Andr Luiz Pacheco - Auditoria de TI
Transcript of Andr Luiz Pacheco - Auditoria de TI
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
1/96
41 FonaiTec
Joo Pessoa, 26 e 27 de novembro de 2014
Andr Luiz Furtado Pacheco, CISA
Auditoria de TI:
questes a serem
respondidas
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
2/96
2
Agenda
1. Introduo
2. Estrutura de Governana de TI
3. Processo de Planejamento de TI
4. Processo de Contratao de TI
5. Segurana da Informao
6. Concluso
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
3/96
1. Introduo
3
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
4/96
Matriz de Planejamento
Instrumento para organizar as informaesrelevantes do planejamento de uma auditoria
Homogeneizao do entendimento da equipe, edemais envolvidos, quanto:
ao objetivo do trabalho;
aos passos a serem seguidos;
estratgia metodolgica a ser adotada.
Orienta os integrantes da equipe nas fases deexecuo e de elaborao do relatrio
4
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
5/96
5
Objetivo: Enunciar de forma clara e resumida o aspecto a ser enfocado pela auditoria, de acordo com olevantamento de auditoria previamente realizado.
Matriz de Planejamento
Questes de
AuditoriaInformaes
RequeridasFontes de
InformaoDetalhamento do
ProcedimentoObjetos Membro
ResponsvelPerodo Possveis
Achados
Apresentar, em
forma de
perguntas, os
diferentes
aspectos quecompem o
escopo da
fiscalizao e
que devem ser
investigados
com vistas
satisfao do
objetivo
Identificar as
informaes
necessrias
para
responder aquesto de
auditoria
Identificar as
fontes de cada
item de
informao
requerida da
coluna anterior.
Estas fontes
esto
relacionadas
com as tcnicas
empregadas
Descrever as
tarefas que sero
realizadas, de
forma clara,
esclarecendo os
aspectos a serem
abordados (itens
de verificao ou
check list)
Indicar o
documento, o
projeto, o
programa, o
processo, ou o
sistema no qual o
procedimento ser
aplicado.
Exemplos:
contrato, folha de
pagamento, base
de dados, ata,
edital, ficha
financeira,
processo
licitatrio,
oramento
Pessoa(s) da
equipe
encarregada(s) da
execuo de cada
procedimento
Dia(s) em
que o
procedi-
mento
ser
executado
Esclarecer
com preciso
que
concluses
ou
resultados
podem ser
alcanados
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
6/96
Elaborao da Matriz de Planejamento
elaborar o objetivo da auditoria, aps odiagnstico da situao, e determinar a linhade investigao, mediante a formulao dasquestes de auditoria
determinar, para cada questo de auditoria,possveis achados, ou seja, onde se desejachegar com a investigao
identificar as informaes requeridas e ondeas obter (fontes de informao)
6
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
7/96
Elaborao da Matriz de Planejamento
elaborar os procedimentos, e descrev-lospasso a passo, para colher as informaes,analis-las e obter as evidncias com objetivode responder as questes de auditoria
identificar o membro da equipe responsvelpelo procedimento
especificar o perodo de realizao doprocedimento (cronograma)
identificar os objetos que foram analisados (*)
(*) coluna a ser preenchida na fase de execuo da auditoria
7
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
8/96
Questes de Auditoria
8
1. Estruturas de Governana Cobit 5(EDM e APO)
2. Processo de Planejamento de TI
Cobit 5 (APO)
3. Processo de Aquisio Cobit 5 (BAI)
4. Segurana da Informao Cobit 5(APO e DSS) e ISO 27002
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
9/96
2. Estrutura de
Governana
9
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
10/96
Governana de TI Definio
Governana de TI uma estrutura derelac ionamentos e processospara dir ig i r econtro lar a TI a fim de alcanar as metas dains t itu iopelaag regao de valo r, enquantose mantm o equ ilbrio dos ris co s vers us
retorno sobre esta funo e seus processos.(ITGI IT Governance Institute)
OSistema pelo qual ouso atual e futu ro d a TI di r ig idoe contro lado.
(NBR ISO/IEC 38500, item 1.6.3)
10
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
11/96
11
Governana de TI Objetivos
assegurar que as aes de TI estejamalinhadas com o negcio daorganizao, agregando-lhe valor;
medir o desempenho da rea de TI,alocar propriamente os recursos emitigar os riscos inerentes;
controlar as iniciativas de TI na
organizao para garantir o retorno deinvestimentos e a adoo de melhoriasnos processos organizacionais
