Universidade em atendimento às exigências dos órgãos de controle interno e externo no que concerne à Governança e Gestão de Tecnologia da Informação. (1º Etapa)
• Constatação 01
Da avaliação empreendida, nos moldes da última versão do questionário do Levantamento de Governança em TI do TCU (2012), verificou-se que a pontuação obtida no eixo “Processos” foi 0,16 em uma escala de 0 a 1. Desta forma, evidencia-se
a incipiência de processos e controles de gestão dos serviços de TI. Dentre as fragilidades detectadas ressaltamos as ocorrências a seguir:
- A STI não implantou nenhum processo de gestão de serviços de TI em conformidade com as recomendações do TCU e dos modelos de boas práticas em gerenciamento de TIC, tais como CobiT e ITIL, o que ilustra o caráter reativo e não padronizado da área de TI da UFC;
- A STI não detém de um catálogo formal dos serviços de TI oferecidos aos clientes;
- Quanto à Gestão da Segurança da Informação, a STI não realiza levantamento dos riscos aos quais as informações estão submetidas, classificação das informações (críticas, públicas, sigilosas, etc.), inventário dos ativos de informação (dados, hardware, software e instalações). Além disso, não existe uma unidade ou pessoa específica designada formalmente para gerenciar a segurança da informação e comunicação no âmbito da UFC. Em junho de 2013 foi instituído Comitê de Segurança da Informação e Comunicação, no entanto, até o presente momento têm-se evidenciado a baixa representatividade desse Comitê que até então não propôs nenhuma medida para a aprovação do CATI.
- Não existe a adoção de nenhum processo de software, seja interno ou de mercado, no âmbito da Divisão de Sistemas de Informação – DSI da STI, dessa forma a própria STI classifica seu processo de software como ad hoc e sem adoção de conceitos de qualidade.
- A UFC ainda não formalizou processo interno de contratação de soluções de TIC, em atendimento à Instrução Normativa SLTI/MPOG nº 04/2010.
- A STI não pratica gerenciamento de projetos, não adotando nenhum padrão, seja interno ou de mercado, capaz de estipular e coordenar as atividades a serem realizadas, atendendo a prazos, economizando recursos, reduzindo riscos e garantindo o nível de qualidade requerido para a solução em desenvolvimento. A adoção de práticas de gerenciamento de projetos é essencial para garantir o desenvolvimento de soluções que atendam efetivamente o negócio e garantam a melhoria tecnológica dentro da instituição.
Diante da situação encontrada a Auditoria Interna realizou ação paralela de avaliação dos processos de TI, segundo o modelo CobiT®, afim de verificar a adoção de práticas de governança e gerenciamento de processos não contempladas no questionário do TCU. Como o modelo é muito extenso e seria inviável analisar todos os processos em um único trabalho, optou-se por avaliar, neste exercício, apenas os processos estratégicos e táticos do domínio “Planejar e Organizar”. Para mais detalhes ver a 2º etapa da execução da ação.
2.3.6. Avaliação e acompanhamento das ações desenvolvidas na
Universidade em atendimento às exigências dos órgãos de controle interno e externo no que concerne à Governança e Gestão de Tecnologia da Informação – Avaliação dos processos estratégicos e táticos de TI com base no domínio “PO - Planejar e Organizar” do modelo CobiT 4.1. (2º Etapa)
• Constatação 01 (Relatório de Auditoria Interna S/N, de 26/09/2013, e Recomendação 002/2014):
Ao término da avaliação dos 10 (dez) processos estratégicos e táticos de TI analisados, a saber: “PO1 - Definir um Plano Estratégico de TI”, “PO2 - Definir a Arquitetura da Informação”, “PO3 - Determinar as Diretrizes Tecnológicas”, “PO4 -
Definir os Processos, a Organização e os Relacionamentos de TI”, “PO5 - Gerenciar o Investimento de TI”, “PO6 - Comunicar Metas e Diretrizes Gerenciais”, “PO7 - Gerenciar os Recursos Humanos de TI”, “PO8 - Gerenciar a Qualidade”, “PO9 - Gerenciar os Riscos de TI” e “PO10 - Gerenciar Projetos”, o resultado obtido foi:
- 50% dos processos no nível 01 (processo iniciado, mas muito incipiente); - 40% dos processos no nível 02 (processo não formalizado, intuitivo ou
incompleto); e
- 10% dos processos no nível 03 (processo definido e formalizado).
Apenas o processo “PO2 – Arquitetura da Informação” apresentou um nível satisfatório (processo definido). Entretanto, é importante ressaltar que o reconhecimento da necessidade de implementar um determinado processo (situação que pode ser verificada nos processos de nível 01) já aponta os esforços da STI em atingir um nível adequado de governança de TI. Nesses tópicos, foram colhidas informações sobre reuniões com a alta administração, designação de grupos de trabalho para implantação, capacitação de servidores, minutas de planos que prevêem a reestruturação do organograma e atribuição de responsabilidades, dentre outras ações que caracterizassem o intuito da instituição em desenvolver estas atividades em curto ou médio prazo.
Os tópicos classificados como nível 02 apresentaram as seguintes situações: processos em fase adiantada de implantação; processos de efeito reativo (não são executados regularmente, apenas de acordo com a necessidade); e processos culturalmente instituídos, mas que ainda não foram formalizados.
A instituição estabeleceu, no Plano Diretor de Tecnologia da Informação (PDTI 2013-2017), metas e ações para que nos próximos quatro anos os dez processos estejam, pelo menos, no nível 03.
Recomendação:
Tendo em vista a recém aprovação do PDTI 2013-2017 pelo Conselho Universitário, em 31/10/2013, o qual contempla metas e ações de adequação dos processos avaliados até 2017, a Auditoria Interna recomendou a elaboração de um programa, a ser executado em 2014, para desdobramento parcial dessas ações, a fim de efetivar a sua execução.
Manifestação do Setor:
Os esclarecimentos solicitados estão em fase de conclusão devido a trâmite interno no setor responsável.
Análise da Auditoria Interna:
Aguardando manifestação do setor.
Status: Pendente
3 - GESTÃO PATRIMONIAL 3.1. Papéis de Trabalho:
Solicitações de Auditoria / Ofícios Internos / Checklists