Para avaliar a situação de governança de TI na Administração Pública Federal, o Tribunal de Contas da União tem realizado levantamentos baseados em questionários que abordam práticas de governança e de gestão de TI previstas em leis, regulamentos, normas técnicas e modelos internacionais de boas práticas.
O primeiro levantamento de governança de TI, realizado em 2007, contou com a participação de 255 organizações, que responderam a questionário com 39 perguntas, resultando no Acórdão 1.603/2008-TCU-Plenário. Diante do cenário preocupante identificado na oportunidade, este Tribunal determinou à Sefti a realização de novos levantamentos dessa natureza, tendo em vista a necessidade de acompanhar e manter base de dados atualizada com a situação de governança de tecnologia da informação (TI) na Administração Pública Federal (APF).
O levantamento realizado em 2010, apreciado pelo Acórdão 2.308/2010-TCU-Plenário, revelou, após avaliar dados de 349 organizações, que a situação da governança de TI era bem heterogênea. Alguns aspectos, como planejamento estratégico institucional e carreira própria de TI, mostraram evolução. Outros, como planejamento estratégico de TI e monitoramento da TI, permaneciam nos mesmos patamares identificados no levantamento de 2007.
Com o objetivo de induzir a melhoria da governança de TI na APF, o TCU criou, no âmbito do levantamento de 2010, um índice que busca refletir, de forma geral, a situação de governança de TI de cada organização avaliada, denominado de índice de governança de TI (iGovTI).
A partir de 2012, em atendimento ao item 9.4.3 do Acórdão 2.308/2010-TCU-Plenário, a Sefti estabeleceu processo de trabalho para avaliar a governança de TI na APF em ciclos de dois anos. No primeiro ano do ciclo, realiza-se a fase de coleta das informações por meio do levantamento de governança de TI. No ano seguinte, são realizadas auditorias específicas em uma amostra das organizações participantes, com o intuito de validar as respostas coletadas no levantamento, aprofundar a análise de alguns aspectos relacionados à governança e à gestão de TI e identificar boas práticas adotadas pelas organizações.
O levantamento 2012, que resultou no Acórdão 2.585/2012-TCU-Plenário, avaliou ao todo 349 organizações com base em questionário, que, seguindo o modelo do Cobit 5, deixou mais clara a distinção entre governança e gestão de TI. Além disso, avaliou-se, pela primeira vez, a dimensão Resultados, subdividida em três grupos de questões: 1) Resultados da gestão; 2) Resultados da governança para os cidadãos; e 3) Resultados da governança para a sociedade.
Os dados coletados revelaram, em geral, um cenário de evolução na situação de governança de TI na APF, sugerindo que as medidas adotadas pelos órgãos governantes superiores e pelo TCU estavam surtindo efeito. Contudo, ainda havia bastante espaço para melhoria, haja vista que muitas organizações possuíam nível de capacidade baixo para vários aspectos avaliados.
Continuando o processo de avaliação do ciclo 2012, foram realizadas, em 2013, auditorias específicas em uma amostra de 20 organizações, com o objetivo de validar a situação apurada no levantamento, bem como avaliar a gestão de risco e o alcance dos resultados de TI. As fiscalizações revelaram que, em geral, a situação real dos auditados era menos favorável do que a informada no questionário. Destacam-se algumas das decisões que apreciaram as referidas auditorias: Acórdão 755/2014-TCU-Plenário, Acórdão 1.684/2014-TCU-Plenário e Acórdão 1.015/2014-TCU-Plenário.
No ciclo atual, a principal novidade diz respeito à mudança da escala de resposta do questionário, que antes era binária (sim ou não) e passou a ter cinco categorias de resposta, relativas ao nível de adoção da prática (não se aplica, não adota, iniciou plano para adotar, adota parcialmente, adota integralmente).
A compilação dos dados coletados, por sua vez, demonstrou, em geral, uma tendência de evolução da situação, reforçando a importância da continuidade das ações de indução de melhoria da governança de TI promovidas pelos órgãos governantes superiores e pelo TCU. A situação, todavia, ainda está distante do ideal, haja vista o nível de adoção insuficiente de muitas práticas fundamentais para que a TI agregue o valor devido aos resultados organizacionais.