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
12/96
Governana de TI Cobit 5
12
Fonte: www.isaca.org
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
13/96
Governana de TI Cobit 5
13 Fonte: COBIT 5, figure 16. 2012 ISACA All rights reserved.
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
14/96
Levantamentos de Governana de TI
14
Levantamento de Governana de TICiclo 2007
39 questes
255 rgos/entidades da APF
Acrdo n 1.603/2008TCUPlenrio
Levantamento de Governana de TICiclo 2010
30 questes
152 itens 301 rgos/entidades da APF
iGovTI
Acrdo n 2.308/2010-TCU-Plenrio
Levantamento de Governana de TI
Ciclo 2012 36 questes494 itens
350 rgos/entidades da APF
Acrdo n 2.585/2012-TCU-Plenrio
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
15/96
Levantamento de Governana de TICiclo 2014
355 rgos/entidades da APF
Escala de respostas (No se aplica, No adota, Iniciou plano paraadot-la, Adota parcialmente, Adota integralmente)
Acrdo n 3.117/2014-TCU-Plenrio
15
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
16/96
iGovTI 2014
16
Distribuio das Organizaes por Estgio do iGovTI
Acrdo 3.117/2014-TCU-Plenrio
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
17/96
Evoluo do iGovTI 2010-2014
17
Distribuio das Organizaes por Estgio do iGovTI
Acrdo 3.117/2014-TCU-Plenrio
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
18/96
18
Comit Executivo de TI
A existncia de um comit diretivo de TI (IT SteeringCommittee), que determine as prioridades deinvestimento e alocao de recursos nos diversosprojetos e aes de TI, defundamental impo rtnc iapara o al inhamento entre as at ividades de TI e o
negcio da o rgan izao, bem como para a otimizaodos recursos disponveis e a reduo do desperdcio. Ofato desse comit ser composto por dirigentes de TI ede outras reas da organizao possibilita que as
decises de investimentos sejam obtidas a partir deuma viso mais abrangente, o que reduz os r iscosdeerro(Acrdo 1.603/2008-TCU-Plenrio).
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
19/96
Comit Executivo de TI
Acrdo 1233/2012-TCU-Plenrio
9.2. recomendar, (...), Secretaria de Logstica eTecnologia da Informao (SLTI/MP) que:
9.2.1. no rmatize a obr igator iedade de que osentes sob sua jurisdio estabeleam com its deTI, observando as boas prticas sobre o tema, aexemplo do Cobit 4.1, PO4.2 comit estratgicode TI e PO4.3comit diretor de TI;
19
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
20/96
20
Instruo Normativa - SLTI 04/2014
Art. 4 As con trataes de que trata esta INdevero ser precedidas de planejamento,elaborado em harmonia com o Plano Diretor de
Tecnologia da Informao - PDTI.(...) 7 Inexis t indo o Com it de Tecno log ia daIn fo rmao, o rgo ou en t idade dever in s t i tu-
lo e dar-lhe pleno funcionamento, observando,no que couber, oGu ia de Com itde Tecnologia daInformao do SISP, acessvel no Portal do SISP.
Comit Executivo de TI
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
21/96
Comit Executivo de TI
Cobit 5, processo APO01 Gerenciar a Estrutura deGesto de TI, boa prtica APO01.01 Definir aEstrutura Organizacional, atividade 8:8. Estabelecer um com it executivo de TI (ouequivalente), composto pelas diretor ias execut iva,de negcios e de TIpara: determinar pr ior idades dos programas de
invest imentos em TI em linha com asestratgias e prioridades do negcio;
moni torar o estado atual dos projetos eresolver conflitos de recursos; e
monito rar nveis de serv ioe suas melhorias.
21
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
22/96
Comit Executivo de TIAcrdo 3.117/2014-TCU-Plenrio
22
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
23/96
2.1 Estrutura de
Governana Matriz
23
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
24/96
Governana de TI Questo de
Auditoria
Os mecanismos e estruturas deGovernana de TI foram definidose implementados adequadamenteno mbito da instituio ?
24
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
25/96
3. Processo de
Planejamento de TI
25
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
26/96
26
O planejamento uma ferramentaadminist rat iva que possibilita perceber arealidade, avaliar os caminhos, const ru ir umreferencial futuro, estruturando o trmite
adequado, e reavaliar todo o processo a que oplanejamento se destina. (...) o lado racional daao. Trata-se de um processo de deliberaoabstrato e explcito que escolhe e organiza
aes, antecipando os resultados esperados.(Wikipdia)
Conceito de Planejamento
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
27/96
27
A elaborao dePlanejamento pelo gestor
pblico seria apenas umafaculdade?
Planejamento
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
28/96
28
No, o Planejamento
obrigatrio.
Planejar deverdo gestor
pblico.
Planejamento
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
29/96
29
O Planejamento dever poltico do
administrador pblico.
O gestor pblico tem o dever manejar osrecursos pblicos da forma mais eficaz eeficientepossvel, de modo a gerar o maiorbenefcio possvel sociedade;
Esse dever s pode ser cumprido complanejamento efetivo do qu, para qu e
como fazer com os recursos pblicosdisponveis.
