Processo



|Processo : 828.786-5/2016 |

|Origem : TRIBUNAL DE CONTAS DO ESTADO DO RIO DE JANEIRO |

|Setor : |

|Natureza : RELATÓRIO DE AUDITORIA GOVERNAMENTAL - LEVANTAMENTO - ORDINÁRIA |

|Interessado : CTO-COORD AUDIT TEMATICAS E OPERACIONAIS |

|Observação : AUDITORIA GOVERNAMENTAL LEVANTAMENTO ORDINÁRIA REALIZADA NOS MUNICÍPIOS JURISDICIONADOS EM CUMPRIMENTO PAAG/2016 Nº |

|303.072-6/15 , FISCALIZAÇÃO N.º 485/2016, P/ REALIZAR DIAGNÓSTICO ACERCA DA GOVERNANÇA DE TI NAS PREFEITURAS MUNICIPAIS |

Levantamento em Tecnologia da Informação

Governança de TI na Administração Municipal

Equipe:

• Alberto de Fontes Tavares Neto, mat. 02/4260

• Gustavo Bastos Monteiro, mat. 02/3706

Sumário

1 – RESUMO 3

2 – INTRODUÇÃO 5

2.1 – Planejamento da Auditoria 5

2.2 – Metodologia 6

2.3 – Limitações da Auditoria 8

3 – GOVERNANÇA DE TI 10

4 – INDICADOR DE GOVERNANÇA DE TI 11

5 – RESULTADOS 13

5.1 – Dimensão Liderança da alta administração 13

5.2 – Dimensão Estratégia e Planos 21

5.3 – Dimensão Informações 25

5.4 – Dimensão Pessoas 28

5.5 – Dimensão Processos 30

5.6 – Dimensão Resultados de TI 37

5.7 – Resultados do Indicador de Governança de TI 41

6 – CONCLUSÃO 53

7 – PROPOSTA DE ENCAMINHAMENTO 56

7.1 – Comunicação 56

Anexo A – Questionário 60

Anexo B – Fórmula de Cálculo do iGovTI 84

1 – RESUMO

O presente levantamento na área de Tecnologia da Informação (TI) teve como objetivo realizar um diagnóstico de governança de TI nos municípios do estado do Rio de Janeiro, jurisdicionados a esta Corte de Contas, de forma a subsidiar as ações de fiscalização do TCE-RJ nessa área e orientar as administrações municipais quanto a ações que conduzam ao incremento dos níveis de governança de TI observados.

A estratégia metodológica adotada para realizar o levantamento foi a aplicação de questionário estruturado que aborda práticas de governança e de gestão de TI previstas em leis, regulamentos, normas técnicas e modelos internacionais de boas práticas.

Os dados recebidos por meio do questionário possibilitaram a construção de um indicador de governança de TI por município e a interpretação dos resultados segundo as seis dimensões de análise utilizadas: liderança da alta administração, estratégias e planos, pessoas, processos, informações e resultados de TI.

A disponibilização do questionário se deu por meio de página na internet, fornecida aos municípios que responderam ao ofício de solicitação de informações. As respostas fornecidas por meio da página alimentaram uma base de dados a partir da qual foi gerado o indicador de governança de TI. Tal enfoque automatizado propiciou um ganho de eficiência ao trabalho de auditoria.

Dos 91 municípios jurisdicionados, 72 responderam ao questionário, constituindo o universo amostral da análise realizada no presente trabalho.

Os resultados obtidos evidenciaram que o conceito de governança de TI ainda não é muito difundido nas administrações municipais, em função de diversas deficiências reveladas no presente levantamento. Tais deficiências demonstram uma situação preocupante em todas as dimensões analisadas, com maior gravidade nas dimensões “liderança da alta administração” e “estratégias e planos”.

Dentre as diversas deficiências relativas à gestão e à governança de TI identificadas, destacam-se a inexistência de comitê de direção estratégica e comitê de TI na maioria das prefeituras, ausência de gestão de riscos de TI, adoção incipiente de política de desenvolvimento de competências e retenção de pessoal de TI, baixo percentual de adoção de diretrizes formais para contratação de bens e serviços de TI, plano estratégico institucional e processo de planejamento de TI formalmente instituído por poucas prefeituras, baixa transparência na divulgação dos planos e serviços de TI na internet e metas discretas para ampliação dos serviços digitais.

Quanto ao indicador proposto de governança de TI (iGovTI), que assume valores entre 0 e 1, verificou-se uma maior concentração de prefeituras municipais no nível inicial de governança de TI, com cerca de 82% das prefeituras auditadas nessa faixa de valores entre 0 e 0,29.

Desta forma, constata-se a existência de um vasto campo para a atuação desta Corte de Contas como indutora do amadurecimento em governança de TI na esfera municipal de governo.

2 – INTRODUÇÃO

O presente Levantamento realizado nas prefeituras jurisdicionadas do estado do Rio de Janeiro dá continuidade aos trabalhos de fiscalização em Tecnologia da Informação (TI) desenvolvidos pela Coordenadoria de Auditorias Temáticas e Operacionais (CTO). A CTO possui a atribuição de realizar auditorias na área de TI em função do Ato Normativo nº143, de 15.09.14.

Este trabalho encontra-se previsto também no Plano Setorial da CTO para o presente exercício, integrante do Plano Anual de Auditoria Governamental do TCE-RJ (PAAG), fiscalização n.º 485/2016, planejamento constante do Processo TCE-RJ nº 303.072-6/15.

2.1 – Planejamento da Auditoria

A seleção do presente levantamento e sua inclusão no PAAG do exercício de 2016 se deram em função da necessidade desta Coordenadoria de obter informações que subsidiem a realização de auditorias de Tecnologia da Informação na área de governança de TI e para dar prosseguimento a trabalho anterior de Levantamento em governança de TI realizado na esfera municipal no exercício de 2013 (processo TCE-RJ n.º 238.182-1/13).

Constituiu-se Equipe de Auditoria composta de dois servidores desta Coordenadoria com vistas à execução dos trabalhos, cujo escopo abrangeu a verificação do grau de governança de TI das prefeituras municipais, fazendo uso de um indicador para tal fim.

A determinação do escopo do Levantamento se deu em trabalho de planejamento realizado pela equipe, no qual se buscou coletar informações preliminares acerca das administrações municipais e de governança de TI na administração pública, relativas às áreas de interesse do presente trabalho. Deste planejamento foram gerados instrumentos de apoio à auditoria, como a matriz de planejamento, que objetiva subsidiar e nortear a execução das atividades, e o questionário a ser aplicado nas prefeituras.

A matriz de planejamento proposta, aprovada pelo Coordenador da CTO, encontra-se anexa ao processo relativo ao presente relatório (arquivo matriz_de_planejamento_gov_TI_municipal.pdf). Em função do instrumento de auditoria utilizado, a equipe definiu o seguinte objetivo do trabalho que fundamenta a execução das atividades:

• Realizar diagnóstico da situação de governança de TI nas prefeituras jurisdicionadas, visando a subsidiar as ações de fiscalização do TCE-RJ na área municipal e orientar os jurisdicionados quanto a ações que conduzam ao incremento dos níveis de governança de TI observados.

O objetivo do presente levantamento é atingido por meio da resposta à Questão de Auditoria formulada na matriz de planejamento:

1) Quais os níveis de governança de TI existentes nas Prefeituras Municipais do ERJ?

A questão supracitada foi subdividida em subquestões de auditoria constantes da matriz de planejamento aprovada, correspondentes às seis dimensões de análise abrangidas no questionário aplicado aos jurisdicionados:

• liderança da alta administração;

• estratégias e planos;

• informações;

• pessoas;

• processos; e

• resultados de TI.

2.2 – Metodologia

Considerando o objetivo definido para o trabalho e a sua natureza informacional, a equipe de auditoria adotou estratégia metodológica na qual se destaca a aplicação de questionário estruturado com vistas à obtenção de informações sobre governança de TI na administração municipal.

A elaboração do questionário de governança de TI pela equipe de auditoria teve por base o questionário utilizado pelo Tribunal de Contas da União (TCU) por ocasião da realização de trabalho semelhante na esfera de atuação daquele órgão no exercício de 2014 (processo TC nº 003.732/2014-2), que teve como Ministro-Relator o Exmo. Sr. Augusto Sherman Cavalcanti e os ajustes contemplados na minuta do questionário referente ao Perfil GovTI 2016[1].

A utilização do supracitado questionário do TCU como base para a elaboração do instrumento empregado no presente trabalho se deve ao fato de ser tecnicamente desejável a comparação dos níveis de governança de TI encontrados na administração municipal com aqueles observados nos órgãos da esfera federal.

Buscou-se, para tal fim, a construção de um indicador de governança de TI, o iGovTI (Indicador de Governança de TI), que permite tal cotejamento e fundamenta o presente e os futuros trabalhos nesta área de governança. Com as informações obtidas, torna-se possível a identificação de órgãos jurisdicionados onde há maior criticidade na governança de TI, fato que melhor direciona e orienta as fiscalizações do TCE-RJ nesse segmento de atuação.

Este levantamento possui caráter estruturante, uma vez que se planeja estender a presente metodologia para futuros trabalhos, que deverão ser realizados na esfera municipal por esta Coordenadoria, e a utilização dos resultados obtidos no planejamento setorial das auditorias na área de TI.

O questionário aplicado pela Equipe de Auditoria é baseado em uma série de normas técnicas e legislações da área de TI, dentre as quais se destacam: normas técnicas brasileiras sobre governança (ABNT NBR ISO/IEC 38.500:2009); segurança da informação (ABNT NBR ISO/IEC 27.002:2005); gerenciamento de serviços (ABNT NBR ISO 2000-2:2013); gestão de riscos de segurança da informação (ABNT NBR ISO/IEC 27005:2011); gestão de riscos, princípios e diretrizes (ABNT NBR ISO 31000:2009); Lei de acesso a informações (Lei n.º12.527/2011); Política Nacional de Desenvolvimento de Pessoal (Decreto n.º 5.707, de 23.02.06); ITIL 3 - Information Technology Infrastructure Library, framework[2] para gerenciamento de serviços de TI e Cobit 5 - Control Objectives for Information and Related Technology 5, framework utilizado na área de TI para governança e gestão.

O instrumento utilizado se fundamenta também em seis dimensões do programa nacional de gestão pública e desburocratização (Gespública), programa federal estabelecido pelo Decreto nº 5.378, de 23.02.05, quais sejam: liderança, estratégias e planos, informações, pessoas, processos e resultados de TI, de um total de oito dimensões existentes no referido programa.

O questionário aplicado nas prefeituras foi encaminhado aos jurisdicionados juntamente com as instruções de preenchimento, constantes do Apêndice A (fls. 62/85), tendo sido disponibilizados também contatos telefônicos e endereço de correio eletrônico para que os gestores pudessem dirimir possíveis dúvidas.

Dos 91 municípios jurisdicionados ao TCE-RJ e convocados a participar do levantamento, um município (Comendador Levy Gasparian) comunicou a pessoa que iria preencher o questionário sem, contudo, efetivamente responder o questionário. Três municípios (Cardoso Moreira, Iguaba Grande e Macaé) preencheram o questionário de forma parcial, de modo que suas respostas não puderem ser contabilizadas e quinze municípios não chegaram a informar o responsável pelo preenchimento do questionário, conforme solicitado (Aperibé, Arraial do Cabo, Belford Roxo, Cabo Frio, Carapebus, Cordeiro, Duas Barras, Itaboraí, Itaocara, Miracema, Nilópolis, Paraíba do Sul, Quissamã, São João de Meriti e Varre-Sai).

Os demais 72 municípios responderam efetivamente ao levantamento, o que possibilitou o pleno atendimento dos objetivos deste trabalho.

Os municípios não respondentes responderão, em processos apartados, pela sonegação de documentos e informações em trabalho de auditoria, cabendo a aplicação do disposto na Lei Complementar nº 63/90, art. 63, incisos V e VI c/c §§1º e 2º do art. 40 do mesmo diploma legal.

Ademais, esses 19 municípios irão alimentar as matrizes de risco que subsidiam a seleção de trabalhos futuros desta Coordenadoria como municípios com alto risco na gestão dos recursos na área de TI.

Os cálculos utilizados na construção do indicador de governança de TI (iGovTI) estão explicitados no Apêndice B (fls. 86/88), tendo sido preservadas suas principais características, em relação ao questionário original do TCU e ao questionário utilizado por esta Corte na esfera estadual, de forma a permitir o cotejamento do presente trabalho com os resultados obtidos nos levantamentos realizados pelo TCU em 2014 e 2016, assim como no levantamento realizado pelo TCE-RJ em órgãos da administração estadual neste exercício (2016).

As análises das informações obtidas e os resultados do presente trabalho serão encaminhados aos órgãos jurisdicionados, direcionados à alta administração, ao controle interno e aos gestores de TI, onde couber, constituindo, caso bem aproveitados, em valiosos insumos para o aprimoramento da governança de TI das prefeituras auditadas.

2.3 – Limitações da Auditoria

Das 91 prefeituras auditadas neste levantamento, houve 72 respondentes efetivos, os quais se tornaram o universo amostral da presente auditoria.

Neste trabalho, não foi exigida a apresentação de evidências relacionadas às respostas informadas. Deste modo, as informações obtidas possuem caráter declaratório, havendo tendência de que os quantitativos reais dos problemas encontrados sejam ainda maiores. Para mitigar essa limitação foi solicitado aos jurisdicionados que as evidências documentais que suportam as respostas dadas fossem reunidas e mantidas à disposição do TCE-RJ para futura verificação.

É válido destacar que tais limitações não chegaram a impedir o pleno atingimento do objetivo proposto neste trabalho.

3 – GOVERNANÇA DE TI

Para abordar o tema governança de TI, é preciso aclarar o termo Governança Corporativa, cujo conceito ainda não está completamente disseminado na esfera da administração pública.

De acordo com o Instituto Brasileiro de Governança Corporativa (IBGC), governança corporativa é definida da seguinte maneira:

Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, Conselho de Administração, Diretoria e órgãos de controle. As boas práticas de Governança Corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso a recursos e contribuindo para a sua longevidade (IBGC, 2009, p. 19).

Já a norma ABNT NBR ISO/IEC 38.500:2009 trata a governança como sendo “o sistema pelo qual as organizações são dirigidas e controladas” (ABNT, 2009, item 1.6.2).

A governança de TI é um importante aspecto da governança corporativa, dado o cunho estratégico que a área de tecnologia da informação assumiu nas organizações, tanto na esfera pública quanto no setor privado.

A governança de TI é o “sistema pelo qual o uso atual e futuro da TI é dirigido e controlado” (ABNT, 2009, item 1.6.3). Tal governança objetiva fazer com que o setor de tecnologia da informação da organização suporte e agregue valor ao negócio, buscando também que os riscos no uso da TI sejam conhecidos e aceitáveis.

A governança de TI é responsabilidade da alta administração, cabendo a esta o direcionamento da gestão de TI, visando tanto o atingimento dos objetivos institucionais quanto seu alinhamento com as estratégias organizacionais estabelecidas. Tal entendimento é corroborado pelo Instituto de Governança de Tecnologia da Informação (ITGI), o qual conceitua a governança de TI como sendo:

(...) responsabilidade dos executivos e da alta administração, consistindo em aspectos de liderança, estrutura organizacional, e processos que garantam que a área de TI suporte e aprimore o objetivo e as estratégias da organização.

Por todo o exposto, considerando a governança de TI como aspecto fundamental e imprescindível para que os órgãos jurisdicionados do TCE-RJ sejam eficazes e eficientes no exercício de suas funções, esta Coordenadoria, de acordo com as atribuições previstas no Ato Normativo n.º 143, de 15.09.2014, definiu como uma de suas linhas de atuação a verificação da governança de TI, sendo o presente levantamento o aperfeiçoamento da auditoria de levantamento realizada em 2013 (processo TCE-RJ n.º 238.182-1/2013).

A presente auditoria apresenta um caráter estruturante, uma vez que seus resultados servirão de base para a seleção de futuros trabalhos a serem realizados pelo TCE-RJ na fiscalização do emprego da tecnologia da informação pelos municípios do ERJ.

4 – INDICADOR DE GOVERNANÇA DE TI

O objetivo do presente levantamento foi o de realizar um diagnóstico da situação de governança de TI na administração pública municipal do ERJ, atualizando o panorama traçado em 2013 (Processo TCE-RJ n.º 238.182-1/2013). Para tal fim, foi criado o indicador de Governança de TI (iGovTI), que busca refletir a situação geral de cada organização avaliada e, assim, incentivar o estabelecimento e o aprimoramento da governança de TI na administração municipal, bem como subsidiar futuras ações de fiscalização do TCE-RJ na área.

