% 43% 80% 78% 78% Diagnóstico da APF Levantamento – GovTI INSTITUIÇÕES x ESTÁGIOS DO iGovTI 60 a 100%(aprimorado) 40 a 59%(intermediário) 0 a 39%(inicial) 16% Perfil GovTI 2012 50% 34% 5% Perfil GovTI 2010 38% 57% 33 Levantamento – GovTI 2012 Governança de TI x Orçamento de TI R$ 10.000.000.000,00 R$ 1.000.000.000,00 O r ç a m e n t o T I R$ 100.000.000,00 R$ 10.000.000,00 2 0 1 2 R$ 1.000.000,00 R$ 100.000,00 0% 10% 20% 30% 40% 50% iGovTI2012 34 60% 70% 80% 90% Levantamento – GovTI 2012 Governança de TI x Orçamento de TI x Sistemas Críticos R$ 10.000.000.000,00 R$ 1.000.000.000,00 O r ç a m e n t o T I R$ 100.000.000,00 R$ 10.000.000,00 2 0 1 2 R$ 1.000.000,00 R$ 100.000,00 0% 10% 20% 30% 40% 50% iGovTI2012 35 Possui sistema crítico Não possui sistema crítico 60% 70% 80% 90% Trabalhos mais relevantes Levantamentos 36 Trabalhos mais relevantes Levantamentos (cont.) Observatório Sefti 37 Trabalhos mais relevantes Auditorias 38 Trabalhos mais relevantes Auditorias 39 Trabalhos mais relevantes Orientação/Divulgação Manual de Auditoria de Tecnologia da Informação 40 Trabalhos mais relevantes em andamento ou planejados • Siconv • Auditoria para avaliar a economia, eficiência e eficácia das empresas públicas prestadoras de serviços de TI (Acórdão 906/2009-P) • Avaliação mensurável dos resultados da aplicação das boas práticas • Avaliação das políticas públicas de TI Resultados 91 Benefícios das ações de controle • Financeiros: R$ 7,5 bilhões (2007-2012) – Relação custo/benefício: R$ 266 para R$ 1 – Débitos, multas, economias e ganhos • Benefícios não financeiros – melhorias na organização administrativa, nos controles internos, na gestão de riscos, na governança e na forma de atuação dos órgãos fiscalizados; – fornecimento de subsídios para a atuação do Ministério Público e do Congresso Nacional; – recomendações para aprimoramento de normas. 92 • Judiciário Alguns Resultados CNJ–Resolução 70, de 18.03.2009 –dispõe sobre o Planejamento e a Gestão Estratégica no âmbito do Poder Judiciário CNJ–Resolução 99, de 24.11.2009 –dispõe sobre o Planejamento Estratégico de TI no âmbito do Judiciário Resolução-CNMP 70/2011 – Criação do Comitê Estratégico de TI • Executivo – GSI/PR–IN GSI/PR 01, de 13.06.2008 – disciplina a Gestão de Segurança da Informação na APF – GSI/PR–7 Notas Complementares 93 (entre outubro de 2008 e maio de 2010) Alguns Resultados • Executivo MP–IN/SLTI 04/2008, de 19.05.2008 –dispõe sobre processo de trabalho para contratações de TI MP–Portaria 63, de 27.03.2009 e Portaria nº 107 de 04.03.2010 –autorizam a realização de concurso público para provimento e a contratação de 230 Analistas de TI MP–Indução da previsão e execução das despesas de TI no OGU (Acórdão 371/2008 –Plenário) 94 Estímulo ao desenvolvimento do marco normativo para governança de TI • Ac 1603/2008-P, 2471/2008-P, 1233/2012-P • Critérios gerais de controle interno, gestão de risco e governança na administração pública – PLS 229/2009 e subsídio para elaboração de normativo Resumo • • • • • 96 Sobre a Sefti Forma de atuação O que já fizemos Trabalhos mais relevantes Resultados alcançados Induzindo a mudança Governança de TI Implementação/Aprimoramento do modelo de governança Desgovernança de TI 97 Alta Administração (responsabilidade) Avaliação do gestor (TMS 6/2010) • É comum no Serviço Público a expressão "Sofremos fiscalização do TCU", após essa segunda auditoria, a primeira fora realizada no ano de 2007, posso dizer que a expressão contém imprecisão grande. Avaliação do gestor (TMS 6/2010) • A Divisão de Informática do Itamaraty não "sofreu" fiscalização, pois cada uma das observações serviu para o aprimoramento de nossos processos, sobretudo os de contratação, que já passaram por modificações extensas que culminarão em Pregão Eletrônico a ser realizado nesta segunda-feira 14 de fevereiro. Avaliação do gestor (TMS 6/2010) • Dessa maneira, a palavra "sofreu" que implica dizer que houve sofrimento da parte auditada, não é a mais adequada para descrever o processo ao qual nos submetemos. Ao contrário, as diversas reuniões com a equipe de auditores proporcionou ao Ministério momentos de aprendizado e aprimoramento de práticas únicos. “A TI é o coração da Administração Pública, podendo fazê-la avançar ou parar ” Ministro Augusto Sherman 101 Grato pela atenção. Missão da Sefti: “Assegurar que a tecnologia da informação agregue valor ao negócio da Administração Pública em benefício da sociedade.” http://www.tcu.gov.br/fiscalizacaoti [email protected] 102