Secretaria de Fiscalização de
Tecnologia da Informação
Comissão de Fiscalização Financeira e
Controle da Câmara dos Deputados
Cláudio Souza Castello Branco, CGAP, CIA
1
Brasília, novembro 2012
Agenda
•
•
•
•
•
2
Sobre a Sefti
Forma de atuação
O que já fizemos
Trabalhos mais relevantes
Resultados alcançados
Sobre a Sefti
3
Criação da Sefti
• Criada em agosto de 2006 (Resolução
TCU 193/2006)
“A Secretaria de Fiscalização de Tecnologia da
Informação tem por finalidade fiscalizar a gestão
e o uso de recursos de tecnologia da informação
pela Administração Pública Federal.”
4
Negócio
Controle externo da governança de tecnologia da informação
na Administração Pública Federal
Missão
Assegurar que a tecnologia da informação agregue valor ao
negócio da Administração Pública Federal em benefício da
sociedade
Visão
Ser unidade de excelência no controle e no aperfeiçoamento da
governança de tecnologia da informação
5
Áreas de atuação
•Governança
•Programas e políticas
•Sistemas
•Dados
•Segurança
•Infra-estrutura
•Contratações
6
Fiscalização
operacional e/ou
conformidade
Estrutura da Secretaria
Sefti
(6 anos)
11 CISA
6 outras
certificações
03 diretorias
02 assessorias
Direito
Computação
Engenharia
6 Mestres
8 MBA
26 auditores e
2 técnicos
01 serviço de
administração
Competência Profissional
• Formação em áreas de tecnologia
– Ciência da Computação, Engenharia e afins
• Certificações
–
–
–
–
11 auditores CISA (Certified Information Systems Auditor)
2 auditores CGEIT (Certified in the Governance of Enterprise)
2 auditores CGAP (Certified Government Auditor Professional)
1 auditor CISSP (Certified Information Systems Security
Professional)
– 1 auditor CIA (Certified Internal Auditor)
• Mestrados – 6 servidores
• MBA – 8 servidores
8
Forma de atuação
9
Contribuir para a
transparência da
Administração Pública
Transparência
APRENDIZADO E
CONHECIMENTO
PROCESSOS INTERNOS
Governança e desempenho
Intensificar ações que
promovam a melhoria
da gestão de riscos e
de controles da
Administração Pública
Aprimorar as ações de
controle voltadas à
melhoria do
desempenho da
Administração Pública
Intensificar ações de
controle para
combate ao
desperdício de
recursos públicos
Intensificar a
comunicação com a
sociedade
Tempestividade e seletividade
Atuar de forma
seletiva e sistêmica
em áreas de risco e
relevância
Fortalecer cultura
orientada a
resultados
Desenvolver cultura
de inovação
Estruturar a gestão do
conhecimento
organizacional
Induzir a
administração
pública a divulgar
informações de sua
gestão
Facilitar a atuação
do controle social
Parcerias
Assegurar
razoabilidade no
tempo de apreciação
dos processos
Desenvolver
competências
gerenciais e
profissionais
Condenar efetiva e
tempestivamente os
responsáveis por
irregularidades e desvios
Coibir a ocorrência de
fraudes e desvios de
recursos
Modernizar e integrar
as práticas de gestão
de pessoas
Aprimorar o
relacionamento com
o Congresso Nacional
Intensificar e
aprimorar o uso de TI
nas ações de controle
Promover a melhoria
da governança no
TCU
Atuar em cooperação
com a Administração
Pública e com a rede
de controle
Otimizar o uso de TI
na gestão do TCU
Assegurar adequado
suporte logístico às
necessidades do TCU
Assegurar recursos
orçamentários para
modernização do
TCU
PROCESSOS INTERNOS
Contribuir para melhoria
da gestão e do
desempenho da
Administração Pública
Ser reconhecido como instituição de excelência no
controle e no aperfeiçoamento da Administração
Pública
RESULTADOS
Controlar a Administração Pública para promover
seu aperfeiçoamento em benefício da sociedade
VISÃO
MAPA ESTRATÉGICO
ORÇAMENTO E
LOGÍSTICA
RESULTADOS
MISSÃO
Tribunal de Contas da União
Tribunal de Contas da União
MAPA ESTRATÉGICO
Governança e desempenho
Intensificar ações que
promovam a melhoria
da gestão de riscos e
Tempestividade e seletividade
de controles
da
Administração Pública
Aprimorar as ações
de controle voltadas
à melhoria do
desempenho da
Administração
Pública
Induzir a
administração
Intensificar
ações
pública a divulgar
informações de sua
de
controle
para
gestão
combate
ao
Parcerias
desperdício de
recursos públicos
PROCESSOS INTERNOS
PROCESSOS INTERNOS
Transparência
Atores relevantes
•
•
•
•
Governante (alta administração)
Gestores
Auditoria interna
Controle Externo
Atores relevantes em Governança
Sociedade
(principal)
Ch. Poder
(Agente)
Controle
Externo
Dirig. máx.