O indicador iGovTI foi construído com base no indicador utilizado pelo TCU em trabalho semelhante realizado no presente exercício por este órgão de controle na esfera federal. Este indicador também foi base para trabalho análogo realizado por esta Coordenadoria na esfera estadual (Processo TCE-RJ n.º 108.938-5/16).

O iGovTI permite o cotejamento dos níveis de governança de TI encontrados na administração municipal com aqueles observados nos órgãos da esfera federal e estadual, fundamentando o presente e os futuros trabalhos desta Coordenadoria na área de governança de TI.

O questionário, que orientou a elaboração do índice, baseou-se em seis dimensões: liderança, estratégias e planos, pessoas, informações, processos e resultados de TI. A situação da governança de TI nas prefeituras auditadas foi avaliada segundo cada uma dessas dimensões e, em seguida, foi realizada uma análise geral utilizando-se o iGovTI.

O questionário atual apresenta diferenças significativas em relação àquele utilizado em 2013. A principal é a mudança na escala de resposta, que antes era binária (sim ou não) e passou a ter cinco graduações de resposta, relativas ao nível de adoção da prática: não se aplica, não adota, iniciou plano para adotar, adota de forma parcial e adota de forma integral. Outra diferença foi a inclusão da dimensão “informações”, que analisa práticas relacionadas à transparência, e da dimensão “resultados de TI”, que aborda questões relativas ao uso e gestão da TI.

O indicador iGovTI possui valores possíveis entre 0 e 1 e segue a classificação dos níveis de governança proposta pelo TCU (Processo TC nº 003.732/2014-2), a fim de permitir cotejamento dos resultados obtidos, consideram-se os seguintes intervalos para o referido indicador:

• O intervalo entre 0 e 0,29 representa nível inicial de governança de TI;

• O intervalo entre 0,30 e 0,49 denota um nível básico de governança de TI;

• O intervalo entre 0,50 e 0,69 representa um nível intermediário de governança de TI;

• O intervalo entre 0,70 e 1 expressa um nível de governança de TI aprimorado.

Os pesos utilizados para as dimensões “liderança”, “estratégia e planos”, “informações”, “pessoas”, “processos” e “resultados de TI” no cálculo do indicador são, respectivamente, 21, 16, 16, 16, 19 e 12.

A verificação de cada aspecto de governança de TI, constante do referido questionário, pode ser realizada individualmente por cada órgão auditado utilizando-se da planilha de cálculo de indicador de governança, a qual encontra-se no Apêndice B (fls. 86/88).

A contabilização dos resultados foi realizada com base no quantitativo de órgãos que apresentam determinada característica de interesse para a governança de TI, considerando o universo total auditado de 72 prefeituras municipais.

5 – RESULTADOS

Os resultados do levantamento serão apresentados seguindo as dimensões que compõem o questionário e, por conseguinte, o indicador iGovTI: liderança da alta administração, estratégia e planos, informações, pessoas, processos e resultados de TI.

5.1 – Dimensão Liderança da alta administração

Essa dimensão aborda os elementos centrais de governança corporativa e de TI no que se refere ao papel fundamental da alta administração nesses sistemas que dirigem e controlam a organização e a TI. As questões apresentadas se relacionam com os assuntos elencados a seguir:

- Sistema de governança corporativa (questão 1.1);

- Sistema de governança de TI (questão 1.2);

- Entrega de resultados pela TI (questão 1.3);

- Riscos de TI (questão 1.4);

- Pessoal de TI (questão 1.5);

- Monitoramento da governança e gestão da TI (questão 1.6); e

- Auditoria interna em relação a TI (questão 1.7).

Segundo o IBGC, o sistema de governança corporativa compreende os aspectos pelos quais as organizações são dirigidas, monitoradas e incentivadas. As boas práticas de governança corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização.

Com relação à questão Sistema de governança corporativa, o agrupamento das respostas obtidas quanto às práticas elencadas originou o seguinte gráfico:

[pic]

Fonte: Elaboração própria da equipe.

No que tange à definição e comunicação formal dos papéis e responsabilidades para a governança corporativa (item 1.1.a), somente 27% dos órgãos declararam realizar a prática, sendo que destes apenas 11% o fazem de modo integral. A definição formal de tais papéis e responsabilidades é uma importante prática para minimizar o conflito de interesses, possibilitando o balanceamento de poder e a segregação de funções críticas.

Quanto à existência de um comitê de direção estratégica, formalmente instituído, para auxiliar nas decisões referentes às diretrizes, estratégias e políticas do órgão e no acompanhamento da gestão institucional, 14% dos entrevistados informaram dispor de tal comitê, dos quais 4% mencionaram adotar a prática de modo integral.

Em relação à organização possuir um código de ética formalmente instituído, além de divulgar e monitorar o seu cumprimento, somente 17% das organizações informaram adotar a prática. A adoção do código de ética é uma importante prática para o estabelecimento dos princípios éticos e comportamentais a serem seguidos pelos membros dos conselhos e pelos gestores da organização.

Verifica-se que somente 14% dos órgãos informaram dispor de uma política corporativa de gestão de riscos formalmente instituída. Ou seja, a grande maioria das organizações não possui instrumento que estabeleça os princípios e responsabilidades relacionados com o processo de gestão de riscos organizacionais.

Também é reduzido o número de organizações (13% do total) que afirmou dispor de uma política corporativa formal de gestão de continuidade de negócio. Tal dado é preocupante uma vez que essa prática visa a prover o direcionamento estratégico para assegurar a continuidade das operações nas situações de crise, emergência ou desastre.

Um dos aspectos importantes da governança corporativa é a governança de TI, dado o cunho estratégico do papel que a área de tecnologia da informação assumiu nas organizações, tanto no setor privado quanto no setor público.

Quanto à questão “Sistema de governança de TI”, um resumo das repostas dadas pelos municípios auditados é apresentado a seguir:

[pic] Fonte: Elaboração própria da equipe.

Apenas um quinto dos órgãos auditados (20%) declarou definir e comunicar formalmente os papéis e responsabilidades mais relevantes para a governança e gestão de TI, sendo que 4% adotam a prática de forma integral. A definição e comunicação formal dos papéis e responsabilidades são de vital importância para o bom funcionamento da governança de TI.

Somente 10% dos órgãos informaram possuir um comitê de TI formalmente instituído, composto de representantes das áreas relevantes da organização. O baixo grau de adesão à prática é alarmante, uma vez que tal órgão colegiado, composto por membros das áreas finalísticas e da área de TI, é a principal estrutura organizacional responsável pelo alinhamento entre a formulação e a implementação das estratégias e planos de TI com os objetivos da organização.

Dentre outras importantes atividades, cabe ao comitê de TI (ITGI, 2007) determinar prioridades dos programas de investimentos em TI em linha com as estratégias e prioridades do negócio, monitorar o estado atual dos projetos, resolver conflitos de recursos e monitorar os níveis de serviço e suas melhorias.

A consolidação das respostas referentes à questão “entrega de resultados da TI” gerou o seguinte gráfico:

[pic]

Fonte: Elaboração própria da equipe.

Quanto à definição formal de diretrizes para o planejamento de TI, 21% dos órgãos alegaram realizar tal prática de forma parcial, sendo que nenhum município realiza de forma integral. Um terço dos municípios afirmou que define formalmente as diretrizes para contratação de bens e serviços de TI, sendo que apenas 10% realizam de maneira integral.

Com relação à definição formal de diretrizes para a avaliação do desempenho dos serviços de TI, apenas 20% informaram realizar tal prática.

A respeito da definição formal de diretrizes para comunicação com as partes interessadas sobre os resultados do uso e da gestão da TI, contemplando o meio de divulgação, o conteúdo, a frequência e o formato das comunicações, 16% das organizações informaram adotar tal prática de forma parcial e 4% registraram adotá-la de forma integral.

O baixo percentual de atendimento verificado nos itens denotam a falta de orientação e liderança dos dirigentes dos municípios em assegurar que os ativos de TI (sistemas e infraestrutura) sejam adquiridos de forma apropriada, em afronta a princípios constantes da norma ABNT NBR ISSO/IEC 38500:2009 – Governança corporativa de tecnologia da informação.

Segundo a norma ABNT NBR ISSO 31000:2009, que versa sobre gestão de riscos: princípios e diretrizes, risco é o efeito da incerteza acerca do atingimento dos objetivos das organizações, gerada por fatores internos e externos. Já a gestão de riscos se refere ao emprego de atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos.

Em relação à atuação da alta administração quanto aos riscos de TI, os resultados apurados se refletem no gráfico a seguir.

[pic]

Fonte: Elaboração própria da equipe.

Constata-se que somente 7% das prefeituras declararam definir formalmente as diretrizes para gestão dos riscos de TI aos quais o negócio está exposto.

Quanto à definição e comunicação dos papéis e responsabilidades pela gestão dos riscos da TI apenas 11% afirmaram realizar tal prática.

Acerca da definição formal dos níveis de risco de TI aceitáveis na consecução de seus objetivos (apetite a riscos), 8% dos órgãos declararam executar esta prática.

Tais valores incipientes na execução por parte da alta administração de práticas relacionadas com o risco de TI denotam o não reconhecimento por parte dos altos escalões dos órgãos auditados da importância da gestão de riscos para a realização de seus objetivos institucionais.

Dentre outros benefícios, uma gestão de riscos eficaz possibilita a melhoria dos controles e da governança, minimiza perdas, estabelece uma base confiável para o planejamento e a tomada de decisão, além de contribuir para uma melhor identificação de oportunidades e ameaças.

O gráfico a seguir apresenta os resultados referentes à questão “Pessoal de TI” da dimensão Liderança da Alta da Administração:

[pic]

Fonte: Elaboração própria da equipe.

Com relação à definição formal de diretrizes para garantir o desenvolvimento de competências e a retenção de pessoal de TI por parte da organização, 20% dos órgãos informaram executar tal prática. Já quanto a definição formal de diretrizes para a avaliação e incentivo ao desempenho do pessoal de TI, 15% dos auditados declararam realizar tal prática, sendo 3% de forma integral.

Sobre a definição formal de diretrizes para a escolha dos líderes da área de TI, ocupantes dos cargos de chefia e assessoramento, 23% declararam realizar tal prática, sendo que somente 5% destes informaram a sua realização de forma integral.

Os baixos resultados de adesão às práticas relacionadas com a questão de “Pessoal de TI” por parte da alta administração dos municípios auditados podem se traduzir em problemas como a alta rotatividade do pessoal de TI e a seleção inadequada de gestores da TI.

O monitoramento da governança e da gestão de TI é responsável por garantir que as atividades realizadas pela TI estejam em linha com o direcionamento estratégico provido pela organização. Acerca dessa questão, foram consideradas 5 práticas para as quais os órgãos informaram o seu grau de adoção, conforme gráfico a seguir:

[pic]

Fonte: Elaboração própria da equipe.

Quanto à definição formal de diretrizes para avaliação da governança e da gestão da TI, 10% das organizações informaram adesão parcial à prática, sendo preocupante que nenhuma administração adote tal prática de forma integral.

A ausência de definições por parte da alta administração quanto à forma de se avaliar a governança e a gestão de TI pode impactar o acompanhamento da execução dos planos traçados e, com isso, comprometer o atingimento das metas e objetivos estabelecidos.

Em relação à realização de avaliações periódicas por parte dos municípios, somente 14% das administrações declararam avaliar periodicamente a governança e a gestão da TI, mas nenhuma de forma integral. Cerca de 34% mencionaram avaliar periodicamente os seus sistemas de informação, 33% dos auditados informaram realizar avaliação periódica de sua segurança da informação e 48% afirmaram que avaliam de maneira periódica contratos de TI. O baixo grau de adesão a tais práticas, abaixo de 50%, reflete a ausência, em grande parte das prefeituras, de estrutura e pessoal com perfil adequado para realizar tais atividades, fato este corroborado pelos dados obtidos na questão referente à auditoria interna.

As atividades a cargo do setor de auditoria interna dos órgãos são fundamentais para auxiliar a administração na detecção e correção de erros, fraudes e desperdícios, bem como para gerar informações para a gestão pública, de modo a subsidiar a tomada de decisão.

Com relação ao grau de adoção às práticas relacionadas ao setor de auditoria interna das administrações municipais as respostas resultaram no gráfico a seguir:

[pic]

Fonte: Elaboração própria da equipe.

Somente 12% dos órgãos declararam possuir em seu setor de auditoria interna pessoal capacitado para avaliar a governança e a gestão de TI.

Em relação ao monitoramento das ações de governança e de gestão de TI, apenas 17% das administrações declararam adotar tal prática.

Em linha com as respostas anteriores, 8% dos órgãos informaram possuir plano de auditoria aprovado que incluísse periodicamente avaliação da governança e da gestão de TI.

Apenas 12% das administrações mencionaram ter a avaliação da gestão de riscos de TI realizada pelo setor de auditoria interna e, finalmente, 17% declararam que sua auditoria interna avalia os riscos tidos como críticos para o negócio e a eficácia dos respectivos controles.

A inoperância do setor de auditoria interna em relação à governança e gestão de TI na grande maioria das prefeituras auditadas é alarmante, por se traduzir em uma maior exposição a riscos de falhas, erros e fraudes nas contratações de bens e serviços de TI.

Quanto à dimensão Liderança, observa-se que 88% das prefeituras auditadas apresentaram iGovTI no nível inicial, 11% no nível básico e apenas 1% no nível intermediário. Nenhuma administração municipal alcançou o nível aprimorado na presente dimensão, conforme demonstra o gráfico a seguir.

[pic]

Fonte: Elaboração própria da equipe.

5.2 – Dimensão Estratégia e Planos

Nesta dimensão, são abordadas práticas referentes ao processo de planejamento estratégico institucional além de práticas relacionadas com os planos vigentes derivados deste processo (questão 2.1) e do processo de planejamento de tecnologia da informação (questão 2.2).

Por meio de seu planejamento estratégico, uma organização determina a direção que seguirá a partir do estabelecimento de sua missão, visão, valores, objetivos, estratégia e seus desdobramentos. Neste processo, metas são estipuladas e planos para atingi-las são formulados.

Os resultados referentes ao grau de adoção das práticas relacionadas com o processo de planejamento estratégico institucional obtidos pela auditoria estão consolidados no gráfico a seguir.

[pic]

Fonte: Elaboração própria da equipe.

Com relação à execução periódica de processo de planejamento estratégico institucional (PPEI), 21% informaram realizar tal prática. Quanto ao processo de planejamento estratégico institucional incluir as áreas mais relevantes da organização, 25% dos auditados declararam agir dessa maneira. Em 16% dos órgãos o processo de planejamento estratégico institucional prevê a participação da área de TI. Em relação à instituição formal do processo de planejamento estratégico como norma de cumprimento obrigatório, o percentual de órgãos aderentes à prática é de apenas 11%.

Considerando a obrigação que a administração pública possui de se planejar (Decreto-Lei n.º 200/1967, art. 6º, inciso I e art. 7º), a não execução periódica do processo de planejamento estratégico institucional por parte de 79% dos municípios é preocupante.

Sobre as práticas relacionadas com o plano estratégico institucional (PEI) vigente, os resultados obtidos resultaram no seguinte gráfico.

[pic]

Fonte: Elaboração própria da equipe.

Segundo os dados apurados, somente 12% dos órgãos alegaram possuir um plano estratégico institucional vigente, formalmente instituído pelo seu dirigente máximo. Em consonância com esse valor, 14% dos órgãos informaram possuir indicadores de resultado para quantificar o cumprimento de cada objetivo estratégico estabelecido, 12% declararam ter metas associadas aos indicadores de resultado, 12% responderam que seu PEI vigente estabelece as atividades e projetos considerados necessários para o alcance das metas fixadas. Quanto ao acompanhamento periódico do plano estratégico vigente, 12% dos órgãos informaram adotar a prática, sendo 7% de forma integral e 5% de forma parcial.

Somente 13% dos municípios auditados declararam ter o plano estratégico institucional vigente, publicado na internet para livre acesso.

É responsabilidade do planejamento de TI o alinhamento dos planos de TI ao planejamento estratégico do órgão, de modo que a área de TI suporte e aprimore os objetivos de negócio e as estratégias da organização.

[pic]

Fonte: Elaboração própria da equipe.

Os resultados demonstram que 21% dos municípios executam processo de planejamento de TI (PPTI), valor coerente com aquele obtido em relação ao planejamento estratégico institucional. Entretanto, somente 8% das áreas mais relevantes da administração participam da elaboração do PPTI, 8% têm apoio do comitê de TI e 8% possuem um processo de planejamento de TI formalmente instituído.

Acerca das práticas relacionadas com o plano de TI vigente, derivado do processo de planejamento de tecnologia de informação dos órgãos, os resultados obtidos serão tratados a seguir.

[pic]

Fonte: Elaboração própria da equipe.