O Dever de Planejar
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
30/96
30
Planejar tambm dever jurdico:
Quem no planeja incorre em inobservnciajurdica do disposto no caput do art. 37 daCF/1988, pois age contra o princpio da
eficincia:Art. 37. A administrao pblica direta eindireta de qualquer dos Poderes da Unio,dos Estados, do Distrito Federal e dos
Municpios obedeceraos princpios delegalidade, impessoalidade, moralidade,
publicidade e ef ic inc iae, (...)
O Dever de Planejar
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
31/96
31
Planejar tambm dever jurdico:
Quem no planeja tambm incorre eminobservncia jurdica do disposto no artigo 6,inciso I do Decreto-Lei 200/1967, e ofende,
portanto, o princpio da legalidade:Art. 6 As atividades da Administrao Federalobedecero aos seguintes princpiosfundamentais:I - Planejamento.(...)
O Dever de Planejar
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
32/96
32
Acrdo 669/2008-TCU-Plenrio
9.1. recomendar (...) que:9.1.1. em ateno ao princpio constitucional da
eficincia e s disposies contidas no art. 6, I, do
Decreto-Lei n 200/1967, aperfeioe o processo de
planejamento institucional no Ministrio, de forma aorganizar estratgias, aes, prazos e recursos financeiros,
humanos e materiais, a fim de minimizar a possibilidade
de desperdcio de recursos pblicos e de prejuzo ao
cumprimento dos objetivos institucionais do rgo,observando as prticas contidas no critrio 2 - Estratgias
e Planos do Gespblica (Programa Nacional de Gesto
Pblica e Desburocratizao);
O Dever de Planejar
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
33/96
Nveis de Planejamento
33
Fonte: Guia para Elaborao de PDTI do SISP
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
34/96
Nveis de Planejamento
Segundo o Guia para Elaborao de PDTI do SISP:
Asorganizaes adotam usualmente trs nveis deplanejamento, conforme a hierarquia:Planejam en to Es tratgic o: o nvel estratgico
compreende a al ta adm in is trao da
organizao, responsvel pela definio dosobjetivos e planos da instituio e pela tomadade decises relativas s questes de longoprazo, tais como so brevivncia, cresc imento eefet ividade geral. o processo administrativoque proporciona sustentao para se estabelecera melhor direo a ser seguida pela organizao.
34
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
35/96
Nveis de Planejamento
Planejamen to Ttico
: o planejamento, nonvel ttico, traduz os objetivos gerais e asestratgias da alta administrao emobjetivos e atividades mais especficos. O
principal desafio nesse nvel e promover umcon tato efic ien te e eficaz entre o nvel
es tratgico e o nvel operac io nal.
Portanto, trabalha com decompos io dosob jet ivos , es tratgias e po lticas
estabelecidas no planejamento estratgico.
35
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
36/96
Nveis de Planejamento Planejamento Operacional: nesse planejamento, o
processo de menor amplitude, no qual o foco trabalharjunto aos funcionrios envolvidos nas operaes daorgan izao, im plementando os p lanos especficos
defin idos no p lanejamento ttico. Pode ser consideradocomo a formalizao, principalmente atravs de documentos
escritos, das metodologias de desenvolvimento eimplantao estabelecidas. Portanto, nessa situao tem-se,basicamente, os p lanos de ao ou plano s operacionais,os quais descrevem em detalhes os recurso snecessrios
para seu desenvo lv im ento e implan tao, osproced imentos bsic os a serem adotados; os resul tadosf inais esperados; os prazos estabelecidos; osresponsveispor sua execuo e implantao, etc.
