Sumrios Executivos

Levantamento de Governana de TI de 2010

Repblica Federativa do Brasil Tribunal de Contas da Unio

Ministros Ubiratan Aguiar, Presidente Benjamin Zymler, Vice-Presidente Valmir Campelo Walton Rodrigues Augusto Nardes Aroldo Cedraz Raimundo Carreiro Jos Jorge Jos Mcio Auditores Augusto Sherman Marcos Bemquerer Andr Lus de Carvalho Weder de Oliveira Ministrio Pblico Lucas Rocha Furtado, Procurador-Geral Paulo Soares Bugarin, Subprocurador-Geral Cristina Machado da Costa e Silva, Subprocuradora-Geral Marinus Eduardo de Vries Marsico, Procurador Jlio Marcelo de Oliveira, Procurador Srgio Ricardo Costa Carib, Procurador Negcio Controle Externo da Administrao Pblica e da gesto dos recursos pblicos federais Misso Assegurar a efetiva e regular gesto dos recursos pblicos em benefcio da sociedade Viso Ser instituio de excelncia no controle e contribuir para o aperfeioamento da Administrao Pblica

Sumrios Executivos

Levantamento de governana de TI 2010

Relator

Ministro Aroldo Cedraz

Braslia, 2010

 Copyright 2010, Tribunal de Contas da Unio Impresso no Brasil / Printed in Brazil <www.tcu.gov.br>

Para leitura deste Sumrio Executivo, acesse a pgina do TCU na internet, no seguinte endereo: <www.tcu.gov.br/fiscalizacaoti>

Permite-se a reproduo desta publicao, em parte ou no todo, sem alterao do contedo, desde que citada a fonte e sem fins comerciais.

Brasil. Tribunal de Contas da Unio. Levantamento de governana de TI 2010 / Relator Ministro Aroldo Cedraz Braslia : TCU, 2010. 49 p. (Sumrios Executivos) Traz as principais informaes sobre a auditoria realizada pela Sefti, com

o objetivo de avaliar a situao da governana de tecnologia da informao na Administrao Pblica Federal (APF). 1. Auditoria. 2. Governana. 3. Tecnologia da informao. I. Secretaria de

Fiscalizao de Tecnologia da Informao (Sefti). II. Ttulo.

Catalogao na fonte: Biblioteca Ministro Ruben Rosa

Sumrio
APRESENTAO; 5 RESUMO; 6 GOVERNANA UMA VISO GERAL; 7
Governana Corporativa; 8 Governana de TI; 8

O QUE FOI AVALIADO PELO TCU; 9 POR QUE FOI AVALIADO; 9 COMO SE DESENVOLVEU O TRABALHO; 10 O QUE O TCU ENCONTROU; 13
Atualizao do perfil traado no Levantamento 2007; 13 Planejamento Estratgico Institucional e de TI; 13 Estrutura de Pessoal de TI; 15 Segurana da informao; 17 Desenvolvimento de Software; 20 Gesto de nveis de servio; 21 Processos de contratao e gesto de contratos de TI; 23 Anlise do processo de planejamento da contratao; 23 Anlise do processo de gesto de contratos de TI; 25 Processo oramentrio de TI; 26 Auditoria de TI; 28 Liderana e Governana de TI; 30 Governana de TI e a Alta Administrao; 30 Estrutura de Governana de TI; 31 Desempenho institucional na gesto e no uso de TI; 32

Gestores de tecnologia da informao; 34 Anlise da Governana de TI com base no iGovTI; 36

O QUE PODE SER FEITO PARA MELHORAR A GOVERNANA DE TI NA ADMINISTRAO PBLICA FEDERAL; 40 BENEFCIOS DA IMPLEMENTAO DAS DETERMINAES E RECOMENDAES DO TCU; 43 ACRDO N 2.308/2010-TCU-PLENRIO; 43 NOTAS; 48

APRESENTAO
Os sumrios executivos da Secretaria de Fiscalizao de Tecnologia da Informao (Sefti), editados pelo Tribunal de Contas da Unio, tm por objetivo divulgar os principais resultados das fiscalizaes de Tecnologia da Informao (TI) realizadas pela Sefti. As publicaes contm, de forma resumida, aspectos importantes verificados durante as fiscalizaes, boas prticas identificadas e recomendaes e determinaes para melhorar a governana, a gesto e uso da tecnologia da informao na Administrao Pblica Federal. O foco das fiscalizaes de tecnologia da informao realizadas pela Sefti a verificao da conformidade e do desempenho das aes governamentais nessa rea, a partir de anlises sistemticas de informaes sobre aspectos de governana, segurana, dados, sistemas e aquisies de bens e servios de TI, utilizando critrios fundamentados. O principal objetivo dessas fiscalizaes contribuir para o aperfeioamento da gesto pblica, para assegurar que a tecnologia da informao agregue valor ao negcio da Administrao Pblica Federal em benefcio da sociedade. Pretende-se, com a divulgao desses trabalhos, oferecer aos parlamentares, aos rgos governamentais, sociedade civil e s organizaes no-governamentais informaes suficientes e fidedignas para que possam exercer o controle das aes de governo. Este nmero traz as principais informaes obtidas no levantamento de auditoria realizado no ano de 2010 com o objetivo de avaliar a situao da governana de tecnologia da informao na Administrao Pblica Federal. O processo relativo a esse levantamento (TC n 000.390/2010-0) foi apreciado em sesso do Plenrio de 8/9/2010 sob a relatoria do Ministro Aroldo Cedraz, resultando no Acrdo n 2.308/2010-TCU-Plenrio. Ubiratan Aguiar Ministro-Presidente
Levantamento de Governana de TI 2010

RESUMO
Em 2007, foi realizado o primeiro levantamento de governana de TI, com a participao de duzentas e cinquenta e cinco instituies, que responderam a trinta e nove questes. Aquela iniciativa resultou no Acrdo n1.603/2008-TCU-Plenrio, o qual determinou Secretaria de Fiscalizao de Tecnologia da Informao (Sefti) a realizao de novos levantamentos, com o objetivo de acompanhar e manter base de dados atualizada com a situao de governana de Tecnologia da Informao (TI) na Administrao Pblica Federal (APF). No Levantamento de Governana de TI 2010, foram coletadas novas informaes com vistas a identificar os pontos em que a situao da governana de TI encontra-se mais crtica e em que reas o TCU deve atuar. Foram selecionadas, como amostra deste levantamento, trezentas e quinze instituies representativas da APF. Dessa relao constaram os ministrios, as universidades federais, os tribunais federais, as agncias reguladoras e diversas autarquias, secretarias, departamentos e empresas estatais. As instituies includas na amostra responderam a questionrio com trinta questes, subdivididas em cento e cinquenta e dois itens, baseado em modelos de boas prticas internacionais e em normas tcnicas brasileiras sobre segurana da informao e governana. Responderam ao levantamento, no prazo, duzentas e sessenta e cinco instituies, representando aproximadamente 79% dos recursos de TI previstos no oramento da Unio de 2010. A partir dos dados coletados, observou-se que a situao da governana de TI na APF bastante heterognea. Alguns aspectos, que foram objeto de recomendao do TCU no Acrdo n 1.603/2008-TCU-Plenrio, como planejamento estratgico institucional e carreira prpria de TI, apresentaram evoluo, apesar de ainda haver oportunidades para melhoria. Outros, como
6
Sumrios Executivos

planejamento estratgico de TI e realizao de auditorias de TI, encontram-se nos mesmos patamares acanhados em que se encontravam em 2007. A rea de segurana da informao continua a chamar a ateno pelos altos ndices de no-conformidade, sugerindo que, de forma geral, as organizaes pblicas, alm de no tratarem os riscos aos quais esto expostas, os desconhecem. Aspectos que exigem um pouco mais de maturidade na gesto dos ativos de tecnologia, como o estabelecimento de processos de gesto contratual, de planejamento da contratao e de gesto de servios de TI, ainda so pouco implantados. Verifica-se que os conceitos de governana de TI ainda so pouco difundidos na maioria das instituies pblicas federais. De forma geral, a alta administrao no se considera responsvel pelas polticas corporativas de TI e nem por prover a estrutura bsica para que sua governana seja efetiva. Os benefcios estimados no presente trabalho, a partir da identificao dos pontos mais vulnerveis da governana de TI da APF, so: a induo da melhoria da estrutura de governana de TI por meio de recomendaes aos rgos governantes superiores, a induo de melhorias nos processos internos das instituies pblicas participantes do levantamento, bem como o subsdio ao processo de planejamento de aes de controle da Sefti e de outras unidades do TCU.

GOVERNANA UMA VISO GERAL

Como o termo governana no de definio simples e pode ainda no ser bem compreendido na Administrao Pblica, uma viso geral sobre esse tema apresentada a seguir.

