P e squisa :                                                                                                      Livre   ...
Representante do Ministério Público           não atuouUnidade Técnica           Secretaria de Controle Externo no Estado ...
de gestão e a racionalização de custos e dos processos produtivos. Assim, pode-sedepreender que a elaboração de um PEI pró...
Instrução Normativa 4/2008, SLTI/MPOG, art. 2º, inciso X; art. 3º; art. 4º,inciso III               Norma Técnica - ITGI -...
Resposta ao item 1.1 do Questionário PerfilGovTI-2010 (Anexo 1 - Principal- folha 4)            3.3.7 - Conclusão da equip...
Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (pr...
3.6 - Inexistência de controle da execução do orçamento de TI            3.6.1 - Situação encontrada:              Por mei...
3.7.5 - Critérios:              Lei 8666/1993, art. 6º, inciso IX              Norma Técnica - ITGI - Cobit 4.1, PO8.3 - P...
Foram apresentadas telas da mesma ferramenta de acompanhamento deprojetos (fls. 43/49 do anexo 1).            Novamente, o...
3.9.7 - Conclusão da equipe:               A instituição não implementou um processo de gestão de incidentesreferente a se...
controle de mudanças            3.11.6 - Evidências:             Resposta ao item 7.6 do questionário PerfilGovTI 2010 (An...
para segurança da informação.           3.13 - Inexistência de Comitê de Segurança da Informação e Comunicações           ...
da Eletrobrás, em 15/9/2009, Instrução Normativa 1/2009 - que estabelece normas,diretrizes e padrões destinados a garantir...
e Comunicações, observando         as   práticas   contidas   na   Norma   Complementar03/IN01/DSIC/GSIPR.            Enca...
Anexo I do Ofício nº 131/2010-GAB/Secex/AM (fls. 12/16 do Anexo 1) solicitou-seevidências da classificação das informações...
Norma Técnica - Gabinete de Segurança Institucional - Presidência daRepública - Norma Complementar 04/IN01/DSIC/GSIPR, ite...
A instituição não executa procedimentos de gestão de riscos dainformação, não tendo implementado, portanto, um processo de...
3.19.3 - Causas da ocorrência do achado:            Alta Administração não se responsabiliza pela governança de TI (verres...
DGT, período janeiro a junho de 2010.            Verifica-se que o relatório     apresentado    informa   apenas   as   aç...
Risco da ocorrência de aquisições ou contratações que não atendam ànecessidade do órgão (efeito potencial)               F...
de contratações.            Ademais, nos      contratos que passaram por testes substantivos, foiidentificada ausência de ...
Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (pr...
se pode exigir o registro no CRA. Esta exigência apenas comprova que o contrato versasobre uma ilegal interposição de mão ...
impressões e aumentou-se o número de impressoras colocadas à disposição dacontratante. Como resultado, o pagamento fixo po...
folhas 955/956)            Ofício SEFAZ-AM 1072/2010/GSEFAZ autorizando adesão à ata (falhas naadesão a ata de registro de...
Alega que, consoante orientação deste Tribunal, nas hipóteses de licitaçãocom diversidade de serviços, o entendimento tem ...
com mais uma impressora, ficando em 267 (duzentos sessenta e sete) o contratado; eno que concerne aos preços, o fato das p...
Acórdão tcu 2612 2011 - amazonas distribuidora de energia sa - avaliação de controles de ti
Acórdão tcu 2612 2011 - amazonas distribuidora de energia sa - avaliação de controles de ti
Acórdão tcu 2612 2011 - amazonas distribuidora de energia sa - avaliação de controles de ti
Acórdão tcu 2612 2011 - amazonas distribuidora de energia sa - avaliação de controles de ti
Acórdão tcu 2612 2011 - amazonas distribuidora de energia sa - avaliação de controles de ti
Acórdão tcu 2612 2011 - amazonas distribuidora de energia sa - avaliação de controles de ti
Acórdão tcu 2612 2011 - amazonas distribuidora de energia sa - avaliação de controles de ti
Acórdão tcu 2612 2011 - amazonas distribuidora de energia sa - avaliação de controles de ti
Acórdão tcu 2612 2011 - amazonas distribuidora de energia sa - avaliação de controles de ti
Acórdão tcu 2612 2011 - amazonas distribuidora de energia sa - avaliação de controles de ti
Acórdão tcu 2612 2011 - amazonas distribuidora de energia sa - avaliação de controles de ti
Acórdão tcu 2612 2011 - amazonas distribuidora de energia sa - avaliação de controles de ti
Acórdão tcu 2612 2011 - amazonas distribuidora de energia sa - avaliação de controles de ti
Acórdão tcu 2612 2011 - amazonas distribuidora de energia sa - avaliação de controles de ti
Acórdão tcu 2612 2011 - amazonas distribuidora de energia sa - avaliação de controles de ti
Upcoming SlideShare
Loading in...5
×

Acórdão tcu 2612 2011 - amazonas distribuidora de energia sa - avaliação de controles de ti

1,449

Published on

Entidade: Amazonas Distribuidora de Energia S/A

RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE
TECNOLOGIA DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES
E OPORTUNIDADES DE MELHORIA. IRREGULARIDADES TRATADAS EM PROCESSOS
ESPECÍFICOS. DETERMINA-ÇÕES, RECOMENDAÇÕES E ALERTAS

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,449
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
11
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Acórdão tcu 2612 2011 - amazonas distribuidora de energia sa - avaliação de controles de ti