36
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
37/96
Acrdo 1.603/2008-Plenrio
9.4. recomendar ao Min is trio do Planejamento ,
Oramen to e Ges to MPOG que, nosrgos/entidades da Administrao Pblica Federal:9.4.1. promovam aes com o objetivo de disseminara importncia do p lanejam en to es tratgico,
procedendo, inclusive mediante orientaonormativa, aes voltadas implantao e/ouaperfeioamento de p lanejamento estratgicoinst i tuc ional, p lanejamento estr atgico de TI ecomit diretivo de TI, com vistas a propiciar aalocao dos recursos pblicos conforme asnecessidades e prioridades da organizao;
37
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
38/96
Planejamento Estratgico Institucional
Acrdo 1233/2012-TCU-Plenrio
9.1. recomendar, (...), Cmara de Poltic as deGesto, Desempenho e Competit ivid ade
(CGDC) do Conselho de Governo que:9.1.1 em ateno Decreto-Lei 200/1967, art. 6,
inciso I, e art. 7, normatize a obrigatoriedade deque todos os entes sob sua jurisdioes tabeleam processo de planejamento
estratgico in s ti tuc ional, observando as boas
prticas sobre o tema, a exemplo do critrio deavaliao 2 do Gespblica, contemplando, pelomenos (subitem II.1):
38
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
39/96
Planejamento Estratgico Institucional
Acrdo 1233/2012-TCU-Plenrio
9.1.1.1. elaborao, com participao derepresentantes dos diversos setores da organizao,de um documento que materialize o planoest ratgico ins tituc ional de longo prazo,
contemplando, pelo menos, ob jet ivos, ind icadorese metaspara a organizao;
9.1.1.2. apro vao, pela mais alta auto ridade da
organ izao, do plano estratgico institucional;9.1.1.3. desdobramentodo plano estratgico pelasunidades executoras;
39
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
40/96
Planejamento Estratgico Institucional
Acrdo 1233/2012-TCU-Plenrio
9.1.1.4. d ivu lgao do plano estratgicoinstitucional para conhecimento dos cidadosbrasileiros, exceto nos aspectos formalmentedeclarados sigilosos ou restritos;
9.1.1.5. acompanhamento per idico do alcancedas metas estabelecidas, para correo dedesvios;
9.1.1.6. d ivu lgao in terna e ex terna do alcancedas metas, ou dos motivos de no as teralcanado;
40
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
41/96
Planejamento Estratgico Institucional
Acrdo 1233/2012-TCU-Plenrio
9.1.3. em ateno ao Decreto-Lei 200/1967, art.6, V, estabelea, normativamente para todos osentes sob sua jurisdio, a obrigatoriedade de a
alta administrao implantar um a estru tura decontro les internos, mediante a definio deatividades de controle em todos os nveis daorganizao para mit igar os r iscos de suas
at iv idades no processo de planejamentoestratgico ins ti tu c ional(subitem II.11);
41
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
42/96
Planejamento Estratgico InstitucionalAcrdo 3.117/2014-TCU-Plenrio
42
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
43/96
Planejamento Estratgico de TI
Acrdo 1233/2012-TCU-Plenrio
9.1.2. em ateno Decreto-Lei 200/1967, art. 6,inciso I, e art. 7, normatize a obrigatoriedade de
que todos os entes sob sua jurisdio es tabeleamprocess o de p lanejamento est ratgico de TI,
observando as boas prticas sobre o tema, aexemplo do processo PO1 PlanejamentoEstratgico de TIdo Cobit 4.1, contemplando, pelomenos (subitem II.2):
43
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
44/96
Planejamento Estratgico de TI
Acrdo 1233/2012-TCU-Plenrio
9.1.2.1. elaborao, com participao derepresentantes dos diversos setores da organizao,de um documento que materialize o p lano es tratgicode TI, contemplando, pelo menos:
9.1.2.1.1. ob jet ivos, ind icado res e metas para a TIorganizacional, sendo que os objetivos devem estarexplicitamente alinhados aos objetivos de negcioconstantes do plano estratgico institucional;
9.1.2.1.2. alocao de recursos (financeiros, humanos,materiais etc);
9.1.2.1.3. es tratgia de terceir izao;
44
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
45/96
Planejamento Estratgico de TI
Acrdo 1233/2012-TCU-Plenrio
9.1.2.2. apro vao, pela mais alta auto ridade daorgan izao, do plano estratgico de TI;
9.1.2.3. desdobramento do p lano estratgico de TIpelas unidades executoras;
9.1.2.4. d ivu lgaodo plano estratgico de TI paraconhecimento dos cidados brasileiros, exceto nosaspectos formalmente declarados sigilosos ou restritos;
9.1.2.5. acompanhamento per idico do alcance dasmetasestabelecidas, para correo de desvios;9.1.2.6. d ivu lgao in terna e externa do alcance dasmetas, ou os motivos de no as ter alcanado;
45
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
46/96
Planejamento Estratgico de TI
Definir misso
Objetivos, indicadores, metas da TIAlinhamentocom o negcio Iniciativas, estratgias
Estratgia de terceirizaoDesdobramento
Divulgao
Alocao de recursos(financeiros,humanos, materiais)Acompanhamentoperidico
46
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
47/96
Planejamento Estratgico de TI (PETI)Acrdo 3.117/2014-TCU-Plenrio
47
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
48/96
Planejamento Estratgico de TI
48
Fonte: Guia de Elaborao de PDTI do SISP
Estratgico Estratgia de PEI
Negcio
Estratgia Estratgia Estratgia PETI
de TI de RH de ...
Ttico Planejamento Planejamento Planejamento PDTI
Ttico de TI Ttico de RH Ttico de ...