Levantamento de Governana de TI 2010

Governana Corporativa
Segundo o Instituto Brasileiro de Governana Corporativa (IBGC):
Governana Corporativa o sistema pelo qual as organizaes so dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietrios, Conselho de Administrao, Diretoria e rgos de controle. As boas prticas de Governana Corporativa convertem princpios em recomendaes objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organizao, facilitando seu acesso a recursos e contribuindo para sua longevidade.1

Por sua vez, a norma ABNT NBR ISO/IEC 38500:2009 define governana como o sistema pelo qual as organizaes so dirigidas e controladas.2

Governana de TI
Naturalmente, a definio de governana de TI reflete os conceitos da governana corporativa, como nos exemplos abaixo:
Valor, risco e controle constituem a essncia da governana de TI. A governana de TI de responsabilidade dos executivos e da alta direo, consistindo em aspectos de liderana, estrutura organizacional e processos que garantam que a rea de TI da organizao suporte e aprimore os objetivos e as estratgias da organizao.3

O sistema pelo qual o uso atual e futuro da TI dirigido e controlado.4 Pode-se ver que, em sntese, o objetivo da governana de tecnologia da informao garantir que TI agregue valor ao negcio com riscos aceitveis e que a responsabilidade por prover uma boa governana de TI dos executivos e da alta administrao da instituio. Na Administrao Pblica Federal, a adequada governana de TI promove a proteo de informaes crticas e contribui para que as instituies cumpram sua misso. Por essa razo, perfeitamente cabvel que os rgos de controle externo, em prol do interesse pblico, conforme a Constituio Federal, artigo 70, cobrem dos altos dirigentes
8
Sumrios Executivos

a adequada governana dessa rea to crtica para a obteno dos resultadosinstitucionais. Por fim, a importncia da governana de TI no mbito da APF pode ser aquilatada tanto pela estimativa de gastos em TI para 2010, que de cerca de R$ 12,5 bilhes5, quanto por sua importncia estratgica, por ser amplamente utilizada na conduo de polticas pblicas suportadas por um oramento federal de R$ 1,86 trilho.6

O QUE FOI AVALIADO PELO TCU

Avaliou-se a situao da governana de TI a partir da coleta de informaes em questionrio disponibilizado a instituies representativas de diversos segmentos da Administrao Pblica Federal. A definio dos tpicos avaliados e os critrios utilizados fundamentam-se em: legislao, normas tcnicas da ABNT e modelos de boas prticas reconhecidos internacionalmente. Especial ateno foi dada avaliao dos temas citados nas oito recomendaes estruturantes dirigidas aos rgos governantes superiores7 por meio do Acrdo n 1.603/2008-TCU-Plenrio. Essas recomendaes foram exaradas em face dos resultados do levantamento de 2007, com vistas a fomentar a governana de TI na APF, e tratam dos seguintes tpicos: planejamento estratgico institucional e de TI, estrutura de pessoal de TI, segurana da informao, desenvolvimento de software, gesto de nveis de servio, processo de planejamento e gesto de contratos de TI, processo oramentrio de TI e auditoria de TI.

POR QUE FOI AVALIADO

O Acrdo n 1.603/2008-TCU-Plenrio determinou Sefti a realizao peridica de levantamentos com o objetivo de acompanhar e manter base de dados atualizada com a situao da governana de TI na APF, em razo da grave situao da governana e gesto de TI exposta no levantamento
Levantamento de Governana de TI 2010

de 2007. Alm disso, o acompanhamento da evoluo dos indicadores de governana e gesto de TI necessrio para o monitoramento da efetividade das medidas adotadas pelos rgos governantes superiores e das prprias deliberaes do TCU.

COMO SE DESENVOLVEU O TRABALHO

Durante a fase de planejamento, foram elaboradas trinta questes, subdivididas em cento e cinquenta e dois itens, organizadas segundo sete (das oito) dimenses do Gespblica: liderana, estratgias e planos, cidados, sociedade, informaes e conhecimento, pessoas e processos. Os principais insumos para a elaborao do questionrio foram: as recomendaes do Acrdo n 1.603/2008-TCU-Plenrio, o Gespblica8, a legislao, modelos de boas prticas reconhecidos internacionalmente, tais como o Cobit 4.1 (Control Objectives for Information and related Technology)9, a ABNT NBR ISO/IEC 27002:2005 segurana da informao e a ABNT NBR ISO/IEC 38500:2009 governana corporativa de TI. Com o intuito de auxiliar os respondentes no correto preenchimento do questionrio, foram elaborados e publicados no Portal do TCU os seguintes instrumentos de apoio ao respondente: Perguntas Frequentes FAQ, Objetivos de cada questo e Glossrio. Foi realizado teste-piloto com vinte instituies com o objetivo de validar conceitualmente as questes e de validar tecnicamente os procedimentos para recebimento e tratamento das respostas. A maioria das sugestes foi bem avaliada e foi incorporada ao questionrio. No levantamento, foram selecionadas ao todo trezentas e quinze instituies da APF, considerando os seguintes critrios de seleo: quando um grupo de instituies tem uma governana de TI centralizada, somente a instituio centralizadora foi selecionada, respondendo em conjunto por todas as instituies vinculadas10;
10
Sumrios Executivos

 excluso de todas as instituies que, apesar de jurisdicionadas ao Tribunal, no prestam contas (p.ex. instituies que fazem parte do Sistema S); ajustes decorrentes de criaes e extines de instituies pblicas desde o levantamento de 2007; incluso de instituies com previso oramentria de TI para o exerccio de 201011. Dessa seleo constam universidades federais, tribunais federais, agncias reguladoras, fundaes, autarquias, secretarias, departamentos, empresas pblicas, sociedades annimas, ministrios e outros rgos da administrao federal direta. Na fase de execuo do levantamento, foram automatizados vrios procedimentos de interao com as instituies pblicas selecionadas. Essas receberam, por meio de correspondncia oficial, o link para a pgina da Sefti onde o questionrio e os documentos de ajuda estavam disponveis. Tambm foi divulgado endereo eletrnico para esclarecimento de dvidas ou solicitao de suporte, se necessrio. Os questionrios preenchidos foram recebidos por meio de correio eletrnico, no endereo levantamento2010@tcu.gov.br. Com vistas a facilitar a anlise das informaes, os respondentes foram divididos em segmentos: EXE-Dest, abrangendo as empresas pblicas federais e as sociedades de economia mista; EXE-Sisp, abrangendo as instituies que fazem parte do Sistema de Administrao dos Recursos de Informao e Informtica (Sisp); JUD, abrangendo as instituies que fazem parte do Poder Judicirio; LEG, abrangendo as instituies que fazem parte do Poder Legislativo; e MPU, abrangendo as instituies que fazem parte do Ministrio Pblico da Unio (MPU). At a data de fechamento do relatrio, duzentas e sessenta e cinco instituies haviam atendido solicitao de envio do questionrio do levantamento de 2010.
Levantamento de Governana de TI 2010

11

As informaes coletadas em 2010 foram utilizadas para os seguintes propsitos imediatos: atualizao do perfil traado pelo levantamento de 2007, para fins de anlise da evoluo, no perodo, dos temas crticos que foram objeto das recomendaes exaradas no Acrdo n 1.603/2008-TCUPlenrio; anlise de aspectos da governana de TI relacionados com a dimenso Liderana do Gespblica; anlise da situao da governana de TI com base no ndice de governana de TI (iGovTI) de cada instituio. Trata-se de ndice criado pela Sefti especialmente para este e para futuros levantamentos do tipo. A par disso, as informaes obtidas continuaro sendo utilizadas pela Sefti e outras unidades do TCU como subsdio em seus trabalhos, sempre que necessrio. Ressalte-se que, para fins de atualizao do perfil traado pelo Levantamento 2007, com o intuito de evitar distores na comparao, s foram consideradas as respostas das duzentas e vinte e trs instituies que responderam s duas pesquisas. importante esclarecer tambm que, em funo do amadurecimento dos conceitos de governana e gesto de TI no mbito da Sefti, h diferenas entre as perguntas que compunham o questionrio em 2007 e as formuladas no questionrio de 2010. No entanto, tais diferenas no impedem a anlise comparativa das respostas, haja vista terem sido elaborados critrios de converso para essa finalidade. Registre-se que a queda observada em alguns indicadores pode no significar uma piora naquele aspecto, mas ser devido melhor compreenso, pelos respondentes, dos conceitos abordados nas questes do levantamento de 2010 em relao ao questionrio de 2007. Possveis fatores que contriburam para essa melhor compreenso: maior nvel de detalhamento
12
Sumrios Executivos

do questionrio em 2010, disponibilizao de documentos de ajuda para o preenchimento do questionrio, divulgao no perodo entre os dois levantamentos - dos resultados do levantamento de 2007, alm de aes educativas do TCU e dos rgos governantes superiores. Note-se que o levantamento de 2010 baseou-se em declaraes espontneas dos dirigentes, sem a necessidade de encaminhamento de evidncias.

O QUE O TCU ENCONTROU Atualizao do perfil traado no Levantamento 2007

Oito recomendaes estruturantes, dirigidas aos rgos governantes superiores por meio do Acrdo n 1.603/2008-TCU-Plenrio, decorreram do levantamento de 2007, em razo da grave situao da governana e gesto de TI de ento. Com vistas a facilitar a compreenso sobre o perfil de governana de TI em 2010, as informaes atualizadas so apresentadas de forma comparativa em relao s recomendaes exaradas no levantamento anterior. Planejamento Estratgico Institucional e de TI A recomendao registrada no item 9.1.1 do Acrdo n 1.603/2008-TCUPlenrio aos rgos governantes superiores foi a seguinte:
9.1.1. promovam aes com o objetivo de disseminar a importncia do planejamento estratgico, procedendo, inclusive mediante orientao normativa, aes voltadas implantao e/ou aperfeioamento de planejamento estratgico institucional, planejamento estratgico de TI e comit diretivo de TI, com vistas a propiciar a alocao dos recursos pblicos conforme as necessidades e prioridades da organizao;...