Os resultados apresentados mostram claramente a quase ausência de adoção de um plano de TI pelos municípios, situação em consonância com os dados referentes ao planejamento de TI.

O fato dos municípios não possuírem um plano de TI vigente é alarmante, haja vista que tal plano é o instrumento de diagnóstico, planejamento e gestão dos recursos e processos da área de TI, que visa a atender às necessidades de informação de um órgão para um determinado período. Tal plano é uma ferramenta imprescindível para que a organização possa atender aos princípios constitucionais de publicidade e eficiência.

O plano de TI serve ainda como direcionador das contratações de bens e serviços do órgão, de modo que a sua ausência acarreta uma maior exposição ao risco de se ter contratações ineficazes e ineficientes em atender à organização.

Na distribuição da frequência do indicador iGovTI na dimensão Estratégia e Planos, verifica-se que 89% das prefeituras auditadas apresentaram iGovTI no nível inicial. No nível básico encontram-se 7% das administrações. O nível intermediário foi alcançado por 3% das prefeituras. Destaca-se que apenas uma prefeitura alcançou o nível aprimorado nesta dimensão, o que corresponde a 1% do total. O gráfico a seguir ilustra a distribuição do iGovTI na dimensão analisada.

[pic]

Fonte: Elaboração própria da equipe.

5.3 – Dimensão Informações

Nesta dimensão são abordados os controles da gestão da informação incluindo práticas relacionadas à transparência. Compõe essa seção do questionário três questões, uma referente à informatização dos processos organizacionais (questão 3.1), outra relacionada com a divulgação e acesso às informações de interesse coletivo (questão 3.2) e, por último, uma questão relativa à transparência das informações relativas à gestão e ao uso da TI (questão 3.3).

Em relação à informatização dos processos organizacionais, as respostas obtidas originaram o gráfico a seguir.

[pic]

Fonte: Elaboração própria da equipe.

Quanto à identificação e mapeamento dos principais processos de negócio, 37% dos órgãos informaram adotar a prática de forma parcial e 11% mencionaram fazê-la de forma integral. Em relação ao suporte dos principais processos de negócio por sistemas informatizados, 70% dos respondentes relataram seguir a prática (40% de forma parcial e 30% de forma integral). Com relação à designação formal de responsáveis da área de negócio para gestão de seus respectivos sistemas informatizados, 41% informaram adotar a prática, e destes, 16% de forma integral.

Com relação ao acesso à informação e a sua disponibilização, 61% das organizações informaram a adoção da prática de catalogar as informações de interesse geral por elas produzidas ou custodiadas, sendo 32% de forma parcial e 29% de forma integral. Verifica-se também que 69% das organizações afirmaram realizar a publicação de dados de forma aderente aos princípios de dados abertos.

[pic]

Fonte: Elaboração própria da equipe.

Acerca da transparência das informações referentes à gestão e ao uso da TI, as respostas obtidas retratam a seguinte situação.

[pic]

Fonte: Elaboração própria da equipe.

Verifica-se que somente 14% das organizações adotam a prática de divulgar na internet os planos de TI vigentes e 10% informaram divulgar na Internet as informações referentes aos objetivos de TI planejados.

Quanto à divulgação na internet dos editais, anexos e resultados das licitações de TI, 67% das prefeituras adotam tal prática, sendo 48% de forma integral. Já em relação à divulgação dos estudos técnicos preliminares na internet em conjunto com os editais de licitação de TI, apenas 39% dos órgãos informaram aderência a tal prática.

Verifica-se também que 54% das administrações divulgam seus contratos e aditivos de TI na internet e 52% divulgam sua execução orçamentária de TI na rede mundial de computadores.

Os baixos resultados apresentados em relação à transparência da gestão da TI são um obstáculo ao controle social e vão ensejar a proposição de futura auditoria a cargo desta Coordenadoria para melhor tratamento do tema.

Quanto à distribuição do iGovTI na dimensão informações, verifica-se que a maioria das prefeituras se encontra no nível inicial, com 38% dos respondentes. O níveis básico e intermediário foram atingidos por 25% do total pesquisado. Nesta dimensão, destaca-se que 13% dos respondentes atingiram o nível aprimorado, índice que, embora considerado baixo, é o maior dentre todas as dimensões analisadas. O gráfico a seguir ilustra a situação observada.

[pic]

Fonte: Elaboração própria da equipe.

5.4 – Dimensão Pessoas

Nesta dimensão são avaliados os controles da gestão de pessoas em TI quanto às práticas de desenvolvimento de competências de TI (questão 4.1), em relação ao desempenho do pessoal de TI (questão 4.2) e também em relação à força de trabalho de TI (questão 4.3).

[pic]

Fonte: Elaboração própria da equipe.

Observa-se que 46% das organizações declararam definir as competências necessárias para o pessoal de TI executar as suas atividades.

Quanto à prática de elaborar plano de capacitação para o desenvolvimento das competências de TI, somente 6% dos órgãos informaram realizá-la. Em consonância com esse percentual, 5% dos respondentes mencionaram avaliar a execução do plano de capacitação. Verifica-se também ser de 5% o montante dos órgãos que incluem em seus planos de capacitação o desenvolvimento de competências em gestão de TI. Observa-se ainda ser de 10% o total dos órgãos que declarou possuir programa de benefícios para o desenvolvimento de competências de TI.

[pic]

Fonte: Elaboração própria da equipe.

A adoção à prática de estabelecer metas de desempenho para o pessoal de TI foi mencionada por apenas 9% das organizações. Quanto à avaliação periódica do desempenho do pessoal de TI, 20% dos respondentes informaram adoção dessa prática, 5% de forma integral. Observa-se também que somente 7% das prefeituras declararam estabelecer benefício, financeiro ou de outra espécie, em função do desempenho alcançado pelo pessoal de TI.

Quanto à distribuição do iGovTI na dimensão pessoas, observa-se que a maior parte das prefeituras encontra-se no nível inicial, com participação de 89%. O nível básico foi atingido por 7% dos respondentes e somente 3% atingiram o nível intermediário. Destaca-se que apenas uma prefeitura alcançou o nível aprimorado nesta dimensão, o que corresponde a 1% do total, conforme representado no gráfico a seguir.

[pic]

Fonte: Elaboração própria da equipe.

5.5 – Dimensão Processos

Nesta dimensão são tratados os controles da gestão de processos em TI por meio de questões abordando o gerenciamento de serviços, a gestão de riscos, a gestão corporativa da segurança da informação, o processo de software, o gerenciamento de projetos, o planejamento e a gestão dos contratos de TI.

A gestão de nível de serviço de TI é o processo responsável por definir, monitorar e divulgar os resultados de um acordo de nível de serviço. Este processo tem por objetivo garantir que os níveis de serviços acordados entre o provedor de serviços e as áreas clientes sejam entregues.

[pic]

Fonte: Elaboração própria da equipe.

Somente 8% dos municípios afirmaram manter um catálogo publicado e atualizado dos serviços de TI oferecidos, dentre os quais 7% possuem um Acordo de Nível de Serviço estabelecido com as áreas clientes.

Segundo a norma ABNT NBR ISO 20000-2:2013 – TI – Gerenciamento de serviços, convém que o provedor de serviços defina todos os serviços em um catálogo, usando termos que estejam alinhados com a visão do cliente dos serviços, que este catálogo seja mantido e atualizado permanentemente e que o cliente e o provedor do serviço concordem sobre os termos e metas para o serviço a ser entregue, documentando estes termos em um ANS (Acordo de Nível de Serviços).

Risco de TI, no presente contexto, pode ser entendido como sendo um evento ou circunstância incerta que, se ocorrer, impactará o processo de negócio suportado pela TI. É fundamental a organização gerir seus riscos de TI, de modo a minimizar ou mesmo evitar perdas e prejuízos.

A gestão de riscos envolvem atividades de identificação, avaliação e tratamento dos riscos que podem ser evitados, mitigados, transferidos ou aceitos. As respostas obtidas quanto à gestão dos riscos de TI por parte das administrações municipais são sumarizadas no gráfico a seguir.

[pic]

Fonte: Elaboração própria da equipe.

Observa-se que somente 22% dos respondentes informaram identificar os riscos de TI relativos aos processos críticos de negócio, somando-se os resultados de adoção parcial e adoção integral. A prática de avaliar os riscos de TI dos processos críticos de negócio é realizada por 26% dos municípios e somente 11% destes alegaram realizar tratamento dos riscos de TI de tais processos.

Um percentual de 12% dos municípios informou executar um processo de gestão de riscos de TI, dos quais somente 3% possuem este processo formalmente instituído.

Os baixos percentuais observados quanto ao emprego das práticas relacionadas com a gestão de riscos de TI demonstram que a maioria dos respondentes não sabe a que riscos de TI estão sujeitos, desconhecendo tanto suas probabilidades de ocorrência quanto os possíveis impactos, seja no negócio, seja na prestação de serviços ao cidadão.

Acerca do grau de aderência dos órgãos às práticas relacionadas com gestão corporativa da segurança da informação, os resultados obtidos pelo presente levantamento resultaram no gráfico a seguir.

[pic]

Fonte: Elaboração própria da equipe.

A Segurança da informação é a proteção da informação de ameaças, visando a garantir a continuidade do negócio, minimizar riscos e maximizar o retorno sobre os investimentos. A mesma é obtida por meio da implementação de controles adequados que incluem políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware (ABNT NBR ISO 27002:2005).

Verificou-se que 21% das administrações municipais possuem uma política de Segurança da Informação formalmente instituída. Em relação a dispor de um comitê de segurança da informação formalmente instituído, somente 4% dos respondentes afirmaram adotar tal prática. Observa-se que apenas 16% dos órgãos adotam a prática de possuir um gestor de segurança da informação formalmente designado. Quanto a dispor de política de controle de acesso à informação formalmente instituída, 23% informaram adotar esta prática.

Com relação a possuir uma política de cópias de segurança (backup) formalmente instituída como norma de procedimento obrigatório, 54% alegaram a adoção de tal prática.

Os resultados levantados, no que tange ao grau de adoção das práticas relacionadas com o processo de gestão corporativa da segurança da informação, apontam para um quadro alarmante de exposição das organizações auditadas a riscos como indisponibilidade de serviços, perda de dados e acesso não autorizado à informação confidencial.

A seguir são tratadas as respostas obtidas quanto às práticas relacionadas com o gerenciamento de projetos de TI.

Os projetos são um meio de organizar atividades que não podem ser abordadas dentro dos limites operacionais normais da organização. Ferramentas de transformação, os projetos são frequentemente utilizados como um meio de atingir o plano estratégico de uma organização (PMBOK[3], 2004). O gerenciamento de projetos de TI tem impacto direto na implementação de estratégias organizacionais que se utilizem de recursos de TI, como soluções de software (aplicativos, sistemas de informação, etc.) e soluções de infraestrutura tecnológica (hardware, sistemas operacionais, redes, sistemas de gerenciamento de banco de dados etc.).

[pic]

Fonte: Elaboração própria da equipe.

Verifica-se que apenas 9% das organizações declararam possuir um portfólio de projetos de TI. Quanto a executar processo de gerenciamento de projetos de TI, 15% das administrações municipais informaram realizar tal prática.

Observa-se que 8% dos respondentes mencionaram acompanhar o processo por meio de mensurações, enquanto 11% dos órgãos afirmaram rever e melhorar o processo de gestão de projetos de TI periodicamente.

Somente 4% das organizações alegaram possuir o processo de gerenciamento de projetos de TI formalmente instituído como norma de cumprimento obrigatório. A não formalização do processo de gerenciamento de projetos de TI por parte de 96% das administrações municipais é preocupante, uma vez que é por meio da formalização de um processo que se garante a definição objetiva dos papéis, das responsabilidades e das atividades a serem realizadas.

Observa-se que apenas 8% das organizações informaram possuir um escritório de projetos, ao menos para projetos de TI. O escritório de projetos é uma unidade organizacional que centraliza e coordena o gerenciamento de projetos sob seu domínio (PMBOK, 2004).

A inexistência de escritórios de projetos contribui para a perda do alinhamento das iniciativas de TI em andamento com a estratégia da organização e para a ineficiência do gerenciamento do portfólio de projetos e dos projetos em si.

Os resultados obtidos acerca do grau de adoção de práticas relacionadas com a contratação de serviços de TI são tratados a seguir.

A contratação de bens e serviços de TI é de suma importância para a administração pública, haja vista a criticidade da área, o seu caráter estratégico, bem como a materialidade significativa dos gastos em tal setor visando subsidiar a estratégia e as operações das organizações.

[pic]

Fonte: Elaboração própria da equipe.

Observa-se que 65% das organizações informaram realizar estudos técnicos preliminares para avaliar a viabilidade da contratação. Um percentual de 70% dos respondentes alegaram explicitar nos autos as necessidades de negócio que se pretende atingir com a contratação.

Já em relação à adoção da prática de explicitar os indicadores dos benefícios de negócio que serão alcançados com a contratação, 53% declararam adotá-la, sendo 26% de forma integral.

Somente 28% das administrações municipais informaram explicitar o alinhamento entre a contratação e os planos estratégico institucional e de TI vigentes.

Quanto à realização de análise dos riscos que possam comprometer o sucesso do processo de contratação e dos resultados que atendam às necessidades de negócio, 8% das organizações declararam adoção integral à prática, enquanto 22% informaram adesão de forma parcial.

Os resultados das práticas adotadas pelos municípios no acompanhamento da execução dos contratos de TI são apresentados a seguir.

[pic]

Fonte: Elaboração própria da equipe.

Verificam-se que 37% dos municípios adotam métricas objetivas para medir os resultados dos contratos, dos quais somente 11% de forma integral.

Em relação ao pagamento dos contratos em função da mensuração dos resultados, 36% dos respondentes relataram seguir tal prática de forma integral e 18% de forma parcial. Observa-se que 62% dos municípios afirmaram realizar a avaliação da qualidade dos serviços de acordo com a previsão contratual, sendo que 30% dos respondentes adotam esta prática de forma integral.

A prática de utilizar a análise dos benefícios reais obtidos com o contrato como critério para prorrogar o contrato é apontada por 59% dos respondentes, sendo 38% de forma integral.

Um total de 77% dos municípios afirmaram designar formalmente gestor e fiscais dos contratos de TI, com 67% de forma integral.

A distribuição da frequência do indicador iGovTI na dimensão processos, retratada no gráfico a seguir, revela que a imensa maioria dos municípios, 78%, alcançou somente o nível inicial. O nível básico foi atingido por 17%, seguido pelo nível intermediário, com 6% dos respondentes. Como destaque negativo, observa-se que nenhuma administração municipal atingiu o nível aprimorado.

[pic]

Fonte: Elaboração própria da equipe.

5.6 – Dimensão Resultados de TI

Esta dimensão trata do desempenho das organizações quanto ao uso e gestão da TI. São abordadas as capacidades da organização em planejar e alcançar os objetivos de TI (questão 6.1), em gerir os projetos da área (questões 6.2.1 e 6.2.2), em prover serviços que sustentam as atividades da organização (questão 6.3) e em disponibilizar serviços via internet ao cidadão (questões 6.4 e 6.5). Na sequência, serão apresentados os resultados obtidos.

[pic]

Fonte: Elaboração própria da equipe.

Em relação ao estabelecimento de objetivos e acompanhamento das metas associadas, 25% das organizações informaram possuir pelo menos um conjunto composto de objetivo, indicador, meta e percentual de cumprimento da meta em 2015. A partir deste valor apurado, observa-se uma discrepância com relação aos valores obtidos na questão referente ao número de órgãos que possuem plano de TI vigente com objetivos, indicadores e metas para TI (6%, questão 2.2, item f) e na questão acerca do número de órgãos que acompanham o plano de TI vigente quanto ao alcance das metas estabelecidas (2%, questão 2.2, item h).

Ao se definir objetivos de TI que não estão presentes no plano de TI aumenta-se o risco da área de TI não estar alinhada com os objetivos de negócio. Objetivos de TI estabelecidos de forma empírica, sem o devido planejamento da área, o que se reflete no plano de TI, fragilizam a contribuição da tecnologia da informação para o atingimento dos objetivos da organização.

Com relação ao acompanhamento dos principais serviços de TI que sustentam as atividades da organização, verifica-se que somente 18% das organizações apresentaram ao menos um serviço de TI com seu principal indicador de nível de serviço, sua meta e o respectivo percentual de cumprimento da meta no exercício de 2015. Este baixo percentual é coerente com o percentual de organizações que afirmou manter um catálogo publicado e atualizado dos serviços de TI oferecidos às áreas clientes (8%, questão 5.2.a) e com o percentual de organizações que definem os níveis de serviço de forma conjunta entre a área de TI e as áreas clientes (7%, questão 5.2.b).

[pic]

Fonte: Elaboração própria da equipe.

