Gestão e Contratação em Tecnologia da Informação para a Administração Pública
2017 COFE – NAUTI
Governança e Gestão de TI na Administração Pública
Objetivo da Governança de TI na Administração Pública O objetivo da governança de TI na Administração Pública (AP) é estabelecer regras e mecanismos para dirigir e controlar a gestão da TI de modo que a área de TI atenda aos interesses da AP e da sociedade.
Governança de TI Estabelece regras e mecanismos para dirigir e controlar a gestão da TI com o objetivo de atender aos interesses da AP e da sociedade.
X
Gestão de TI Planeja, desenvolve, executa e monitora as atividades de TI em consonância com as regras e mecanismos estabelecidos a fim de atingir os objetivos da AP e da sociedade.
De onde vem a Governança? • Assimetria da Informação – Coase (1937) e Williamson (1985)
• Problema da Agência (conflito agente – principal) – Jensen e Meckling (1976)
• Governança Corporativa (década de 1990) – Em resposta a escândalos financeiros
• Governança de TI (década de 2000) – SOX (Sarbanes-Oxley): seção 404 – relatórios financeiros – controles de TI
Resumo da SOX - Seção 404 • Os emissores são obrigados a publicar informações em seus relatórios anuais sobre o escopo e adequação da estrutura de controle interno e procedimentos para relatórios financeiros. Esta declaração também deve avaliar a eficácia desses controles e procedimentos internos. • A empresa de contabilidade registrada deve, no mesmo relatório, atestar e informar sobre a avaliação da efetividade da estrutura de controle interno e procedimentos de relatórios financeiros.
Fonte da imagem: http://www.celtainformatica.com.br/servi%C3%A7os/governanca-de-tecnologia-da-informacao
PROBLEMA DA AGÊNCIA INTERESSE PRÓPRIO
INTERESSE PRÓPRIO CONTRATA
EXECUTA
PRINCIPAL
AGENTE
PROBLEMA DA AGÊNCIA CONFLITO DE INTERESSES INTERESSE PRÓPRIO
INTERESSE PRÓPRIO CONTRATA
EXECUTA
PRINCIPAL
AGENTE
Por que governar a TI? • • • • •
A TI emprega recursos expressivos As decisões estratégicas de TI são difíceis de reverter A TI é hermética e complicada para outras áreas Interrupções na TI podem causar grandes transtornos Perdas de dados mantidos pela TI podem ser irreversíveis • A TI permeia diversas áreas dentro da organização • É preciso garantir o retorno dos investimentos em TI • A TI tem sido alvo de ações criminosas
Notícias sobre invasões cibernéticas no PR - I •
•
•
•
•
Município de Carambeí (05/017) http://www.gazetadopovo.com.br/politica/parana/hackers-invadem-site-de-prefeiturae-exigem-resgate-em-dolares-f0khy6oyu44zs9wg5dgqiz8ym Município de Agudos de Sul (02/2017) http://www.bandab.com.br/jornalismo/prefeitura-da-rmc-e-invadida-e-bandidoslevam-hd-com-todo-sistema-da-administracao/ Município de Sarandi (02/2017) http://sarandipr.com/2017/02/prefeitura-registra-b-o-contra-ataque-de-hacker-asistema/ Município de Fênix (09/2016) http://controlemunicipal.com.br/site/prefeitura_m/?id_cliente=104&cod= noticia/1329006 Município de Rio Branco do Ivaí (08/2016) http://tnonline.uol.com.br/noticias/regiao/32,383018,11,08,hacker-sequestra-dados-eprefeitura-paga-r-8-mil-para-destravar-sistema.shtml
Notícias sobre invasões cibernéticas no PR - II • Município de Grandes Rios (06/2016) http://tnonline.uol.com.br/noticias/cotidiano/67,379046,09,07,hackersequestra-dados-de-prefeitura-e-pede-r-10-mil-para-destravar-sistema-nopr.shtml • Município de Douradina (05/2016) http://douradina.portaldacidade.com/noticias/3747-hackers-invadem-sistemainterno-da-prefeitura-de-douradina • Município de Capitão Leônidas Marques (02/2016) http://www1.tce.pr.gov.br/noticias/noticia.aspx?codigo=3817 • Município de Irati (07/2015) http://portalculturasulfm.com.br/hackers-apos-ataque-site-da-prefeitura-deirati-esta-fora-do-ar/
Entidades que notificaram O TCEPR sobre invasões cibernéticas • Município de Jundiaí do Sul (Processo 989376/16) • Câmara Municipal de Cidade Gaúcha (Demanda 127762 – 17/03/2016) • Câmera Municipal Cruzeiro do Sul (Processo 532198/16) • Município de Capitão Leônidas Marques (Processo 804429/15) • Município de Iracema do Oeste (Demanda 113530 – 2014) • Câmara Municipal de Chopinzinho (Demanda 97766 – 21/06/2014) • Município de Uniflor (Demanda 95608 – 16/05/2014) • Câmara Municipal de Lobato (Processo 155792/13)
DIREÇÃO
GOVERNANÇA DE TI
REGRAS E MECANISMOS
CONTROLE
GESTÃO DE TI
Mecanismos (instrumentos) • Estruturas –alicerces estáveis e duradouros • Processos –procedimentos e técnicas de gestão de TI • Relacionamentos – integração da TI com a organização
Estruturas • Estrutura Organizacional da TI formalizada • Papéis e responsabilidades dos profissionais de TI • Comitê de TI (toma as decisões estratégicas) • Gerência de projetos de TI (PMI, SCRUM, etc)
Processos • • • •
Indicadores de desempenho de TI (BSC de TI) COBIT, ITIL, CMMI, ISO 38500, etc. Acordos de Nível de Serviço (ANS) Métodos de avaliação de retorno de investimento
Relacionamentos • • • •
Participação ativa das partes interessadas Portal eletrônico (Intranet) Catálogo de Serviços Resolução de conflitos
Áreas de Foco da Governança de TI (COBIT 4.1)