A Figura 1 apresenta os resultados obtidos em 2010 comparados aos resultados obtidos em 2007.
Levantamento de Governana de TI 2010

13

Planejamento estratgico
2007 PLANEJ. ESTRAT. INSTITUCIONAL PLANEJ. ESTRATGICO DE TI COMIT DE TI 0% 41% 39% 32% 32% 50% 100% 2010 53% 79%

Figura 1. Evoluo dos indicadores de Planejamento Estratgico

Houve aumento no nmero de instituies que fazem planejamento estratgico institucional, ao passo que h certa estabilidade no nmero de instituies que fazem planejamento de TI e que tm comit de TI. Anlise da evoluo do indicador de planejamento estratgico institucional por segmento mostrou que essa evoluo deve-se, em grande parte, resposta dos rgos do judicirio atuao do Conselho Nacional de Justia (CNJ), por meio da Resoluo n 70/2009. Ressalte-se que tambm houve evoluo relevante nos rgos pertencentes ao Sisp. Quanto ao planejamento de TI, causa preocupao a sua ausncia em 61% das instituies pblicas pesquisadas, pois a jurisprudncia do TCU pacfica quanto necessidade de planejar as contrataes de TI em harmonia com o planejamento estratgico institucional e com o Plano Diretor de Tecnologia da Informao PDTI (so exemplos os acrdos nos 1.521 e 1.558/2003, 2.094/2004, 786/2006 e 1.603/2008, todos do Plenrio do TCU). Tal orientao j consta, inclusive, da Instruo Normativa SLTI/ MP n4/2008, cuja implicao seria a vedao de contrataes de TI no previstas em um PDTI. Portanto, a ausncia de PDTI sugere que h

14

Sumrios Executivos

contrataes de TI sendo empreendidas em desacordo com a legislao e a jurisprudncia. No caso dos comits de TI, tambm no houve alterao no quadro. Entretanto, deve-se considerar que a criao e o bom funcionamento desse tipo de comit devem ser esperados em instituies preocupadas com a evoluo de sua gesto de TI. O resultado um pouco inferior em relao ao planejamento estratgico de TI esperado e reflete essa falta de maturidade na governana de TI na Administrao. Os resultados sugerem que a recomendao 9.1.1 do Acrdo n1.603/2008-TCU-Plenrio comeou a ter efeito no que se refere ao planejamento estratgico institucional, em especial no tocante aos rgos do Poder Judicirio. Com relao ao PDTI, pode-se inferir que as iniciativas empreendidas pelo TCU e pelos rgos governantes superiores (tais como normas e aes de conscientizao) ainda no surtiram efeito relevante. Estrutura de Pessoal de TI A recomendao registrada no item 9.1.2 do Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte:
9.1.2. atentem para a necessidade de dotar a estrutura de pessoal de TI do quantitativo de servidores efetivos necessrio ao pleno desempenho das atribuies do setor, garantindo, outrossim, sua capacitao, como forma de evitar o risco de perda de conhecimento organizacional, pela atuao excessiva de colaboradores externos no comprometidos com a instituio;[...]

A Figura 2 apresenta os resultados obtidos em 2010 comparados aos obtidos em 2007.

Levantamento de Governana de TI 2010

15

Estrutura de pessoal de TI
2007 2010 95% 94% 90% 94% 43% 78% 43% 79% 0% 50% 100%

H SERVIDORES DO QUADRO EM TI

H FUNES COMISSIONADAS EM TI

H CARREIRA DE TI

COMPETNCIA CRITRIO P/ SELEC. GESTORES DE TI

Figura 2. Evoluo dos indicadores de Estrutura de Pessoal de TI

Quanto existncia de carreira de TI, o ndice evoluiu de 43% para 78%. Tal evoluo teve influncia da criao de cargos especficos voltados para gesto de TI pelo Ministrio do Planejamento, Oramento e Gesto para o Sisp, em consonncia com as recomendaes inseridas no Acrdo n140/2005-TCU-Plenrio e no item 9.1.2 do Acrdo n 1.603/2008-TCU-Plenrio. Os resultados sinalizam que a maior parte das instituies respondentes tm preocupao em manter seus setores de TI com equipe e gesto prpria, fator que contribui para a reduo da rotatividade, a internalizao de conhecimento de negcio, o aumento da aprendizagem organizacional e o amadurecimento da gesto de TI. Todos esses elementos interessam governana de TI porque aumentam as possibilidades de agregao de valor pela TI e de reduo de riscos. Com respeito ao modo de seleo dos gestores de TI, de 2007 a 2010, o percentual das instituies respondentes que afirmaram selecionar seus gestores de TI por critrios de competncia aumentou de 43% para 79%. Esse era um dado especialmente alarmante se for considerado que, em
16
Sumrios Executivos

geral, o questionrio foi respondido, se no pela prpria TI, com auxlio direto dela, em 2007. O ndice atual, aproximadamente o dobro do anterior, indica uma evoluo nesse quadro. Tambm se verificou que, em relao formao acadmica dos dirigentes de TI: a frequncia de cursos superiores fora da rea de TI maior que na rea de TI; a frequncia de cursos de ps-graduao (lato ou stricto sensu) na rea de gesto e governana de TI menor que a de cursos tcnicos de TI ou a de cursos fora da rea de TI. Estes nmeros reforam a impresso de que ainda muito baixo o investimento das instituies na preparao de gestores de TI para efetivamente gerenciar a TI institucional, especialmente em contextos de alto requerimento de governana corporativa e de TI. Nesse sentido, o TCU expediu recomendao (Acrdo n 2.471/2008-TCU-Plenrio, item 9.10) Escola Nacional de Administrao Pblica (Enap) para que desenvolva programa de formao de gestores de TI, que no aborde somente aspectos tcnicos, mas que enfatize o desenvolvimento de competncias em gesto de TI. Cabe informar que a Enap j implementou o Programa de Desenvolvimento de Gestores de TI com vistas a suprir essa necessidade. Os resultados obtidos no presente levantamento demonstram que houve evoluo no nmero de instituies que possuem carreira prpria de TI, bem como no nmero das que selecionam seus gestores com base em suas competncias, havendo ainda oportunidades para melhorias. Segurana da informao A recomendao registrada no item 9.1.3 do Acrdo n 1.603/2008-TCUPlenrio aos rgos governantes superiores foi a seguinte:
Levantamento de Governana de TI 2010

17

9.1.3 orientem sobre a importncia do gerenciamento da segurana da informao, promovendo, inclusive mediante normatizao, aes que visem estabelecer e/ ou aperfeioar a gesto da continuidade do negcio, a gesto de mudanas, a gesto de capacidade, a classificao da informao, a gerncia de incidentes, a anlise de riscos de TI, a rea especfica para gerenciamento da segurana da informao, a poltica de segurana da informao e os procedimentos de controle de acesso;[...]

A Figura 3 apresenta os resultados obtidos em 2010 comparados aos obtidos em 2007.

Segurana da Informao
2007 2010 38% 42% 37% 37% 26% 16% 26% 24% 22% 12% 16% 7% 12% 19% 13% 3% 0% 50% 100%

POSSUI REA SEGURANA INFORMAO

H POLTICA DE SEGURANA INFORMAO

FAZ ANLISE DE RISCOS

H GESTO DE INCIDENTES DE SEG. INF.

CLASSIFICA A INFORMAO

H GESTO DE CAPACIDADE

H GESTO DE MUDANAS TEM PLANO CONTINUIDADE DO NEGCIO

Figura 3. Evoluo dos indicadores de Segurana da Informao

Sobre o tema, no levantamento de 2010, foram colhidas informaes acerca da existncia de normas e documentos como poltica de segurana de
18
Sumrios Executivos

informaes, plano de continuidade de negcios e norma de classificao de informaes, alm de processos como gesto de capacidade, anlise de riscos, gesto de incidentes e gesto de mudanas. Essas reas foram escolhidas com base na norma ABNT NBR ISO/IEC 17799 (atualmente denominada ABNT NBR ISO/IEC 27002:2005), porque podem elevar o risco da segurana da informao das instituies se administradas de forma inadequada. Inicialmente, admite-se por prudncia que a reduo verificada em alguns dos indicadores pode no refletir uma efetiva deteriorao da situao da segurana da informao na APF, mas uma possvel melhora na compreenso, por parte dos respondentes, dos conceitos questionados. Infere-se que essa melhor compreenso tenha resultado em avaliaes mais rigorosas no presente levantamento. Os dados da Figura 3 mostram que a situao continua preocupante. Se em 2007 havia o entendimento de que a maior parte das instituies estava exposta a riscos diversos e no mapeados, hoje, alm de a Administrao estar exposta aos mesmos riscos, no est agindo para sane-los com a agilidade que o caso requer. Sem inventariar e classificar a informao adequadamente no h como saber que informaes so crticas e devem ser protegidas. A outra possvel consequncia da falta desses processos o desperdcio de recursos ao se tentar garantir a integridade, a confidencialidade e a disponibilidade, com todos os custos envolvidos nesse esforo, de informaes no-crticas para a instituio. O mnimo esperado que se empreenda uma anlise de riscos e que, a partir da, se busque uma estratgia adequada realidade de cada instituio. Mesmo que a deciso tomada a partir do conhecimento de determinado risco seja aceit-lo, necessrio que esse risco seja conhecido e suas consequncias estimadas. Cumpre mencionar que o Gabinete de Segurana Institucional da Presidncia da Repblica (GSI) publicou, a partir de 2008, diversas normas
Levantamento de Governana de TI 2010

