Sumrios Executivos

Levantamento acerca da Governana de Tecnologia da Informao na Administrao Pblica Federal

Ministro Guilherme Palmeira

Relator

Braslia, Brasil 2008

 Copyright 2008, Tribunal de Contas da Unio Impresso no Brasil / Printed in Brazil <www.tcu.gov.br>

Para leitura completa do Relatrio, do Voto e do Acrdo n 1603/2008 - TCU - Plenrio, acesse a pgina do TCU na Internet, no seguinte endereo: <www.tcu.gov.br/fiscalizacaoti>

Permite-se a reproduo desta publicao, em parte ou no todo, sem alterao do contedo, desde que citada a fonte e sem fins comerciais. Brasil. Tribunal de Contas da Unio. Levantamento acerca da Governana de Tecnologia da Informao na Administrao Pblica Federal/ Tribunal de Contas da Unio ; Relator Ministro Benjamin Zymler. Braslia : TCU, Secretaria de Fiscalizao de Tecnologia da Informao, 2008. 48 p. : il. color. (Sumrios Executivos) 1. Auditoria tecnologia da informao. 2. Trfego areo controle Brasil. 3. Transporte areo segurana Brasil. 4. Controlador de vo Brasil. I. Ttulo. II. Srie.

Catalogao na fonte: Biblioteca Ministro Ruben Rosa

SUMRIO
APRESENTAO; 5 AGRADECIMENTOS; 6 RESUMO; 7 OBJETIVOS DO LEVANTAMENTO; 8 COMO SE DESENVOLVEU O TRABALHO; 9 LEVANTAMENTO ACERCA DA GOVERNANA DE TI; 11
Planejamento estratgico institucional e de TI; 11 Estrutura de pessoal de TI; 13 Segurana da informao; 14 Desenvolvimento de sistemas de informao; 20 Gesto de acordos de nveis de servio; 23 Processo de contratao de bens e servios de TI; 24 Processo de gesto de contratos de TI; 29 Processo oramentrio de TI; 34 Auditoria de tecnologia da informao; 36 Concluso; 38

BENEFCIOS DESTE LEVANTAMENTO ; 39 ACRDO N 1603/2008 TCU PLENRIO; 39 NOTAS; 46

APRESENTAO
Um dos grandes desafios da Administrao Pblica Federal na atualidade a elevao do seu grau de governana. O Tribunal de Contas da Unio, como rgo de controle externo, tem um papel de destaque no aperfeioamento dessa rea. Nesse contexto, a governana de tecnologia da informao (TI) essencial para que se atinja esse objetivo. A TI o verdadeiro motor das organizaes modernas podendo tanto impulsion-las muito adiante como emperrar o seu progresso. Devido complexidade e dimenso estratgica de que se reveste o tema, a Secretaria de Fiscalizao de Tecnologia da Informao (Sefti), criada em 2006, necessitava obter informaes acerca da situao da governana de TI na Administrao Pblica Federal para identificar corretamente o qu e como fiscalizar a gesto e o uso de recursos de TI pelos rgos e entidades federais. Com esse intuito, decidiu-se pela execuo do levantamento ora apresentado. As informaes obtidas neste levantamento sero utilizadas na elaborao do planejamento das fiscalizaes a serem realizadas pelo Tribunal com intuito de aumentar a eficincia e eficcia de suas aes. O resultado final esperado a induo de melhorias na governana de TI na Administrao Pblica Federal e, conseqentemente, sua modernizao e aperfeioamento. Esta publicao traz o resumo da situao encontrada, poca do levantamento, da governana de TI na Administrao Pblica Federal. O respectivo processo (TC n 008.380/2007-1) foi apreciado em sesso do Plenrio de 13.08.2008, sob a relatoria do Ministro Guilherme Palmeira, resultando no Acrdo 1.603/2008-TCU-Plenrio que autorizou a divulgao dos resultados dele decorrentes Walton Alencar Rodrigues Ministro-Presidente
Levantamento acerca da Governana de TI na Administrao Pblica Federal

AGRADECIMENTOS
O sucesso deste levantamento est relacionado parceria que a equipe de auditoria estabeleceu com os gestores de tecnologia da informao (TI) dos rgos e entidades que responderam ao questionrio. Durante a realizao dos trabalhos, a equipe contou com a valiosa colaborao dos Analistas de Controle Externo Antnio Martins Jnior, Rodrigo Machado Benevides e Tibrio Cesar Jocundo Loureiro, lotados na Secretaria de Fiscalizao de Tecnologia da Informao (Sefti), e Sylvio Xavier Jnior, lotado na Secretaria de Tecnologia da Informao (Setec). Por fim, agradece-se a colaborao de Rui Nbrega da Silva Leal, funcionrio terceirizado, pelo suporte ao trabalho e atendimento sempre cordial e atencioso.

Sumrios Executivos

RESUMO
A dimenso estratgica da tecnologia da informao (TI), a complexidade de sua gesto, o aumento dos gastos pblicos com TI na administrao pblica e a quantidade crescente de denncias e representaes sobre aquisies nessa rea, levaram, no final de 2006, criao da Secretaria de Fiscalizao de TI (Sefti). A Sefti tem por finalidade fiscalizar a gesto e o uso de recursos de TI pela Administrao Pblica Federal (APF) e induzir melhorias na governana de TI e, conseqentemente, sua modernizao e aperfeioamento. Para tanto, necessrio se obter informaes acerca da situao da governana de TI na APF para identificar corretamente o qu e como fiscalizar e aumentar a eficincia e eficcia de suas aes. Para isso, este levantamento foi autorizado pelo Acrdo n 435/2007TCU-Plenrio com o objetivo de coletar informaes acerca dos processos de aquisio de bens e servios de TI, de segurana da informao, de gesto de recursos humanos de TI, e das principais bases de dados e sistemas da Administrao Pblica Federal. Assim, foram obtidas informaes para elaborao de mapa com a situao da governana de TI na Administrao Pblica Federal e identificados os principais sistemas e bases de dados da APF. Com essa gama de informaes, possvel identificar onde a situao da governana de TI est mais crtica e em que reas o TCU deve atuar. Assim, o planejamento das fiscalizaes da Sefti contar com subsdios valiosos para seu aprimoramento. Foram selecionados, como amostra deste levantamento, 255 rgos/ entidades representativos da Administrao Pblica Federal. Dessa relao, constaram os ministrios, as universidades federais, os tribunais federais, as agncias reguladoras e as principais autarquias, secretarias, departamentos e empresas estatais. Os rgos e entidades includos na amostra responderam a questionrio composto de 39 perguntas baseadas nas normas tcnicas brasileiras sobre segurana da informao e gesto de continuidade de negcios, e no Control Objectives for Information and related Technology 4.1 (Cobit 4.1).
Levantamento acerca da Governana de TI na Administrao Pblica Federal

A partir dos dados coletados, observou-se que a situao da governana de TI na Administrao Pblica Federal bastante heterognea. Os aspectos que de alguma forma so regulados por leis e normas (processo oramentrio e contratao e gesto de bens e servios de TI), somados a planejamento estratgico, desenvolvimento de sistemas, gesto de nveis de servio e auditoria de TI, apresentam algum desenvolvimento, apesar de estarem longe do ideal. A estrutura de pessoal de TI bastante diversa e est atrelada natureza jurdica da organizao. O aspecto em que a situao da governana de TI est mais crtica no que diz respeito ao tratamento da segurana da informao. Conclui-se que essa uma rea em que o TCU pode, e deve, atuar como indutor do processo de aperfeioamento da governana de TI. Assim, existe um campo vasto para atuao deste Tribunal na rea de governana de TI na Administrao Pblica Federal. Se essa atuao for realizada de forma consistente e constante, os resultados sero promissores tendo em vista que poder haver melhoria generalizada em todos os aspectos da governana de TI. Esse fato repercutir na gesto pblica como um todo e trar benefcios para o Pas e os cidados.

OBJETIVOS DO LEVANTAMENTO
O objetivo principal deste levantamento foi obter informaes para elaborao de mapa com a situao da governana de TI na Administrao Pblica Federal. Em paralelo, foram identificados os principais sistemas e bases de dados da Administrao Pblica Federal. Com essa gama de informaes ser possvel verificar onde a situao da governana de TI est mais crtica e identificar as reas onde o TCU pode, e deve, atuar como indutor do processo de aperfeioamento da governana de TI. Alm disso, o planejamento das fiscalizaes da Sefti contar com subsdios valiosos para seu aprimoramento.
8
Sumrios Executivos

COMO SE DESENVOLVEU O TRABALHO

Durante a fase de planejamento foi elaborada matriz de planejamento com intuito de definir as reas da governana de TI a serem pesquisadas e organizar a execuo do trabalho. Foram selecionados, como amostra, 333 rgos/entidades representativos da Administrao Pblica Federal. Desses rgos/entidades, 29 responderam em conjunto com outros rgos/entidades e 14 no se consideram integrantes da Administrao Pblica Federal, apesar de jurisdicionados ao Tribunal, em especial os que fazem parte do Sistema S (Apndice IV, fl. 42). Outros 25 rgos/entidades no responderam pesquisa e 10 no completaram a quantidade mnima estabelecida de respostas (Apndice III, fl. 41-v). Assim, 255 rgos/entidades participaram efetivamente do levantamento. Dessa relao constaram ministrios, universidades federais, tribunais federais, agncias reguladoras, autarquias, secretarias, departamentos e empresas estatais. Ainda no planejamento, para ser submetido aos rgos e s entidades da amostra, foi elaborado questionrio composto de 39 perguntas baseadas nas normas tcnicas brasileiras NBR ISO/IEC 17799:2005, NBR ISO/IEC 15999-1:2007 e no Control Objectives for Information and related Technology 4.1 (Cobit 4.1). A norma NBR ISO/IEC 17799:2005 o cdigo de prtica para a gesto da segurana da informao mais adotado em todo o mundo. Essa norma teve sua primeira verso internalizada pela Associao Brasileira de Normas Tcnicas (ABNT) em setembro de 2001, e conta com a segunda verso em vigor desde setembro de 2005. Essa norma fornece recomendaes em gesto da segurana da informao para uso dos responsveis pela implementao e manuteno da segurana em suas organizaes. Tem como propsito prover uma base comum para o desenvolvimento de normas de segurana organizacional e das prticas efetivas de gesto da segurana, e prover confiana nos relacionamentos entre as organizaes.