(Agente)
Auditoria
Interna
Gestor
Gestor
Gestor
Gestor
subordinado
subordinado
subordinado
subordinado
Alta Administração
• A responsabilidade por aspectos específicos de
recursos organizacionais pode ser delegada
para os gerentes da organização. Entretanto,
a prestação de contas (accountability) pelo
uso desses recursos de forma efetiva,
eficiente e aceitável na organização
permanece com a alta administração e não
pode ser delegada. (adaptado da NBR ISO/IEC 38.500)
14
Gestores
• “O gestor e a alta administração são
responsáveis pelos processos de gestão de risco
e controles da organização.”
(IIA, IPPF, 2120-1)
15
Auditores x gestores
• Auditores são parte do modelo
governamental de controle interno, mas eles
não são responsáveis pela implementação
dos procedimentos de controle numa
organização. Este trabalho é específico do
gestor. (INTOSAI -Padrões de Controle Interno, tradução
livre)
16
Auditoria Interna
• A auditoria interna é uma atividade independente e
objetiva que presta serviços de avaliação e de consultoria
com o objetivo de adicionar valor e melhorar as
operações de uma organização. A auditoria auxilia a
organização a alcançar seus objetivos através de uma
abordagem sistemática e disciplinada para a avaliação e
melhoria da eficácia dos processos de gerenciamento de
risco, controle e governança corporativa. (IIA IPPF, tradução livre)
17
Auditoria Interna
• A atividade de auditoria interna tem que avaliar a
adequação e eficácia dos controles em resposta aos
riscos relativos à governança da organização, operações
e sistemas de informação, quanto à:
– confiabilidade e integridade da informação financeira e
operacional;
– eficiência e eficácia das operações;
– salvaguarda dos ativos;
– conformidade com as leis, regulamentos e contratos. (IIA IPPF,
Padrão 2130.A1, tradução livre)
18
Controle Externo
• À semelhança da auditoria interna, a função
das Entidades de Fiscalização Superiores é
avaliar a eficácia dos processos de
governança, gestão e controles dos seus
jurisdicionados.