19

sobre o tema, como a Instruo Normativa n 1, de 13 de Junho de 2008, e suas normas complementares n 1 a 8. A anlise dos dados no demonstra melhora significativa nos indicadores de segurana da informao em relao ao levantamento anterior, a despeito da recomendao emitida pelo TCU. A Administrao, de forma geral, continua a desconhecer e a no proteger suas informaes crticas adequadamente. Como, em geral, no h avaliao de riscos, nem ao menos possvel estimar as suas consequncias caso estes se materializem. Desenvolvimento de Software A recomendao contida no Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte: item 9.1.4. estimulem a adoo de metodologia de desenvolvimento de sistemas, procurando assegurar, nesse sentido, nveis razoveis de padronizao e bom grau de confiabilidade e segurana; Segue a comparao dos resultados obtidos em 2007 para a pergunta o desenvolvimento de sistemas segue alguma metodologia? com os obtidos no presente levantamento:
Metodologia/processo de software
2007 TEM PROCESSO AO MENOS GERENCIADO 0% 2010 50% 49% 50% 100%

Figura 4. Evoluo dos indicadores de adoo de Processo de Software

Cabe esclarecer que a nomenclatura metodologia para tratar de desenvolvimento de sistemas, utilizada no levantamento de 2007, foi substi20
Sumrios Executivos

tuda por processo de software, em consonncia com as normas tcnicas vigentes, em especial a ABNT NBR ISO/IEC 12207:2009 e 15504:2008. Dessa forma, a questo foi estruturada de maneira a refletir os nveis de maturidade previstos na norma. Para avaliar se a instituio segue alguma metodologia (termo utilizado em 2007) admitiu-se que a resposta equivalente em 2010 seria a declarao de que a instituio possui processo de software em nvel igual ou superior a Gerenciado. O quadro acima indica que no houve alterao relevante nesse indicador, ou seja, mais da metade dos respondentes declararam, em relao disciplina processo de software, que no chegam a alcanar o nvel Gerenciado (caracterizado pela existncia de um processo informal repetido vrias vezes e que implementa conceitos de qualidade de processo). Os resultados do presente levantamento indicam que apenas 49%das instituies respondentes adotam algum processo de software, ainda que informal. Assim, menos da metade das instituies possuem o instrumento que, se usado adequadamente pode no s disciplinar o desenvolvimento de software na instituio, como apoiar a aquisio de software e servir de parmetro para aferir qualidade dos servios prestados e dos produtos recebidos. Gesto de nveis de servio A recomendao contida no Acrdo n 1.603/2008-TCU- Plenrio aos rgos governantes superiores foi a seguinte:
item 9.1.5: promovam aes voltadas implantao e/ou aperfeioamento de gesto de nveis de servio de TI, de forma a garantir a qualidade dos servios prestados internamente, bem como a adequao dos servios contratados externamente s necessidades da organizao;

Segue a comparao dos resultados obtidos em 2007 com os obtidos no presente levantamento:
Levantamento de Governana de TI 2010

21

Gesto de nvel de servio

2007 11% 16% 27% 26% 0% 50% 100% 2010

FAZ GESTO NVEL SERV. PRESTADO

FAZ GESTO NVEL SERV. CONTRATADO

Figura 5. Evoluo dos indicadores de Gesto de Nvel de Servio

A gesto de acordos de nvel de servio um instrumento relevante na busca e no controle da qualidade do servio prestado pela rea de TI aos seus clientes. A falta desse tipo de gesto aumenta as chances de insatisfao entre os usurios e os riscos de perda de foco nos investimentos. O mesmo tipo de preocupao deve existir na relao com fornecedores. Processos de gesto de nvel de servio so essenciais para que se garanta a qualidade dos servios recebidos e que sua remunerao se d por resultados, como preconiza o art. 6 do Decreto n 2.271/1997, em alinhamento com os princpios da eficincia e da economicidade (Acrdo n 1.215/2009-TCU-Plenrio). Chama a ateno que, em 2007, apenas 11% das instituies respondentes atentavam para gesto do nvel de servios oferecido pela rea de TI aos clientes internos, e que este nmero tenha evoludo para apenas 16% em 2010. Em relao gesto do nvel de servio em contrataes, tambm no houve alterao relevante (de 27% para 26%), evidenciando que, mesmo quando a TI cliente e no fornecedor, no h preocupao com a avaliao e o controle dos resultados. Se, por um lado, a gesto de acordos de nvel de servio com os clientes internos um processo que exige conhecimento e experincia, por outro, a gesto de nveis de servios compactuada com fornecedores deveria ser
22
Sumrios Executivos

uma prtica amplamente adotada. A falta dela implica, quase sempre, em fornecedores controlando seus prprios nveis de servio e, mesmo assim, se eles estiverem definidos. Ainda cedo para se afirmar que o discreto crescimento do primeiro indicador configura uma tendncia. Processos de contratao e gesto de contratos de TI A recomendao contida no Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte:
item 9.1.6. envidem esforos visando implementao de processo de trabalho formalizado de contratao de bens e servios de TI, bem como de gesto de contratos de TI, buscando a uniformizao de procedimentos nos moldes recomendados no item 9.4 do Acrdo 786/2006-TCU-Plenrio;

Anlise do processo de planejamento da contratao A Figura 6 mostra a comparao dos resultados obtidos em 2007 com os obtidos no presente levantamento:
Planejamento de contrataes
2007 2010 56% 17% 55% 52% 62% 42% 87% 82% 0% 50% 100%

TEM PROCESSO FORMAL DE CONTRATAO

FAZ ANLISE DE VIABILIDADE

EXPLICITA BENEFCIOS DE NEGCIO

ESTIMA PREOS EM MAIS DE UMA FONTE

Figura 6. Evoluo dos indicadores de Planejamento de Contrataes

Levantamento de Governana de TI 2010

23

A pergunta acerca do processo formal de contratao, em 2007, buscava obter informaes acerca de instituies que haviam disciplinado os procedimentos a serem empreendidos at o momento da celebrao do contrato. Entretanto, avalia-se que, naquele levantamento, essa questo no foi bem compreendida por diversas instituies, que responderam positivamente considerando normas gerais, como a prpria Lei de Licitaes, como sendo seu processo de trabalho. No presente levantamento, questiona-se acerca do processo de planejamento da contratao, ou seja, busca-se a mesma informao que o primeiro questionrio pretendia, s que de forma mais precisa em relao ao levantamento de 2007. Dessa forma, no se deve interpretar a queda acentuada (de 56% para 17%) no ndice processo formal de contratao como um retrocesso, mas to somente como uma informao mais precisa acerca da falta de preparo da Administrao para gerir suas contrataes por meio de processos definidos e mensurveis. Fato semelhante pode ter ocorrido com o ndice referente a benefcios de negcio. V-se na Figura 6 que menos da metade das instituies costuma explicitar os benefcios de negcio quando contratam bens e servios de TI, apesar de ser uma demanda da legislao (Decreto n 2.271/1997, art. 2). importante mencionar que a publicao da IN SLTI/MP n 4 de 2008, ao estabelecer os elementos essenciais em um processo de contratao, contribuiu para a melhor compreenso dos conceitos abordados nessas questes pelos respondentes. Com relao aos indicadores anlise da viabilidade e estimativa de preos em mais de uma fonte, as variaes encontradas foram pouco significativas. Assim, apesar de a situao apresentada pelo levantamento anterior causar preocupao a ponto de o TCU emitir recomendao sobre o tema, as informaes colhidas no presente trabalho revelam um quadro
24
Sumrios Executivos

ainda mais crtico, no qual, quase como regra, a Administrao no planeja suas contrataes de TI seguindo processos de trabalho formais e definidos. Em concluso, ainda no possvel verificar-se resultados positivos das iniciativas empreendidas para induzir a Administrao a adotar processos de trabalho para suportar o planejamento de contrataes de TI. Anlise do processo de gesto de contratos de TI
Processo de gesto contratual
2007 2010 47% 31% 80% 91% 57% 52% 92% 97% 50% 100%

H PROCESSO DE GESTO DE CONTRATOS H DESIGNAO FORMAL DE GESTOR DO CONTRATO MONITORAO ADM. DE CONTRATOS FEITA PELA REA DE TI H MONITORAO TCNICA DOS SERVIOS CONTRATADOS 0%

Figura 7. Evoluo dos indicadores de Processo de Gesto Contratual

A pergunta acerca do processo formal de gesto contratual, em 2007, buscava obter informaes acerca de instituies que haviam disciplinado os procedimentos a serem empreendidos aps o momento da celebrao contratual. Entretanto, avalia-se que, naquele levantamento, essa questo tambm no foi bem compreendida por diversos respondentes, que apontaram para as normas gerais, como na questo anterior.