Levantamento acerca da Governana de TI na Administrao Pblica Federal

A norma NBR 15999-1:2007 o cdigo de prtica para a gesto de continuidade de negcios, baseada na norma inglesa BSI 25999:2006 e internalizada no Brasil pela ABNT em outubro de 2007. Seu objetivo fornecer um sistema baseado nas boas prticas de gesto de continuidade de negcios. O Cobit, por sua vez, um modelo de gesto orientado a processos e est dividido em quatro grandes grupos: Planejar e Organizar (Plan & Organise PO), Adquirir e Implementar (Acquire & Implement AI), Entregar e Assistir (Deliver & Support DS) e Monitorar e Avaliar (Monitor & Evaluate ME), cujas iniciais sero utilizadas no decorrer do relatrio para fins de referncia como critrios de auditoria. O Cobit se encontra disponvel no site www.isaca.org. Vale salientar que se trata de modelo j amplamente reconhecido e utilizado, no Brasil e no mundo, no mbito da tecnologia da informao, tanto por gerentes de informtica quanto por auditores de TI. Na fase de execuo do levantamento, os rgos e entidades selecionados receberam, por meio de correspondncia oficial, a identificao e a senha individual para acesso ao questionrio e, posteriormente, via mensagem eletrnica, o link para o questionrio on-line. O software Risk Manager apoiou o envio, a coleta e a tabulao das informaes do questionrio. Durante o preenchimento do questionrio, foi solicitado aos gestores de TI dos rgos e entidades que anexassem documentos eletrnicos para servirem de evidncias s respostas apresentadas. Em geral, esses documentos solicitados so atos normativos formais da organizao, mas poderiam ser tambm atas de reunio ou outras publicaes internas aceitas e reconhecidas pelo rgo/entidade. Deve-se observar que as informaes coletadas foram declaradas pelos gestores e no verificadas pela equipe junto aos rgos/entidades. Alm disso, nesse primeiro momento, no foi avaliada a pertinncia e a qualidade dos documentos produzidos e anexados pelos rgos/entidades.
10
Sumrios Executivos

Ao final da coleta de informaes, as respostas apresentadas nos questionrios foram tabuladas e as evidncias organizadas em pastas eletrnicas para consulta e tratamento posterior. Como limitao execuo dos trabalhos, deve-se destacar que alguns rgos/entidades no dispunham de todas as informaes solicitadas e fizeram muito esforo para obt-las. Mesmo assim, alguns rgos/entidades no conseguiram obter todas as informaes e as questes relativas a elas ficaram sem resposta.

LEVANTAMENTO ACERCA DA GOVERNANA DE TI

Nesse levantamento, foram identificados os principais problemas de governana de tecnologia da informao na Administrao Pblica Federal nas seguintes reas: planejamento estratgico institucional e de TI; estrutura de pessoal de TI; segurana da informao; desenvolvimento de sistemas de informao; gesto de acordos de nveis de servio; processo de contratao de bens e servios de TI; processo de gesto de contratos de TI; processo oramentrio de TI; e auditoria de tecnologia da informao.

Planejamento estratgico institucional e de TI

Um percentual expressivo dos 255 rgos/entidades pesquisados (47%) no tem planejamento estratgico institucional em vigor. Esse fato demonstra que quase metade das organizaes pesquisadas no possuem a cultura de planejar estrategicamente suas aes e apenas reagem s demandas e s mudanas ocorridas no seu mbito de atuao. Essa forma de atuao dificulta o planejamento das aes de TI1. O confronto desses dados com a informao de que 59% das organizaes pesquisadas no fazem planejamento estratgico de TI, permite algumas anlises, conforme apresentado no Grfico 1. Dos 47% dos rgos/entidades que afirmaram no possuir planejamento estratgico institucional, 81%,
Levantamento acerca da Governana de TI na Administrao Pblica Federal

11

isto , 97 rgos/entidades no possuem planejamento estratgico de TI. Por outro lado, o fato de haver planejamento estratgico institucional, por si s, no garante que haver planejamento estratgico de TI. Em 40% das organizaes que dispunham do primeiro, no havia o segundo.
Grfico 1 Planejamento Estratgico Institucional e de TI
Planejamento Estratgico Institucional

47%

53%

Sim No

19%

81%

60%

40%

Planejamento Institucional de TI

A partir dos dados coletados, pde-se inferir que a falta de planejamento estratgico institucional inibe e/ou prejudica o planejamento das aes de TI. O estmulo elaborao de planejamento estratgico institucional deve ser a primeira ao para a melhoria da governana de TI. O segundo passo deve ser o estmulo a que, em consonncia com o planejamento estratgico institucional, seja elaborado o planejamento estratgico de TI.

12

Sumrios Executivos

O planejamento estratgico de TI2 essencial para que as organizaes possam identificar e alocar corretamente os recursos da rea de TI de acordo com as prioridades institucionais e com os resultados esperados. O percentual de 59% dos 255 rgos/entidades pesquisados sem planejamento estratgico de TI preocupante porque a ausncia de planejamento estratgico leva ao enfraquecimento das aes e da prpria rea de TI devido descontinuidade dos projetos e conseqente insatisfao dos usurios e resultados abaixo do esperado. Isso pode comprometer toda a rea de TI e influenciar negativamente o desempenho do rgo/entidade na sua misso institucional j que a TI representa importante ferramenta para o desenvolvimento das aes previstas. A existncia de um comit diretivo de TI (IT Steering Committee)3, que determine as prioridades de investimento e alocao de recursos nos diversos projetos e aes de TI, de fundamental importncia para o alinhamento entre as atividades de TI e o negcio da organizao, bem como para a otimizao dos recursos disponveis e a reduo do desperdcio. O fato de menos de um tero dos rgos/entidades pesquisados terem um comit diretivo de TI funcionando demonstra a pouca importncia dada participao de todos os setores da organizao nas decises estratgicas de TI.

Estrutura de pessoal de TI
Quanto estrutura de pessoal de TI, a equipe do levantamento identificou que um total de 29% dos 255 rgos/entidades pesquisados possui menos de 1/3 de seu quadro de TI composto por servidores4, o que pode acarretar risco de dependncia de indivduos sem vnculo com o rgo/ entidade para a execuo de atividades crticas ao negcio, alm de perda do conhecimento organizacional.

Levantamento acerca da Governana de TI na Administrao Pblica Federal

13

Grfico 2 Proporo entre servidores e colaboradores externos nos rgos/entidades pesquisados 29%
acima de 2/3 so servidores

47%

entre 1/3 e 2/3 so servidores menos de 1/3 so servidores

24%

Segundo as informaes levantadas no questionrio, somente 37% dos servidores do quadro das reas de TI dos rgos/entidades possuem formao especfica em TI5 (incluindo aqui doutorado, mestrado, ps-graduao lato sensu e nvel superior). Alm disso, 43% dos rgos/entidades possuem carreira especfica para a rea. Esse resultado preocupa em funo do aumento da importncia estratgica da TI para as organizaes, que correm o risco de no terem pessoal qualificado suficiente nem para executar as atividades bsicas nem para fiscalizar eventuais contratados. De acordo com as respostas ao questionrio, 60% dos pesquisados no consideram competncias gerenciais, tcnicas e resultados produzidos anteriormente na seleo de gerentes de TI6. Com esse resultado, no se pde verificar se a escolha de chefias no rgos/entidades participantes objetiva e baseada no mrito.

Segurana da informao
Neste tpico, o objetivo delinear a qualidade do tratamento dado pelos rgos pblicos segurana das informaes sob sua responsabilidade. A importncia do correto tratamento para a confidencialidade, a integridade e a disponibilidade das informaes de rgos pblicos evidente,
14
Sumrios Executivos

sem falar na autenticidade, na responsabilidade pelos dados e na garantia de no-repdio7. A prpria prestao do servio de uma instituio pblica aos cidados depende da confiabilidade das informaes por ela tratadas e ofertadas. Foram solicitados como evidncias os documentos sobre a Poltica de Segurana da Informao (PSI), o Plano de Continuidade de Negcios (PCN), normas/procedimentos relacionados classificao de informaes e as normas/procedimentos de controle de acesso, que devem orientar o tratamento da segurana das informaes. A poltica de segurana da informao o documento que contm as diretrizes da instituio quanto ao tratamento da segurana da informao. De acordo com as orientaes da norma NBR ISO/IEC 17799:2005 da ABNT, a poltica deve declarar explicitamente o comprometimento da direo da instituio com a segurana da informao. Alm disso, deve tambm conter definies dos termos relacionados dentro do escopo da instituio e apontar os objetivos de controle, os controles, as estruturas que implementam esses controles, as responsabilidades e tambm as polticas e normas que disciplinam e complementam esse documento de diretrizes, incluindo referncias legislao e aos requisitos regulamentares e contratuais8. Em geral, esse o documento da gesto da segurana da informao a partir do qual derivam os documentos especficos para cada meio de armazenamento, transporte, manipulao ou tratamento especfico da segurana da informao em TI. A gesto da continuidade do negcio, por sua vez, o processo que objetiva minimizar um impacto sobre a organizao e recuperar perdas de informaes a um nvel aceitvel, por meio da combinao de aes de preveno e recuperao. O plano de continuidade de negcios um documento ou conjunto de documentos que, tipicamente, contm as condies para sua ativao, as responsabilidades individuais, os procedimentos de emergncia, os procedimentos operacionais temporrios e os procedimentos de recuperao. O plano (ou planos) de continuidade
Levantamento acerca da Governana de TI na Administrao Pblica Federal