(INTOSAI
ISSAI
9100
Governança)
Órgãos Governantes Superiores
(OGS)
•
•
•
“Têm a responsabilidade por
•
normatizar e fiscalizar o uso e a
•
gestão de TI em seus
•
respectivos segmentos da
Administração Pública Federal” •
(Voto do Acórdão 1.145/2011-TCU-Plenário)
•
•
•
•
AGU
CGU
CNJ
CNMP
Dest/MP
Enap/MP
GSI/PR
SLTI/MP
SOF/MP
STN/MF
Segep/MP
Recomendações
(3)
Critérios de auditoria
(6)
TCU
Situação de GovTI
(2)
Normatização,
orientações, fiscalizações
(5)
Ações de controle
(1)
Boas práticas
(4)
APF
Mais e melhores
serviços
(7)
Ratifica
legitmidade
(8)
Sociedade
21
OGS
Induzindo a mudança
Governança
Implementação/Aprimoramento
do modelo de governança
Desgovernança
22
Alta
Administração
(responsabilidade)
O que já fizemos
23
23
O que já fizemos (2007/2012)
•
•
•
•
•
Processos (223)
Fiscalizações (113)
Palestras ministradas (126)
Treinamentos ministrados (31)
Orientações Formais aos Gestores
– Cartilha de Boas Práticas em Segurança da
Informação - 4ª edição
– Base de Normas e Jurisprudência de TI
www.tcu.gov.br/fiscalizacaoti
24
O que já fizemos (2007-2012)
• Notas Técnicas
1 – Termo de Referência
2 – Uso do Pregão
3 – Credenciamento de licitantes pelos fabricantes
4 – Amostra
5 – Certificação para qualidade de processo de
software
6 – Níveis de Serviço em Contratos de TI
Divulgação
26
Trabalhos mais relevantes
28
28
Trabalhos mais relevantes
Levantamentos
29
Diagnóstico da APF
Levantamento – GovTI 2012
ASPECTOS QUE DEMANDAM ATENÇÃO
Realiza análise de risco
Realiza gestão de incidentes de seg. da informação
16%
Possui processo de classificação da informação
17%
Realiza gestão da continuidade dos serviços
17%
Possui processo formal de planejamento das contratações de TI
Acompanha os indicadores de benefícios dos principais sistemas
Inventaria os ativos de informação
Possui processo formalizado de gestão de contratos de TI
Estabeleceu indicadores de desempenho de TI
Possui política de segurança da informação
30
10%
18%
23%
24%
31%
37%
45%
Diagnóstico da APF
Levantamento – GovTI 2012
ASPECTOS POSITIVOS
Designou Comitê de TI
78%
Realiza planejamento estratégico de TI
78%
Utiliza os benefícios reais como critério para prorrogar o contrato
Realiza planejamento estratégico institucional
81%
85%
Diagnóstico da APF
Levantamento – GovTI 2012
PRINCIPAIS EVOLUÇÕES 2007 – 2012
2012
2010
2007
54%
Alta Administração responsabiliza-se pelas políticas de TI
47%
54%
Estabeleceu objetivos de desempenho de TI
Alta Administração designou Comitê de TI
43%
78%
50%
32%
78%
Planejamento Estratégico de TI
67%
41%
85%
Planejamento Estratégico Institucional
Possuem Carreira de TI
32
53%
43%
80%
78%
78%
Diagnóstico da APF
Levantamento – GovTI
INSTITUIÇÕES x ESTÁGIOS DO iGovTI
60 a 100%(aprimorado)
40 a 59%(intermediário)
0 a 39%(inicial)
16%
Perfil GovTI 2012
50%
34%
5%
Perfil GovTI 2010
38%
57%
33
Levantamento – GovTI 2012
Governança de TI x Orçamento de TI
R$ 10.000.000.000,00
R$ 1.000.000.000,00
O
r
ç
a
m
e
n
t
o
T
I
R$ 100.000.000,00
R$ 10.000.000,00
2
0
1
2
R$ 1.000.000,00
R$ 100.000,00
0%
10%
20%
30%
40%
50%
iGovTI2012
34
60%
70%
80%
90%
Levantamento – GovTI 2012
Governança de TI x Orçamento de TI x Sistemas Críticos
R$ 10.000.000.000,00
R$ 1.000.000.000,00
O
r
ç
a
m
e
n
t
o
T
I
R$ 100.000.000,00
R$ 10.000.000,00
2
0
1
2
R$ 1.000.000,00
R$ 100.000,00
0%
10%
20%
30%
40%
50%
iGovTI2012
35
Possui sistema crítico
Não possui sistema crítico
60%
70%
80%
90%
Trabalhos mais relevantes
Levantamentos
36
Trabalhos mais relevantes
Levantamentos (cont.)