Levantamento de Governana de TI 2010

25

Dessa forma, no se deve interpretar a queda no ndice processo de gesto de contratos como um retrocesso, mas como uma informao mais acurada acerca da falta de preparo da Administrao para gerir seus contratos por meio de processos definidos e mensurveis. Em relao ao processo de gesto de contratos de TI, verifica-se melhora em quesitos como designao formal de gestor de contrato e realizao de monitorao tcnica. Percebe-se, tambm, certa estabilidade no ndice de monitorao administrativa de contratos pela TI. Em princpio, esse papel caberia rea administrativa da instituio, desonerando a TI, que deveria, como regra, focar sua ateno na monitorao tcnica da execuo contratual (Acrdo n 1.382/2009-TCU-Plenrio, item 9.2.29). Os resultados do presente levantamento demonstram que a falta de processo de gesto contratual ainda mais crtica que a situao encontrada em 2007. Ainda no possvel verificar resultados positivos decorrentes das iniciativas empreendidas para induzir a APF a adotar processos de trabalho para suportar a gesto de contratos. Processo oramentrio de TI A recomendao contida no Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte:
item 9.1.7. adotem providncias com vistas a garantir que as propostas oramentrias para a rea de TI sejam elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos do negcio;[...]

Em relao a esse quesito, a comparao dos resultados obtidos em 2007 com os obtidos no presente levantamento apresentada na Figura 8.

26

Sumrios Executivos

Processo oramentrio
2007 ORAMENTO DE TI BASEIA-SE NAS AES PLANEJADAS H CONTROLEDEGASTOS E DISPONIB. ORAMENT. 0% 50% 2010 63% 84% 84% 88% 100%

Figura 8. Evoluo dos indicadores de Processo Oramentrio de TI

Os resultados mostram que houve evoluo relevante no perodo. Em 2007, 63% das instituies respondentes afirmaram que, em 2006, as aes previstas para o exerccio seguinte foram levadas em considerao na solicitao do oramento para 2007. J no presente levantamento, 84% das instituies respondentes declararam ter elaborado o oramento de TI com base nas estimativas de custos das contrataes previstas. Alm disso, 88% declararam controlar os gastos e a disponibilidade oramentria de tecnologia da informao. A melhora no quadro sugere que a APF comea a realizar os procedimentos mais bsicos de um processo oramentrio, como requerer oramento com base no planejado para o ano seguinte e controlar a disponibilidade de recursos oramentrios.

Levantamento de Governana de TI 2010

27

Auditoria de TI A recomendao contida no Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte:
item 9.1.8. introduzam prticas voltadas realizao de auditorias de TI, que permitam a avaliao regular da conformidade, da qualidade, da eficcia e da efetividade dos servios prestados;[...]

Segue a comparao dos resultados obtidos em 2007 com os obtidos no presente levantamento:
Auditoria de TI
2007 HOUVE ALGUMA AUDITORIA DE TI 0% 2010 39% 49% 50% 100%

Figura 9. Evoluo dos indicadores de Auditoria de TI

Em 2007, auditorias de TI eram realizadas por 39% das instituies pesquisadas, que declararam ter realizado pelo menos uma auditoria de TI nos ltimos cinco anos. No presente levantamento, a pergunta referiu-se realizao de auditoria de TI empreendida por iniciativa prpria, caso em que demonstrada a preocupao da instituio com o controle da sua TI. Alm disso, tendo em vista que o intervalo desde o ltimo levantamento foi de trs anos, considerou-se esse horizonte no presente questionrio. O presente levantamento aponta que 49% das instituies respondentes realizaram auditoria de TI nos ltimos trs anos.

28

Sumrios Executivos

A Figura 10 a seguir detalha os tipos de auditorias de TI que foram realizadas.

Tipos de auditorias de TI realizadas
AUDITORIA DE CONTRATOS AUDITORIA DE SEG. INF. AUDITORIA DE SISTEMAS AUDITORIA DE DADOS AUDITORIA DE GOVERNANA OUTRAS 0% 14% 10% 8% 50% 100% 20% 24% 29%

Figura 10. Tipos de Auditorias de TI realizadas

A auditoria de TI um instrumento de controle imprescindvel para o sucesso da governana, que pressupe direo e controle, nos termos da norma ABNT NBR ISO/IEC 38500:2009. por meio desse instrumento que possvel atestar a adequao dos esforos para proteger a integridade e a disponibilidade das informaes, alm do sigilo, quando necessrio, e da qualidade dos servios prestados. Cabe informar que uma auditoria de dados, sistemas ou segurana, por exemplo, no depende de a instituio possuir equipe prpria para isso, ainda que esta seja uma prtica aconselhvel. Portanto, quando no houver estrutura interna para tal prtica, a contratao desse servio no mercado uma alternativa a ser avaliada. A auditoria de contratos de TI, a mais comum, tambm a mais simples de ser realizada pelas atuais estruturas de controle interno, porque se assemelha s auditorias de contratos de outras reas. Entretanto, esse tipo de auditoria no aborda outros aspectos que tambm deveriam ser avalia-

Levantamento de Governana de TI 2010

29

dos pelas estruturas de controle interno, considerando seu papel no apoio governana corporativa. Nesse sentido, importante a realizao dos demais tipos de auditorias de TI mostrados na Figura 10, em consonncia com a recomendao do TCU, acima. A evoluo constatada no ndice de auditoria de TI, que ficou prximo da metade dos respondentes, foi pequena. Ainda no possvel, pelos dados coletados, avaliar os efeitos da recomendao do TCU sobre o assunto.

Liderana e Governana de TI
Governana de TI e a Alta Administrao Como vimos, os modelos de boas prticas e as normas tcnicas atribuem alta administrao a responsabilidade de governar a TI, ou seja, de garantir que a TI funcione de forma integrada e que agregue valor ao negcio. No entanto, h alguns elementos importantes que devem ser implantados para que esse governo seja efetivo, entre os quais se destaca a dimenso Liderana, apresentada a seguir. Registre-se que estes so questionamentos includos no levantamento de 2010 e no existentes na pesquisa realizada em 2007, no possuindo, portanto, dados comparativos.

30

Sumrios Executivos

Estrutura de Governana de TI A Figura 11 mostra os resultados obtidos na questo acerca da estrutura de governana de TI provida pela alta administrao:
Deficincias na estrutura de governana
A ALTA ADMINISTRAO... 100% 51% 61% 48% 77%

50%

0%

NO SE RESPONSABILIZA PELAS POLTICAS DE TI

NO DESIGNOU COMIT DE TI

NO DESIGNOU COMIT DE TI COM REPRESENTANTE DAS REAS DE NEGCIO

NO MONITORA O FUNCIONAMENTO DO COMIT DE TI

Figura 11. Estrutura de Governana de TI

Considerando que as informaes foram obtidas de modo declaratrio, e que o questionrio foi dirigido especificamente alta administrao, percebese, de plano, que a situao no confortvel. Passa da metade (51%) o nmero de respondentes que declararam no se responsabilizar pelas polticas corporativas de TI. Ora, so essas polticas que conferem as bases e os limites que norteiam a gesto e o uso de TI na instituio. No h como se falar em governana de TI se a alta administrao no estabelece as diretrizes mais elementares ou se no responde por elas. Os dados do levantamento sugerem que o conceito de estrutura de governana de TI ainda uma novidade para a maior parte das instituies pblicas. O fato de que em menos da metade das instituies respondentes a alta administrao se enxerga como responsvel pelas polticas corpo-

Levantamento de Governana de TI 2010

31

rativas de TI, mesmo sendo essa uma rea crtica, sugere um motivo pelo qual o amadurecimento da gesto e da governana de TI ainda se mostra to lento, como demonstram os resultados do levantamento. Com relao designao de um comit de TI, deve-se ter em vista que esse comit pode ter funes diversas, conforme o modelo de gesto adotado. O Cobit 4.1 (objetivos de controle PO4.2 e PO4.3) recomenda a existncia de dois comits, que devem congregar as diversas reas de negcio: um comit estratgico e um comit executivo. Um comit de TI funcionando adequadamente pode reduzir o risco de a rea de tecnologia, agindo de forma independente, direcionar recursos para projetos que no so os mais importantes para o negcio, ou mesmo que haja um sequestro da TI (de seus recursos) por um dos setores da organizao, normalmente aquele ao qual est subordinada. De acordo com a Figura 11, em 48% das instituies respondentes no foi designado um comit de TI, 61% no indicaram representantes das reas de negcio para integrar o comit de TI e em 77% dos casos no h acompanhamento das atividades do comit de TI pela alta administrao. O baixo ndice de comits de TI institudos e acompanhados pode ser explicado pela falta de conscincia da alta administrao acerca de seu papel na governana de TI: um dirigente que no se responsabiliza pelas polticas de TI, no sentir necessidade do apoio de um comit, menos ainda de acompanhar seu funcionamento. Desempenho institucional na gesto e no uso de TI A Figura 12 mostra os resultados consolidados das respostas que foram dadas s questes do questionrio que buscavam informaes acerca do desempenho institucional na gesto e uso de TI
32
Sumrios Executivos

Deficincias organizacionais na gesto e uso de TI

A ALTA ADMINISTRAO... 100% 76% 57% 50% 71% 87%

0%

NO DEFINIU OS OBJETIVOS DE DESEMPENHO

NO DEFINIU INDICADORES DE DESEMPENHO

NO AVALIA REGULARMENTE O DESEMPENHO

NO ACOMPANHA OS INDICADORES DE BENEFCIOS DOS PRINCIPAIS SIST. DE INFORMAO

Figura 12. Desempenho Institucional em Gesto de TI

Para que se possa acompanhar o desempenho da gesto e do uso de TI, preciso definir parmetros para isso. O primeiro passo definir os objetivos. Em seguida, importante definir indicadores de desempenho. Com eles, torna-se possvel avaliar o grau de alcance dos objetivos previamente definidos. Por fim, para que esses indicadores sejam teis, eles devem ser monitorados regularmente. Essa avaliao peridica dos indicadores de desempenho subsidia as decises que permitem as correes necessrias para o alcance dos objetivos definidos inicialmente. O valor da TI de uma instituio relaciona-se sua capacidade de implementar os objetivos de negcio definidos pela alta administrao. Por isso, as decises da alta administrao acerca do uso e da gesto de TI devem levar em conta a capacidade das vrias tecnologias disponveis produzirem como benefcio o alcance dos objetivos institucionais. Em suma, a falta de objetivos claros definidos pela alta administrao impedir uma boa gesto de TI.