15

deve(m) ser periodicamente testado(s) e avaliado(s), para garantir que funcione(m) quando necessrio. A classificao de informaes, por sua vez, o processo que visa garantir que cada informao tenha o tratamento de segurana adequado ao seu valor, aos requisitos legais, sensibilidade e ao risco de sua perda para a organizao. Nesse processo devem existir, pelo menos, dois documentos de referncia: o esquema de classificao, que contm as definies dos nveis de proteo considerados, e um conjunto apropriado de procedimentos para rotulao e tratamento da informao segundo esse esquema.9 A gesto do controle de acesso, por fim, o processo que visa garantir que o acesso informao seja controlado com base nos requisitos de negcio e na adequada segurana da informao. O principal documento relacionado a esse processo a poltica de controle de acesso, que contm as regras de controle de acesso e direitos para cada usurio ou grupos de usurios, e relaciona claramente os requisitos de negcio e os controles associados. Os rgos foram tambm questionados sobre algumas estruturas organizacionais para assistir a execuo das diretrizes de segurana: rea especfica para tratamento de segurana, rea especfica para tratamento de incidentes, evidncias de gesto centralizada para mudanas, capacidade e compatibilidade de solues de TI. A infra-estrutura para a adequada gesto da segurana da informao na organizao tratada no item 6.1 da NBR ISO/IEC 17799:2005. Cada rgo/entidade deve adotar a estrutura organizacional que mais se adeqe cultura e ao tamanho da instituio, assegurando, contudo, que a implementao dos controles de segurana da informao tenha uma coordenao que permeie toda a organizao. Assim, as organizaes podem at usar um frum j existente (por exemplo, um conselho de diretores), desde que este assuma tambm, de forma explcita, as atividades de gesto da segurana da informao. O mais freqente tem sido o uso de um frum
16
Sumrios Executivos

especfico (por exemplo, um grupo especfico para gerenciar a segurana da informao) ou mesmo um gestor individual (que conhecido no mercado como CSO Chief Security Officer). O objetivo do processo de gesto de incidentes de segurana assegurar que seja aplicado tratamento consistente e efetivo para os incidentes, que incluem desde falhas de sistemas at violaes intencionais da poltica de segurana. Para isso, h que se designar claramente as responsabilidades no tratamento de incidentes, bem como os procedimentos a serem adotados, em sintonia com outras diretrizes, como o plano de continuidade de negcio e a classificao das informaes. A existncia de uma rea especfica uma recomendao para a operacionalizao desses controles, no s pela NBR ISO/IEC 17799:2005, como tambm por vrias diretrizes para governana de TI. Outros processos de infra-estrutura relacionados com a segurana so a gesto centralizada de mudanas e a gesto de capacidade e compatibilidade. Na gesto centralizada de mudanas, h controle rgido das mudanas no ambiente operacional para garantir a estabilidade do ambiente e a auditoria das alteraes realizadas. O controle inadequado de modificaes nos sistemas e nos recursos de processamento da informao uma causa comum de falhas de segurana ou de sistema. J a gesto de capacidade e compatibilidade visa principalmente garantir a disponibilidade das informaes, ao verificar continuamente se as solues de TI suportam adequadamente a demanda por informaes sem sobrecarregar os sistemas, gerar descontinuidade de operao e/ou falhas no nvel de servio acordado. Finalmente, os rgos/entidades foram instados a apresentar as evidncias de que estariam preocupados em realizar o tratamento dos riscos relacionados ao processamento das informaes sob sua responsabilidade por meio das solues de TI. O tratamento dos riscos inclui a identificao, a quantificao e a classificao dos riscos quanto sua prioridade, com
Levantamento acerca da Governana de TI na Administrao Pblica Federal

17

base em critrios sintonizados com o negcio da organizao. Os resultados dessa anlise devem orientar as aes de gesto e as prioridades para o gerenciamento dos riscos de segurana da informao e para a implementao dos controles selecionados. Por isso, a anlise de risco estratgica na gesto da segurana e deve ser feita em bases peridicas para garantir a adequao entre gesto e negcio. As respostas fornecidas pelos 255 rgos/entidades pesquisados s questes sobre o tratamento dado segurana das informaes sob sua responsabilidade indicam que preciso mais ateno ao tema. Dentre as nove questes sobre esse assunto, apenas uma obteve mais de 50% de resposta positiva. A ausncia de plano de continuidade de negcios (PCN) em 88% dos rgos/entidades pesquisados aponta para a falta de cultura acerca de continuidade de negcios. Isso constitui um alto risco para a segurana das informaes tratadas por essas instituies governamentais, ao deix-las vulnerveis perda ou ao comprometimento de informaes em caso de interrupo de servios por causas naturais ou intencionais.
Grfico 3 Deficincias na segurana da informao
100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
ca pa cid ad e pa ra an a 64 % 8% o nt e co sd fic a cla ss ific a PC N PS I( m ud co nt pr oc ed . ide (8 ro le da s es ) TI )

inc

de

de

ris

r nc ia

st

de

st

an li

ge

ge

18

Sumrios Executivos

ge

ea

se

es p

de

ec

A seu turno, a ausncia de uma gesto de mudanas em 88% dos pesquisados declarada pelos pesquisados indica que a maior parte desses rgos/entidades corre risco de instabilidade e falhas de segurana no tratamento das informaes no seu ambiente de TI quando da ocorrncia de mudanas. Alm disso, h o risco de enfrentar dificuldades quando for realizar auditoria ou investigao por ocasio de problemas ocorridos em mudanas no ambiente de TI. Sobre a gesto de capacidade e compatibilidade do ambiente de TI, vale ressaltar que sua ausncia em 84% dos pesquisados expe o risco de indisponibilidade em quantidade significativa dessas organizaes da Administrao Pblica Federal. Alm disso, um indcio de que os gerentes de TI dessas entidades no dispem de instrumentos adequados para embasar as necessidades de investimento em infra-estrutura de TI. A classificao das informaes, por sua vez, um dos pilares da gesto da segurana da informao numa organizao. A declarao de sua ausncia por um percentual to expressivo de pesquisados (80%) indcio de que o tratamento da segurana sobre as informaes no feito de forma consistente e independente do meio que as armazenam nesses rgos/ entidades da Administrao Pblica Federal. Alm disso, essa ausncia aumenta o risco de que a proteo das informaes no esteja adequada s necessidades do negcio. A existncia de rea especfica para gerncia de incidentes no garante que um incidente no ocorra, mas promove o melhor tratamento possvel aos incidentes. Assim, o fato de que 76% dos pesquisados declararam no possuir tal rea acarreta risco para o negcio dessas organizaes. Alm disso, a ausncia dessa rea inviabiliza a articulao do governo para o tratamento de incidentes que envolvam vrios rgos e dificulta o trabalho de grupos de resposta a incidentes existentes. Dessa forma, essa falha pode prejudicar, inclusive, aqueles que possuem grupo constitudo.

Levantamento acerca da Governana de TI na Administrao Pblica Federal

19

A anlise de riscos de TI outra importante ferramenta de gesto da segurana da informao. Sua ausncia em 75% dos rgos/entidades pesquisados indica falha significativa que pode resultar em desperdcio, aes ineficazes e lacunas no tratamento da segurana. Apenas 36% dos pesquisados declararam ter rea especfica para lidar estrategicamente com segurana da informao. A inexistncia dessa rea representa um risco de ausncia de aes de segurana da informao ou ocorrncia de aes ineficazes, descoordenadas e sem alinhamento com o negcio. J a poltica de segurana da informao (PSI) foi declarada inexistente nas organizaes de 64% dos pesquisados. Como a definio dessa poltica um dos primeiros passos para o reconhecimento da importncia da segurana da informao na organizao e seu tratamento, isso um indcio de que a gesto de segurana da informao inexistente ou incipiente na maior parte desses rgos/entidades da administrao pblica. Finalmente, dentre os itens relacionados diretamente com a segurana da informao, a existncia de procedimentos de controle de acesso apresentou o resultado mais positivo, pois 52% dos rgos/entidades pesquisados declararam possuir tais procedimentos. Entretanto, 48% ainda um percentual preocupante de ausncia, pois a falta desses procedimentos um indcio de que, nessas organizaes, o controle de acesso implementado no est adequado ao nvel de proteo necessrio para a informao.

Desenvolvimento de sistemas de informao

Embora haja uma conscincia relativamente generalizada de que as reas de TI nas organizaes no so simplesmente produtoras de software10, o desenvolvimento de sistemas de informao , sem dvida, uma de suas principais atividades. A qualidade desse desenvolvimento interfere direta20
Sumrios Executivos

mente na qualidade do servio prestado pela rea de TI. A necessidade de conectividade com a Internet e com sistemas em outras organizaes faz da segurana da informao um requisito de projeto. Os clientes, cada vez mais exigentes, esperam sistemas rpidos, fceis de usar, robustos e que realmente atendam s suas necessidades. Alm disso, a parceria com o cliente deve ocorrer j no prprio processo de desenvolvimento, que no pode ser mais lento do que a velocidade com que mudam as necessidades, e no pode ser obscuro quanto a prioridades, prazos, qualidade e segurana. A aplicao de modelos de gesto para qualidade de software vem, exatamente, ao encontro desses requisitos, e o desenvolvimento de sistemas pautado em uma metodologia um requisito bsico de quaisquer desses modelos. A metodologia de desenvolvimento define como fazer do jeito certo, enquanto a gesto da qualidade se concentra em avaliar e aprimorar o processo de uso dessa metodologia de desenvolvimento na organizao. O uso de metodologia para desenvolvimento de sistemas no um tema novo e vem, progressivamente, incorporando os conceitos de engenharia de software11 para tornar o processo de desenvolvimento de sistemas mais controlvel, mensurvel e eficaz. Com a metodologia, busca-se no s garantir que as vrias etapas tpicas do desenvolvimento (levantamento, projeto, programao, testes e homologao) sejam executadas de forma sistemtica e documentada, mas tambm permitir a avaliao e melhoria do processo, com vistas produo de software de qualidade. O governo brasileiro tem mostrado preocupao com a qualidade do software produzido no Brasil ao instituir programas e aes de incentivo busca de melhorias. Como exemplo disso, h o Programa Brasileiro de Qualidade e Produtividade do Software (PBQP-Sw)12 e o Modelo de Melhoria de Processos de Software (MPS.BR)13. Nessas orientaes, a existncia de metodologia requisito fundamental na construo de software de qualidade.
Levantamento acerca da Governana de TI na Administrao Pblica Federal