O gerenciamento de níveis de serviço de TI visa a manter e a melhorar a qualidade dos serviços de TI, por meio da execução de um ciclo contínuo de atividades que envolvem o planejamento, a elaboração e o acordo de metas de desempenho e responsabilidades mútuas, a divulgação e o monitoramento dos níveis de serviço. Desta forma, é possível o setor de TI realizar a entrega de seus serviços dentro do esperado pelas áreas-cliente da organização.

O não acompanhamento dos níveis dos serviços de TI que suportam as principais atividades do órgão pode mascarar uma situação na qual a TI não esteja atendendo às áreas de negócio da melhor forma, dentro de suas possibilidades.

O governo eletrônico (e-GOV) pode ser visto como o emprego de tecnologias da informação na administração pública para integrar fluxos de trabalho e processos, gerenciar efetivamente dados e informação, aprimorar a entrega de serviços públicos, bem como para expandir os canais de comunicação, visando um maior engajamento e empoderamento das pessoas enquanto cidadãos[4].

Por meio do e-GOV, as administrações públicas devem usar a tecnologia da informação e comunicação para simplificar os seus procedimentos, minimizar os custos operacionais e melhorar a sua interação com os cidadãos e as empresas, promovendo, assim, o desenvolvimento socioeconômico.

As respostas obtidas com relação às práticas que tratam da disponibilização de serviços digitais por meio da rede mundial de computadores estão representadas no gráfico a seguir.

[pic]

Fonte: Elaboração própria da equipe.

Observa-se que 38% das organizações informaram possuir um catálogo publicado com informações claras e precisas de cada um dos serviços disponíveis via internet. Somente 19% dos órgãos informaram possuir metas definidas para a ampliação dos serviços digitais.

Quanto à implementação das recomendações do Modelo de Acessibilidade de Governo Eletrônico (eMAG), apenas 33% dos respondentes declararam seguir tal prática. O eMAG apresenta recomendações que visam a inclusão digital por meio da promoção do desenvolvimento de sítios acessíveis aos portadores de necessidades especiais.

Verifica-se que somente 9% dos órgãos adotam a prática de realizar pesquisas de satisfação acerca dos serviços oferecidos via internet.

Em relação a possuir perfil oficial em rede social com a finalidade de descobrir e atender às necessidades do usuário, 62% dos órgãos adotam a prática, sendo 40% de forma parcial e 22% de forma integral.

Quanto à distribuição da frequência do iGovTI na dimensão resultados de TI, verifica-se que a maioria das prefeituras encontra-se no nível inicial (78% dos respondentes). Os níveis básico e intermediário foram atingidos por 10% das prefeituras. Somente 3% do universo dos respondentes atingiram o nível aprimorado, conforme mostrado no gráfico a seguir.

[pic]

Fonte: Elaboração própria da equipe.

5.7 – Resultados do Indicador de Governança de TI

Os resultados do levantamento são apresentados sob a ótica do indicador iGovTI e foram classificados segundo os 4 estágios ou níveis que representam a capacidade em governar a TI: inicial, básico, intermediário e aprimorado.

O questionário que subsidiou o presente levantamento foi respondido por 72 das 91 prefeituras jurisdicionadas ao TCE-RJ (índice de atendimento de 79%).

As notas por dimensão estão em uma escala de 0 a 10 e as notas do indicador iGovTI estão em uma escala entre 0 e 1. Apresentam-se a seguir os resultados obtidos para o indicador iGovTI e suas dimensões:

|Município |Liderança |Estratégias e |Informações |Pessoas |Processos |Resultados de TI|iGovTI |

| | |Planos | | | | | |

|Angra dos Reis |2,01 |0,00 |3,77 |0,93 |1,61 |0,69 |0,16 |

|Araruama |0,00 |0,00 |2,29 |1,70 |0,74 |7,04 |0,16 |

|Areal |0,00 |0,00 |0,00 |0,55 |0,04 |0,15 |0,01 |

|Armação de Búzios |2,14 |0,00 |5,83 |1,92 |3,49 |0,74 |0,24 |

|Barra do Piraí |0,00 |0,00 |2,11 |0,66 |0,45 |0,40 |0,06 |

|Barra Mansa |0,00 |0,00 |4,42 |0,52 |2,05 |8,19 |0,22 |

|Bom Jardim |0,44 |0,55 |1,50 |0,83 |1,49 |0,00 |0,08 |

|Bom Jesus do Itabapoana |0,00 |0,00 |1,17 |0,00 |1,78 |0,16 |0,05 |

|Cachoeiras de Macacu |0,43 |0,00 |3,26 |0,92 |1,20 |1,63 |0,12 |

|Cambuci |0,48 |0,00 |4,91 |0,99 |1,01 |0,42 |0,13 |

|Campos dos Goytacazes |1,85 |1,12 |3,04 |0,73 |2,56 |3,26 |0,20 |

|Cantagalo |0,16 |0,00 |5,37 |0,00 |1,17 |0,32 |0,12 |

|Carmo |1,09 |2,00 |2,00 |1,83 |1,54 |0,82 |0,16 |

|Casimiro de Abreu |0,83 |0,00 |3,50 |1,00 |1,37 |2,80 |0,15 |

|Conceição de Macabu |0,32 |0,00 |7,41 |0,78 |3,53 |0,42 |0,21 |

|Duque de Caxias |1,91 |2,90 |6,85 |0,36 |2,62 |5,54 |0,32 |

|Eng Paulo de Frontin |0,00 |0,55 |1,75 |0,50 |0,11 |0,00 |0,05 |

|Guapimirim |0,42 |0,00 |1,40 |1,84 |0,56 |1,47 |0,09 |

|Itaguaí |0,20 |0,00 |2,21 |0,39 |0,55 |2,90 |0,09 |

|Italva |1,14 |0,83 |8,89 |1,79 |2,48 |0,53 |0,26 |

|Itaperuna |1,70 |0,00 |0,86 |1,44 |0,28 |0,58 |0,08 |

|Itatiaia |0,00 |0,00 |0,00 |0,44 |0,05 |0,00 |0,01 |

|Japeri |0,00 |0,00 |0,21 |0,00 |0,04 |0,42 |0,01 |

|Laje do Muriaé |4,13 |0,00 |5,21 |1,55 |2,34 |0,00 |0,24 |

|Macuco |0,34 |0,00 |0,40 |0,69 |0,18 |0,58 |0,03 |

|Magé |1,50 |0,00 |3,73 |1,77 |1,09 |0,32 |0,14 |

|Mangaratiba |3,92 |1,12 |5,70 |2,51 |4,69 |1,05 |0,33 |

|Maricá |1,20 |1,23 |5,21 |1,25 |0,91 |0,55 |0,17 |

|Mendes |4,05 |0,00 |7,00 |3,35 |1,38 |0,37 |0,28 |

|Mesquita |2,11 |0,00 |2,96 |4,24 |2,83 |0,74 |0,22 |

|Miguel Pereira |0,00 |0,00 |1,90 |1,98 |0,24 |0,37 |0,07 |

|Natividade |0,00 |0,00 |1,02 |0,00 |0,00 |0,92 |0,03 |

|Niterói |3,32 |4,33 |8,77 |1,34 |4,45 |6,27 |0,46 |

|Nova Friburgo |1,35 |0,00 |7,23 |2,02 |1,10 |1,37 |0,21 |

|Nova Iguaçu |1,76 |1,67 |6,54 |1,44 |2,86 |7,00 |0,33 |

|Paracambi |0,70 |0,86 |5,85 |1,15 |1,46 |2,73 |0,20 |

|Paraty |1,53 |1,12 |5,37 |1,12 |1,89 |0,67 |0,20 |

|Paty do Alferes |4,64 |2,00 |8,50 |7,19 |5,73 |3,35 |0,53 |

|Petrópolis |5,31 |3,30 |7,10 |1,54 |6,99 |1,42 |0,45 |

|Pinheiral |1,48 |4,23 |4,01 |1,24 |1,08 |0,40 |0,21 |

|Piraí |2,94 |10,00 |9,52 |6,97 |6,33 |5,63 |0,67 |

|Porciúncula |1,68 |0,00 |3,94 |1,70 |6,38 |3,54 |0,29 |

|Porto Real |2,17 |0,95 |3,50 |1,29 |2,86 |3,08 |0,23 |

|Quatis |0,58 |0,00 |5,06 |0,99 |2,21 |0,95 |0,16 |

|Queimados |2,40 |5,21 |2,93 |2,01 |3,42 |6,14 |0,35 |

|Resende |4,16 |0,55 |3,41 |4,38 |2,21 |4,78 |0,32 |

|Rio Bonito |0,09 |0,00 |2,27 |0,00 |0,00 |0,00 |0,04 |

|Rio Claro |1,01 |0,00 |3,50 |1,44 |2,90 |0,32 |0,16 |

|Rio das Flores |0,00 |0,28 |0,00 |0,73 |0,00 |0,00 |0,02 |

|Rio das Ostras |2,57 |3,04 |6,15 |2,35 |3,42 |6,03 |0,38 |

|Santa Maria Madalena |2,34 |0,00 |5,48 |2,11 |2,19 |0,00 |0,21 |

|Santo Antonio de Pádua |0,26 |0,00 |1,54 |1,09 |1,77 |0,79 |0,09 |

|São Fidelis |0,00 |0,00 |1,29 |0,77 |0,00 |0,00 |0,03 |

|São Francisco do Itabapoana |0,76 |0,00 |7,44 |0,00 |1,53 |0,56 |0,17 |

|São Gonçalo |1,63 |0,00 |2,58 |6,64 |3,15 |6,28 |0,32 |

|São João da Barra |2,41 |3,34 |3,01 |3,52 |3,84 |2,92 |0,32 |

|São José do Ubá |0,58 |0,00 |6,15 |0,28 |3,89 |0,00 |0,19 |

|São José do Vale do Rio Preto |2,35 |0,00 |3,01 |1,60 |3,91 |1,07 |0,21 |

|São Pedro da Aldeia |0,59 |0,00 |2,04 |0,17 |0,81 |0,16 |0,06 |

|São Sebastião do Alto |0,99 |1,24 |5,10 |1,42 |2,52 |0,63 |0,20 |

|Sapucaia |0,00 |0,00 |0,00 |4,13 |0,44 |0,00 |0,07 |

|Saquarema |1,26 |0,00 |2,93 |0,64 |1,98 |0,32 |0,13 |

|Seropédica |1,40 |1,89 |3,73 |0,92 |0,23 |0,63 |0,15 |

|Silva Jardim |3,10 |1,98 |6,75 |2,08 |2,13 |1,21 |0,29 |

|Sumidouro |0,00 |0,00 |0,00 |0,55 |0,33 |0,00 |0,01 |

|Tanguá |1,33 |0,44 |4,17 |1,21 |0,94 |4,37 |0,19 |

|Teresópolis |0,00 |0,00 |5,66 |0,67 |3,63 |0,21 |0,17 |

|Trajano de Moraes |0,00 |0,00 |0,00 |0,00 |0,00 |0,00 |0,00 |

|Três Rios |0,57 |5,28 |4,13 |2,00 |2,14 |0,48 |0,24 |

|Valença |3,48 |0,00 |6,42 |1,96 |4,33 |3,41 |0,33 |

|Vassouras |1,10 |0,55 |3,55 |0,77 |2,57 |1,03 |0,16 |

|Volta Redonda |0,00 |0,00 |6,89 |0,82 |0,00 |0,96 |0,13 |

Fonte: Questionário Perfil iGovTI 2016.

O gráfico a seguir apresenta a distribuição da frequência iGovTI das organizações municipais auditadas nos 4 níveis de governança propostos:

[pic]

Fonte: Elaboração própria da equipe.

A maioria dos respondentes, 59 prefeituras, o que equivale a 82% do universo analisado, encontra-se no nível inicial de governança de TI, o que indica um nível baixo de adesão às práticas de governança e gestão de TI estabelecidos no questionário. Nesse grupo a TI dificilmente contribuirá de forma efetiva para entregar valor à administração.

No extremo oposto, nenhuma prefeitura alcançou o nível aprimorado, o que representaria alta capacidade da TI da prefeitura em contribuir para o alcance dos objetivos organizacionais.

Apenas duas prefeituras (3%) atingiram iGovTI entre 0,50 e 0,69, o que representa nível intermediário de governança de TI. Em geral, administrações neste nível de governança de TI apresentam razoável conjunto de práticas para governar a sua TI, podendo ser suficiente para o atendimento de suas necessidades organizacionais.

O nível básico de governança de TI foi alcançado por 11 prefeituras, 15% do total. Em tal nível são as baixas as chances da TI estar contribuindo para uma melhor prestação de serviços públicos.

A média aritmética do iGovTI dentre os 72 municípios respondentes ao levantamento resultou em 0,19, valor que evidencia o baixo nível de governança de TI na esfera municipal.

Realiza-se a seguir uma análise do indicador de governança de TI por cada uma das seis dimensões nas quais o indicador foi elaborado.

Quantificando-se o percentual dos municípios por nível de governança em cada dimensão, obtém-se a seguinte tabela:

|Dimensão |Inicial |Básico |Intermediário |Aprimorado |

|1 - Liderança |88% |11% |1% |0% |

|2 - Estratégias e Planos |89% |7% |3% |1% |

|3 - Informações |38% |25% |25% |13% |

|4 - Pessoas |89% |7% |3% |1% |

|5 - Processos |78% |17% |6% |0% |

|6 - Resultados |78% |10% |10% |3% |

Fonte: Elaboração própria da equipe.

O valor médio do iGovTI por dimensão e nível de governança equivalente é apresentado a seguir:

|Dimensão |Nível |Valor médio iGovTI |

|1 - Liderança |Inicial |0,13 |

|2 - Estratégias e Planos |Inicial |0,09 |

|3 - Informações |Básico |0,39 |

|4 - Pessoas |Inicial |0,15 |

|5 - Processos |Inicial |0,20 |

|6 - Resultados |Inicial |0,17 |

Fonte: Elaboração própria da equipe.

As dimensões que apresentaram resultados mais incipientes foram “liderança” e “estratégias e planos”. A dimensão Liderança apresentou 71 municípios na faixas de governança de TI inicial e básico e valor médio de governança de TI igual a 0,13. A dimensão Estratégias e Planos conta com 69 prefeituras nos níveis inicial e básico e iGovTI médio de 0,09, a menor média entre todas as dimensões analisadas.

Já a dimensão Pessoas também apresentou um desempenho muito deficiente, com iGovTI médio de 0,15 e 64 prefeituras (89%) no nível inicial de governança.

O quadro a seguir agrupa os municípios em cinco faixas, de acordo com sua receita total. Tal critério de análise foi arbitrado no intuito de permitir comparações entre municípios com receitas na mesma ordem de grandeza e retrata o comportamento do iGovTI segundo esse aspecto.

Os valores das receitas dos municípios foram retirados do banco de dados da Coordenadoria de Controle da Receita, composto de informações fornecidas pelas administrações financeiras municipais em atendimento à Deliberação n.º 247 de 13 de março de 2008.

O quadro apresenta, para cada faixa de receita, a quantidade de municípios pertencentes ao segmento, o quantitativo por nível de governança, a média aritmética do iGovTI e, por fim, o maior e menor iGovTI correspondente, ressaltando a inexistência de municípios no nível avançado de governança (iGovTI a partir de 0,70).

|Receita do Município (R$) |Qtd Municípios |Qtd |Qtd |Qtd |iGovTI médio |Maior iGovTI|Menor iGovTI|

| | |Nível |Nível Básico|Nível Interm| | | |

| | |Inicial | | | | | |

|Acima de 500 milhões |10 |4 |6 |- |0,29 |0,46 |0,13 |

|Entre 200 e 500 milhões |18 |14 |4 |- |0,19 |0,35 |0,06 |

|Entre 100 e 200 milhões |14 |12 |1 |1 |0,19 |0,67 |0,01 |

|Entre 050 e 100 milhões |23 |22 |- |1 |0,16 |0,53 |0,01 |

|Abaixo de 50 milhões |7 |7 |- |- |0,10 |0,24 |0,00 |

Fontes: Elaboração própria da equipe.

O quadro evidencia que os municípios com maior nível de governança de TI da amostra (estágio de governança intermediário, entre 0,50 e 0,69) estão nos intervalos de arrecadação “entre 50 e 100 milhões” e “entre 100 e 200 milhões”, com apenas um município em cada faixa (valores correspondentes aos percentuais de 4% e 7% dentro das faixas correspondentes).

Os municípios com menor iGovTI situam-se na faixa com menor receita. Nota-se também que o iGovTI aumenta conforme o aumento da faixa de arrecadação total, embora não se possa afirmar que exista uma relação direta entre a receita do município e a sua maturidade em governança de TI.