Levantamento de Governana de TI 2010

33

Os dados encontrados no presente levantamento indicam que 57% dos respondentes no definiram objetivos de desempenho para o uso e para a gesto da TI institucional. Esse nmero, considerado muito alto, ainda mais preocupante pelo fato de que 76% no estabelecem indicadores de desempenho para TI, 71% no avaliam regularmente esse desempenho e 87% admitiram no tomar suas decises quanto ao uso e gesto de TI com base nos benefcios esperados dos sistemas de informao. Obviamente, as instituies tero muita dificuldade em perseguir objetivos que no estiverem definidos. Alm disso, a conquista de um objetivo definido sem o acompanhamento dos indicadores apropriados depende, em geral, mais de fatores fortuitos do que de processos estabelecidos de superviso e gerncia. De forma geral, pode-se inferir que falta preocupao da alta administrao com o uso e a gesto da TI institucional, o que pode induzir ineficincia e inefetividade da instituio como um todo. Gestores de tecnologia da informao A Figura 13 apresenta os resultados obtidos na questo acerca da poltica de recursos humanos para a gesto de TI.
Deficincias quanto a gestores de TI
A ALTA ADMINISTRAO... NO ESCOLHE GESTORES DE TI FUNDAMENTALMENTE COM BASE NA COMPETNCIA NO PREENCHE PELOMENOS 75% DAS FUNES GERENCIAIS DE TI COM PESSOAL DO QUADRO PRPRIO NO PROV POLTICA DE DESENVOLVIMENTO DE GESTORES DE TI NO ACOMPANHA O DESEMPENHO GERENCIAL 0% 50% 20%

35%

75%

83% 100%

Figura 13. Poltica de RH para gesto de TI 34

Sumrios Executivos

Um aspecto basilar da boa governana de TI a alocao de pessoas adequadamente capacitadas para decidir sobre a gesto e o uso da TI institucional. Decises sobre a gesto e o uso de TI no esto restritas rea de TI, mas permeiam a instituio como um todo (ABNT NBR ISO/IEC 38500:2009). Porm, o foco da presente questo relaciona-se especificamente aos gestores inseridos na rea de TI, cujas decises devem balancear aspectos tcnicos, administrativos e de negcio, contribuindo para a efetividade e a eficincia da instituio, em parceria com as demais instncias decisrias da instituio. Os resultados obtidos so alarmantes: 20% dos respondentes no escolhem os gestores de TI com base em critrios de competncia, mesmo em uma rea to crtica, da qual toda a instituio depende; 35% das instituies no reservam pelo menos 75% das funes comissionadas da rea de TI para servidores do quadro prprio, permitindo que mais de um quarto da gesto de TI esteja nas mos de empresas ou de pessoas com vnculo precrio com a instituio; em 75% das instituies no h qualquer poltica para desenvolvimento de gestores de TI; em 83% das instituies no h acompanhamento do desempenho gerencial na rea de TI. Esses indicadores apontam para a falta de preocupao da alta administrao em garantir boa capacidade gerencial interna, em conflito com a Poltica Nacional de Desenvolvimento de Pessoal (PNDP). Uma das diretrizes dessa poltica promover a capacitao gerencial do servidor e sua qualificao para o exerccio de atividades de direo e assessoramento (Decreto n 5.707/2006, artigos 1, III, 2, II, 3, III, e 5, III). A situao especialmente delicada no caso das instituies vinculadas ao Sisp, onde 52% dos respondentes no priorizam o preenchimento das funes de gesto de TI com pessoas do quadro interno, como pode ser visto na Figura 14.

Levantamento de Governana de TI 2010

35

Deficincias quanto a gestores de TI - somente Sisp

A ALTA ADMINISTRAO... NO ESCOLHE GESTORES DE TI FUNDAMENTALMENTE COM BASE NA COMPETNCIA NO PREENCHE PELO MENOS 75% DAS FUNES GERENCIAIS DE TI COM PESSOAL DO QUADRO PRPRIO NO PROV POLTICA DE DESENVOLVIMENTO DE GESTORES DE TI NO ACOMPANHA O DESEMPENHO GERENCIAL 0% 50%

23%

52%

82%

91% 100%

Figura 14. Poltica de RH para gesto de TI (somente Sisp)

Quando uma parte relevante dos gestores de fora dos quadros da instituio, portanto com vnculo precrio, h elevado risco de falta de continuidade na conduo da TI. Como resultado, o processo de amadurecimento da gesto fica comprometido. O elevado nmero de respostas negativas em poltica de desenvolvimento de gestores de TI e acompanhamento de desempenho gerencial so compreensveis nesse contexto, pois, no usual proverem-se polticas corporativas de desenvolvimento para gestores sem vnculo estvel com a instituio.

Anlise da Governana de TI com base no iGovTI

Para o TCU, a adoo de indicadores de gesto uma prtica que contribui para o aperfeioamento da gesto pblica e consequente melhoria da prestao dos servios pblicos. Como no h mtrica de governana de TI conhecida que pondere os pontos especficos avaliados no levantamento e produza uma nota ou ndice para cada organizao, a Sefti criou frmula prpria.
36
Sumrios Executivos

A mtrica de governana adotada no presente levantamento, denominada iGovTI, combina elementos de trs fontes: (a) o Cobit 4.1, j citado, que adotado mundialmente para avaliao de governana de TI; (b) o Gespblica, com avaliaes anuais12, adotado no Brasil como modelo de excelncia em gesto pblica; (c) o levantamento de governana realizado pelo TCU em 2007, que resultou no Acrdo n 1.603/2008-TCU-Plenrio. Optou-se pela combinao dessas trs fontes como forma de melhorar a sustentao do mtodo adotado e de acelerar o seu amadurecimento. Adicionalmente, a distribuio dos valores de iGovTI foi analisada em comparao com dois padres de resposta ao questionrio que, a juzo da Sefti, representam a situao mais baixa que se possa classificar como governana intermediria e a situao mais baixa que se possa classificar como governana aprimorada. Esses dois padres permitiram escolher os seguintes limites: abaixo de 40%, considera-se que a instituio encontra-se em estgio INICIAL de governana de TI; de 40 a 59%, considera-se em estgio INTERMEDIRIO; a partir de 60%, considera-se em estgio APRIMORADO. Essa escala permite a inferncia de distines relevantes entre instituies pblicas e fornece subsdios importantes para o seu planejamento e controle, bem como para a atuao do controle externo. Aplicada essa forma de clculo aos dados informados pelas instituies respondentes, obteve-se a distribuio de frequncia apresentada na Figura 15.
iGovTI de 0,6 a 0,84 iGovTI de 0,4 a 0,59 iGovTI de 0,0 a 0,39 0 25 aprimorado 50 intermedirio 75 inicial 100 125 5% 38% 57% 150 175

Figura 15. Distribuio das instituies respondentes por estgio de governana

Levantamento de Governana de TI 2010

37

Pode-se observar que a maioria (57%) das instituies respondentes se encontram abaixo do limite de 40% de aderncia aos requisitos apresentados no questionrio, o que corresponde ao estgio inicial de governana de TI. Nessa faixa, o envolvimento da alta administrao menor, o planejamento mais frgil, os trabalhadores menos preparados e os controles internos so menos rigorosos e menos estruturados e, por isso, maior o risco de ocorrncia de falhas que costumam resultar em ineficcia, ineficincia, inefetividade e antieconomicidade. O percentual de instituies respondentes que recaem no estgio intermedirio de governana de TI de 38%. Nessa faixa, h evidncias declaratrias de que a alta administrao tem conhecimento de seu papel e que est preocupada em dar direo instituio por meio de planejamento, reconhecendo a necessidade de pessoal qualificado para assumir processos e controles mais rigorosos. Porm, tal condio ainda no se reflete consistentemente na formalizao, monitorao e aperfeioamento de processos de trabalho, inclusive de planejamento, na fixao e monitorao de objetivos e no desenvolvimento sistemtico do quadro de pessoal. Nessa situao, o capital humano no est consolidado e a eventual troca da liderana poder facilmente romper o processo de aperfeioamento institucional. Apenas 5% das instituies respondentes recaem no estgio aprimorado de governana de TI. Nesse estgio, encontram-se evidncias declaratrias do maior compromisso da alta administrao com a direo da instituio em todos os nveis, por meio de planejamento consistente e sistemtico, fixao clara de objetivos e metas, monitorao da execuo e auditoria. Alm disso, o quadro de pessoal recebe qualificao sistemtica e os processos de trabalho so formais e mensurados. Quando vista pela tica do volume de recursos oramentrios alocados s aes de TI, a distribuio das instituies em relao ao iGovTI ganha contornos preocupantes, como apresentado na Figura 16.