21

Alm das informaes sobre metodologia de desenvolvimento, outra informao solicitada aos rgos/entidades sobre os seus sistemas foi a existncia de servios transacionais via Internet. Sobre esse assunto, 76% dos pesquisados informaram que prestam servios pela Internet com troca bidirecional de informaes entre o rgo/entidade e seus clientes. Esse percentual expressivo chama ateno para o uso, por rgos/entidades da Administrao Pblica, de sistemas web na execuo da sua misso de prestao de servios aos cidados. O uso de metodologia de desenvolvimento de sistemas um requisito fundamental para a produo de software de qualidade. A sua ausncia declarada por 51% dos 255 pesquisados preocupa pelo risco que representam, para a segurana da informao, produtos de software de baixa qualidade. Alm disso, outras conseqncias, como maior dificuldade no gerenciamento do processo de desenvolvimento, seja ele interno ou terceirizado, representam risco de m gesto dos recursos dos rgos/entidades da Administrao Pblica Federal. Adicionalmente, h que se considerar o perfil delineado por 76% das organizaes que declararam possuir sistemas transacionais via Internet. Tais sistemas apresentam um risco inerente relacionado maior exposio a aes indevidas que podem afetar a integridade, a disponibilidade e a confidencialidade das informaes por eles tratadas. Esse risco aumentado na presena de controles fracos que afetem diretamente esses sistemas, como o caso da ausncia de metodologia para desenvolvimento de sistemas ou deficincias nos controles de segurana da informao, ambos identificados no presente levantamento. Nesse cenrio, a atuao da auditoria de TI pode colaborar diretamente por meio da recomendao de controles, inclusive aqueles especficos para sistemas transacionais via Internet. Para tanto, imperativo que o auditor esteja familiarizado com tais tecnologias, seus riscos e as boas prticas e ferramentas que auxiliam a mitigao desses riscos.

22

Sumrios Executivos

Gesto de acordos de nveis de servio

A prestao de um bom servio para os cidados , em ltima instncia, o negcio de toda instituio pblica. A definio do que um bom servio, sintonizando as expectativas dos clientes com a oferta, exatamente o que constitui um acordo de nvel de servio (SLA, sigla do ingls Service Level Agreement). No caso de um acordo de nvel de servio de TI definida a qualidade dos servios de TI em funo das necessidades da organizao, quantificadas e especificadas para cada servio. Assim, a disponibilidade da infra-estrutura de rede, o desempenho dos sistemas, o tempo de soluo de problemas e outros dados semelhantes costumam constituir indicadores dos documentos de acordos de nveis de servio, e devem ser adequadamente verificados e tratados quando detectadas falhas, de modo a atender s necessidades do negcio. Sem a definio de tais indicadores, fica difcil responder questo: os servios de TI da minha organizao esto adequados s necessidades do negcio?. Igualmente, fica difcil priorizar investimentos e aes na rea de TI sem saber onde o desempenho est mais prximo ao limite do esperado ou mais crtico para o negcio. Um aspecto particularmente importante a gesto de nveis de servio tambm para servios contratados. A especificao formal de tais indicadores pode ser o principal instrumento dos gestores para garantir o cumprimento dos contratos de TI e possibilitar a aplicao de penalidades em casos de no-atendimento. A necessidade de acordo prvio e de mensurao da qualidade de servios de TI citada, inclusive, em trechos de Acrdos do TCU, como o Acrdo no 2.172/2005-TCU-Plenrio14 e o Acrdo no 786/2006-TCU-Plenrio15. O termo acordo de nvel de servio para contratos de TI tambm j conhecido do TCU, e foi mencionado no Acrdo no 1.878/2005-TCU-Plenrio16.

Levantamento acerca da Governana de TI na Administrao Pblica Federal

23

A gesto de acordos de nveis de servio o principal instrumento de negociao de qualidade de servio entre as gerncias de TI e os seus clientes. A sua ausncia em 89% dos pesquisados um indcio de que as reas de TI desses rgos/entidades ainda esto distantes dos seus usurios e no negociam adequadamente com eles sobre a qualidade dos seus servios. As conseqncias mais provveis para tal cenrio so clientes insatisfeitos e investimentos inadequados. Alm disso, 74% dos pesquisados informaram que no executam a gesto de nveis de servio dos servios contratados, ou seja, mesmo quando o rgo/entidade cliente e no fornecedor, no h preocupao com a avaliao e o controle dos resultados. Assim, como em ltima instncia um servio contratado pela rea de TI visa atender necessidade dos seus clientes, a ausncia da gesto externa tem as mesmas conseqncias da ausncia da gesto interna dos nveis de servio.

Processo de contratao de bens e servios de TI

Na contratao de bens e servios de TI essencial a adoo de processo de trabalho formalizado, padronizado e judicioso quanto ao custo, oportunidade e aos benefcios advindos para a organizao. Esse processo melhora o relacionamento com os fornecedores e prestadores de servios, maximiza a utilizao dos recursos financeiros alocados rea de TI e contribui decisivamente para que os servios de TI dem o necessrio suporte s aes da organizao no alcance de seus objetivos e metas. Mesmo que a maioria (54%) dos rgos/entidades pesquisados tenha informado que adota processo formal de trabalho para contrataes de TI, a situao est longe do ideal, j que um percentual expressivo de organizaes (46%) no adota processo formal de trabalho para contrataes de TI. Deve-se observar que isso no significa deixar de cumprir a legislao especfica. Entretanto, a falta de um processo de trabalho definido, padronizado, documentado e aprovado para realizar as contrataes de TI pode
24
Sumrios Executivos

trazer conseqncias danosas organizao. Como no existe um padro oficial e disseminado pela organizao, cada rea pode adquirir os recursos de que necessita de uma forma diferente. Dessa maneira, a organizao se expe a riscos desnecessrios que poderiam ser evitados com a adoo de um processo de trabalho formalizado. Devido complexidade da legislao de licitaes vigente, o primeiro risco de que, eventualmente, no sejam observados todos os dispositivos legais e normativos. Provavelmente, nem todos os responsveis pelas contrataes de TI so especialistas no assunto e, caso no haja um processo formal de trabalho, em algumas aquisies, dispositivos legais podem deixar de ser observados. Alm disso, improvvel que todos os responsveis acompanhem as alteraes normativas e estejam atualizados sobre as mudanas na interpretao da legislao e na jurisprudncia da rea. O mais seguro para a organizao que o processo de contratao esteja padronizado e disponvel para todos os responsveis para minorar a ocorrncia de dvidas e falhas nas aquisies de TI. Deve-se reforar que muitas falhas no processo de aquisio tm srias repercusses no processo de gesto dos contratos durante sua vigncia e, em alguns casos, mesmo aps seu encerramento devido a pendncias judiciais. Outro risco decorrente da no-existncia de processo formal a realizao de aquisies desnecessrias, com baixa qualidade ou que no estejam alinhadas s necessidades do negcio a mdio e longo prazos. Dessas situaes decorre, normalmente, desperdcio de recursos. Em alguns casos, inclusive, a ocorrncia de fraudes e desvios fica facilitada exatamente pela falta ou dificuldade de controle sobre processos no padronizados. O item 9.4 do Acrdo n 786/2006-TCU-Plenrio recomendou Secretaria de Logstica e Tecnologia da Informao do Ministrio do Planejamento, Oramento e Gesto (SLTI) que elaborasse um modelo de licitao e contratao de servios de informtica para a Administrao Pblica Federal e promovesse a implantao dele nos diversos rgos e entidades sob sua coordenao mediante orientao normativa. Em atenLevantamento acerca da Governana de TI na Administrao Pblica Federal

25

dimento a esse acrdo, a SLTI publicou a Instruo Normativa n 4, de 19 de maio de 2008. A IN-4 da SLTI dispe sobre o processo de contratao de servios de TI pela Administrao Pblica Federal direta, autrquica e fundacional. A norma contempla as fases de planejamento de contratao, seleo do fornecedor e gerenciamento do contrato e entrar em vigor no dia 2 de janeiro de 2009. Alm de processo formal de contratao de bens e servios de TI, para se obter uma boa gesto necessria a otimizao dos recursos disponveis. No caso especfico da rea de TI, essa preocupao se torna essencial tendo em vista as rpidas e constantes mudanas tecnolgicas. Assim, imperativo que qualquer contratao de soluo de TI seja precedida de estudo de viabilidade e de anlise de custo/benefcio. Apesar dessa mxima no ser contestada, apenas pouco mais da metade (53%) dos rgos/entidades pesquisados realiza essa anlise. importante notar que toda contratao de TI deve ser anteriormente aprovada levando-se em conta seus aspectos tcnicos, sua funcionalidade, sua viabilidade, seu alinhamento com o planejamento estratgico e se os benefcios advindos compensam o seu custo. As contrataes de TI, alm de referendadas pela rea de TI, devem ser aprovadas pelo gestor da rea afetada. Em alguns casos, quando envolverem valores elevados, assuntos relevantes ou quando envolverem diversas reas da organizao, as contrataes devem ser aprovadas pelo comit diretivo de TI. Os artigos 10 a 12 da supracitada IN-4 da SLTI indicam atividades que devero ser executadas para anlise de viabilidade da contratao. Por outro lado, apesar de seu importante papel na consecuo dos objetivos institucionais nas organizaes, a tecnologia da informao no pode ser encarada como um fim em si mesma. Todas as aes de TI devem concorrer para que a organizao alcance seus objetivos e metas.