Operacional
P l a n o s de A o
Pl Di t d TI PDTI
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
49/96
49
Plano Diretor de TI PDTI
A IN-4/2014 da SLTI/MP define no art. 2:XXVII Plano Diretor de Tecnologia daInformao (PDTI): inst rumento de
d iagnstico , p lanejamento e ges to dosrecu rsos e processos de Tecnologia da
In fo rmao que visa atender snecessidades tecnolgicas e deinformao de um rgo ou entidade paraum determ inado perodo.
Pl Di t d TI PDTI
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
50/96
Plano Diretor de TI PDTI
Fases do Processo de Elaborao do PDTI:Preparao
Diagnstico
Planejamento
Fonte: Guia de Elaborao de PDTI do SISP
50
Pl Di t d TI PDTI At
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
51/96
Plano Diretor de TI PDTI Atores
Autoridade Mxima, o membro da alta
administrao no nvel hierrquico mais alto daorganizao. Nos ministrios, so os Ministros. Nasautarquias e fundaes, correspondem aosPresidentes. A auto rid ade mxima o prin c ipal
patroc inador do pro jeto de elabo rao de PDTI.Nesse papel, ele dever prover recursos, aprovar oPlano de Trabalho, tomar as decises mais
impo rtantes, def in i r p remissas e d iretr izes gerais,
aprovar e publ icar o PDTI, fo rmal izando -o. O papeldo patrocinador crucial no projeto, e pode fazertoda a diferena em seu sucesso ou fracasso.
51
Pl Di t d TI PDTI At
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
52/96
Plano Diretor de TI PDTI Atores
Comit de TI, um mecanismo importante de
Governana de TI, recomendado por modelos demercado e indicado na EGTI 2011-2012. O Com it fo rmado por representan tes das reas finalstic as e
da TI e tem a funo e o poder de p rio ri zar as aes
e dir ig i r o alinhamento dessas e dos invest imentoscom os ob jet iv os es tratgicos da o rgan izao, alm
de mon i torar os resu l tados do desempenho da TI.
Sobre o Comit de TI, o SISP disponibiliza o Guiaparacriao e funcionamento do Comit de TI, o qual visaorientar a instituio do Comit e seu plenofuncionamento nos rgos integrantes do SISP, alm deesclarecer responsabilidades e funes.
52
Pl Di t d TI PDTI At
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
53/96
Plano Diretor de TI PDTI AtoresEquipede Elaborao do PDTI. Responsvel por executarboa parte da elaborao do PDTI, ou seja, o grupo querealmente efetua as atividades. Recomenda-se que aelaborao do PDTI seja trabalhada como um pro jeto . aequipe de elaborao do PDTI quem operacionaliza o projetode elaborao do PDTI. Os m embros da equ ipe so
desig nados pelo Com it de TI, que deve ind icar servidorestan to das reas finalsticas quan to da rea de TI. Ou seja,refora-se a orientao de que os profissionais que vo
participar da elaborao do PDTI no sejam exclusivamente
servidores da rea de TI. Outra recomendao que a equ ipeno seja tcnica, mas primord ialmente negoc ial, comconhecimento multidisciplinar, perfil colaborativo e integrador,domnio da cultura organizacional e do negcio da sua rea.
53
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
54/96
3.1 Processo de
Planejamento de TI Matriz
54
Processo de Planejamento de TI
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
55/96
Processo de Planejamento de TI
Questo de Auditoria
Existe processo de
Planejamento de TI ?
55
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
56/96
4. Processo de
Contratao de TI
56
Cobit 5 MEA 03 01 Atender aos
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
57/96
57
Cobit 5, MEA 03.01, Atender aosRequisitos legais e regulatrios aplicveis
Modelo deContrataode TI
LC 123/2006
Lei 8.666/1993
Lei 10.520/2002
Decreto7.174/2010
Decreto2.271/1997
E outras fontes
Decises
STJ e STF
Enunciado331 (TST)
AcrdosTCU
IN-4 e IN-2 SLTI/MP
Decreto7.892/2013
C bit 5
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
58/96
58
BAI 03.04 Adquirir componentes da
Soluo: adquirir os componentes dasoluo com base no plano de aquisies emconformidade com os requ is i tos detalhados,
padres de arquitetura, procedimentos,requisitos de controle de qual idadee normasde homologao. Assegu rar que todos os
requ is itos legais e contratuais soident i f icados e seguidos pelo fornecedo r.
www.isaca.org
Cobit 5
Processo de Contratao de TI
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
59/96
Na contratao de bens e servios de TI essencial a
adoo de processo de trabalho formal izado,pad ronizado e jud icio so quanto ao cus to , opor tunidade e aos benefcio s advin dos para a
organ izao. Esse processo melhora o relacionamentocom os fornecedores e prestadores de servios,
maximiza a utilizao dos recursos financeiros alocados rea de TI e contribui decisivamente para que osservios de TI dem o necessrio suporte s aes daorgan izao no alcance de seus objetivos e suas
metas.