Com o objetivo de utilizar as informações obtidas no presente levantamento na seleção de futuros trabalhos de auditoria em prefeituras municipais, foram elaborados gráficos de dispersão com o valor da receita total do município no exercício de 2015, para cada uma das 5 faixas de arrecadação estipuladas, frente ao indicador iGovTI correspondente.

A faixa com os 10 municípios de maior receita apresenta o seguinte gráfico de dispersão:

Gráfico de dispersão do indicador iGovTI

dos municípios com receita superior a R$ 500 milhões

Receita Total x iGovTI

[pic]

Fonte: Elaboração própria da equipe.

Apesar de esses serem os municípios participantes do Levantamento com maior receita e, em tese, com maior capacidade econômica de realizar investimentos na administração, nenhum município foi capaz de atingir ao menos o nível intermediário de governança de TI. Ressalte-se que Campos dos Goytacazes, município com a maior receita do universo analisado, não atingiu o iGovTI da média aritmética do grupo, de 0,29.

Deve ser dado destaque no grupo aos municípios de Niterói, Petrópolis e Rio das Ostras, situados entre os cinco com maiores valores de iGovTI no universo participante da auditoria.

A faixa com os 18 municípios com receita entre R$200 e R$500 milhões apresenta uma situação de iGovTI pior em relação à faixa de receita superior em todos os aspectos, com 78% dos municípios no nível inicial, conforme retratado no gráfico a seguir.

Gráfico de dispersão do indicador iGovTI

dos municípios com receita entre R$ 200 e R$ 500 milhões

Receita Total x iGovTI

[pic]

Fonte: Elaboração própria da equipe.

Os municípios de São Pedro da Aldeia, Barra do Piraí e Itaperuna estão entre os 20 mais incipientes em relação ao IGovTI dentre todos os municípios auditados. O município da Itaguaí apesar de ter a segunda maior arrecadação no grupo é o quarto com menor indicador de governança de TI.

O grupo dos municípios com arrecadação entre R$100 e R$200 milhões apresenta a seguinte distribuição do iGovTI:

Gráfico de dispersão do indicador iGovTI

dos municípios com receita entre R$ 100 e R$ 200 milhões

Receita Total x iGovTI

[pic]

Fonte: Elaboração própria da equipe.

Como grande destaque do grupo e da auditoria como um todo revela-se o município de Piraí que apresenta o maior iGovTI dentre todos os municípios participantes, com valor igual a 0,67, situando-o no nível intermediário de governança de TI. O município de Valença é outro destaque, pois obteve o segundo maior índice de governança do grupo, ficando no nível intermediário. Todos os outros municípios do grupo estão no nível inicial de governança de TI.

No extremo inferior do grupo encontram-se os municípios de Guapimirim, Santo Antônio de Pádua, Rio Bonito, Itatiaia e Japeri, com valores de IGovTI abaixo de 0,10.

A faixa seguinte de arrecadação apresenta a seguinte configuração para o iGovTI:

Gráfico de dispersão do indicador iGovTI

dos municípios com receita entre R$ 50 e R$ 100 milhões

Receita Total x iGovTI

[pic]

Fonte: Elaboração própria da equipe.

Deve-se destacar o município de Paty do Alferes que apresenta o segundo maior valor de iGovTI do universo auditado, de 0,53, situando-o no nível intermediário de governança de TI. Todos os outros municípios desta faixa encontram-se no nível inicial. Como ponto negativo tem-se o município de Bom Jesus do Itabapoana, com maior receita e valor de iGovTI dentre os mais baixos do grupo, com valores de iGovTI abaixo de 0,10: Bom Jardim, Miguel Pereira, Sapucaia, São Fidélis, Natividade, Sumidouro e Areal.

No intervalo de municípios com menor receita total, abaixo de R$ 50 milhões, encontram-se 7 municípios com a seguinte distribuição:

Gráfico de dispersão do indicador iGovTI

dos municípios com receita abaixo de R$ 50 milhões

Receita Total x iGovTI

[pic]

Fonte: Elaboração própria da equipe.

Este grupo de municípios apresenta na média a pior situação em relação ao indicador de governança de TI no universo auditado, com valor de 0,10.

Os municípios com pior índice de governança do grupo, iGovTI abaixo de 0,10, são Engenheiro Paulo de Frontin, Macuco, Rio das Flores e Trajano de Moraes. Este último município apresentou o pior resultado do universo pesquisado, tendo zerado o valor do iGovTI.

De forma geral, organizações com gastos mais elevados em tecnologia da informação tendem a demandar uma melhor governança de TI visando a aumentar a efetividade do setor no suporte ao atingimento dos objetivos organizacionais. À vista disso, é desejável que organizações com gastos expressivos em TI possuam uma maior maturidade na governança da área.

Cabe destacar que, na faixa inicial de governança de TI, observam-se cenários em que o envolvimento da alta administração com as questões associadas a TI é menor, os níveis de planejamento são mais incipientes, as pessoas que atuam na área são menos preparadas e os controles internos são menos estruturados.

A constatação de que 97% dos municípios auditados estão nos níveis inicial e básico de governança de TI causa preocupação, considerando a relevância dos municípios na prestação de serviços ao cidadão e a importância da TI no suporte e controle desses serviços.

Os dados compilados no presente levantamento buscam retratar o grau de governança e de gestão de TI de cada organização em relação às boas práticas e às outras administrações municipais. Tais informações, se bem aproveitadas, podem servir de importante insumo para o aprimoramento da governança de TI das entidades auditadas.

Tal entendimento é compartilhado por 93% das organizações alvo dessa auditoria conforme denotado pelas respostas obtidas para a questão “Levantamentos periódicos de Governança de TI a cargo do TCE-RJ contribuem para a melhoria da governança e gestão da TI da organização?”, reproduzidas no gráfico a seguir.

[pic]

Fonte: Elaboração própria da equipe.

No intuito de orientar as entidades fiscalizadas por esta Corte de Contas acerca do conteúdo mínimo e os elementos necessários que devem constar dos processos administrativos de contratação de TI, o TCE-RJ elaborou, em agosto de 2015, uma nota técnica sobre economicidade em contratações de bens e serviços da área de tecnologia da informação[5].

Tal nota técnica visa ainda a informar a administração pública e a sociedade sobre a interpretação sistemática realizada pelos órgãos técnicos vinculados a Secretaria de Controle Externo deste Tribunal.

Ao se levantar a utilização da nota técnica por parte dos municípios jurisdicionados do ERJ (questão 7.4), observou-se que somente 33% dos auditados fazem uso da nota em suas contratações de bens e serviços de tecnologia da informação, conforme gráfico a seguir. Este fato ensejará, quando da proposta de encaminhamento, Comunicação ao Controle Interno, ao responsável pela TI e ao dirigente máximo da Prefeitura quanto às orientações constantes da nota técnica de economicidade em contratações de bens e serviços de TI.

[pic]

Fonte: Elaboração própria da equipe.

Considerando que a governança de TI possui impacto direto na governança corporativa, por se tratar de um significativo componente desta, mostra-se importante que as informações constantes do presente levantamento sejam utilizadas pela alta administração e gestores de TI das organizações municipais auditadas como insumos para o aprimoramento institucional. Nesse sentido, será sugerida na proposta de encaminhamento deste relatório Ciência a tais gestores dos resultados desse levantamento, com recomendações visando ao seu efetivo aproveitamento.

6 – CONCLUSÃO

O presente levantamento na área de Tecnologia da Informação (TI) teve por objetivo realizar um diagnóstico da situação de governança de TI nos municípios do Rio de Janeiro, visando a subsidiar as ações de fiscalização do TCE-RJ e orientar as administrações municipais quanto a ações que conduzam ao incremento dos níveis de governança de TI observados.

Considerando esse objetivo, adotou-se estratégia metodológica de aplicação de questionário estruturado que aborda práticas de governança e de gestão de TI previstas em leis, regulamentos, normas técnicas e modelos internacionais de boas práticas.

Os dados recebidos por meio do questionário online foram tabulados e analisados, possibilitando tanto a interpretação dos resultados segundo seis dimensões de governança (liderança da alta administração, estratégias e planos, pessoas, processos, informações e resultados de TI) quanto a construção de um indicador de governança de TI capaz de permitir o acompanhamento da evolução dos níveis de governança nessa área e embasar a seleção de futuros trabalhos de auditoria de TI por esta Coordenadoria.

De forma geral, os resultados obtidos evidenciaram que o conceito de governança de TI ainda não é muito difundido nos órgãos auditados, em função de diversas deficiências reveladas no presente levantamento.

Dentre os principais resultados levantados, destacam-se:

• 85% dos municípios não possuem um comitê de direção estratégica formalmente instituído;

• Somente 10% dos órgãos informaram possuir um comitê de TI formalmente instituído, composto de representantes das áreas relevantes da organização;

• 21% dos órgãos afirmaram realizar definição formal de diretrizes para o planejamento de TI, sendo que nenhum município realiza de forma integral;

• Somente 7% das prefeituras declararam definir formalmente as diretrizes para gestão dos riscos de TI aos quais o negócio está exposto;

• 15% dos municípios declararam realizar a definição formal de diretrizes para a avaliação e incentivo ao desempenho do pessoal de TI, sendo que apenas 3% de forma integral;

• Somente 12% dos órgãos declararam possuir pessoal capacitado para avaliar a governança e a gestão de TI em seu setor de auditoria interna;

• Apenas 11% das prefeituras afirmaram possuir processo de planejamento estratégico institucional como norma de cumprimento obrigatório;

• Somente 13% dos municípios auditados declararam ter o plano estratégico institucional vigente, publicado na internet para livre acesso;

• Somente 14% das organizações adotam a prática de divulgar na internet os planos de TI vigentes;

• Apenas 6% dos órgãos elaboraram plano de capacitação para o desenvolvimento das competências de TI, sendo que 5% avaliam a execução desse plano;

• Somente 8% dos municípios afirmaram manter um catálogo publicado e atualizado dos serviços de TI oferecidos, dentre os quais 7% possuem um Acordo de Nível de Serviço estabelecido com as áreas clientes;

• 21% das administrações municipais possuem uma política de Segurança da Informação formalmente instituída;

• 96% das administrações municipais não possuem processo de gerenciamento de projetos de TI formalmente instituído;

• Somente 36% dos respondentes informaram realizar o pagamento dos contratos em função da mensuração dos resultados;

Quanto ao indicador proposto de governança de TI (iGovTI), verificou-se uma maior concentração de órgãos no nível inicial de governança de TI, com 59 das 72 prefeituras auditadas na faixa de valores entre 0,0 a 0,29, equivalente a 82% do universo analisado.

No extremo oposto, nenhuma prefeitura alcançou o nível aprimorado, o que representaria alta capacidade da TI da prefeitura em contribuir para o alcance dos objetivos organizacionais.

Apenas duas prefeituras (3%) atingiram iGovTI entre 0,50 e 0,69, o que representa nível intermediário de governança de TI. Administrações neste nível de governança de TI apresentam razoável conjunto de práticas para governar a sua TI, podendo ser suficiente para o atendimento de suas necessidades organizacionais.

Em última análise, este trabalho visa ao aprimoramento da administração pública por meio do aperfeiçoamento da governança de TI e o consequente aperfeiçoamento da governança institucional. Desta forma, a comparação entre os indicadores de governança de TI das prefeituras participantes desta auditoria possui caráter subsidiário, periférico. Um dos focos centrais deste levantamento é o de municiar os municípios com informações que possam contribuir para o aperfeiçoamento de suas próprias governanças em TI, considerando as suas características e possibilidades.

Cabe repisar que atualmente os gastos com TI são cada vez mais expressivos e que praticamente todas as áreas críticas da administração pública dependem do bom funcionamento da área da tecnologia da informação.

Uma melhor governança em TI, responsabilidade da alta administração, significa em linhas gerais que a TI está sendo mais bem empregada para sustentar e estender as estratégias e objetivos do órgão, de modo a permitir melhor uso dos recursos, melhor desempenho e uma maior mitigação dos riscos inerentes à área.

7 – PROPOSTA DE ENCAMINHAMENTO

Diante de todo o exposto, visando a contribuir para a melhoria da governança e gestão de TI nas prefeituras auditadas, bem como para o aperfeiçoamento dos controles existentes e mitigação dos riscos identificados, submete-se este relatório a consideração superior, com as seguintes propostas:

7.1 – Comunicação

Ao atual Prefeito dos municípios relacionados a seguir, com fulcro no § 1º do art. 6º da Deliberação TCE-RJ n.º 204/96, na forma do art. 3º da Deliberação nº 234/2006, alterada pela Deliberação n.º 241/2007 ou, na impossibilidade, na ordem sequencial do art. 26 do Regimento Interno do TCE-RJ, para que tomem Ciência do inteiro teor deste relatório e adotem providências quanto às seguintes Recomendações:

a) Implementar ações em seus órgãos com vistas ao incremento da gestão e da governança de TI com base nas informações constantes do presente levantamento, estruturando a área de TI do município e implantando controles com base nas respostas fornecidas ao questionário que fundamenta o presente trabalho.

b) Estabelecer formalmente os objetivos, indicadores e metas institucionais de TI alinhados à estratégia da administração municipal, realizando efetivamente o acompanhamento do desempenho da área de tecnologia da informação, exercendo seu papel de principal responsável pela governança de TI da prefeitura.

– Prefeitura de Angra dos Reis;

– Prefeitura de Araruama;

– Prefeitura de Areal;

– Prefeitura de Armação de Búzios;

– Prefeitura de Barra do Piraí;

– Prefeitura de Barra Mansa;

– Prefeitura de Bom Jardim;

– Prefeitura de Bom Jesus do Itabapoana;

– Prefeitura de Cachoeiras de Macacu;

– Prefeitura de Cambuci;

– Prefeitura de Campos dos Goytacazes;

– Prefeitura de Cantagalo;

– Prefeitura de Carmo;

– Prefeitura de Casimiro de Abreu;

– Prefeitura de Conceição de Macabu;

– Prefeitura de Duque de Caxias;

– Prefeitura de Engenheiro Paulo de Frontin;

– Prefeitura de Guapimirim;

– Prefeitura de Itaguaí;

– Prefeitura de Italva;

– Prefeitura de Itaperuna;

– Prefeitura de Itatiaia;

– Prefeitura de Japeri;

– Prefeitura de Laje do Muriaé;

– Prefeitura de Macuco;

– Prefeitura de Magé;

– Prefeitura de Mangaratiba;

– Prefeitura de Maricá;

– Prefeitura de Mendes;

– Prefeitura de Mesquita;

– Prefeitura de Miguel Pereira;

– Prefeitura de Natividade;

– Prefeitura de Niterói;

– Prefeitura de Nova Friburgo;

– Prefeitura de Nova Iguaçu;

– Prefeitura de Paracambi;

– Prefeitura de Paraty;

– Prefeitura de Paty do Alferes;

– Prefeitura de Petrópolis;

– Prefeitura de Pinheiral;

– Prefeitura de Piraí;

– Prefeitura de Porciúncula;

– Prefeitura de Porto Real;

– Prefeitura de Quatis;

– Prefeitura de Queimados;

– Prefeitura de Resende;

– Prefeitura de Rio Bonito;

– Prefeitura de Rio Claro;

– Prefeitura de Rio das Flores;

– Prefeitura de Rio das Ostras;

– Prefeitura de Santa Maria Madalena;

– Prefeitura de Santo Antonio de Pádua;

– Prefeitura de São Fidelis;

– Prefeitura de São Francisco do Itabapoana;

– Prefeitura de São Gonçalo;

– Prefeitura de São João da Barra;

– Prefeitura de São José do Ubá;

– Prefeitura de São José do Vale do Rio Preto;

– Prefeitura de São Pedro da Aldeia;

– Prefeitura de São Sebastião do Alto;

– Prefeitura de Sapucaia;

– Prefeitura de Saquarema;

– Prefeitura de Seropédica;

– Prefeitura de Silva Jardim;

– Prefeitura de Sumidouro;

– Prefeitura de Tanguá;

– Prefeitura de Teresópolis;

– Prefeitura de Trajano de Moraes;

– Prefeitura de Três Rios;

– Prefeitura de Valença;

– Prefeitura de Vassouras;

– Prefeitura de Volta Redonda.

c) Aos atuais responsáveis diretos pelo controle interno e pelo setor de Tecnologia da Informação das Prefeituras retromencionadas, com fulcro no § 1º do art. 6º da Deliberação TCE-RJ n.º 204/96, na forma do art. 3º da Deliberação nº 234/2006, alterada pela Deliberação nº 241/2007 ou, na impossibilidade, na ordem sequencial do art. 26 do Regimento Interno do TCE-RJ, para que tomem Ciência do inteiro teor deste relatório.

Anexo A – Questionário

ANEXO

O questionário a seguir se destina ao levantamento de informações que subsidiarão a atuação do Tribunal de Contas do Estado do Rio de Janeiro (TCE-RJ) no controle e no aperfeiçoamento da Governança e Gestão de Tecnologia da Informação (TI) na esfera municipal. A prefeitura deverá preencher a versão on-line deste questionário, conforme instruções a seguir.