26

Sumrios Executivos

O Tribunal, em diversos acrdos, tem destacado a importncia e determinado a necessidade da harmonia entre as contrataes de TI e o planejamento estratgico dos rgos/entidades federais. O item 9.3.11 do Acrdo n 1.558/2003-TCU-Plenrio taxativo: ao proceder a licitao de bens e servios de informtica, elabore previamente minucioso planejamento, realizado em harmonia com o planejamento estratgico da unidade e com o seu plano diretor de informtica, (...). Aponta na mesma direo o item 9.1.1 do Acrdo n 2.094/2004-TCU-Plenrio: todas as aquisies devem ser realizadas em harmonia com o planejamento estratgico da instituio (...). Assim, toda contratao de TI deve ter seus benefcios para a organizao explicitados, ou seja, deve ser justificada como ir colaborar para a consecuo dos objetivos institucionais. Apesar desse entendimento j consolidado, 40% dos rgos e entidades pesquisados ainda no se preocupam em justificar e destacar os benefcios esperados para a organizao. Por outro lado, a letra c do inciso V do art. 10 da recm publicada IN-4 da SLTI determina que a justificativa da soluo escolhida contenha a identificao dos benefcios que sero alcanados com a efetivao da contratao em termos de eficcia, eficincia, efetividade e economicidade. No tocante ao valor, muitas contrataes de TI tm seu valor final calculado a partir da soma de valores de diversos componentes. Especialmente na contratao de uma soluo de TI, os custos dos componentes podem variar ao longo do tempo de durao do contrato de maneira diferente. Tome-se como exemplo uma soluo de TI que envolva recursos humanos, aluguel de equipamentos e recursos de telecomunicao. Pode ser necessrio, para se manter o equilbrio econmico-financeiro do contrato, que haja a repactuao com a assinatura de termo aditivo por questes econmicas, de mercado ou tecnolgicas. Se no se souber o quanto cada componente representa na formao do valor final, no se poder repactuar o contrato de maneira justa e no lesiva aos interesses pblicos.

Levantamento acerca da Governana de TI na Administrao Pblica Federal

27

Diante dessa situao, torna-se importante a exigncia de que, antes da adjudicao do contrato, seja apresentado o demonstrativo de formao de preo. De acordo com as respostas dos gestores, essa prtica somente observada por metade dos rgos/entidades participantes do levantamento, apesar da Lei n 8.666/1993 j recomend-la, mesmo que implicitamente, em seus artigos 7 e 46. No que diz respeito ao processo de contratao de bens e servios de TI, pode-se concluir que uma quantidade expressiva (46%), pouco menos que a metade dos rgos/entidades pesquisados, no dispe de processo formal de trabalho. Essa uma situao que merece ateno especial dos rgos/ entidades no sentido da implantao de processo formal de contratao de TI, para evitar falhas, fraudes e desperdcios de recursos. A despeito das dificuldades enfrentadas, como falta de recursos humanos e outras condies fundamentais para o bom funcionamento das reas de TI, o fato de apenas 53% do universo pesquisado realizarem anlise de custo/benefcio das contrataes de TI demonstra que a melhor utilizao dos recursos pblicos ainda no uma preocupao para boa parte dos gestores de TI. Apesar da maioria dos rgos/entidades pesquisados explicitarem os benefcios para a obteno dos resultados institucionais esperados com cada contratao de TI, um percentual ainda muito expressivo no adota tal prtica (40%). Essa situao, em conjunto com os achados sobre o processo de gesto de contratos de TI, mostra que muito ainda precisa ser feito para que haja controle efetivo sobre a convenincia das contrataes de TI. O fato de metade dos rgos/entidades pesquisados no exigir o demonstrativo de formao de preo antes da adjudicao indica que uma quantidade significativa de gestores no est atenta para os problemas que poder enfrentar na gesto dos contratos decorrentes das aquisies de bens e servios TI. Essa viso imediatista poder trazer riscos concluso do contrato e/ou prejuzos organizao.
28
Sumrios Executivos

Processo de gesto de contratos de TI

Da mesma forma que importante que haja processo de trabalho formalizado para contratao de bens e servios de TI, essencial que os contratos advindos dessas aquisies sejam bem geridos. Apesar de a Lei n 8.666/1993 determinar algumas aes que devem ser obrigatoriamente realizadas, no h indicao do que deve constar de processos de trabalho para gesto dos contratos. Entretanto, para todos os contratos e, especialmente, para os contratos de TI, a boa gesto essencial para se atingir os objetivos esperados. Para se gerir adequadamente os riscos inerentes s atividades de TI, a adoo de processo formal de trabalho de suma importncia. Esse processo de trabalho deve ser definido, padronizado, documentado, aprovado e divulgado para toda a organizao. A maioria (55%) dos rgos/entidades participantes do levantamento afirmou que no adota processo formal de trabalho para gesto de contratos de TI. Essa situao merece ser observada com ateno. A ausncia desse processo de trabalho pode causar problemas ao bom funcionamento da rea de TI da organizao. Se os contratos de TI, que garantem os servios de infra-estrutura de TI, o desenvolvimento de aplicativos e o atendimento aos usurios, por exemplo, no forem bem geridos, todas as atividades de TI sero afetadas. Alm disso, todas as atividades da organizao que dependem de servios de TI podero sofrer com interrupes ou nveis de servio abaixo do desejado e comprometer metas e objetivos da instituio. Caso a organizao no consiga exigir dos seus fornecedores uma prestao de servio adequada sua necessidade, muitos projetos e atividades correm risco de no serem realizados no prazo necessrio, acarretando perdas ou desperdcio de recursos. Eventualmente, tambm, alguma determinao legal poder deixar de ser cumprida, o que tornar a organizao vulnervel em termos jurdicos e na sua prestao de contas.
Levantamento acerca da Governana de TI na Administrao Pblica Federal

29

 interessante notar que 78% das organizaes consultadas afirmaram que designam formalmente um gestor para cada contrato de TI. Esse gestor pode, eventualmente, ser a mesma pessoa do representante da administrao previsto no art. 67 da Lei n 8.666/1993. Entretanto, observa-se que, apesar de 78% das organizaes pesquisadas terem um gestor designado para o contrato, boa parte desses gestores no dispe de um processo de trabalho formalmente definido. Assim, o bom desempenho da funo depende da capacidade e do conhecimento individual do gestor, quando deveria ser uma atividade impessoal que qualquer funcionrio habilitado pudesse exercer de acordo com o processo de trabalho padro. A recm publicada IN-4 da SLTI dedica toda a Seo III ao gerenciamento do contrato. Outro fato que causa preocupao que 65% dos rgos/entidades que participaram do levantamento no realizam reunies peridicas com os contratados para avaliar o desempenho de cada contrato de TI. Esse procedimento deve fazer parte do processo formal de trabalho para gesto dos contratos de TI. O art. 67 da Lei n 8.666/1993 no determina explicitamente a realizao de reunies peridicas com os fornecedores, entretanto, determina que a execuo do contrato dever ser acompanhada e fiscalizada por um representante da Administrao especialmente designado que anotar em registro prprio todas as ocorrncias relacionadas com a execuo do contrato, determinando o que for necessrio regularizao das faltas ou defeitos observados. A forma mais simples e eficiente para o cumprimento desse dispositivo legal , sem dvida alguma, a realizao de reunies com a periodicidade adequada para avaliar o andamento do servio, bem como os problemas enfrentados e as decises a serem tomadas para solucion-los. Outra vantagem significativa da realizao de reunies com os contratados a possibilidade de anteviso de problemas futuros baseada na evoluo do desempenho

30

Sumrios Executivos

e outros indicadores que, eventualmente, podem apontar degradao do nvel de servios ou outros riscos iminentes. Praticamente metade (53%) dos rgos/entidades que participaram do levantamento afirmou que atesta as faturas apresentadas com base em itens previamente definidos. Por outro lado, 47% das organizaes pesquisadas no definem previamente um critrio para avaliao se as faturas apresentadas correspondem realidade e se no contm erros. Esse procedimento especfico deve constar do processo formal de trabalho para gesto dos contratos de TI. A sua ausncia pode dificultar o trabalho do responsvel por atestar tecnicamente a realizao do servio. Caso esse responsvel tenha que atestar muitas faturas e essas faturas tenham muitos itens a serem verificados, o risco de que sejam aprovados pagamentos indevidos bastante razovel. No levantamento, 90% das organizaes consultadas disseram que fazem o monitoramento tcnico dos contratos de TI. Foram informadas, tambm, a quantidade de contratos de TI e a quantidade de profissionais que executam essa tarefa. Em 17% dos rgos/entidades pesquisados cada profissional monitora tecnicamente, em mdia, mais de cinco contratos de TI. A maior quantidade calculada foi de 14,7 contratos por pessoa e a menor foi de 0,5 contrato por pessoa. Deve-se ter sempre em mente que essas informaes devem ser analisadas com cuidado porque esses contratos podem variar do fornecimento de um nico item simples de ser controlado ao complexo controle de uma fbrica de software. J a monitorao administrativa dos contratos deve ser feita em cumprimento ao disposto no inciso XIII do art. 55 c/c art. 29 da Lei n 8.666/1993. Tal monitorao envolve a verificao de aspectos trabalhistas (encargos, subordinao direta, desvio de funo, no-verificao da impessoalidade, ingerncia administrativa), aspectos fiscais (regularidade cadastral),

