Secretaria de Fiscalização de Tecnologia da Informação

1. SEFTI Secretaria de Fiscalização de Tecnologia da Informação Comissão de Fiscalização Financeira e Controle da Câmara dos Deputados Cláudio Souza Castello Branco, CGAP, CIA1 Brasília, novembro 2012

2. Agenda Sobre a Sefti Forma de atuação O que já fizemos Trabalhos mais relevantes Resultados alcançados

3. Sobre a Sefti

4. Criação da Sefti Criada em agosto de 2006 (Resolução TCU 193/2006) “A Secretaria de Fiscalização de Tecnologia da Informação tem por finalidade fiscalizar a gestão e o uso de recursos de tecnologia da informação pela Administração Pública Federal.”

5. Negócio Controle externo da governança de tecnologia da informação na Administração Pública Federal Missão Assegurar que a tecnologia da informação agregue valor ao negócio da Administração Pública Federal em benefício da sociedade Visão Ser unidade de excelência no controle e no aperfeiçoamento da governança de tecnologia da informação

6. Áreas de atuação Governança Programas e políticas Sistemas Dados Segurança Infra-estrutura Contratações Fiscalização operacional e/ou conformidade

7. Estrutura da Secretaria Direito Computação Engenharia

8. Competência Profissional Formação em áreas de tecnologia Ciência da Computação, Engenharia e afins Certificações 11 auditores CISA (Certified Information Systems Auditor) 2 auditores CGEIT (Certified in the Governance of Enterprise) 2 auditores CGAP (Certified Government Auditor Professional) 1 auditor CISSP (Certified Information Systems Security Professional) 1 auditor CIA (Certified Internal Auditor) Mestrados – 6servidores MBA – 8 servidores

9. Forma de atuação

10. MISSÃO VISÃO Tribunal de Contas da União MAPA ESTRATÉGICO Controlar a Administração Pública para promover seu aperfeiçoamento em benefício da sociedade Ser reconhecido como instituição de excelência no controle e no aperfeiçoamento da Administração Pública Coibir a ocorrência de fraudes e desvios de recursos Condenar efetiva e tempestivamente os responsáveis por irregularidades e desvios Contribuir para a transparência da Administração Pública Contribuir para melhoria da gestão e do desempenho da Administração Pública RESULTADOS RESULTADOS Transparência Governança e desempenho Intensificar a comunicação com a sociedade Induzir a administração pública a divulgar informações de sua gestão Intensificar ações que promovam a melhoria da gestão de riscos e de controles da Administração Pública Aprimorar as ações de controle voltadas à melhoria do desempenho da Administração Pública Facilitar a atuação do controle social Intensificar ações de controle para combate ao desperdício de recursos públicos PROCESSOS INTERNOS PROCESSOS INTERNOS Tempestividade e seletividade Parcerias Atuar de forma seletiva e sistêmica em áreas de risco e relevância Assegurar razoabilidade no tempo de apreciação dos processos Aprimorar o relacionamento com o Congresso Nacional Atuar em cooperação com a Administração Pública e com a rede de controle Fortalecer cultura orientada a resultados Desenvolver cultura de inovação Intensificar e aprimorar o uso de TI nas ações de controle Otimizar o uso de TI na gestão do TCU ORÇAMENTO E LOGÍSTICA APRENDIZADO E CONHECIMENTO Desenvolver competências gerenciais e profissionais Estruturar a gestão do conhecimento organizacional Modernizar e integrar as práticas de gestão de pessoas Promover a melhoria da governança no TCU Assegurar adequado suporte logístico às necessidades do TCU Assegurar recursos orçamentários para modernização do TCU

11. Tribunal de Contas da União MAPA ESTRATÉGICO Transparência Governança e desempenho Induzir a administração pública a divulgar informações de sua gestão Intensificar ações que promovam a melhoria da gestão de riscos e de controles da Administração Pública Aprimorar as ações de controle voltadas à melhoria do desempenho da Administração Pública Intensificar ações de controle para combate ao desperdício de recursos públicos PROCESSOS INTERNOS PROCESSOS INTERNOS Tempestividade e seletividade Parcerias