Após o recebimento do ofício, a prefeitura deverá definir o servidor responsável pelo preenchimento do questionário junto a esta Corte de Contas. Tal servidor deverá enviar um e-mail para auditoriati@tce..br, informando sua prefeitura, seu nome completo, matrícula, cargo, e-mail, telefone e número de CPF. Na sequência, o TCE-RJ enviará para este endereço de e-mail o link internet com a versão on-line do questionário.

O servidor indicado para o preenchimento deverá reunir previamente todas as informações necessárias junto aos diversos setores da prefeitura (Planejamento, Controle Interno, Gestão de Pessoal, Gestão de TI, etc.) e preencher uma versão impressa do questionário, para só então realizar o seu preenchimento on-line.

As informações obtidas serão utilizadas na construção de um indicador pelo TCE-RJ, possibilitando um diagnóstico da área e a mensuração do grau de Governança de TI na esfera municipal.

As evidências documentais que suportam as respostas dadas deverão ser reunidas e mantidas à disposição do TCE-RJ para futura verificação de consistência.

A responsabilidade pelas respostas dadas ao questionário é do Prefeito, com base nas respostas providas pelas áreas relacionadas.

O questionário é composto por três tipos de questões:

1. Questão do tipo “sim/não”, sinalizada com uma caixa de marcação cuja representação gráfica é um símbolo (, onde deixá-lo desmarcado (() equivale à resposta “não” e deixa-lo marcado (() equivale à resposta “sim”. Questões desse tipo no mesmo grupo admitem várias marcações e qualquer combinação de múltipla escolha. No caso de nenhum dos itens ser marcado, deve-se marcar o item equivalente a “Nenhuma das respostas acima”;

2. Questão do tipo “informação numérica”, para a entrada de valores relativos ao solicitado;

3. Questão do tipo “texto aberto”, para entrada de texto livre, sucinto, objetivo e claro;

4. Questão do tipo “única escolha”, sinalizada com uma lista de alternativas mutuamente exclusivas iniciadas pela representação gráfica Ο, onde a alternativa escolhida deve ser marcada ((). Foram definidas cinco respostas possíveis para esse tipo de questão, que representam o nível de adoção da prática abordada: 1) Não se aplica; 2) Não adota; 3) Iniciou plano para adotar; 4) Adota de forma parcial; 5) Adota de forma integral. As definições associadas a cada categoria de resposta são as seguintes:

|Nível de adoção da prática |Definição |

|Não se aplica |A prefeitura entende que a prática não se aplica a sua realidade, apresentando a justificativa no |

| |campo “Comentários” ao final do questionário. |

|Não adota |A prefeitura ainda não adota a prática, bem como não iniciou planejamento para adotá-la. |

| |Exemplo: a prefeitura sabe da necessidade de adotar a prática “dispõe de uma política de segurança da|

| |informação, formalmente instituída”, mas não tomou ainda qualquer decisão no sentido de formalizar |

| |sua adoção. |

|Iniciou plano para adotar |A prefeitura ainda não adota a prática, mas iniciou ou concluiu planejamento visando adotá-la, o que |

| |se evidencia por meio de documentos formais (planos, atas de reunião, estudos preliminares etc). |

| |Exemplo: para adotar a prática “dispõe de uma política de segurança da informação, formalmente |

| |instituída”, a prefeitura elaborou plano de ação formal que estabelece as atividades, cronograma e |

| |responsáveis relativos à elaboração da política. |

|Adota de forma parcial |A prefeitura iniciou a adoção da prática, que ainda não está completamente implementada, conforme |

| |planejamento realizado; ou a prática não é executada uniformemente em toda a prefeitura. |

| |Exemplo: a prática apresentada é “a prefeitura executa processo de gerenciamento de projetos de TI”. |

| |A prefeitura, por sua vez, executa o processo de gerenciamento apenas para alguns projetos de TI, ou |

| |o processo não é executado por todas as suas unidades. |

|Adota de forma integral |A prefeitura adota integralmente a prática apresentada, de modo uniforme, o que se evidencia em |

| |documentação específica ou por meio do(s) produto(s) ou artefato(s) resultante(s) de sua execução. |

| |Exemplo: para atender à prática “a prefeitura executa processo de gerenciamento de projetos de TI”, a|

| |prefeitura possui e executa um processo de gerenciamento de projetos de TI em todas as suas unidades,|

| |ainda que o processo não esteja formalmente instituído, como norma de cumprimento obrigatório. |

O presente questionário deve ser preenchido por meio de sua versão on-line e submetido via internet em um prazo de até 30 dias após o recebimento do ofício de apresentação da Auditoria pela Prefeitura.

RESUMO DAS INSTRUÇÕES

1) É definido pelo Prefeito quem será o servidor responsável por preencher o Questionário.

2) O responsável por responder ao Questionário envia e-mail para auditoriati@tce..br com seus dados.

3) O responsável imprime o Questionário, coleta todas as informações necessárias junto às áreas e o preenche.

4) O TCE-RJ envia e-mail ao responsável com as informações de acesso ao Questionário on-line.

5) O responsável acessa o Questionário on-line e transcreve as respostas previamente levantadas.

Em caso de dúvidas no preenchimento ou qualquer informação adicional, favor enviar e-mail para auditoriati@tce..br ou entrar em contato com um dos seguintes auditores do núcleo de TI da CTO, pelo telefone 21 3231 4694:

• Alberto Tavares;

• Gustavo Bastos Monteiro.

QUESTIONÁRIO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO

Liderança da alta administração

|Com relação ao sistema de governança corporativa: |Nível de adoção da prática |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|prefeitura dispõe de um comitê de direção estratégica formalmente instituído, que auxilia nas |( |( |( |( |( |

|decisões relativas às diretrizes, estratégias, políticas e no acompanhamento da gestão | | | | | |

|institucional. | | | | | |

|a prefeitura dispõe de um código de ética formalmente instituído, bem como divulga e monitora o seu|( |( |( |( |( |

|cumprimento. | | | | | |

|a prefeitura dispõe de uma política corporativa de gestão de riscos formalmente instituída como |( |( |( |( |( |

|norma de cumprimento obrigatório. | | | | | |

|a prefeitura dispõe de uma política corporativa de gestão de continuidade de negócio formalmente |( |( |( |( |( |

|instituída como norma de cumprimento obrigatório. | | | | | |

|Com relação ao sistema de governança e TI: |Nível de adoção da prática |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|a prefeitura dispõe de um comitê de TI formalmente instituído, composto por representantes de áreas|( |( |( |( |( |

|relevantes da prefeitura. | | | | | |

|o comitê de TI realiza as atividades previstas em seu ato constitutivo. |( |( |( |( |( |

|a prefeitura prioriza as ações de TI com apoio do comitê de TI (ou colegiado equivalente), que atua|( |( |( |( |( |

|como instância consultiva da alta administração. | | | | | |

|Com relação à entrega de resultado da TI: |Nível de adoção da prática |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|a prefeitura define formalmente diretrizes para contratação de bens e serviços de TI. |( |( |( |( |( |

|a prefeitura define formalmente diretrizes para avaliação do desempenho dos serviços de TI. |( |( |( |( |( |

| a prefeitura define formalmente diretrizes para comunicação com as partes interessadas (público |( |( |( |( |( |

|externo e interno) sobre os resultados da gestão e do uso de TI, contemplando o meio de divulgação,| | | | | |

|o conteúdo, a frequência e o formato das comunicações. | | | | | |

|Com relação aos riscos de TI: |Nível de adoção da prática |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|a prefeitura define e comunica formalmente papéis e responsabilidades pela gestão de riscos de TI. |( |( |( |( |( |

|a prefeitura define formalmente os níveis de risco de TI aceitáveis na consecução de seus objetivos|( |( |( |( |( |

|(apetite a risco). | | | | | |

|Com relação ao pessoal de TI: |Nível de adoção da prática |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|a prefeitura define formalmente diretrizes para avaliação e incentivo ao desempenho do pessoal. |( |( |( |( |( |

|a prefeitura define formalmente diretrizes para escolha dos líderes da área de TI, ocupantes dos |( |( |( |( |( |

|cargos de chefia e de assessoramento. | | | | | |

|Com relação ao monitoramento da governança e gestão da TI: |Nível de adoção da prática |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|a prefeitura realiza avaliação periódica de governança e de gestão de TI. |( |( |( |( |( |

|a prefeitura realiza avaliação periódica de sistemas de informação. |( |( |( |( |( |

|a prefeitura realiza avaliação periódica de segurança da informação. |( |( |( |( |( |

|a prefeitura realiza avaliação periódica de contratos de TI. |( |( |( |( |( |

|Com relação à auditoria interna: |Nível de adoção da prática |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|a auditoria interna monitora as ações de governança e de gestão de TI. |( |( |( |( |( |

|a prefeitura aprova, de forma periódica, plano de auditoria que inclua avaliação da governança e da|( |( |( |( |( |

|gestão de TI. | | | | | |

|a auditoria interna avalia a gestão de riscos de TI. |( |( |( |( |( |

|a auditoria interna avalia os riscos considerados críticos para o negócio e a eficácia dos |( |( |( |( |( |

|respectivos controles. | | | | | |

2. Estratégias e Planos

| |Nível de adoção da prática |

|Com relação ao planejamento estratégico institucional: | |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|o processo de planejamento estratégico institucional prevê a participação das áreas mais relevantes|( |( |( |( |( |

|da prefeitura. | | | | | |

|o processo de planejamento estratégico institucional prevê a participação da área de TI. |( |( |( |( |( |

|o processo de planejamento estratégico institucional está formalmente instituído como norma de |( |( |( |( |( |

|cumprimento obrigatório. | | | | | |

| | | | | | |

|Plano Vigente | | | | | |

|o plano estratégico institucional vigente contém pelo menos um indicador de resultado para |( |( |( |( |( |

|quantificar o cumprimento de cada objetivo estratégico estabelecido. | | | | | |

|o plano estratégico institucional vigente contém metas associadas aos indicadores de resultado. |( |( |( |( |( |

|o plano estratégico institucional vigente estabelece as ações (atividades e projetos) consideradas |( |( |( |( |( |

|necessárias para o alcance das metas fixadas. | | | | | |

|a execução do plano estratégico institucional vigente é acompanhada periodicamente quanto ao |( |( |( |( |( |

|alcance das metas estabelecidas, para correção de desvios. | | | | | |

|o plano estratégico institucional vigente está publicado na internet para acesso livre. |( |( |( |( |( |

|Informe a URL (completa): ______________________________ | | | | | |

| | | | | | |

|____________________________________________________ | | | | | |

| | | | | | |

|____________________________________________________ | | | | | |

|Com relação ao planejamento de tecnologia de informação: |Nível de adoção da prática |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|a prefeitura dispõe de um comitê de TI formalmente instituído, composto por representantes de áreas|( |( |( |( |( |

|relevantes da prefeitura. | | | | | |

|o comitê de TI realiza as atividades previstas em seu ato constitutivo. |( |( |( |( |( |

|a prefeitura prioriza as ações de TI com apoio do comitê de TI (ou colegiado equivalente), que atua|( |( |( |( |( |

|como instância consultiva da alta administração. | | | | | |

| | | | | | |

|Plano Vigente | | | | | |

|o plano de TI vigente contempla objetivos, indicadores e metas para a TI, com os objetivos |( |( |( |( |( |

|explicitamente alinhados aos objetivos de negócio constantes do plano estratégico institucional. | | | | | |

|o plano de TI vigente contém alocação de recursos (orçamentários, humanos e materiais) e estratégia|( |( |( |( |( |

|de execução indireta (terceirização). | | | | | |

|a execução do plano de TI vigente é acompanhada periodicamente quanto ao alcance das metas |( |( |( |( |( |

|estabelecidas, para correção de desvios. | | | | | |

|o plano de TI vigente vincula as ações (atividades e projetos) a indicadores e metas de negócio. |( |( |( |( |( |

|o plano de TI vigente fundamenta a proposta orçamentária de TI. |( |( |( |( |( |

3. Informações

| |Nível de adoção da prática |

|Com relação à informatização dos processos organizacionais: | |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|os principais processos de negócio da prefeitura são suportados por sistemas informatizados. |( |( |( |( |( |

|a prefeitura designa formalmente responsáveis da área de negócio para a gestão dos respectivos |( |( |( |( |( |

|sistemas informatizados. | | | | | |

|Com relação ao acesso a informações a sua divulgação: |Nível de adoção da prática |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|a prefeitura publica conjuntos de dados aderentes aos princípios de dados abertos. |( |( |( |( |( |

|Com relação à transparência das informações relacionadas à gestão e ao uso de TI: |Nível de adoção da prática |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|as informações sobre o alcance dos objetivos de TI planejados são divulgadas na internet, sendo |( |( |( |( |( |

|facilmente acessadas. | | | | | |

|os editais, seus respectivos anexos e os resultados das licitações de TI (inteiro teor) são |( |( |( |( |( |

|divulgados na internet, sendo facilmente acessados. | | | | | |

| os estudos técnicos preliminares (inteiro teor) são divulgados na internet, juntamente com os |( |( |( |( |( |

|editais de licitação de TI, sendo facilmente acessados. | | | | | |

|os contratos de TI e os respectivos aditivos (inteiro teor) são divulgados na internet, sendo |( |( |( |( |( |

|facilmente acessados. | | | | | |

|a execução orçamentária de TI, ao longo do exercício, é divulgada na internet, sendo facilmente |( |( |( |( |( |

|acessada. | | | | | |

4. Pessoas

| |Nível de adoção da prática |

|Com relação ao desenvolvimento de competências de TI: | |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|a prefeitura elabora, periodicamente, plano de capacitação para suprir as necessidades de |( |( |( |( |( |

|desenvolvimento de competências de TI. | | | | | |

|a prefeitura avalia a execução do plano de capacitação, verificando se os objetivos e resultados |( |( |( |( |( |

|esperados foram alcançados. | | | | | |

|o plano de capacitação inclui o desenvolvimento de competências em gestão de TI. |( |( |( |( |( |

|a prefeitura possui algum programa de benefício, financeiro ou não, para incentivar o |( |( |( |( |( |

|desenvolvimento de competências do pessoal de TI. | | | | | |

|Com relação ao desempenho do pessoal de TI: |Nível de adoção da prática |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|a prefeitura avalia periodicamente o desempenho do pessoal de TI. |( |( |( |( |( |

|c.. a prefeitura estabelece benefício, financeiro ou não, em função do desempenho alcançado pelo |( |( |( |( |( |

|pessoal de TI. | | | | | |

|Com relação à força de trabalho de TI, informe: |Nível de adoção da prática |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|quantitativo necessário (ideal) como força de trabalho em TI. |( |( |( |( |( |

|quantitativo total da força de trabalho existente (real) em TI. |( |( |( |( |( |

|quantitativo de servidores/empregados públicos efetivos da carreira de TI da própria prefeitura. |( |( |( |( |( |

|quantitativo de servidores/empregados públicos efetivos de outras carreiras (não TI) da própria |( |( |( |( |( |

|prefeitura. | | | | | |

|quantitativo de servidores/empregados públicos não efetivos em cargos de livre nomeação. |( |( |( |( |( |

|quantitativo de servidores/empregados públicos dedicados a atividades de provimento (aquisição e |( |( |( |( |( |

|desenvolvimento) de sistemas de informação. | | | | | |

|quantitativo de terceirizados de TI que trabalham regularmente no ambiente da prefeitura. |( |( |( |( |( |

|o quantitativo considerado ideal (item b) foi estimado com base em estudo técnico de avaliação |( |( |( |( |( |

|quantitativa e qualitativa do quadro de pessoal da área de TI. | | | | | |

|quantitativo de servidores/empregados públicos dedicados a atividades de provimento (aquisição e |( |( |( |( |( |

|desenvolvimento) de sistemas de informação. | | | | | |

5. Processos

| |Nível de adoção da prática |

|Com relação aos processos de gerenciamento de serviços de TI: | |

|Obs.: conceitos baseados na biblioteca ITIL v.3 | |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|o processo de gerenciamento do catálogo de serviços está formalmente instituído como norma de |( |( |( |( |( |

|cumprimento obrigatório. | | | | | |

|a prefeitura executa processo de gerenciamento da continuidade dos serviços de TI. |( |( |( |( |( |

|o processo de gerenciamento de continuidade dos serviços de TI está formalmente instituído como |( |( |( |( |( |

|norma de cumprimento obrigatório. | | | | | |

| | | | | | |

|Transição de serviço | | | | | |

|o processo de gerenciamento de mudanças está formalmente instituído como norma de cumprimento |( |( |( |( |( |