Levantamento acerca da Governana de TI na Administrao Pblica Federal

31

manuteno das condies de habilitao na licitao, atendimento aos normativos internos do rgo ou entidade e regularidade dos recolhimentos de contribuies sociais. Nem todos os profissionais de TI esto aptos a realizar a monitorao administrativa, sem uma preparao especfica, por ser uma atividade que requer o acompanhamento da legislao e jurisprudncia da rea de licitaes e contratos. Alm disso, essa atividade pode tomar um tempo elevado devido quantidade de documentos e requisitos burocrticos a serem observados. Se a atividade for realizada por pessoa no preparada devidamente ou que no esteja atualizada nessa matria, o risco de problemas futuros para a organizao considervel. Levando tudo isso em considerao, a monitorao administrativa deve ser realizada por setor especializado que no precisa necessariamente estar ligado rea de TI. Das organizaes consultadas, em menos da metade (45%) a monitorao administrativa realizada por setor especializado no vinculado rea de TI. Nos outros 55% dos rgos/entidades pesquisados, uma parte significativa do tempo de profissionais especializados de TI gasto no desempenho dessa tarefa. Esse procedimento especfico deve constar do processo formal de trabalho para gesto dos contratos de TI e ser realizado por profissionais preparados para tal. Caso contrrio, o risco de serem descumpridos dispositivos legais que podero acarretar pendncias judiciais para a organizao significativo. Nesse aspecto, interessante lembrar o caso recentemente julgado pelo Tribunal, em que rgos da Administrao Pblica Federal pagavam 0,5% a mais de FGTS, em contratos de TI, por no terem observado a mudana da alquota em 1 de janeiro de 2007, conforme a Lei Complementar n 110/2001 (Acrdo n 353/2008-TCU-Plenrio). Outra informao que chama a ateno que menos da metade (43%) dos rgos/entidades participantes do levantamento informou que exige a transferncia de conhecimento nos contratos relativos aos produtos e
32
Sumrios Executivos

servios de TI terceirizados. O percentual restante, 57%, significativo, principalmente quando so analisados alguns dos motivos que levam as organizaes a terceirizarem servios de TI: necessidade de acesso a tecnologias mais avanadas e reduo de riscos associados a essas tecnologias. um contra-senso no exigir a transferncia do conhecimento necessrio para realizao de servios importantes para a organizao, contratados porque no h os recursos necessrios para serem realizados internamente. Deve-se observar que a organizao paga inclusive pela aquisio do conhecimento por parte do prestador e, em muitos contratos, no assegura, ao seu trmino, a manuteno do conhecimento na instituio. Esse procedimento especfico deve constar dos processos formais de trabalho para contratao de TI e para gesto dos contratos de TI. No primeiro caso, necessrio que a transferncia de conhecimento conste desde o incio da contratao, ou seja, no edital da licitao. No segundo caso, deve haver a verificao se a transferncia de conhecimento realizada. Caso contrrio, h risco de que os servios terceirizados, aps o final do contrato, no possam ser realizados pelo pessoal da prpria instituio. Em concluso, o processo formal de trabalho para gesto dos contratos de TI uma necessidade que menos da metade (45%) das organizaes consultadas adota. Mesmo a maioria (90%) realizando a monitorao tcnica, apenas 78% designam formalmente um gestor para cada contrato e somente 53% definem previamente os itens a serem verificados para atestar as faturas apresentadas. A monitorao administrativa ainda realizada pela rea de TI em 55% das organizaes pesquisadas. Um percentual pequeno (35%) das organizaes consultadas realiza periodicamente reunies com os contratados para avaliao da execuo de cada contrato de TI. Somente 43% exigem em contrato que o conhecimento seja transferido pelos prestadores de servio aos servidores do rgo/entidade.
Levantamento acerca da Governana de TI na Administrao Pblica Federal

33

Os rgos/entidades da Administrao Pblica Federal devem ser encorajados a adotar processo formal de trabalho para gesto dos contratos de TI para minimizar os riscos de descumprimento da legislao, desperdcio de recursos, interrupo de servios de TI, baixa qualidade de servios contratados, entre outros.

Processo oramentrio de TI
No Brasil, apesar do processo oramentrio ser regulamentado na rea pblica, para se prever adequadamente o valor necessrio para a rea de TI, so necessrios dois elementos essenciais: planejamento e controle. O planejamento estratgico de TI, aliado com os planos de ao e as decises do comit diretivo de TI, indica quais gastos devero ser realizados, a prioridade na execuo financeira e como se dar a expanso dos servios de TI. O controle das atividades de TI, por sua vez, indica as aes que atingem os resultados esperados e aquelas que precisam ser modificadas para alcanar os objetivos determinados. O acompanhamento dos gastos de TI um dos componentes essenciais para o controle eficiente das aes de TI. A partir da anlise das informaes obtidas no acompanhamento do planejamento e das atividades de TI, pode-se fazer uma previso oramentria apropriada para a rea de TI. Entretanto, a falta de conhecimento detalhado dos gastos de TI prejudica tal previso. Nesse aspecto, observou-se que uma quantidade razovel de organizaes participantes do levantamento teve dificuldade de responder rapidamente o total de gastos com TI e como est distribudo esse gasto. Deve-se ressaltar que, sobre esse assunto, o Tribunal j se manifestou no Acrdo n 371/2008-TCU-Plenrio, com determinaes Secretaria do Tesouro Nacional (STN) do Ministrio da Fazenda, ao Departamento de Coordenao e Governana das Empresas Estatais (Dest) e Secretaria de Oramento Federal (SOF) do Ministrio do Planejamento, Oramento

34

Sumrios Executivos

e Gesto. Com a finalidade de permitir a identificao clara, objetiva e transparente da previso e da execuo dos gastos em TI, foi determinado que estes elaborassem e encaminhassem ao TCU proposta de alterao do Oramento Geral da Unio e do Programa de Dispndios Globais (PDG). No mesmo Acrdo, o Tribunal props a criao de uma ou mais aes que agreguem as despesas relacionadas a TI, de elemento de despesa que identifique execuo de despesas com bens e servios de TI e de rubricas prprias de TI tanto para despesas correntes como para despesas de capital. Apesar de a maioria (61%) dos rgos/entidades participantes do levantamento afirmar que, em 2006, foram levadas em considerao as aes previstas para o exerccio seguinte na solicitao do oramento para 2007, um percentual significativo (39%) no utilizou essas informaes. A partir desses dados, pode-se supor que 39% das organizaes consultadas, quando da solicitao de oramento para a rea de TI em 2007, ou repetiram os valores do ano anterior ou simplesmente aplicaram um percentual de aumento linear sobre as despesas realizadas ou, ainda, acrescentaram um valor ao total do ano anterior sem a utilizao de um critrio transparente. Diante disso, verifica-se que a elaborao do oramento para a rea de TI nem sempre utiliza os insumos necessrios obteno de resultado mais prximo da realidade. Isso causa preocupao, j que o controle sobre os gastos de TI de suma importncia para o melhor aproveitamento dos recursos disponveis, para a solicitao de recursos financeiros adequados necessidade da rea de TI e para o atendimento das aes consideradas prioritrias. Esse processo de trabalho est ligado aos processos de planejamento e contratao de bens e servios de TI. Apesar de 82% dos rgos/entidades pesquisados afirmarem que realizam essa atividade, foi observado que, em muitos casos, as informaes sobre gastos de TI foram de difcil obteno. Esse fato denota a necessidade de melhoria no controle de gastos de TI.

Levantamento acerca da Governana de TI na Administrao Pblica Federal

35

Auditoria de tecnologia da informao

A rea de TI foi considerada, por muito tempo, uma caixa preta, sobre a qual a administrao tinha pouco controle e da qual no se sabia ao certo o que esperar como benefcio para a organizao. Com o aumento da importncia estratgica das reas de TI, essa situao no pde mais se sustentar. H uma busca pela aplicao de modelos de governana de TI17, com o objetivo de tornar a rea de TI controlvel, com resultados mensurveis e orientada aos objetivos do negcio da organizao. Nessa perspectiva, a auditoria de TI consiste em verificar um ou vrios aspectos da governana de TI de uma organizao. Note-se que essa ainda uma definio ampla e abrange vrios tipos e perspectivas para auditorias. Assim, uma auditoria de TI pode, por exemplo, avaliar apenas controles de acesso lgico ao ambiente de TI, por meio de anlise de vulnerabilidade. J se for realizada com um objetivo mais gerencial, a auditoria pode avaliar se os processos de TI ligados ao desenvolvimento de sistemas, por exemplo, esto sendo executados conforme a poltica da empresa e esto gerando sistemas eficazes. Outra possibilidade uma auditoria para verificar a integridade e fidedignidade das informaes armazenadas nas bases de dados da organizao. Ou, ainda, pode-se verificar se a contratao de bens e servios de TI feita de acordo com as normas da organizao e a legislao vigente. Em termos gerais, a auditoria de TI , assim, uma ferramenta para avaliar a conformidade, a qualidade, a eficcia e a efetividade de uma rea de TI. Por isso mesmo, h uma tendncia em incluir/valorizar atividades de auditoria peridica como instrumento para gesto. Um reflexo dessa tendncia o fato de que uma das principais mudanas quando da atualizao do Cobit verso 3.0 para a verso 4.0, em 2005, foi o incremento

36

Sumrios Executivos

e a reorganizao do domnio de monitorao, que passou a se chamar Monitorao e Avaliao, como descrito no Apndice V do Cobit 4.1, que sinaliza que esse domnio passou a ser visto como parte do processo de melhoria da governana de TI. Por isso, foram includas nesse levantamento questes para verificar se esse tipo de auditoria realizado nos rgos/entidades pesquisados da Administrao Pblica Federal. Alguns dentre os rgos/entidades pesquisados tm, por fora de legislao, a obrigao de executar periodicamente auditorias independentes em vrias reas, inclusive em TI. Outro objetivo verificar se os rgos/entidades possuem a figura do auditor interno de TI. Esse papel , em muitos aspectos, complementar ao do auditor externo: o auditor interno no apenas verifica a abrangncia e efetividade dos controles internos de TI18 em sua auditoria, como tambm agente de melhoria desses controles e, assim, pode ser um agente de melhoria da prpria gesto. Auditorias de TI ainda so pouco freqentes entre os pesquisados: apenas 40% declararam ter realizado alguma auditoria de TI nos ltimos cinco anos. Mesmo entre os 101 rgos/entidades que a realizaram, 68% executaram no mximo uma auditoria de TI por ano. Alm disso, apenas 19% dos pesquisados declararam possuir equipe interna de auditoria de TI. Tal resultado indica que a realizao de auditorias de TI em bases peridicas no uma realidade entre os pesquisados. Com isso, esses rgos/ entidades esto perdendo a oportunidade de usar essas auditorias para aperfeioar os seus controles internos de TI e, conseqentemente, promover a melhoria da sua governana de TI.