12. Atores relevantes • Governante (alta administração) • Gestores • Auditoria interna • Controle Externo

13. Atores relevantes em Governança Ch. Poder (Agente) Auditoria Interna Dirig. máx. (Agente) Gestor subordinado Gestor subordinado Gestor subordinado Gestor subordinado Controle Externo Sociedade (principal)

14. Alta Administração • A responsabilidade por aspectos específicos de recursos organizacionais pode ser delegada para os gerentes da organização. Entretanto, a prestação de contas (accountability) pelo uso desses recursos de forma efetiva, eficiente e aceitável na organização permanece com a alta administração e não pode ser delegada. (adaptado da NBR ISO/IEC 38.500)

15. Gestores • “O gestor e a alta administração são responsáveis pelos processos de gestão de risco e controles da organização.” (IIA, IPPF, 2120-1)

16. Auditores x gestores • Auditores são parte do modelo governamental de controle interno, mas eles não são responsáveis pela implementação dos procedimentos de controle numa organização. Este trabalho é específico do gestor. (INTOSAI -Padrões de Controle Interno, tradução livre)

17. Auditoria Interna • A auditoria interna é uma atividade independente e objetiva que presta serviços de avaliação e de consultoria com o objetivo de adicionar valor e melhorar as operações de uma organização. A auditoria auxilia a organização a alcançar seus objetivos através de uma abordagem sistemática e disciplinada para a avaliação e melhoria da eficácia dos processos de gerenciamento de risco, controle e governança corporativa. (IIA IPPF, tradução livre)

18. Auditoria Interna • A atividade de auditoria interna tem que avaliar a adequação e eficácia dos controles em resposta aos riscos relativos à governança da organização, operações e sistemas de informação, quanto à: • confiabilidade e integridade da informação financeira e operacional; • eficiência e eficácia das operações; • salvaguarda dos ativos; • conformidade com as leis, regulamentos e contratos.(IIA IPPF, Padrão 2130.A1, tradução livre)

19. Controle Externo • À semelhança da auditoria interna, a função das Entidades de Fiscalização Superiores é avaliar a eficácia dos processos de governança, gestão e controles dos seus jurisdicionados. (INTOSAI ISSAI 9100 Governança)

20. Órgãos Governantes Superiores (OGS) • AGU • CGU • CNJ • CNMP • Dest/MP • Enap/MP • GSI/PR • SLTI/MP • SOF/MP • STN/MF • Segep/MP “Têm a responsabilidade por normatizar e fiscalizar o uso e a gestão de TI em seus respectivos segmentos da Administração Pública Federal” (Voto do Acórdão 1.145/2011-TCU-Plenário)

21. Recomendações (3) Critérios de auditoria (6) TCU OGS Normatização, orientações, fiscalizações Ações de controle (5) (1) Boas práticas (4) Situação de GovTI APF (2) Mais e melhores serviços Ratifica legitmidade (7) (8) Sociedade 21

22. Induzindo a mudança Governança Implementação/Aprimoramento do modelo de governança Desgovernança Alta Administração (responsabilidade)

23. O que já fizemos 23

24. O que já fizemos (2007/2012) • Processos (223) • Fiscalizações (113) • Palestras ministradas (126) • Treinamentos ministrados (31) • Orientações Formais aos Gestores • Cartilha de Boas Práticas em Segurança da Informação - 4ª edição • Base de Normas e Jurisprudência de TI www.tcu.gov.br/fiscalizacaoti

25. O que já fizemos (2007-2012) • Notas Técnicas • 1 – Termo de Referência • 2 – Uso do Pregão • 3 – Credenciamento de licitantes pelos fabricantes • 4 – Amostra • 5 – Certificação para qualidade de processo de software • 6 – Níveis de Serviço em Contratos de TI Divulgação