38

Sumrios Executivos

Governana de TI x oramento de TI
inicial R$ 10.000.000.000 R$ 1.000.000.000 R$ 100.000.000 R$ 10.000.000 R$ 1.000.000 R$ 100.000 intermediria aprimorada

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

Figura 16. Distribuio das instituies por oramento de TI e iGovTI

Verifica-se que h seis instituies que gerenciam R$ 100 milhes ou mais e possuem governana de TI em estgio inicial. razovel supor que h mais riscos de utilizao inadequada desse dinheiro nessas instituies. De outra parte, observa-se que possvel haver boa governana de TI mesmo com baixos oramentos, como no caso das trs organizaes que esto no quadrante inferior direito da Figura 16. Outra anlise, realizada para verificar a existncia de correlao13 entre as dimenses utilizadas no clculo do ndice de governana, resultou nos dados apresentados na Tabela 1, abaixo.
DIMENSO Liderana Estratgias e Planos Gesto de Pessoas Processos Liderana --0,48 0,32 Estratgias e Planos 0,48 --0,23 0,46 Gesto de Pessoas 0,32 0,23 --0,29 Processos

0,60
0,46 0,29 ---

0,60

Tabela 1. Anlise de correlao entre as dimenses avaliadas

Levantamento de Governana de TI 2010

39

Pode-se observar que h razovel correlao estatstica positiva entre a governana em Liderana e a governana em Processos. Alm disso, a correlao entre essas duas dimenses maior que a existente entre as demais dimenses em anlise. Considerando que a liderana precede a existncia de processos, o resultado sugere que o esforo de controle deve focalizar principalmente a estrutura da liderana em governana de TI, porque esta parece ter maior efeito sobre todas as demais dimenses de governana de TI. Isto est de acordo com o preconizado pelo Cobit, especialmente no objetivo de controle ME1.

O QUE PODE SER FEITO PARA MELHORAR A GOVERNANA DE TI NA ADMINISTRAO PBLICA FEDERAL
As informaes obtidas neste levantamento no deixam margem dvida de que a situao da governana de TI na APF ainda se encontra em estado precrio. Como a maioria das instituies respondentes encontrase em estgio inicial do ndice iGovTI, pode-se inferir que a adoo dos conceitos de governana de TI pela APF ainda incipiente. Alm disso, h instituies que gerem recursos oramentrios substanciais e que no demonstraram boa governana de TI no presente levantamento, o que sugere maior risco na gesto do dinheiro pblico. Aparentemente, ainda uma novidade o conceito de que governar a TI, por se tratar de uma rea crtica para o alcance dos objetivos da instituio, responsabilidade da alta administrao. Essa lacuna demanda ao especfica do TCU, pois a anlise dos dados sugere que h correlao entre a liderana da alta administrao na governana de TI em relao s outras dimenses, especialmente com relao dimenso processos de TI. Assim, como preconizado pelo objetivo de controle ME1 do Cobit, a melhor forma para alcanar boa governana de TI seria atuar fortemente sobre o comportamento da alta administrao.
40
Sumrios Executivos

Na comparao com o levantamento de 2007, preocupante a falta de evoluo na rea de segurana da informao, que continua com ndices de no-conformidade muito altos. Outros indicadores permanecem nos mesmos nveis acanhados de 2007, entretanto, houve queda no nmero de instituies que declararam possuir processo de planejamento da contratao e de gesto de contratos. Avalia-se que, nesses casos, a reduo pode ser resultado da melhor compreenso, pelos respondentes, dos conceitos abordados nas questes do levantamento de 2010 em relao ao questionrio de 2007. Por outro lado, h sinais de iniciativas no sentido de reverter essa realidade. Houve evoluo significativa no ndice referente a planejamento estratgico institucional, o qual pr-requisito para um planejamento estratgico de TI alinhado com o negcio, alm de ser essencial para a definio de objetivos de desempenho. Outrossim, o nmero de instituies que declararam possuir carreira prpria de TI praticamente dobrou, alcanando 78%. Uma melhora sensvel nesses dois aspectos estruturantes (planejamento estratgico institucional e carreira de TI) abre a possibilidade de que haja reflexo positivo em outros indicadores de governana e gesto de TI no futuro. No entanto, ainda cedo para se aferir qualquer tendncia. Em face da situao encontrada, o Tribunal expediu, por meio do Acrdo n 2.308/2010-TCU-Plenrio, recomendao para que os rgos governantes superiores da Administrao Pblica Federal orientem as unidades sob sua jurisdio sobre a necessidade de estabelecerem formalmente: objetivos institucionais de TI alinhados s estratgias de negcio, indicadores para cada objetivo definido, preferencialmente em termos de benefcios para o negcio da instituio, metas para cada indicador definido e mecanismos para que a alta administrao acompanhe o desempenho da TI da instituio. Complementarmente, o Tribunal recomendou que os rgos governantes superiores normatizem a obrigatoriedade de a
Levantamento de Governana de TI 2010

41

alta administrao de cada instituio sob sua jurisdio, superviso ou estrutura estabelecer os itens acima. Conquanto as graves deficincias apontadas neste levantamento, o Tribunal no repetiu recomendaes e determinaes anteriormente prolatadas, pois continuam vlidas para o caso atual. Citem-se em especial as recomendaes e determinaes exaradas no Acrdo n1.603/2008-TCU-Plenrio, que so aplicveis maioria das no-conformidades observadas. Observe-se ainda que este levantamento fez parte de um esforo de fiscalizao maior, em andamento na data da publicao deste sumrio executivo, no qual as anlises sero aprofundadas e as deliberaes do Acrdo n1.603/2008-TCU-Plenrio sero monitoradas, podendo resultar na proposta de novas recomendaes ou determinaes, quando da sua apreciao. importante que o TCU permanea no seu papel como indutor do processo de melhoria da governana de TI no setor pblico federal. Nesse sentido, o Tribunal determinou Sefti que aprimore, defina e mantenha processo de trabalho permanente, peridico e sustentvel de acompanhamento da governana de TI na APF, de modo a subsidiar processos de fiscalizao em TI e contribuir com o planejamento e controle dos rgos e entidades jurisdicionados. Tambm com esse fim, houve determinao Sefti para remeter, a cada instituio respondente do levantamento de 2010, relatrio com avaliao individualizada da respectiva governana de TI e com comparao dos resultados consolidados do correspondente segmento de atuao. Entre as atribuies das cortes de contas est a funo educativa. Em sintonia com os ensinamentos das teorias educacionais modernas, o TCU, como instituio, reconhece que no basta punir os desvios, mas que educar essencial. Assim, o Tribunal determinou Sefti que desenvolva aes de estmulo conscientizao da alta administrao das instituies que compem a Administrao Pblica Federal acerca do
42
Sumrios Executivos

tema Governana de TI. Nessa linha, tambm foi autorizada a divulgao pela Sefti das informaes coletadas, na forma de informativos e sumrios executivos, alm de outros meios, sem identificao individual dos respondentes.

BENEFCIOS DA IMPLEMENTAO DAS DETERMINAES E RECOMENDAES DO TCU

Os benefcios do presente trabalho so a induo de melhorias na estrutura de governana de TI por meio de recomendaes aos rgos governantes superiores e a possibilidade tambm de induo de melhorias, em termos de governana e gesto de TI, na organizao interna das instituies participantes do levantamento, a partir da divulgao dos resultados de cada instituio e dos comparativos com instituies similares. Alm disso, a prpria Sefti e outras unidades do TCU sero beneficiadas em seus processos de planejamento de aes de controle, em funo da disponibilidade de informaes importantes sobre a governana de TI das instituies pblicas federais.

ACRDO N 2.308/2010-TCU-Plenrio
1. Processo TC 000.390/2010-0. 2. Grupo I Classe V Relatrio de Levantamento. 3. Responsveis: no h. 4. Unidades: rgos e entidades diversos da Administrao Pblica Federal. 5. Relator: Ministro Aroldo Cedraz. 6. Representante do Ministrio Pblico: no atuou.
Levantamento de Governana de TI 2010

43

7. Unidade Tcnica: Secretaria de Fiscalizao de Tecnologia da Informao Sefti. 8. Advogado constitudo nos autos: no h. 9. Acrdo: Vistos, relatados e discutidos estes autos de relatrio de levantamento destinados a avaliar a governana de tecnologia da informao no mbito da Administrao Pblica Federal. Acordam os Ministros do Tribunal de Contas da Unio, reunidos em sesso do Plenrio, ante as razes expostas pelo relator e com base nos arts. 42, 1, e 43, I, da Lei n 8.443/1992, nos arts. 245, 1, e 250, inciso III, do Regimento Interno, nos arts. 103-B, 4, e 130-A, 2, da Constituio Federal, no art. 6, IX, do Decreto n 6.081/2007, e no art. 4, I, do Decreto n 1.048/1994, em: 9.1. recomendar ao Conselho Nacional de Justia CNJ, ao Departamento de Coordenao e Controle das Empresas Estatais Dest, Secretaria de Logstica e Tecnologia da Informao do Ministrio do Planejamento, Oramento e Gesto SLTI/MPOG, ao Conselho Nacional do Ministrio Pblico CNMP , Secretaria Geral da Presidncia do Tribunal de Contas da Unio Segepres/TCU, Diretoria Geral da Cmara dos Deputados e Diretoria Geral do Senado Federal que, no mbito de suas respectivas reas de atuao: 9.1.1. orientem as unidades sob sua jurisdio, superviso ou estrutura acerca da necessidade de estabelecer formalmente: (i) objetivos institucionais de TI alinhados s estratgias de negcio; (ii) indicadores para cada objetivo definido, preferencialmente em termos de benefcios para o negcio da instituio; (iii) metas para cada indicador definido; (iv) mecanismos para que a alta administrao acompanhe o desempenho da TI da instituio;
44
Sumrios Executivos

