A Comissão Interministerial de Governança Corporativa e de Administração de Participações Societárias da União - CGPAR, no uso das atribuições que lhe conferem os arts. 3º e 7º do Decreto nº 6.021, de 22 de janeiro de 2007, e tendo em vista proposição do Grupo Executivo - GE, aprovada conforme Ata de sua 78ª Reunião Ordinária, realizada no dia 22 de junho de 2015,

Resolve:

Art. 1º As empresas estatais federais devem planejar, implementar e manter práticas de governança de Tecnologia da Informação (TI) que atendam de forma adequada os padrões usualmente reconhecidos nesta área.

§ 1º A adoção das práticas de que trata o caput deste artigo deve ser compatível com o porte da empresa estatal, a natureza das operações, o ambiente de negócio em que está inserida, o grau de sigilo de suas informações, a complexidade de sua estrutura organizacional e de tecnologia da informação, bem como de suas práticas de aquisição, desenvolvimento e manutenção de sistemas.

§ 2º A aplicação desta Resolução deve envolver as áreas responsáveis pelos diversos processos, alguns dos quais são relacionados, porém não subordinados, diretamente à área de TI.

Art. 2º As práticas de governança de TI devem incluir:

I - Elaboração e acompanhamento de Plano Estratégico de Tecnologia da Informação (PETI), aderente ao Plano Estratégico Institucional (PEI), dando-lhe ampla divulgação, à exceção de informações classificadas como não públicas, nos termos da lei;

II - Elaboração e acompanhamento de Plano Diretor de Tecnologia da Informação (PDTI), aderente ao PETI, dando-lhe ampla divulgação, à exceção de informações classificadas como não públicas, nos termos da lei;

III - Definição e acompanhamento de indicadores e metas ligadas ao planejamento de TI, baseados em parâmetros de governança e nas necessidades do negócio;

IV - Estabelecimento de colegiado de nível estratégico de TI, formado por representantes da alta administração, incluindo ao menos um Diretor estatutário, responsável por assegurar a adoção de práticas estabelecidas nesta Resolução, pelo direcionamento estratégico de TI, e pela avaliação de seus principais investimentos;

V - Estabelecimento de colegiado de nível tático, responsável, ao menos, pela definição dos investimentos seguindo as prioridades estabelecidas pelo colegiado de nível estratégico, pelo monitoramento de projetos e solução de conflitos, e pelo monitoramento dos níveis de serviço de TI e de sua melhoria;

VI - Definição de processos críticos de negócio, com identificação dos gestores responsáveis pelos sistemas de informação que dão suporte a esses processos;

VII - Formalização de processos de gestão de serviços internos de TI, incluindo, ao menos, gestão de configuração, gestão de incidentes, gestão de mudança e gestão de continuidade de negócios;

VIII - Formalização de processo de gerenciamento de projetos;

IX - Formalização de processo de software;

X - Formalização e execução de políticas de segurança da informação, incluindo, ao menos:

a) a classificação das informações pelas respectivas áreas de negócio e a disponibilização, pela TI, de ambientes com o nível de segurança necessário ao seu armazenamento;

b) o controle de acesso local e remoto às redes de dados;

c) o controle de acesso aos sistemas;

d) o controle de acesso físico aos equipamentos de TI;

e) o uso de unidades portáteis de armazenamento de dados e de computadores portáteis;

f) a existência de rastro de auditoria (log) em sistemas críticos.

XI - Definição dos requisitos e competências necessárias para acesso às funções de liderança na área de Tecnologia da Informação;

XII - Realização periódica de avaliações qualitativas e quantitativas do pessoal da área de TI, determinando as necessidades de recursos humanos do setor e mantendo, caso necessário, plano de capacitação voltado a este tema;

XIII - Estabelecimento de processo formal para contratação e gestão de soluções de Tecnologia da Informação, aderente, no que couber, às definições da IN-SLTI/MP nº 4/2014 ou de normativos que vierem a sucedê-la;

XIV - Obrigatoriedade da vinculação de um processo de software a todos os contratos de desenvolvimento e manutenção de sistemas;

XV - Mapeamento e gestão dos riscos relevantes ligados à TI.

§ 1º Para o cumprimento do estabelecido nos incisos VIII e IX, as empresas podem optar pela adoção das metodologias mantidas pelo Sistema de Administração dos Recursos de Tecnologia da Informação (SISP) do Governo Federal.

§ 2º Para o cumprimento do estabelecido no inciso XIV, as empresas podem optar pela vinculação de processo de software utilizado por seu fornecedor, desde que adequadamente detalhado e formalizado em contrato.

Art. 3º Devem ser estabelecidos procedimentos de controles internos, abrangendo os diversos níveis da organização, visando mitigar os riscos ligados, ao menos, aos seguintes processos:

I - Planejamento Estratégico Institucional (PEI);

II - Planejamento Estratégico de TI (PETI);

III - Plano Diretor de TI (PDTI);

IV - Funcionamento de comitês e fóruns ligados a TI;

V - Processo orçamentário de TI;

VI - Processo de software;

VII - Gerenciamento de projetos de TI;

VIII - Gerenciamento de serviços de TI;

IX - Segurança da informação;

X - Gestão de pessoal de TI;

XI - Contratação e gestão de soluções de TI;

XII - Monitoramento do desempenho da TI organizacional.

Parágrafo único. Os controles internos devem ser periodicamente revisados e atualizados, de forma a serem incorporadas medidas relacionadas a riscos novos ou anteriormente não abordados.

Art. 4º No caso de empresas estatais pertencentes a um mesmo grupo, as práticas de governança de TI e os controles internos relacionados poderão ser definidos e mantidos:

I - Individualmente, no âmbito de cada empresa;

II - Total ou parcialmente centralizados em uma das empresas que compõe o grupo, desde que não haja perda de efetividade.

Parágrafo único. A faculdade estabelecida no inciso II do caput deverá ser exercida, preferencialmente, pela empresa controladora do grupo ou por empresa especializada em tecnologia da informação, e esta deverá ter ascendência sobre as demais empresas que compõem o grupo em relação aos processos que centraliza.

Art. 5º As práticas de governança de TI e os controles internos relacionados deverão ser implementados até:

I - Um ano, após a publicação desta Resolução, no caso das empresas Petrobras, Eletrobrás, Banco do Brasil, Caixa Econômica Federal, BNDES, Banco da Amazônia, Banco do Nordeste do Brasil, Serpro e Dataprev, bem como das empresas controladas direta ou indiretamente por elas;

II - Dois anos, após a publicação desta Resolução, no caso das demais empresas estatais federais.

Art. 6º A Auditoria Interna das empresas estatais federais e os órgãos de controle e fiscalização da Administração Federal deverão incluir, no escopo de seus trabalhos, no que couber, a verificação quanto à observância pelas empresas desta Resolução.

Art. 7º Fica o Departamento de Coordenação e Governança das Empresas Estatais (DEST) autorizado a baixar normas complementares a esta Resolução, incluindo a alteração do cronograma estabelecido no art. 5º.

Art. 8º Esta Resolução entra em vigor na data de sua publicação.

VALDIR MOYSÉS SIMÃO

Ministro de Estado do Planejamento, Orçamento e Gestão

Presidente da Comissão

NELSON BARBOSA

Ministro de Estado da Fazenda

Membro

EVA MARIA CELLA DAL CHIAVON

Ministra de Estado Chefe da Casa Civil da Presidência da República

Substituta

Membro