|obrigatório. | | | | | |

|a prefeitura executa processo de gerenciamento de configuração e ativos. |( |( |( |( |( |

|o processo de gerenciamento de configuração e ativos está formalmente instituído como norma de |( |( |( |( |( |

|cumprimento obrigatório. | | | | | |

|a prefeitura executa processo de gerenciamento de liberação e implantação. |( |( |( |( |( |

|o processo de gerenciamento de liberação e implantação está formalmente instituído como norma de |( |( |( |( |( |

|cumprimento obrigatório. | | | | | |

| | | | | | |

|Operação de serviço | | | | | |

|o processo de gerenciamento de incidentes está formalmente instituído como norma de cumprimento |( |( |( |( |( |

|obrigatório. | | | | | |

|a prefeitura executa processo de gerenciamento de problemas. |( |( |( |( |( |

|o processo de gerenciamento de problemas está formalmente instituído como norma de cumprimento |( |( |( |( |( |

|obrigatório. | | | | | |

|Com relação ao gerenciamento de nível de serviço de TI: |Nível de adoção da prática |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|Níveis de serviço são formalmente definidos entre a área de TI e as áreas clientes (Acordo de Nível|( |( |( |( |( |

|de Serviço – ANS). | | | | | |

|Com relação à gestão de riscos de TI: |Nível de adoção da prática |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|a prefeitura avalia os riscos de TI dos processos críticos de negócio. |( |( |( |( |( |

|a prefeitura trata os riscos de TI dos processos críticos de negócio com base em um plano de |( |( |( |( |( |

|tratamento de risco. | | | | | |

|a prefeitura executa um processo de gestão de riscos de TI. |( |( |( |( |( |

|o processo de gestão de riscos de TI está formalmente instituído como norma de cumprimento |( |( |( |( |( |

|obrigatório. | | | | | |

|Com relação à gestão corporativa da segurança da informação: |Nível de adoção da prática |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|a prefeitura dispõe de comitê de segurança da informação formalmente instituído responsável por |( |( |( |( |( |

|formular e conduzir diretrizes para a segurança da informação corporativa, composto por | | | | | |

|representantes de áreas relevantes da prefeitura. | | | | | |

|a prefeitura possui gestor de segurança da informação formalmente designado, responsável pelas |( |( |( |( |( |

|ações corporativas de segurança da informação. | | | | | |

|a prefeitura dispõe de política de controle de acesso à informação e aos recursos e serviços de TI |( |( |( |( |( |

|formalmente instituída como norma de cumprimento obrigatório. | | | | | |

|a prefeitura dispõe de política de cópias de segurança (backup) formalmente instituída como norma |( |( |( |( |( |

|de cumprimento obrigatório. | | | | | |

| | | | | | |

|Controles e Atividades | | | | | |

|o processo de gestão de ativos está formalmente instituído como norma de cumprimento obrigatório. |( |( |( |( |( |

|a prefeitura executa processo para classificação e tratamento de informações. |( |( |( |( |( |

|o processo para classificação e tratamento de informações está formalmente instituído como norma de|( |( |( |( |( |

|cumprimento obrigatório. | | | | | |

|a prefeitura implementa controles para garantir a proteção adequada ao grau de confidencialidade de|( |( |( |( |( |

|cada classe de informação. | | | | | |

|a prefeitura executa processo de gestão de riscos de segurança da informação. |( |( |( |( |( |

|o processo de gestão de riscos de segurança da informação está formalmente instituído como norma de|( |( |( |( |( |

|cumprimento obrigatório. | | | | | |

|a prefeitura executa processo de gestão de vulnerabilidades técnicas de TI, com objetivo de reduzir|( |( |( |( |( |

|o risco de exploração de vulnerabilidades conhecidas. | | | | | |

|o processo de gestão de vulnerabilidades técnicas de TI está formalmente instituído como norma de |( |( |( |( |( |

|cumprimento obrigatório. | | | | | |

|a prefeitura executa processo de monitoramento do uso dos recursos de TI, com objetivo de detectar |( |( |( |( |( |

|atividades não autorizadas. | | | | | |

|o processo de monitoramento do uso dos recursos de TI está formalmente instituído como norma de |( |( |( |( |( |

|cumprimento obrigatório. | | | | | |

|a prefeitura executa processo de gestão de incidentes de segurança da informação. |( |( |( |( |( |

|o processo de gestão de incidentes de segurança da informação está formalmente instituído como |( |( |( |( |( |

|norma de cumprimento obrigatório. | | | | | |

|a prefeitura possui equipe de tratamento e resposta a incidentes de segurança em redes |( |( |( |( |( |

|computacionais, formalmente instituída. | | | | | |

|a prefeitura realiza, de forma periódica, ações de conscientização, educação e treinamento em |( |( |( |( |( |

|segurança da informação para seus colaboradores. | | | | | |

|Com relação ao processo de software: |Nível de adoção da prática |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|o processo de software é acompanhado por meio de mensurações, com indicadores quantitativos e metas|( |( |( |( |( |

|de processo a cumprir. | | | | | |

|o processo de software é periodicamente revisado e melhorado com base nas mensurações obtidas. |( |( |( |( |( |

|a prefeitura possui pessoal próprio capacitado para gerir a execução do processo de software. |( |( |( |( |( |

|o processo de software está formalmente instituído como norma de cumprimento obrigatório. |( |( |( |( |( |

|Com relação ao gerenciamento de projetos de TI: |Nível de adoção da prática |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|a prefeitura executa processo de gerenciamento de projetos de TI. |( |( |( |( |( |

|o processo de gerenciamento de projetos de TI é acompanhado por meio de mensurações, com |( |( |( |( |( |

|indicadores quantitativos e metas de processo a cumprir. | | | | | |

|o processo de gerenciamento de projetos de TI é periodicamente revisado e melhorado com base nas |( |( |( |( |( |

|mensurações obtidas. | | | | | |

|o processo de gerenciamento de projetos de TI está formalmente instituído como norma de cumprimento|( |( |( |( |( |

|obrigatório. | | | | | |

|a prefeitura possui um escritório de projetos, ao menos para projetos de TI. |( |( |( |( |( |

|Com relação às contratações de serviços de TI: |Nível de adoção da prática |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|a prefeitura explicita, nos autos, as necessidades de negócio que se pretende atender com a |( |( |( |( |( |

|contratação. | | | | | |

|a prefeitura explicita, nos autos, os indicadores dos benefícios de negócio que serão alcançados. |( |( |( |( |( |

|a prefeitura explicita, nos autos, o alinhamento entre a contratação e os planos estratégico |( |( |( |( |( |

|institucional e de TI vigentes. | | | | | |

|a prefeitura realiza análise dos riscos que possam comprometer o sucesso do processo de contratação|( |( |( |( |( |

|e dos resultados que atendam as necessidades de negócio. | | | | | |

|a prefeitura adota métricas objetivas para mensuração de resultados do contrato. |( |( |( |( |( |

|a prefeitura realiza os pagamentos dos contratos em função da mensuração objetiva dos resultados |( |( |( |( |( |

|entregues e aceitos. | | | | | |

|a prefeitura realiza sistematicamente a avaliação de qualidade dos serviços, de acordo com a |( |( |( |( |( |

|previsão contratual. | | | | | |

|a prefeitura realiza a análise dos benefícios reais já obtidos, utilizando-a como critério para |( |( |( |( |( |

|prorrogar o contrato. | | | | | |

|a prefeitura designa formalmente gestor e fiscais do contrato. |( |( |( |( |( |

|Com relação ao processo de planejamento das contratações de TI: |Nível de adoção da prática |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|o processo de planejamento das contratações de TI é acompanhado por meio de mensurações, com |( |( |( |( |( |

|indicadores quantitativos e metas de processo a cumprir. | | | | | |

|o processo de planejamento das contratações de TI é periodicamente revisado e melhorado com base |( |( |( |( |( |

|nas mensurações obtidas. | | | | | |

|Com relação ao processo de gestão dos contratos de TI: |Nível de adoção da prática |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|o processo de gestão de contratos de TI é acompanhado por meio de mensurações, com indicadores |( |( |( |( |( |

|quantitativos e metas de processo a cumprir. | | | | | |

|o processo de gestão de contratos de TI é periodicamente revisado e melhorado com base nas |( |( |( |( |( |

|mensurações obtidas. | | | | | |

|o processo de gestão de contratos de TI está formalmente instituído como norma de cumprimento |( |( |( |( |( |

|obrigatório. | | | | | |

|Com relação às contratações de TI (bens ou serviços) realizadas em 2015, informe: |

|Item |Quantidade total de contratos |Valor total contratado (em R$) |

|contratações realizadas. | | |

|contratações que adotaram o sistema de registro de preço (SRP), em que a | | |

|própria prefeitura foi gerenciadora da ata. | | |

|contratações que adotaram o sistema de registro de preço, em que a | | |

|prefeitura foi órgão participante. | | |

|contratações por adesão a ata de registro de preço (“carona”), em que a | | |

|prefeitura não foi órgão participante. | | |

|contratações por dispensa de licitação por contrato emergencial. | | |

|contratações por dispensa de licitação para contratar órgão/entidade da | | |

|Administração Pública (Lei 8.666/1993, art. 24, VII ou XVI). | | |

|contratações por inexigibilidade de licitação. | | |

1. Resultados de TI

|Com relação aos objetivos de TI planejados pela prefeitura, informe as metas mais relevantes para cumprimento em 2015 (até 5): |

|Nome do Objetivo |Indicador |Meta 2015 (valor |Percentual de |

| | |numérico associado ao |cumprimento da meta |

| | |indicador) | |

|1. | | |% |

|2. | | |% |

|3. | | |% |

|4. | | |% |

|5. | | |% |

|Comentários (não obrigatório) |

| |

|6.2.1 Com relação aos projetos de TI iniciados até 2015 que estão em andamento, informe os de maior valor orçado (até 5): |

|Nome do projeto de TI |Breve descrição |Custo estimando *(R$) |Percentual de |Percentual de |

| | | |atraso em relação |execução em |

| | | |ao prazo estimado |relação ao escopo |

|1. | | |% |% |

|2. | | |% |% |

|3. | | |% |% |

|4. | | |% |% |

|5. | | |% |% |

|6.2.1 Comentários (não obrigatório) |

| |

| |

| |

| |

|6.2.2 Com relação aos projetos de TI encerrados em 2015, informe os de maior valor orçado (até 5): |

|Nome do projeto de IT |Breve descrição |Custo estimado |Custo final |Percentual de |Percentual de |

| | | | |execução em relação|atraso em relação |

| | | | |ao escopo |ao prazo estimado |

|1. | | | |% |% |

|2. | | | |% |% |

|3. | | | |% |% |

|4. | | | |% |% |

|5. | | | |% |% |

|6.2.2 Comentários (não obrigatório) |

| |

| |

| |

|6.3. Com relação aos principais serviços de TI que sustentam as atividades da prefeitura, informe: |

|Nome do serviço de TI |Principal indicador de nível de serviço|Meta 2015 (valor numérico associado|Percentual de |

| | |ao indicador) |cumprimento da meta |

|1. | | |% |

|2. | | |% |

|3. | | |% |

|4. | | |% |

|5. | | |% |

|6.3.1. Comentários (não obrigatório) |

| |

| |

| |

|6.4. Preencher os itens abaixo no caso da prefeitura prestar serviços públicos ao cidadão |

|Quantidade de serviços públicos disponíveis | |

|Quantidade de serviços públicos prestados integralmente sob a forma eletrônica | |

| |Nível de adoção da prática |

|6.5. Com relação aos serviços digitais disponíveis: | |

| |Não se |Não |Iniciou |Adota de|Adota de|

| |aplica |adota |plano |forma |forma |

| | | |para |parcial |integral|

| | | |adotar | | |

|há metas definidas para a ampliação da oferta de serviços digitais. |( |( |( |( |( |

|os serviços acessíveis via internet implementam as recomendações do Modelo de Acessibilidade de |( |( |( |( |( |

|Governo Eletrônico – eMAG, previsto no Programa de Governo Eletrônico Brasileiro. | | | | | |

|os serviços acessíveis via internet são avaliados pelo usuário por meio de pesquisas periódicas |( |( |( |( |( |

|de satisfação. | | | | | |

|a prefeitura possui perfil oficial em rede social com a finalidade de descobrir e atender às |( |( |( |( |( |

|necessidades do usuário. | | | | | |

2. Informações Adicionais

7.1. Com relação à informatização da prefeitura,

7.1.1 Preencher os campos abaixo, quando aplicável:

Natureza: (1) Desenv. Interno; (2) Desenv. Externo; (3) Locação; (4) Aquisição; (5) Software livre;

(6) Outro. Qual?

|Sistema/Módulo |Possui (S/N)|Natureza |Nome do Sistema |Nome do Fornecedor |CNPJ do Fornecedor |

|Contábil | | | | | |

|Financeiro | | | | | |

|Tributário | | | | | |

|Licitações e Contratos | | | | | |

|Patrimonial | | | | | |

|Planejamento | | | | | |

|(Suporte à elaboração da LDO, LOA e| | | | | |

|PPA) | | | | | |

|RH | | | | | |

|(folha de pagamento) | | | | | |

|Apoio à gestão da educação | | | | | |

|(Suporte para alunos, professores, | | | | | |

|secretaria de educação, etc) | | | | | |

|Apoio à gestão da saúde | | | | | |

|(Suporte à rede de saúde, | | | | | |

|atendimentos, agendamentos, etc.) | | | | | |

|Geoprocessamento (Informação | | | | | |

|geográfica suportando as áreas) | | | | | |

7.1.2. Caso a prefeitura possua Sistema Contábil, informar:

Arquitetura: ( Cliente-Servidor.

( WEB.

( Outra. Qual: ___________________________________

Há viabilidade para fornecimento de senha de acesso remoto (perfil de consulta) para o TCE-RJ?

( Sim. ( Não. Justifique: ______________________________________

7.2. Selecione das opções abaixo os serviços de governo eletrônico disponibilizados pelos portais da prefeitura e demais secretarias:

( Serviços escolares (Matrícula online, consulta boletim, frequência, etc.)

( Emissão do boleto de IPTU

( Parcelamento de débitos

( Consulta e emissão de Nota Fiscal Eletrônica (NFe)

( Emissão de certidões

( Consulta de processos administrativos

( Pregão online

( Atualização de dados cadastrais (IPTU)

( Consulta a infrações de trânsito

( Emissão de alvarás e licenças

( Outros. Quais: ________________________________________________________

7.3. Em relação às bases de dados dos sistemas da Prefeitura, selecione a resposta que melhor se adequa à realidade do município:

7.3.1. Acerca dos dados da Dívida Ativa da prefeitura:

( Os dados são armazenados eletronicamente em um banco da dados e seu conteúdo está sob a gerência direta do município.

( Os dados são armazenados eletronicamente em um banco de dados e seu conteúdo está na gerência indireta do município, ou seja, em sistemas terceirizados.

( Os dados não possuem registros eletrônicos.

( Outros. Qual: _________________________________________________________

7.3.2. Acerca dos dados do IPTU do município:

( Os dados são armazenados eletronicamente em um banco da dados e seu conteúdo está sob a gerencia direta do município.

( Os dados são armazenados eletronicamente em um banco de dados e seu conteúdo está na gerência indireta do município, ou seja, em sistemas terceirizados.

( Os dados não possuem registros eletrônicos.

( Outros. Qual: __________________________________

7.3.3. Acerca da arrecadação tributária municipal em relação ao ISSQN (Imposto sobre Serviços de Qualquer Natureza)

( A prefeitura possui Nota Fiscal Eletrônica e os dados dos contribuintes estão em sua posse direta.

( prefeitura possui Nota Fiscal Eletrônica e os dados dos contribuintes estão em sua posse indireta, ou seja, são administrados por empresas terceirizadas.

( Não foi implantada a Nota Fiscal Eletrônica.

( Outros. Qual: __________________________________

7.4. Nas contratações de bens e serviços de Tecnologia da Informação do município, a prefeitura faz uso da Nota Técnica de Economicidade do TCE-RJ (Nota Técnica SGE nº 01/2015, disponível em ) ?

( Sim ( Não

7.5. Com relação ao hardware que suporta os sistemas de informação utilizados pela prefeitura, qual a quantidade de servidores de banco de dados e de aplicações a prefeitura (em conjunto com suas secretarias e demais órgãos) utiliza ?

Resposta: ____.

7.6. Distribua a quantidade dos servidores elencados (7.5) pela forma de hospedagem que melhor se enquadra na tabela abaixo:

|Sala-cofre: ____ . |Rack seguro: ____ . |Sala trancada por chave e acesso limitado: |

| | |____ . |

|Sala aberta ao público: |Local sob a posse de terceiro: ____ . |Outros (especificar): __________________ |

|____ . | |__________________________________ . |

7.7. Os contratos de serviços de tecnologia da informação firmados pela prefeitura preveem cláusulas de transição e encerramento contratual que visem à continuidade do negócio por parte da administração, abrangendo conforme o caso, transferências de dados, tecnologia e conhecimento ?