26. Trabalhos mais relevantes 28

27. Trabalhos mais relevantesLevantamentos

28. Diagnóstico da APFLevantamento – GovTI2012 ASPECTOS QUE DEMANDAM ATENÇÃO

29. Diagnóstico da APFLevantamento – GovTI2012 ASPECTOS POSITIVOS

30. Diagnóstico da APF Levantamento – GovTI2012 PRINCIPAIS EVOLUÇÕES 2007 – 2012

31. Diagnóstico da APF Levantamento – GovTI INSTITUIÇÕES x ESTÁGIOS DO iGovTI

32. Levantamento – GovTI2012

33. Levantamento – GovTI2012 Visão dos dirigentes máximos: 51%: o negócio para em até uma semana

34. Trabalhos mais relevantesLevantamentos

35. Trabalhos mais relevantesLevantamentos (cont.) Observatório Sefti

36. Trabalhos mais relevantesAuditorias

37. Trabalhos mais relevantesAuditorias

38. Trabalhos mais relevantesOrientação/Divulgação Manual de Auditoria de Tecnologia da Informação

39. Trabalhos mais relevantesem andamento ou planejados • Siconv • Auditoria para avaliar a economia, eficiência e eficácia das empresas públicas prestadoras de serviços de TI (Acórdão 906/2009-P) • Avaliação mensurável dos resultados da aplicação das boas práticas • Avaliação das políticas públicas de TI

40. Resultados

41. Benefícios das ações de controle • Financeiros: R$ 7,5 bilhões (2007-2012) • Relação custo/benefício: R$ 266 para R$ 1 • Débitos, multas, economias e ganhos • Benefícios não financeiros • melhorias na organização administrativa, nos controles internos, na gestão de riscos, na governança e na forma de atuação dos órgãos fiscalizados; • fornecimento de subsídios para a atuação do Ministério Público e do Congresso Nacional; • recomendações para aprimoramento de normas.

42. Alguns Resultados • Judiciário • CNJ–Resolução 70, de 18.03.2009 –dispõe sobre o Planejamento e a Gestão Estratégica no âmbito do Poder Judiciário • CNJ–Resolução 99, de 24.11.2009 –dispõe sobre o Planejamento Estratégico de TI no âmbito do Judiciário • Resolução-CNMP 70/2011 – Criação do Comitê Estratégico de TI • Executivo • GSI/PR–IN GSI/PR 01, de 13.06.2008 – disciplina a Gestão de Segurança da Informação na APF • GSI/PR–7 Notas Complementares (entre outubro de 2008 e maio de 2010)

43. Alguns Resultados • Executivo • MP–IN/SLTI 04/2008, de 19.05.2008 –dispõe sobre processo de trabalho para contratações de TI • MP–Portaria 63, de 27.03.2009 e Portaria nº 107 de 04.03.2010 –autorizam a realização de concurso público para provimento e a contratação de 230 Analistas de TI • MP–Indução da previsão e execução das despesas de TI no OGU (Acórdão 371/2008 –Plenário)

44. Estímulo ao desenvolvimento do marco normativo para governança de TI • Ac 1603/2008-P, 2471/2008-P, 1233/2012-P • Critérios gerais de controle interno, gestão de risco e governança na administração pública – PLS 229/2009 e subsídio para elaboração de normativo

45. Resumo Sobre a Sefti Forma de atuação O que já fizemos Trabalhos mais relevantes Resultados alcançados

46. Induzindo a mudança Governança de TI Implementação/Aprimoramento do modelo de governança Desgovernança de TI Alta Administração (responsabilidade)

47. Avaliação do gestor (TMS 6/2010) • É comum no Serviço Público a expressão "Sofremos fiscalização do TCU", após essa segunda auditoria, a primeira fora realizada no ano de 2007, posso dizer que a expressão contém imprecisão grande.

48. Avaliação do gestor (TMS 6/2010) • A Divisão de Informática do Itamaraty não "sofreu" fiscalização, pois cada uma das observações serviu para o aprimoramento de nossos processos, sobretudo os de contratação, que já passaram por modificações extensas que culminarão em Pregão Eletrônico a ser realizado nesta segunda-feira 14 de fevereiro.

49. Avaliação do gestor (TMS 6/2010) • Dessa maneira, a palavra "sofreu" que implica dizer que houve sofrimento da parte auditada, não é a mais adequada para descrever o processo ao qual nos submetemos. Ao contrário, as diversas reuniões com a equipe de auditores proporcionou ao Ministério momentos de aprendizado e aprimoramento de práticas únicos.

50. “A TI é o coração da Administração Pública, podendo fazê-la avançar ou parar ”Ministro Augusto Sherman