Observatório
Sefti
37
Trabalhos mais relevantes
Auditorias
38
Trabalhos mais relevantes
Auditorias
39
Trabalhos mais relevantes
Orientação/Divulgação
Manual de
Auditoria de
Tecnologia da
Informação
40
Trabalhos mais relevantes
em andamento ou planejados
• Siconv
• Auditoria para avaliar a economia, eficiência e
eficácia das empresas públicas prestadoras de
serviços de TI (Acórdão 906/2009-P)
• Avaliação mensurável dos resultados da
aplicação das boas práticas
• Avaliação das políticas públicas de TI
Resultados
91
Benefícios das ações de controle
• Financeiros: R$ 7,5 bilhões (2007-2012)
– Relação custo/benefício: R$ 266 para R$ 1
– Débitos, multas, economias e ganhos
• Benefícios não financeiros
– melhorias na organização administrativa, nos
controles internos, na gestão de riscos, na governança
e na forma de atuação dos órgãos fiscalizados;
– fornecimento de subsídios para a atuação do
Ministério Público e do Congresso Nacional;
– recomendações para aprimoramento de normas.
92
• Judiciário
Alguns Resultados
 CNJ–Resolução 70, de 18.03.2009 –dispõe sobre o
Planejamento e a Gestão Estratégica no âmbito do Poder
Judiciário
 CNJ–Resolução 99, de 24.11.2009 –dispõe sobre o
Planejamento Estratégico de TI no âmbito do Judiciário
 Resolução-CNMP 70/2011 – Criação do Comitê Estratégico
de TI
• Executivo
– GSI/PR–IN GSI/PR 01, de 13.06.2008 – disciplina a Gestão
de Segurança da Informação na APF
– GSI/PR–7 Notas Complementares
93
(entre outubro de 2008 e maio de 2010)
Alguns Resultados
• Executivo
 MP–IN/SLTI 04/2008, de 19.05.2008 –dispõe sobre
processo de trabalho para contratações de TI
 MP–Portaria 63, de 27.03.2009 e Portaria nº 107 de
04.03.2010 –autorizam a realização de concurso
público para provimento e a contratação de 230
Analistas de TI
 MP–Indução da previsão e execução das despesas de
TI no OGU (Acórdão 371/2008 –Plenário)
94
Estímulo ao desenvolvimento do marco
normativo para governança de TI
• Ac 1603/2008-P, 2471/2008-P, 1233/2012-P
• Critérios gerais de controle interno, gestão de
risco e governança na administração pública –
PLS 229/2009 e subsídio para elaboração de
normativo
Resumo
•
•
•
•
•
96
Sobre a Sefti
Forma de atuação
O que já fizemos
Trabalhos mais relevantes
Resultados alcançados
Induzindo a mudança
Governança de TI
Implementação/Aprimoramento
do modelo de governança
Desgovernança de TI
97
Alta
Administração
(responsabilidade)
Avaliação do gestor (TMS 6/2010)
• É comum no Serviço Público a expressão
"Sofremos fiscalização do TCU", após essa
segunda auditoria, a primeira fora realizada
no ano de 2007, posso dizer que a expressão
contém imprecisão grande.
Avaliação do gestor (TMS 6/2010)
• A Divisão de Informática do Itamaraty não
"sofreu" fiscalização, pois cada uma das
observações serviu para o aprimoramento de
nossos
processos,
sobretudo
os
de
contratação,
que
já
passaram
por
modificações extensas que culminarão em
Pregão Eletrônico a ser realizado nesta
segunda-feira 14 de fevereiro.
Avaliação do gestor (TMS 6/2010)
• Dessa maneira, a palavra "sofreu" que implica
dizer que houve sofrimento da parte auditada,
não é a mais adequada para descrever o
processo ao qual nos submetemos. Ao
contrário, as diversas reuniões com a equipe
de auditores proporcionou ao Ministério
momentos de aprendizado e aprimoramento
de práticas únicos.
“A TI é o coração da Administração
Pública, podendo fazê-la avançar ou
parar ”
Ministro Augusto Sherman
101
Grato pela atenção.
Missão da Sefti: “Assegurar que a tecnologia da
informação agregue valor ao negócio da Administração
Pública em benefício da sociedade.”
http://www.tcu.gov.br/fiscalizacaoti
[email protected]
102