( Sim ( Não

7.8. O setor de TI possui pessoal com competência técnica para subsidiar a administração municipal na elaboração do Plano Diretor de Tecnologia da Informação (PDTI) ?

( Sim ( Não

7.9. Informar o orçamento total de TI da Prefeitura (considerar o somatório de todo o orçamento da Prefeitura e de seus órgãos para a TI, no caso da TI ser descentralizada, incluindo orçamento para manutenção de equipamentos, locação de software e sistemas, desenvolvimento de software, desenvolvimento ou manutenção de sítio internet, gastos com link internet, rede de computadores etc):

Previsto para 2016 (R$): _______________________.

Executado em 2015 (R$): _______________________.

Executado em 2014 (R$): _______________________.

8. Conclusão

| Há informações prestadas neste questionário classificadas como não públicas? |

|Caso positivo, apresente a justificativa, incluindo o endereço eletrônico no qual se encontra o respectivo instrumento de classificação da |

|informação. |

|Ο Não |

|Ο Sim – Justifique: |

| |

|Levantamentos periódicos de Governança de TI a cargo do TCE-RJ contribuem para a melhoria da governança e gestão da TI da prefeitura? |

|Ο Discordo totalmente |

|Ο Dicordo parcialmente |

|Ο Indiferente |

|Ο Concordo parcialmente |

|Ο Concordo totalmente |

|Comentários: Utilize o espaço abaixo para registrar suas considerações acerca da pesquisa, incluindo críticas às questões, alertas para situações|

|especiais não contempladas ou qualquer outra contribuição que considere válida. Justifique também as respostas assinaladas como “Não se aplica”. |

|Tais comentários permitirão análise mais adequada dos dados encaminhados e melhorias para os próximos questionários. |

| |

| |

|As respostas apresentadas neste questionário refletem a realidade da prefeitura e são do conhecimento do dirigente máximo discriminado abaixo: |

|Nome do Prefeito (a): |

|E-mail do Prefeito (a): |

Anexo B – Fórmula de Cálculo do iGovTI

D1 = Dimensão Liderança

D2 = Dimensão Estratégias e Planos

D3 = Dimensão Informações

D4 = Dimensão Pessoas

D5 = Dimensão Processos

D6 = Dimensão Resultados de TI

iGovTI = ((D1 * 0.21) + (D2 * 0.16) + (D3 * 0.16) + (D4 * 0.16) + (D5 * 0.19) + (D6 * 0.12)) / 10

|Dimensão |Fórmula de Cálculo |

|D1 |D1 = Q11 * 0.15 + Q12 * 0.14 + Q13 * 0.17 + Q14 * 0.14 + Q15 * 0.14 + Q16 * 0.16 + Q17 * 0.1 |

|D2 |D2 = Q21 * 0.44 + Q22 * 0.56 |

|D3 |D3 = Q31 * 0.5 + Q32 * 0.2 + Q33 * 0.3 |

|D4 |D4 = Q41 * 0.48 + Q42 * 0.41 + Q43 * 0.11 |

|D5 |D5 = Q51 * 0.12 + Q52 * 0.1 + Q53 * 0.11 + Q54 * 0.13 + Q55 * 0.11 + Q56 * 0.11 + Q57 * 0.1 + Q58 * 0.11 + Q59 |

| |* 0.11 |

|D6 |D6 = Q61 * 0.3 + Q62 * 0.21 + Q63 * 0.28 + Q65 * 0.21 |

|Questão |Fórmula de Cálculo |

|Q11 |Q11 = (q11_a * 21 + q11_b * 17 + q11_c * 21 + q11_d * 23 + q11_e * 18) / 10 |

|Q12 |Q12 = (q12_a * 31 + q12_b * 19 + q12_c * 24 + q12_d * 26) / 10 |

|Q13 |Q13 = (q13_a * 25 + q13_b * 26 + q13_c * 26 + q13_d * 23) / 10 |

|Q14 |Q14 = (q14_a * 34 + q14_b * 35 + q14_c * 31) / 10 |

|Q15 |Q15 = (q15_a * 42 + q15_b * 40 + q15_c * 18) / 10 |

|Q16 |Q16 = (q16_a * 19 + q16_b * 21 + q16_c * 19 + q16_d * 21 + q16_e* 20) / 10 |

|Q17 |Q17 = (q17_a * 22 + q17_b * 19 + q17_c * 19 + q17_d * 21 + q17_e * 19) / 10 |

|Q21 |Q21 = (q21_a * 12.5 + q21_b * 12.5 + q21_c * 14 + q21_d * 11 + q21_e * 9 + q21_f * 8 + q21_g * 8.5 + q21_h * 11|

| |+ q21_i * 12 + q21_j * 1.5) / 10 |

|Q22 |Q22 = (q22_e * 15 + q22_f * 16.5 + q22_g * 17.5 + q22_h * 18.5 + q22_i * 15.5 + q22_j * 17) / 10 |

|Q31 |Q31 = (q31_a * 36 + q31_b * 30 + q31_c * 34) / 10 |

|Q32 |Q32 = (q32_a * 60 + q32_b * 40) / 100 |

|Q33 |Q33 = (q33_a * 14 + q33_b * 18 + q33_c * 18 + q33_d * 18 + q33_e * 14 + q33_f * 18) / 10 |

|Q41 |Q41 = (q41_a * 20 + q41_b * 22 + q41_c * 22 + q41_d * 22 + q41_e * 14) / 10 |

|Q42 |Q42 = (q42_a * 36 + q42_b * 26 + q42_c * 38) / 10 |

|Q43 |Q43Ideal = q43_b |

| |Q43ForcaPropria = q43_d + q43_e |

| |Q43Total = If(q43_a > 0 And q43_a > q43_c, q43_a, q43_c) |

| |If Q43Total = 0 Then |

| |'IAFT=Índice de Autonomia da Força de Trabalho em TI |

| |Q43IAFT = 0 |

| |Else |

| |Q43IAFT = (Q43ForcaPropria) / Q43Total |

| |If Q43IAFT > 1 Then |

| |Q43IAFT = 1 ' |

| |End If |

| |If Q43Ideal = 0 Then |

| |‘IS=Índice de Suficiência da Força de Trabalho |

| |Q43IS = 0 |

| |Else |

| |Q43IS = q43_c / Q43Ideal |

| |If Q43IS > 1 Then |

| |Q43IS = 1 |

| |End If |

| |Q43 = (Q43IAFT + Q43IS) / 2 * 100 |

|Q51 |Q51 = (q51_a * 7 + q51_b * 7 + q51_c * 7 + q51_d * 7 + q51_e * 8 + q51_f * 8 + q51_g * 7 + q51_h * 7 + q51_i * 7 +|

| |q51_j * 7 + q51_k * 7 + q51_l * 7 + q51_m * 7 + q51_n * 7) / 10 |

|Q52 |Q52 = (q52_a * 50 + q52_b * 50) / 10 |

|Q53 |Q53 = (q53_a * 21 + q53_b * 21 + q53_c * 21 + q53_d * 20 + q53_e * 17) / 10 |

|Q54 |Q54 = (q54_a * 19 + q54_b * 15 + q54_c * 19 + q54_d * 25 + q54_e * 22 + q54_f * 6 + q54_g * 6 + q54_h * 7 + q54_i |

| |* 6 + q54_j * 6 + q54_k * 8 + q54_l * 7 + q54_m * 7 + q54_n * 7 + q54_o * 7 + q54_p * 6 + q54_q * 7 + q54_r * 7 + |

| |q54_s * 7 + q54_t * 6) / 10 |

|Q55 |Q55 = (q55_a * 21 + q55_b * 20 + q55_c * 21 + q55_d * 16 + q55_e * 22) / 10 |

|Q56 |Q56 = (q56_a * 15 + q56_b * 18 + q56_c * 18 + q56_d * 18 + q56_e * 17 + q56_f * 14) / 10 |

|Q57 |Q57 = (q57_a * 12 + q57_b * 11 + q57_c * 10 + q57_d * 10 + q57_e * 10 + q57_f * 10 + q57_g * 10 + q57_h * 10 + |

| |q57_i * 10 + q57_j * 7) / 10 |

|Q58 |Q58 = (q58_a * 36 + q58_b * 32 + q58_c * 32) / 10 |

|Q59 |Q59 = (q59_a * 29 + q59_b * 24 + q59_c * 23 + q59_d * 24) / 10 |

|Q61 |Q61 = (IIf(q61_a4 > 100, 100, q61_a4) + IIf(q61_b4 > 100, 100, q61_b4) + IIf(q61_c4 > 100, 100, q61_c4) + |

| |IIf(q61_d4 > 100, 100, q61_d4) + IIf(q61_e4 > 100, 100, q61_e4)) / 5 |

| |Obs: Q61 é a média aritmética das metas planejadas para 2015 |

|Q62 |' Parte 1: Projetos em andamento |

| |' Quantidade de projetos em andamento |

| |Q621ContProj = IIf(not isNull(Q621_a1), 1, 0) + IIf(not isNull(Q621_b1), 1, 0) + IIf(not isNull(Q621_c1), 1, 0) + |

| |IIf(not isNull(Q621_d1), 1, 0) + IIf(not isNull(Q621_e1), 1, 0) |

| |' Soma dos Atrasos |

| |Q621SomaAtraso = IIf((q621_a5) >= 100, 0, IIf(q621_a5 < 0, 1, 1 – (q621_a5/100)) + IIf((q621_b5) >= 100, 0, |

| |IIf(q621_b5 < 0, 1, 1 – (q621_b5/100)) + IIf((q621_b5) >= 100, 0, IIf(q621_c5 < 0, 1, 1 – (q621_c5/100)) + |

| |IIf((q621_c5) >= 100, 0, IIf(q621_d5 < 0, 1, 1 – (q621_d5/100)) + IIf((q621_b5) >= 100, 0, IIf(q621_b5 < 0, 1, 1 –|

| |(q621_b5/100)) |

| |' Quantidade de projetos com custo estimado |

| |Q621QtdProjCE = IIf(q621_a3 > 0, 1, 0) + IIf(q621_b3 > 0, 1, 0) + IIf(q621_c3 > 0, 1, 0) + IIf(q621_d3 > 0, 1, 0) |

| |+ IIf(q621_e3 > 0, 1, 0) |

| |' Índice de atraso |

| |Q621IA = Q621SomaAtraso / Q621ContProj |

| |' Índice de estimativa de custo |

| |Q621IEC = Q621QtdProjCE/ Q621ContProj |

| |Q621 = (Q621IA) * (Q621IEC) |

| | |

| |' Parte 2: Projetos concluídos |

| |' Quantidade de projetos encerrados |

| |Q622ContProj = IIf(not isNull(q622_a1), 1, 0) + IIf(not isNull(Q622_b1), 1, 0) + IIf(not isNull(Q622_c1), 1, 0) + |

| |IIf(not isNull(Q622_d1), 1, 0) + IIf(not isNull(Q622_e1), 1, 0) |

| |' Soma dos escopos |

| |Q622SomaEscopo = IIf((q621_a5) >= 100, 0, IIf(q621_a5 < 0, 1, 1 – (q621_a5/100)) + IIf((q621_b5) >= 100, 0, |

| |IIf(q621_b5 < 0, 1, 1 – (q621_b5/100)) + IIf((q621_b5) >= 100, 0, IIf(q621_c5 < 0, 1, 1 – (q621_c5/100)) + |

| |IIf((q621_c5) >= 100, 0, IIf(q621_d5 < 0, 1, 1 – (q621_d5/100)) + IIf((621_b5) >= 100, 0, IIf(q621_b5 < 0, 1, 1 – |

| |(q621_b5/100)) |

| |' Soma dos atrasos |

| |Q622SomaAtraso = IIf((q621_a6) >= 100, 0, IIf(q621_a6 < 0, 1, 1 – (q621_a6/100)) + IIf((q621_b6) >= 100, 0, |

| |IIf(q621_b6 < 0, 1, 1 – (q621_b6/100)) + IIf((q621_b6) >= 100, 0, IIf(q621_c6 < 0, 1, 1 – (q621_c6/100)) + |

| |IIf((q621_c6) >= 100, 0, IIf(q621_d6 < 0, 1, 1 – (q621_d6/100)) + IIf((621_b6) >= 100, 0, IIf(q621_b6 < 0, 1, 1 – |

| |(q621_b6/100)) |

| |' Soma da relação custo estimado x custo final |

| |Q622SomaC = IIf(q622_a4 > 0, IIf(q622_a3/q622_a4 > 1, 1, q622_a3/q622_a4) ,0) + IIf(q622_b4 > 0, |

| |IIf(q622_b3/q622_b4 > 1, 1, q622_b3/q622_b4) ,0) + IIf(q622_c4 > 0, IIf(q622_c3/q622_c4 > 1, 1, q622_c3/q622_c4) |

| |,0)+ IIf(q622_d4 > 0, IIf(q622_d3/q622_d4 > 1, 1, q622_d3/q622_d4) ,0) + IIf(q622_e4 > 0, IIf(q622_e3/q622_e4 > 1,|

| |1, q622_e3/q622_e4) ,0) |

| |' Índice de execução |

| |Q622IE = Q622SomaEscopo/ (Q622ContProj * 100) |

| |' Índice de atraso |

| |Q622IA = Q622SomaAtraso/ Q622ContProj |

| |' Índice acerto do custo estimado |

| |Q622IACE = Q622SomaC / Q622ContProj |

| |Q622 = Q622IE * Q622IACE * Q622IA |

| |Q62 = (Q621 * 0.2 + Q622 * 0.8) |

|Q63 |Q63 = (IIf(q63_a4, > 100, 100, q63_a4) + IIf(q63_b4 > 100, 100, q63_b4) + IIf(q63_c4 > 100, 100, q63_c4) + |

| |IIf(q63_d4 > 100, 100, q63_d4) + IIf(q63_e4 > 100, 100, q63_e4)) / 50 |

|Q65 |Q65 = (q65_a * 20 + q65_b * 20 + q65_c * 20 + q65_d * 25 + q65_e * 15) / 10 |

À Consideração de V.S.ª

CTO, 02/01/2017

ALBERTO DE FONTES TAVARES NETO

Analista – Área de Controle Externo

Matrícula 02/4260

02/003706=02/003637 "" "GUSTAVO BASTOS MONTEIRO" \* MERGEFORMAT GUSTAVO BASTOS MONTEIRO

02/003706=02/003637 "" "Analista - Área de Controle Externo" \* MERGEFORMAT Analista - Área de Controle Externo

02/003706=02/003637 "" " Matrícula 02/003706" \* MERGEFORMAT Matrícula 02/003706

Senhor Secretário-Geral da SGE

Encaminho a V.S.ª o relatório do levantamento realizado na área de Tecnologia da Informação nas prefeituras jurisdicionadas do Estado do Rio de Janeiro, conforme Plano Setorial da CTO, integrante do Plano Anual de Auditoria Governamental do TCE-RJ (PAAG), fiscalização n.º 485/2016, aprovado pelo Exmo. Sr. Presidente desta Corte.

O trabalho desenvolvido pela CTO objetivou realizar um diagnóstico da situação de governança de TI nas prefeituras supracitadas, visando a subsidiar as ações de fiscalização do TCE-RJ nessa área e orientar os órgãos jurisdicionados por meio de informações que possam conduzir ao incremento dos seus níveis de governança de TI.

Após minucioso exame da documentação pertinente, a Equipe de Auditoria apresenta sua proposta de encaminhamento às fls. 59/62, com a qual concordo integralmente.

CTO, 02/01/2017

SERGIO LINO DA SILVA CARVALHO

Coordenador-Geral

Matrícula 02/003637

-----------------------

[1] , acessado em 12.04.20176

[2] Em administração, um framework é uma estrutura conceitual básica que permite o manuseio homogêneo de diferentes objetos de negócio. Contém normas e padrões aplicáveis a determinadas áreas de negócio.

[3] Project Management Body of Knowledge (PMBOK) é um guia com um conjunto de práticas na gestão de projetos, organizado pelo instituto PMI, sendo considerado a base do conhecimento sobre gestão de projetos por profissionais da área.

[4] UN E-Government Survey, 2014

[5] Nota Técnica SGE nº 01/2015, disponível em

-----------------------

TRIBUNAL DE CONTAS DO ESTADO DO RIO DE JANEIRO

SECRETARIA GERAL DE CONTROLE EXTERNO

COORDENADORIA DE AUDITORIAS TEMÁTICAS E OPERACIONAIS

TCE-RJ

Processo nº 828.786-5/2016

Rubrica Fls. 1

................
................

In order to avoid copyright disputes, this page is only a partial summary.

Google Online Preview   Download