(Relatrio do Acrdo 1.603/2008-TCU-Plenrio)
Processo de Contratao de TI
59
A t d t d IN 04/2014 SLTI
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
60/96
60
Antecedentes da IN 04/2014 - SLTI
Estudo desenvolvido pela Segecex/TCU
item 9.7 do Acrdo 1.558/2003-TCU- Plenrio,
QRN Quadro Referencial Normativo
(http://portal2.tcu.gov.br/portal/page/portal/ticontrole/leg
islacao/repositorio_contratacao_ti/ManualOnLine.html)
Srie de Acrdos relativos ao MDIC:
1.094/2004, 667/2005, 2.103/2005, 2.171/2005,2.172/2005, 786/2006, todos do Plenrio.
Hi t i d IN 04/2014 SLTI
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
61/96
61
Histrico da IN 04/2014 - SLTI
Recomendao Secretaria de Logstica e Tecnologia daInformao SLTI: item 9.4 do Acrdo 786/2006-TCU-Plenrio:
(...) a partir das diretrizes expostas na seo III do votoantecedente e nos Acrdos deste Tribunal, sobretudo osde nmero 667/2005, 2.103/2005, 2.171/2005 e
2.172/2005, todos do Plenrio, elabore um modelo delic itao e con tratao de serv ios de in fo rmticapara a Adm in is tr ao Pblica Federal e promova aimplementao dele nos diversos rgos e entidades sobsua coordenao mediante orientao normativa (...)
Monitoramentos no TC 006.030/2007-4 Acrdo 1.480/2007-TCU-Plenrio Acrdo 1.999/2007-TCU-Plenrio
Histrico da IN 04/2014 SLTI
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
62/96
62
Histrico da IN 04/2014 - SLTI
Audincia pblica em abril de 2008;
IN 04/2008 SLTI, de 19 de maio de 2008;Entrou em vigor em 02.01.2009;Acrdo 1.915/2010-Plenrio: ...subsdios
evoluo das normas que regem as contrataes
de bens e servios de tecnologia de informao...Audincia pblica em agosto de 2010; IN 04/2010 SLTI, de 12 de novembro de 2010;Entrou em vigor em 02.01.2011;
Audincia pblica em maio de 2014; IN 04/2014 SLTI, de 11 de setembro de 2014;Entrar em vigor em 02.01.2015
Instrues Normativas
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
63/96
63
A Secretaria de Logstica e Tecnologia da Informao SLTI do Ministrio do Planejamento editou asInstrues Normativas 02/2008 e 04/2008, as quaiscontemplaram a maior parte das recomendaes doTCU quanto implementao do modelo decontratao de solues de TI (Acrdos 786/2006-
TCU-Plenrio, item 9.4, 1480/2007-TCU-Plenrio, item9.1.2.6 e 1999/2007-TCU-Plenrio, item 9.4.1.1).
Acrdo 1.915/2010-Plenrio: 9.1. considerar que aIns truo No rmativ a 04/2008, da Secretaria de
Logstica e Tecnologia da Informao - SLTI/MP,implementa, ainda que parcialmente, mas em suamaior parte, as recomendaes mon ito radas;
Instrues Normativas
Instrues Normativas
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
64/96
64
A IN/SLTI 04/2014 dispe sobre o processo de
contratao de Solues de Tecnologia daInformao pelos rgos integrantes doSistema de Administrao dos Recursos deTecnologia da Informao (SISP) do Poder
Executivo Federal.
A IN/SLTI 02/2008, que substitui a IN/MARE18/1997, dispe sobre regras e diretrizes para a
contratao de servios, continuados ouno. Essa norma aplica-se subsidiariamente IN/SLTI 04/2014 (IN-04/2014, art. 38).
Instrues Normativas
Processo de Contratao de TI 2007/2014
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
65/96
Processo de Contratao de TI 2007/2014
65
Acrdo 3.117/2014-TCU-Plenrio
G i d B P ti
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
66/96
Guia de Boas Prticas em
Contratao de Solues de TI
66
Importnciado planejamento dascontrataes de solues de TI
Contextodo planejamento dascontrataes de solues de TI
Processode planejamento da
contratao de solues de TI
G i d B P ti
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
67/96
Guia de Boas Prticas em
Contratao de Solues de TI
67
Artefatos gerados no processo de
planejamento da contratao de soluesde TI Estudos tcnicos preliminares
Plano de trabalho
Termo de referncia ou projeto bsico
G i d B P ti
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
68/96
Guia de Boas Prticas em
Contratao de Solues de TI
68
Riscos e sugestes de controles
internos relativos ao processo de
planejamento das contrataes como umtodo
Controles internos de carter
estruturantePrincipais falhas encontradas pelo TCU
G ia de Boas Prticas em
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
69/96
Guia de Boas Prticas em
Contratao de Solues de TI
69
Planejamento Institucional
Planejamento de TI
Modelo de Contratao de Solues de TI
Atores do MCTI
Planejamento da Contratao
Seleo do Fornecedor
Gesto do Contrato
Artefatos
Guia de Boas Prticas em
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
70/96
Guia de Boas Prticas em
Contratao de Solues de TI
70
Fases Processos Atividades Artefatos Atores
Planejamento
4
45
7
8
Seleo 18 - 1 5
Gesto 5 21 8 5
Decreto n 7 174/2010
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
71/96
71
Art. 2 A aquisio de bens e servios detecnologia da informao e automaodever ser preced ida da elaborao de
p lanejamen to da contratao, incluindoprojeto bsico ou termo de refernciacontendo as especificaes do objeto a sercontratado...