Áreas de foco da Governança de TI • • • • • • •
Alinhamento Estratégico Entrega de Valor Gestão de Recursos Gestão de Risco Mensuração de Desempenho Transparência Accountability (Responsabilização)
Alinhamento Estratégico • Envolver todas as partes interessadas na identificação das necessidades que podem ser supridas por soluções de TI • Instituir e operacionalizar um comitê de TI efetivo, que participe de todas as decisões estratégicas relacionadas à TI. • Elaborar PETI e PDTI e coloca-los em prática • Manter profissionais de TI concursados na área de TI, que tenham independência para confrontar tentativas de mudanças circunstanciais que não atendam aos interesses da administração púbica • Manter uma estrutura formal de TI • Instituir e operacionalizar um Comitê de TI • Manter um gestor de TI formalmente designado
Entrega de Valor nos Municípios PERGUNTAS... • No meu município, a qualidade dos serviços disponibilizados por meio da TI é tão boa ou melhor que a de outros municípios? • Os valores empregados na TI do meu município são semelhantes aos de outros municípios com população similar? • Os benefícios proporcionados pela TI justificam os seus custos? • Os valores pago pelo meu município para a aquisição se sistemas, equipamentos e serviços de TI são compatíveis com os preços de mercado?
Gestão de Recursos • Controle sobre os Dados e Sistemas – Garantir que os dados estejam atualizados e disponíveis a qualquer tempo – Assegurar que outro fornecedor possa dar continuidade ao funcionamento dos sistemas a qualquer tempo – Assegurar que o código fonte atualizado dos sistemas esteja sempre disponível, a qualquer tempo, caso o código tenha sido adquirido – Não adquirir o código fonte caso o órgão não reúna as condições para assumir a continuidade do desenvolvimento, manutenção e suporte do sistema. • Estrutura de TI – Designar formalmente o responsável de TI – Documentar as atribuições dos profissionais de TI
Gestão de Recursos • Desafios da Gestão de Recursos Humanos – Escassez de profissionais experientes de TI nos municípios menores – A busca do perfil ideal: conjugar habilidade e integridade • Desafios da Gestão de Recursos Tecnológicos – Investimentos expressivos, que consomem parte significativa do orçamento – Evolução constante (obsolescência rápida)
Gestão de Riscos Muitos riscos são mitigáveis, ou mesmo elimináveis, quando identificados a tempo • Segurança dos Dados – Patrimônio – Realizar backup diário, com cópias em local seguro e testes de recuperação – Realizar auditorias periódicas de sistemas e dados (devem ser auditáveis!) • Plano de Contingência – Prever em contrato a substituição de equipamentos em caso de falhas – Prever em contrato o suporte aos sistemas, inclusive de modo remoto
Mensuração de Desempenho • Estabelecer índices (e metas) para mensurar o desempenho da TI – Número de solicitações atendidas por período – Tempo médio de atendimento das solicitações – Percentual de indisponibilidade dos sistemas – Nível de satisfação dos usuários – Percentual de projetos concluídos dentro do prazo e orçamento previstos
Transparência • Manter um catálogo atualizado de serviços oferecidos pela TI. • Tornar público na internet – Os editais de licitação – O PETI e PDTI – Os valores dispendidos com a TI – As métricas de desempenho da TI
Responsabilização • Formalizar – Estrutura de TI – Gestor da TI – Gestores dos principais sistemas – Designar profissionais técnicos para compor o grupo de decisões estratégicas de TI • Gestores e fiscais de contratos da área de TI – Capacitar os profissionais para que possam exercer estas funções – Assegurar que compreendam a importância e as implicações de suas funções – Limitar o número de contratos por gestor e fiscal
O papel do TCEPR para a governança de TI • • • • •
Avaliar e acompanhar a governança de TI na AP do PR Disseminar boas práticas de Governança e Gestão de TI Desenvolver índice de Governança de TI para o PR Realizar análise prévia dos Editais de TI Realizar fiscalizações de TI nos jurisdicionados
NAUTI Diário Eletrônico n°1458 - 07/outubro/2016 Art. 164-A. Fica criado o Núcleo de Auditorias de Tecnologia da Informação - NAUTI, subordinado à Coordenadoria de Fiscalizações Específicas, com as seguintes atribuições: I - fiscalizar a governança, gestão, contratações e aquisições, sistemas, dados e segurança e uso de recursos de Tecnologia de Informação-TI nos entes jurisdicionados municipais, bem como nos entes estaduais, quando solicitado pelo Presidente e Conselheiros.
Panorama da Governança de TI nos Municípios Paranaenses
1º Levantamento da Governança de TI nos Municípios Paranaenses (2016)
Questionário • Perguntas adequadas à realidade dos municípios paranaenses • Enviado aos 399 municípios paranaenses • Resposta não obrigatória (opcional) • Apenas 20 perguntas • Utilização de exemplos concretos (links para notícias de casos ilustrativos)
Participação dos municípios
Distribuição dos municípios participantes
20
Resultados do levantamento
Distribuição populacional no PR
Caminhos para a maturidade • Orientação • Fiscalização