Levantamento acerca da Governana de TI na Administrao Pblica Federal

37

Concluso
O objetivo desse levantamento foi obter informaes para elaborao de mapa com a situao da governana de TI na Administrao Pblica Federal. Ao final do processo, 255 rgos/entidades representativos da Administrao Pblica Federal enviaram tais informaes ao TCU por meio de questionrio eletrnico elaborado pela Sefti. Dessa relao, constaram os ministrios, as universidades federais, os tribunais federais, as agncias reguladoras e as principais autarquias, secretarias, departamentos e empresas estatais. Diante do quadro apresentado nos itens anteriores, observa-se que a situao da governana de TI na Administrao Pblica Federal bastante heterognea do ponto de vista dos seus diversos aspectos. Os aspectos que de alguma forma so regulados por leis e normas (processo oramentrio e contratao e gesto de bens e servios de TI), somados a planejamento estratgico, desenvolvimento de sistemas, gesto de nveis de servio e auditoria de TI, apresentam algum desenvolvimento, apesar de estarem longe do ideal. A questo de estrutura de pessoal de TI bastante diversa e est atrelada natureza jurdica da organizao. O aspecto em que a situao da governana de TI est mais crtica no que diz respeito ao tratamento da segurana da informao. Conclui-se que essa uma rea em que o TCU pode, e deve, atuar como indutor do processo de aperfeioamento da governana de TI. O Tribunal j acertou, inclusive, ao editar, em 2003 e 2007, a Cartilha de Segurana da Informao para servir como orientao sobre o tema. Outra maneira de induzir a melhoria no tratamento da segurana a realizao de auditorias de TI com foco em segurana da informao, que podero fornecer subsdios valiosos para os gestores sobre os principais controles que devem ser implementados visando

38

Sumrios Executivos

garantir a confiabilidade, a integridade e a disponibilidade das informaes tratadas pelos rgos/entidades da Administrao Pblica Federal. Assim, existe um campo vasto para atuao desse Tribunal na rea de governana de TI na Administrao Pblica Federal. Se essa atuao for realizada de forma consistente e constante, os resultados sero promissores, tendo em vista que poder haver melhoria generalizada em todos os aspectos da governana de TI. Esse fato repercutir na gesto pblica como um todo e trar benefcios para o Pas e os cidados.

BENEFCIOS DESTE LEVANTAMENTO

As informaes coletadas no presente trabalho possibilitaro Sefti o planejamento de aes de controle mais efetivas para atingir seu objetivo de aperfeioar a governana de TI nos principais rgos/entidades da Administrao Pblica Federal. As equipes de futuras fiscalizaes na rea de TI tero disposio informaes que auxiliaro o planejamento de seus trabalhos. Alm disso, a Sefti contar com repositrio de contatos dos gestores de TI dos rgos/entidades participantes do levantamento.

ACRDO N 1603/2008 TCU PLENRIO

1. Processo: n. TC - 008.380/2007-1 (com 9 anexos) 2. Grupo I; Classe de Assunto: V - Levantamento de Auditoria 3. Interessado: Congresso Nacional 4. rgo: Diversos rgos e entidades da Administrao Pblica Federal

Levantamento acerca da Governana de TI na Administrao Pblica Federal

39

5. Relator: Ministro Guilherme Palmeira 6. Representante do Ministrio Pblico: no atuou 7. Unidade Tcnica: Secretaria de Fiscalizao de Tecnologia da Informao Sefti 8. Advogado constitudo nos autos: no h 9. Acrdo: VISTOS, relatados e discutidos estes autos de Levantamento de Auditoria efetuado pela Secretaria de Fiscalizao de Tecnologia da Informao Sefti, junto a diversos rgos e entidades da Administrao Pblica Federal, com vistas a obter informaes acerca da situao da gesto e do uso de Tecnologia da Informao TI. ACORDAM os Ministros do Tribunal de Contas da Unio, reunidos em Sesso Plenria, ante as razes expostas pelo Relator, em: 9.1. recomendar ao Conselho Nacional de Justia - CNJ e ao Conselho Nacional do Ministrio Pblico - CNMP que, nos rgos integrantes da estrutura do Poder Judicirio Federal e do Ministrio Pblico da Unio, respectivamente: 9.1.1. promovam aes com o objetivo de disseminar a importncia do planejamento estratgico, procedendo, inclusive mediante orientao normativa, aes voltadas implantao e/ou aperfeioamento de planejamento estratgico institucional, planejamento estratgico de TI e comit diretivo de TI, com vistas a propiciar a alocao dos recursos pblicos conforme as necessidades e prioridades da organizao; 9.1.2. atentem para a necessidade de dotar a estrutura de pessoal de TI do quantitativo de servidores efetivos necessrio ao pleno desempenho das
40
Sumrios Executivos

atribuies do setor, garantindo, outrossim, sua capacitao, como forma de evitar o risco de perda de conhecimento organizacional, pela atuao excessiva de colaboradores externos no comprometidos com a instituio; 9.1.3. orientem sobre a importncia do gerenciamento da segurana da informao, promovendo, inclusive mediante normatizao, aes que visem estabelecer e/ou aperfeioar a gesto da continuidade do negcio, a gesto de mudanas, a gesto de capacidade, a classificao da informao, a gerncia de incidentes, a anlise de riscos de TI, a rea especfica para gerenciamento da segurana da informao, a poltica de segurana da informao e os procedimentos de controle de acesso; 9.1.4. estimulem a adoo de metodologia de desenvolvimento de sistemas, procurando assegurar, nesse sentido, nveis razoveis de padronizao e bom grau de confiabilidade e segurana; 9.1.5. promovam aes voltadas implantao e/ou aperfeioamento de gesto de nveis de servio de TI, de forma a garantir a qualidade dos servios prestados internamente, bem como a adequao dos servios contratados externamente s necessidades da organizao; 9.1.6. envidem esforos visando implementao de processo de trabalho formalizado de contratao de bens e servios de TI, bem como de gesto de contratos de TI, buscando a uniformizao de procedimentos nos moldes recomendados no item 9.4 do Acrdo 786/2006-TCUPlenrio; 9.1.7. adotem providncias com vistas a garantir que as propostas oramentrias para a rea de TI sejam elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos do negcio; 9.1.8. introduzam prticas voltadas realizao de auditorias de TI, que permitam a avaliao regular da conformidade, da qualidade, da eficcia e da efetividade dos servios prestados;
Levantamento acerca da Governana de TI na Administrao Pblica Federal

41

9.2. recomendar ao Gabinete de Segurana Institucional da Presidncia da Repblica - GSI/PR que oriente os rgos/entidades da Administrao Pblica Federal sobre a importncia do gerenciamento da segurana da informao, promovendo, inclusive mediante orientao normativa, aes que visem estabelecer e/ou aperfeioar a gesto da continuidade do negcio, a gesto de mudanas, a gesto de capacidade, a classificao da informao, a gerncia de incidentes, a anlise de riscos de TI, a rea especfica para gerenciamento da segurana da informao, a poltica de segurana da informao e os procedimentos de controle de acesso; 9.3. recomendar Controladoria-Geral da Unio - CGU que realize regularmente auditorias de TI e/ou promova aes para estimular a realizao dessas auditorias nos rgos/entidades da Administrao Pblica Federal; 9.4. recomendar ao Ministrio do Planejamento, Oramento e Gesto - MPOG que, nos rgos/entidades da Administrao Pblica Federal: 9.4.1. promova aes com o objetivo de disseminar a importncia do planejamento estratgico, procedendo, inclusive mediante orientao normativa, execuo de aes voltadas implantao e/ou aperfeioamento de planejamento estratgico institucional, planejamento estratgico de TI e comit diretivo de TI, com vistas a propiciar a alocao dos recursos pblicos conforme as necessidades e prioridades da organizao; 9.4.2. atente para a necessidade de dotar a estrutura de pessoal de TI do quantitativo de servidores efetivos necessrio ao pleno desempenho das atribuies do setor, garantindo, outrossim, sua capacitao, como forma de evitar o risco de perda de conhecimento organizacional, pela atuao excessiva de colaboradores externos no comprometidos com a instituio; 9.4.3. estimule a adoo de metodologia de desenvolvimento de sistemas, procurando assegurar, nesse sentido, nveis razoveis de padronizao e bom grau de confiabilidade e segurana;
42
Sumrios Executivos