Decreto n 7.174/2010
Planejamento da Contratao
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
72/96
72
Instruo Normativa - SLTI 04/2014
Art. 4 As con trataes de que trata esta INdevero ser precedidas de planejamento,elaborado em harmonia com o Plano Diretor de
Tecnologia da Informao - PDTI. 1 O PDTI dever es tar al inhado EGTI e aop lano es tratgico ins tit uc ional e aprovado pelo
Com it de Tecno log ia da Info rmao do rgoou entidade.
Planejamento da Contratao
Planejamento da Contratao
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
73/96
73
Instruo Normativa - SLTI 04/2014
Art. 4 (...) 2 Inexist ind o o PDTI, o rgo ou entidadedever proceder sua elab orao, observando,
no que couber, o Guia de Elaborao de PDTI doSISP, acessvel no Portal do SISP.
3 Inex is tindo o p lano estratgicoinst i tuc ional, sua ausnc ia dever ser registrada
no PDTI e dever ser ut i li zado um documentoequivalente, como o Plano Plurianual - PPA.
Planejamento da Contratao
Planejamento da Contratao
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
74/96
74
Instruo Normativa - SLTI 04/2014
Art. 8 As contrataes de Solues deTecnologia da Informao devero seguir trs
fases:I - Planejamen to da Contratao;
II - Seleo do Fo rnecedor; e
III - Ges to do Contrato.
Planejamento da Contratao
Planejamento da Contratao
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
75/96
75
Instruo Normativa - SLTI 04/2014
Art. 9. (...)
2 obrigatr ia a execuo da fase de Plan ejam entoda Contratao, independentemente do tipo decontratao, inclusive nos casos de:
I - inexigibi l idade;II - d is pensa de l ic it ao ou licitao dispensada;
III - criao e adeso Ata de Reg is tro de Preos; e
IV - cont rataes com uso de verbas de organ ismosinternacionais, como Banco Mundial, Banco Internacional
para Reconstruo e Desenvolvimento, e outros.
Planejamento da Contratao
Aplicao da IN - SLTI 04/2014
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
76/96
76
Art. 1 As contrataes de Solues de
Tecnologia da Informao pelos rgos eent idades integrantes do Sistema de
Administrao dos Recursos de Tecnologia daInformao (SISP) sero disciplinadas por estaInstruo Normativa (IN).1 Es ta IN no se ap lica:
I - s con trataes cu ja es tim ativ a de preos
seja infer ior ao dispos to no art. 23, inc iso II,alnea " a" da Lei n 8.666, de 21 de junho de1993;
Aplicao da IN SLTI 04/2014
Aplicao da IN - SLTI 04/2014
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
77/96
77
Art. 1 (...)1 Esta IN no se ap lica:
II - s contrataes dos Serv ios Estratgicos deTecnologia da Informao, que devero observar o Planode Capacidade, conforme disposto no inciso XIV do art. 2desta IN, para con feco do Planejamento daContratao nos termos da Lei, no se aplicando a estes
casos os demais dispositivos desta IN, a exceo dodisposto no 2 deste artigo e do disposto no art. 4 destaIN, em que a contratada seja:a)rgo ou entidade, nos termos do art. 24, incis o XVIda Lei n 8.666, de 1993;b)
Empresa Pblica, nos termos do art. 2 da
Lei n5.615, de 13 de outubro de 1970, modificada pela Lei n12.249, de 11 de junho de 2010; ec) Empresa Pbl ica, nos termos da Lei n 6.125, de 4 denovembro de 1974.
Aplicao da IN SLTI 04/2014
Aplicao da IN - SLTI 04/2014
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
78/96
78
Art. 1 (...)1 Esta IN no se ap lica:III - s contrataes de So lues de Tecno log ia daIn formao que possam comprom eter a segurananacional, em que dever ser observado o disposto noDecreto n 8.135, de 4 de novembro de 2013, e suasregulamentaes especficas. 2 O art . 4 desta IN dever ser sempre observado,mesmo nos casos enquadrados nos pargrafos anterioresdeste artigo. 3 Os rgos e entidades integrantes do SISP devero
observar, no que couber, os dispositivos introduzidos poresta IN, sendo-lhes perm itida harmonizao paramelhor adequao sua estr u tu ra func ional, conformedisposto no art. 115 da Lei n 8.666, de 1993.