9.1.2. normatizem a obrigatoriedade de a alta administrao de cada instituio sob sua jurisdio, superviso ou estrutura estabelecer os itens acima; 9.2. assinar prazo de 15 (quinze) dias para que as instituies que deixaram de atender aos requerimentos de informaes desta Corte encaminhem, em meio eletrnico e em papel, as respostas ao questionrio utilizado neste levantamento; 9.3. remeter cpia deste acrdo e do relatrio e do voto que o fundamentaram aos seguintes interessados: Comisso de Cincia, Tecnologia, Inovao, Comunicao e Informtica do Senado Federal; Comisso de Cincia e Tecnologia, Comunicao e Informtica da Cmara dos Deputados; Gabinete de Segurana Institucional da Presidncia da Repblica; Controladoria-Geral da Unio; Departamento de Coordenao e Controle das Empresas Estatais da Secretaria-Executiva do Ministrio do Planejamento, Oramento e Gesto; Secretaria de Logstica Tecnologia da Informao (SLTI) do Ministrio do Planejamento, Oramento e Gesto; Diretoria-Geral da Cmara dos Deputados; Diretoria-Geral do Senado Federal; Conselho Nacional de Justia e Conselho Nacional do Ministrio Pblico; 9.4. determinar Secretaria de Fiscalizao de Tecnologia da Informao Sefti que: 9.4.1. monitore a adoo das providncias recomendadas no item 9.1. deste acrdo e continue a monitorar o cumprimento das providncias recomendadas no acrdo 1.603/2008-Plenrio; 9.4.2. desenvolva aes de estmulo conscientizao da alta administrao das unidades da Administrao Pblica Federal acerca de conceitos, objetivos, indicadores, aes e estruturas de governana de tecnologia da informao;

Levantamento de Governana de TI 2010

45

9.4.3. defina e mantenha processo de trabalho permanente e sustentvel de acompanhamento da governana de tecnologia da informao na Administrao Pblica Federal, de modo a subsidiar processos de fiscalizao do TCU em TI e processos de planejamento e controle das unidades jurisdicionadas a esta Corte, com definio, se possvel, de periodicidade regular para realizao de levantamentos gerais como o ora examinado e de mecanismos para coleta de evidncias destinadas a aumentar a confiabilidade das informaes colhidas mediante questionrios; 9.4.4. remeta, para cada uma das instituies que responderam ao questionrio utilizado neste levantamento, relatrio com avaliao individualizada da respectiva governana de TI e com comparao dos resultados consolidados do correspondente segmento de atuao, de forma a subsidiar o planejamento daquelas unidades; 9.4.5. divulgue as informaes consolidadas obtidas neste levantamento em informativo, na forma do apndice VIII do relatrio, e em sumrios executivos; 9.4.6. divulgue, sem identificao individual dos respondentes, os dados coletados no presente levantamento; 9.4.7. aponha chancela de sigilo ao anexo 2 destes autos. 10. Ata n 33/2010-Plenrio. 11. Data da Sesso: 8/9/2010 Ordinria. 12. Cdigo eletrnico para localizao na pgina do TCU na Internet: AC-2308-33/10-P . 13. Especificao do quorum:

46

Sumrios Executivos

13.1. Ministros presentes: Ubiratan Aguiar (Presidente), Valmir Campelo, Walton Alencar Rodrigues, Aroldo Cedraz (Relator), Raimundo Carreiro, Jos Jorge e Jos Mcio Monteiro. 13.2. Auditores convocados: Andr Lus de Carvalho e Weder de Oliveira.

(Assinado Eletronicamente) UBIRATAN AGUIAR Presidente (Assinado Eletronicamente) AROLDO CEDRAZ Relator Fui presente: (Assinado Eletronicamente) LUCAS ROCHA FURTADO Procurador Geral

Levantamento de Governana de TI 2010

47

NOTAS
1 INSTITUTO BRASILEIRO DE GOVERNANA CORPORATIVA IBGC. Cdigo das melhores prticas de governana corporativa. 4. ed. So Paulo, SP : IBGC, 2009. 2 ASSOCIAO BRASILEIRA DE NORMAS TCNICAS ABNT. ABNT NBR ISO/IEC 38500:2009 Governana corporativa de tecnologia da informao. Esta Norma oferece princpios para orientar os dirigentes das organizaes sobre o uso eficaz, eficiente e aceitvel da Tecnologia de Informao (TI) dentro de suas organizaes. 3 Extrado do Cobit 4.1. 4 Extrado da ABNT NBR ISO/IEC 38500:2009 Governana corporativa de tecnologia da informao. 5 Fontes: Oramento de TI publicado no Quadro 17 do Volume I da Lei do Oramento Anual para 2010 e informaes obtidas junto ao Departamento de Coordenao e Governana das Empresas Estatais (Dest). 6 Fonte: SIDOR Sistema Integrado de Dados Oramentrios, 2010. 7 So considerados rgos governantes superiores aqueles que tm como uma de suas atribuies a expedio de normativos, sobre temas de sua competncia, com efeito vinculante sobre outras instituies. Encontram-se nessa situao, por exemplo: o Gabinete de Segurana Institucional da Presidncia da Repblica (GSI), o Conselho Nacional de Justia (CNJ), o Conselho Nacional do Ministrio Pblico (CNMP) e a Secretaria de Logstica e Tecnologia da Informao (SLTI) do Ministrio do Planejamento, Oramento e Gesto. 8 Gespblica um programa federal estabelecido pelo Decreto n 5.378, de 23 de fevereiro de 2005, e coordenado pelo Ministrio do Planejamento, Oramento e Gesto. Esse programa voltado para orientar e aferir a qualidade da gesto pblica. 9 INFORMATION TECHNOLOGY GOVERNANCE INSTITUTE ITGI. COBIT Control Objectives for Information and related Technology. 4.1. ed. (em portugus). Rolling Meadows: ITGI, 2007. Disponvel em: <http://www.isaca.org/Knowledge-Center/cobit/Documents/cobit41-portuguese.pdf>. Acesso em: 16 julho 2010. 10 Esto nessa situao, por exemplo, os comandos das Foras Armadas. 11 Fontes: Lei do Oramento Anual para 2010 e dados fornecidos pelo Departamento de Coordenao e Governana das Empresas Estatais (Dest). 12 Brasil. Ministrio do Planejamento, Oramento e Gesto. Instrumento para avaliao da gesto pblica ciclo 2010. Programa Nacional de Gesto Pblica e Desburocratizao GESPBLICA, Braslia: MP , 2010. Disponvel em: <http://www.gespublica.gov.br/folder_premio/pasta.2010-04-26.8934490474/Instrumento_ciclo_2010_22mar.pdf>. Acesso em: 16 julho 2010. 48
Sumrios Executivos

13 Em teoria da probabilidade e estatstica, a correlao indica a fora e a direo do relacionamento linear entre duas variveis aleatrias. A medida de correlao mais conhecida o coeficiente de correlao de Pearson, utilizado neste trabalho. Esse coeficiente assume apenas valores entre -1 e +1. Se o coeficiente for positivo, quando uma varivel aumenta, a outra tambm aumenta. Se o coeficiente for negativo, quando uma varivel aumenta, a outra diminui e vice-versa. Quanto mais prximo de +1, maior a fora da correlao positiva existente. Quanto mais prximo de -1, maior a fora da correlao negativa existente.

Levantamento de Governana de TI 2010

49

Responsabilidade pelo Contedo Secretaria-Geral de Controle Externo Secretaria de Fiscalizao de Tecnologia da Informao Equipe de Auditoria Carlos Renato Arajo Braga (Supervisor) Cludio Silva da Cruz Daniel Jezini Netto (Coordenador) Gelson Heindrickson Respondabilidade Editorial Secretaria-Geral da Presidncia Instituto Serzedello Corra Centro de Documentao Editora do TCU Capa e Diagramao Paulo Arthur C. Alves Ouvidoria 0800 6441500
Impresso pela Sesap/Segedam

Endereo para contato, solicitao de exemplares e consulta na Internet TRIBUNAL DE CONTAS DA UNIO Secretaria de Fiscalizao de Tecnologia da Informao (Sefti) SAFS, Quadra 4, Lote 1 Anexo I, sala 311 70042-900 Braslia - DF Fone: (61) 3316-5371/7396 Fax: (61) 3316-5372 http://www.tcu.gov.br/fiscalizacaoti sefti@tcu.gov.br

Secretaria de Fiscalizao de Tecnologia da Informao

Negcio Controle externo da governana de tecnologia da informao na Administrao Pblica Federal. Misso Assegurar que a tecnologia da informao agregue valor ao negcio da Administrao Pblica Federal em benefcio da sociedade. Viso Ser unidade de excelncia no controle e no aperfeioamento da governana de tecnologia da informao.