9.4.4. promova aes voltadas implantao e/ou aperfeioamento de gesto de nveis de servio de TI, de forma a garantir a qualidade dos servios prestados internamente, bem como a adequao dos servios contratados externamente s necessidades da organizao; 9.4.5. adote providncias com vistas a garantir que as propostas oramentrias para a rea de TI sejam elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos de negcio; 9.5. recomendar Diretoria-Geral do Senado Federal e DiretoriaGeral da Cmara dos Deputados que adotem, no mbito de suas Casas Legislativas, as providncias contidas no item 9.1; 9.6. recomendar Secretaria-Geral da Presidncia - Segepres e Secretaria-Geral de Administrao - Segedam que adotem, no mbito deste Tribunal, as providncias contidas no item 9.1; 9.7. determinar Secretaria-Geral de Controle Externo - Segecex que oriente suas unidades tcnicas para considerarem as informaes armazenadas na Secretaria de Fiscalizao de Tecnologia da Informao Sefti quando forem executar aes de controle em governana de TI; 9.8. reiterar diligncia aos rgos/entidades que no responderam ou que no completaram as respostas pesquisa levada a efeito pela Secretaria de Fiscalizao de Tecnologia da Informao - Sefti, fixando prazo de 30 (trinta) dias para que sejam enviados, em meio magntico, conforme orientao daquela Secretaria, as informaes necessrias para resposta ao questionrio utilizado neste levantamento; 9.9. determinar Secretaria de Fiscalizao de Tecnologia da Informao - Sefti que realize fiscalizaes nas reas consideradas mais crticas da governana de TI nos rgos/entidades fiscalizados e organize outros levantamentos com o intuito de acompanhar e manter base de
Levantamento acerca da Governana de TI na Administrao Pblica Federal

43

dados atualizada com a situao da governana de TI na Administrao Pblica Federal; 9.10. remeter cpias do presente Acrdo, acompanhado do Relatrio e Voto que o fundamentam, bem como cpia integral do Relatrio de Levantamento Comisso de Cincia, Tecnologia, Inovao, Comunicao e Informtica do Senado Federal; Subcomisso Permanente de Servios de Informtica do Senado Federal; Diretoria-Geral do Senado Federal; Secretaria Especial de Informtica do Senado Federal - Prodasen; Comisso de Fiscalizao Financeira e Controle da Cmara dos Deputados; Comisso de Trabalho, de Administrao e Servio Pblico da Cmara dos Deputados; Comisso de Cincia e Tecnologia, Comunicao e Informtica da Cmara dos Deputados; Subcomisso Permanente de Cincia e Tecnologia e Informtica da Cmara dos Deputados; Diretoria-Geral da Cmara dos Deputados; ao Centro de Informtica da Cmara dos Deputados; ao Conselho Nacional de Justia; ao Conselho Nacional do Ministrio Pblico; ao Gabinete de Segurana Institucional da Presidncia da Repblica; Controladoria-Geral da Unio; ao Ministrio do Planejamento, Oramento e Gesto; Secretaria de Logstica Tecnologia da Informao - SLTI do Ministrio do Planejamento, Oramento e Gesto; Secretaria de Oramento Federal - SOF do Ministrio do Planejamento, Oramento e Gesto; ao Departamento de Coordenao e Controle das Empresas Estatais - Dest da Secretaria-Executiva do Ministrio do Planejamento, Oramento e Gesto; aos rgos/entidades que responderam pesquisa promovida pela Sefti (Apndice II do Relatrio); 9.11. autorizar, a partir da data do acrdo que vier a ser proferido, a divulgao das informaes consolidadas constantes deste levantamento em sumrios executivos e informativos;

44

Sumrios Executivos

9.12. arquivar os presentes autos na Secretaria de Fiscalizao de Tecnologia da Informao - Sefti. 10. Ata n 32/2008 Plenrio 11. Data da Sesso: 13/8/2008 Ordinria 12. Cdigo eletrnico para localizao na pgina do TCU na Internet: AC-1603-32/08-P 13. Especificao do qurum: 13.1. Ministros presentes: Walton Alencar Rodrigues (Presidente), Marcos Vinicios Vilaa, Valmir Campelo, Guilherme Palmeira (Relator), Ubiratan Aguiar, Benjamin Zymler, Augusto Nardes, Aroldo Cedraz e Raimundo Carreiro. 13.2. Auditores presentes: Augusto Sherman Cavalcanti, Marcos Bemquerer Costa e Andr Lus de Carvalho.

WALTON ALENCAR RODRIGUES Presidente GUILHERME PALMEIRA Relator Fui presente: PAULO SOARES BUGARIN Procurador-Geral, em exerccio

Levantamento acerca da Governana de TI na Administrao Pblica Federal

45

NOTAS
1

Cobit 4.1 - PO1.2 Business-IT Alignment (Alinhamento de TI com negcio Estabelecer processos de educao bidirecional e de envolvimento recproco no planejamento estratgico para obteno de alinhamento e integrao entre o negcio e as aes de TI. As prioridades devem ser acordadas mutuamente a partir da negociao das necessidades do negcio e da rea de TI ).

Cobit 4.1 - PO1.4 IT Strategic Plan (Plano Estratgico de TI Criar um plano estratgico que defina, em cooperao com os principais interessados, como as metas de TI contribuiro para os objetivos estratgicos da organizao e quais os custos e riscos associados. O plano deve incluir os servios de TI, os ativos de TI e como a rea de TI dar suporte aos projetos dependentes de tecnologia da informao. A rea de TI deve definir como os objetivos sero alcanados, as mtricas a serem usadas e os procedimentos para obter a aprovao formal dos interessados. O plano estratgico de TI deve conter oramento para investimentos e custeio de TI, fontes de recursos, estratgia de aquisies, e requisitos legais e regulatrios. O plano estratgico deve ser suficientemente detalhado para permitir a definio de planos tticos de TI).

Cobit 4.1 - PO4.3 IT Steering Committee (Comit Diretivo de TI Criar um comit diretivo de TI (ou equivalente) composto de gerentes executivos, de negcios e de TI, para: determinar as prioridades de investimento e alocao de recursos nas aes de TI, alinhadas s estratgias e prioridades da organizao; acompanhar o estgio de desenvolvimento dos projetos e resolver conflitos relativos a recursos; e monitorar os nveis de servio de TI e suas melhorias).

Cobit 4.1 - PO7.5 Dependence Upon Individuals (Dependncia em Indivduos Minimizar a ocorrncia de dependncia crtica em indivduos chave por meio de aquisio de conhecimento (documentao), compartilhamento de conhecimento, planejamento de sucesso e equipe reserva).

Cobit 4.1 - PO7.2 Personnel Competencies (Competncias Pessoais Regularmente verificar que os profissionais de TI tm as competncias necessrias para exercer sua funo com base em sua formao, treinamento e/ou experincia. Definir as competncias de TI bsicas e verificar que so mantidas, por meio de programas de qualificao e certificao quando apropriados).

6 7

Decreto no 5.707, de 23 de fevereiro de 2006, art. 3o, incisos VI e VII. Caracterstica que impede a negao da autoria/execuo de uma ao por parte de um agente. Por exemplo: um usurio pode alegar que, dadas as fragilidades fraude do protocolo padro de e-mail, uma determinada correspondncia eletrnica no foi de fato enviada por ele, apesar de aparecer seu nome como remetente, negando sua autoria. Nesse caso, um e-mail dotado de no-repdio deveria possuir uma caracterstica que garantisse que apenas o usurio listado no remetente poderia de fato

46

Sumrios Executivos

ter escrito aquele texto e o enviado. Isso pode ser conseguido, por exemplo, por meio de assinatura digital.
8

O Decreto n 3.505, de 13 de junho de 2000, instituiu a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal e tem alcance sobre muitas instituies pesquisadas neste levantamento. Esse documento, porm, uma norma qual a PSI especfica deve aderir.

O Decreto n 4.553 de 27 de dezembro de 2002 estabelece um esquema de classificao da informao quanto ao sigilo e tem alcance sobre muitas instituies pesquisadas. Esse documento, porm, uma norma qual o esquema de classificao especfico deve aderir.

10

Numa perspectiva mais atual, espera-se que a rea de TI seja mais estratgica e no simplesmente entregue sistemas, mas fornea solues de TI um conceito mais amplo que engloba servios, infra-estrutura e sistemas de informao, todos sintonizados com as prioridades da organizao.

11

rea do conhecimento da informtica, voltada para a especificao, desenvolvimento e manuteno de sistemas, que aplica tecnologias e prticas de cincia da computao, gerncia de projetos e outras disciplinas, objetivando organizao, produtividade e qualidade.

12

Programa que procura estimular a adoo de normas, mtodos, tcnicas e ferramentas da qualidade e da engenharia de software, bem como promover a melhoria da qualidade dos processos, produtos e servios de software brasileiros, de modo a tornar as empresas mais capacitadas a competir em um mercado globalizado. Embora voltado para empresas em geral, uma de suas estratgias fomentar a qualidade de software em empresas e organismos governamentais.

13

Modelo de qualidade de processo voltado para a realidade do mercado de empresas de desenvolvimento de software no Brasil, compatvel com outros padres internacionais, como a Capability Maturity Model Integration (CMMI).

14

9.1.11. defina os parmetros que devero ser utilizados para balizar a mensurao da disponibilidade da rede corporativa de computadores, incluindo o horrio que ser considerado na medio da varivel, a abrangncia da responsabilidade da contratada e a forma de contabilizao das paradas para manuteno no percentual de disponibilidade, entre outros pontos que venham a ser considerados cabveis;

15

9.1.2. faa constar do edital a metodologia de mensurao de servios e resultados, inclusive os critrios de controle e remunerao dos servios executados, relativamente ao item 1.2 do objeto, levando em considerao a determinao contida no item 9.1.1 supra e as determinaes exaradas nos Acrdos do Plenrio 667/2005, 2.103/2005, 2.171/2005 e 2.172/2005;

16

9.3.22. caso entendam necessrio incluir a exigncia de Acordo de Nvel de Servio no contrato a ser celebrado, especifiquem com preciso, no edital, discriminadamente (...)

Levantamento acerca da Governana de TI na Administrao Pblica Federal

47

17

Segundo a definio contida no Cobit 4.1, governana de TI um conjunto composto de liderana, estruturas organizacionais e processos que garantem que a rea de TI da organizao apia e expande os objetivos e estratgias da organizao.

18

Polticas, procedimentos, prticas e estruturas organizacionais desenhadas para garantir o efetivo alinhamento da TI ao seu prprio modelo de governana, e que os desvios sejam prevenidos ou detectados e corrigidos.

48

Sumrios Executivos