Aplicao da IN SLTI 04/2014
Aplicao da IN - SLTI 04/2014
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
79/96
79
Questionamentos:
Neste caso, o que realmente significa no seaplica?
A IN-04/2014 trouxe novidades ou
simplesmente consolidou o que j existia?Quais so os dispositivosda IN-04/2014 que
esto previstos na Constituio, na Leiou emDecretos? E ajurisprudncia?
Como feita a fiscalizao do TCU e dosoutros rgos de controle?
Aplicao da IN SLTI 04/2014
Aplicao da IN - SLTI 04/2014
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
80/96
80
Concluses
Deve-se utilizar o princpio da precauo;
Se h necessidade de simplificar oprocesso de contratao devem ser buscados
outros meios;A contratao de empresas pblicas de TI
por dispensa de licitao no permite aosrgos e entidades deixar de seguir o restanteda legislao.
Aplicao da IN SLTI 04/2014
Planejamento da Contratao
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
81/96
81
Planejamento da ContrataoA IN-04/2014 da SLTI/MP estabelece:Art. 9 A fase de Planejamento da Contratao
consiste nas seguintes etapas:I - Ins ti tu io da Equ ipe de Planejamento da
Contratao;
II - Es tudo Tcnic o Prel im in ar da Contratao;III - Anlis e de Riscos ; eIV - Term o de Referncia ou Pro jeto Bsico. 1 Os documentos resultantes das etapas
elencadas nos incisos II e III deste artigo poderoser consol idados em um nico documento, acritrio da Equipe de Planejamento da Contratao.
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
82/96
4.1 Processo de
Contratao de TI Matriz
82
Processo de Contratao de TI
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
83/96
Questo de Auditoria
Existe processo para
aquisio de solues de TI ?
83
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
84/96
5. Segurana da
Informao
84
Segurana da Informao
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
85/96
85
Segurana da Informao
NBR ISO/IEC 27002
(Cdigo de prtica de segurana da informao)
Especial ateno para:
rea com competncia definida para gesto
da Segurana da Informao (GSI);
Poltica de Segurana da Informao (PSI);
Norma de Classificao da Informao (NCI);
Poltica de Controle de Acesso (PCA);
Gesto de Continuidade de Negcios (GCN).
Segurana da Informao
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
86/96
86
g
Legislao e Normas
Lei n 12.527/2011 (Transparncia e acesso ainformaes de interesse pblico);
Decreto n 3.505/2000 (PSI);
Decreto n 7.845/2012 (Classificao dasInformaes)
IN-01 GSI/PR de 13.06.2008 (PSI e GSI);
20 Notas Complementares IN-01 GSI/PR de2008 a 2014 e mais duas INs.
Segurana da Informao
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
87/96
87
g
Jurisprudncia e Boas Prticas
Acrdo n 1.603/2008-TCU-Plenrio;Acrdo n 1.092/2007-TCU-Plenrio (PSI, PCA,
Classificao da Informao, GSI e PCN);
Acrdo n 2.023/2005-TCU-Plenrio (PSI, PCA,Classificao da Informao e GSI);
Acrdo n 71/2007-TCU-Plenrio (PSI, PCA e GSI);
Cobit 5, APO13.02 Definir e Gerir um Plano deTratamento aos Riscos de Segurana daInformao.
Segurana da Informao
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
88/96
Acrdo 3.117/2014-TCU-Plenrio
88
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
89/96
5.1 Segurana da
Informao Matriz
89
Segurana da Informao
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
90/96
Questo de Auditoria
realizada a Gesto da
Segurana da Informao ?
90
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
91/96
6. Concluso
91
Alta Dependncia de TI
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
92/96
Alta Dependncia de TI
92
Preocupaes e Riscos
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
93/96
Preocupaes e Riscos
93
iGovTI-2014 x Oramento de TI 2014
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
94/96
94
10.000,00
100.000,00
1.000.000,00
10.000.000,00
100.000.000,00
1.000.000.000,00
10.000.000.000,00
0,00 0,10 0,20 0,30 0,40 0,50 0,60 0,70 0,80 0,90 1,00
Oramentod
eTI2014
iGovTI2014
iGovTI 2014 x Oramento de TI 2014
Papel do Controle
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
95/96
Induo
Do que?
Para onde?
95
Papel do Controle
-
7/26/2019 Andr Luiz Pacheco - Auditoria de TI
96/96