  1. 1. P e squisa : Livre Em Form ulá rio Q ua rta -fe ira, 9 de Nove m bro de 2011.Pe squisa núm ero: 6Expressã o de Pe squisa: "AVALIAÇÃO DE C O NTR O LES GERAIS DE TEC NO LO GIA DA INFO RMAÇ ÃO "Ba se s pe squisa das: Acórdã osDocum e nto da ba se : Acórdã oDocum e ntos re cupera dos: 13Docum e nto m ostra do: 13Sta tus na Cole tâ nea : Não Se le cionadoVisua liza r e ste docum ento no Form a to P a drã o para Acórdãos 6form a to: Coletâ ne a Status do Documento na Coletânea: c d e f g [Nã o Se leciona do] Volta r à lista de docum entos Ante rior | Próx im o Identificação Acórdão 2612/2011 - Plenário Número Interno do Documento AC-2612-40/11-P Grupo/Classe/Colegiado GRUPO I / CLASSE V / Plenário Processo 024.193/2010-0 Natureza Relatório de Auditoria Entidade Entidade: Amazonas Distribuidora de Energia S/A Interessados Responsáveis: Flávio Decat de Moura, ex-diretor presidente (CPF 060.681.116-87) e Pedro Carlos Hosken Vieira, diretor-presidente (CPF 141.356.476- 34) Sumário RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES DE MELHORIA. IRREGULARIDADES TRATADAS EM PROCESSOS ESPECÍFICOS. DETERMINA-ÇÕES, RECOMENDAÇÕES E ALERTAS Assunto Relatório de Auditoria Ministro Relator AROLDO CEDRAZ
  2. 2. Representante do Ministério Público não atuouUnidade Técnica Secretaria de Controle Externo no Estado do Amazonas - Secex/AMAdvogado Constituído nos Autos não háRelatório do Ministro Relator A Secretaria de Controle Externo no Estado do Amazonas - Secex/AMrealizou auditoria na Amazonas Distribuidora de Energia S/A, no período de 30/8 a22/10/2010, com o objetivo de avaliar controles gerais de tecnologia da informação - TIe verificar se estão de acordo com a legislação pertinente e com as boas práticas degovernança de TI. 2. As ocorrências detectadas foram apresentadas pela equipe de auditorianos seguintes termos (fls. 8/47): "3 - ACHADOS DE AUDITORIA 3.1 - Inexistência do Plano Estratégico Institucional 3.1.1 - Situação encontrada: Por meio do item 1 do Anexo I do Ofício nº 131/2010-GAB/Secex/AM (fls.12/16 do Anexo 1) solicitaram-se informações acerca do Plano Estratégico Institucionalda Amazonas Energia. Como resposta, foi enviada a seguinte documentação: - Contrato de Metas de Desempenho Empresarial - CMDE pactuado entre aAmazona Energia e sua controladora, a Eletrobrás; - Plano de Melhoria de Desempenho - PMD, para o período de 2010-2014. A entidade entende que tais documentos suprem a necessidade de umPlano Estratégico Institucional - PEI. Apontou como evidência de formalização asDeliberações DEL nº 134,135,136 e 137 do Conselho de Administração da Eletrobrás e,como evidência da participação das diversas áreas de negócio na elaboração, umarquivo que demonstra a participação de integrantes da Amazonas Energia num eventoocorrido na Eletrobrás. Por fim, apontou alguns e-mails como provas de divulgação do Plano paraos gestores da Amazonas Energia, indicou o referido PMD como o desdobramento a quefaz alusão o item 1.2.4 do Ofício e apresentou como evidência da avaliação do Plano aaprovação do Regimento Interno do Comitê de Gestão e ata de sua primeira reunião. A documentação apresentada, embora tenha valor em razão das metas eindicadores fixados, não contempla grande parte dos elementos essenciais de um PlanoEstratégico Institucional - PEI, uma vez que não abrange temas como negócio, visão,avaliação dos ambientes externo e interno do ente, e nem declara os objetivos einiciativas estratégicas do ente. A importância de tais itens num PEI pode ser verificada no Critério nº 2 doGespública, que examina como a organização, a partir de sua visão de futuro, daanálise dos ambientes interno e externo e da sua missão institucional formula suasestratégias, as desdobra em planos de ação de curto e longo prazos e acompanha asua implementação, visando o atendimento de sua missão e a satisfação das partesinteressadas. Finalmente, a documentação apresentada não evidencia a aprovação epublicação do PMD, o que foi confirmado em entrevistas realizadas durante os trabalhosde auditoria, de sorte que não pode ser considerado, para fins desta auditoria, comoválido, por não ser oficial. Referente ao CMDE, é instrumento de controle por parte da empresacontroladora (Eletrobrás). Em sua cláusula 3.1.1, estabelece, como obrigação dacontrolada, a implementação de ações para assegurar o aprimoramento dos métodos
  3. 3. de gestão e a racionalização de custos e dos processos produtivos. Assim, pode-sedepreender que a elaboração de um PEI próprio da Amazonas Energia é instrumentoessencial para o cumprimento do CMDE. 3.1.2 - Objetos nos quais o achado foi constatado: Planejamento - Contrato de Metas de Desempenho Empresarial (CMDE)celebrado entre a Amazonas Energia e a Eletrobrás 3.1.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.1.4 - Efeitos/Consequências do achado: Ausência de referencial para verificar o alinhamento estratégico das açõesda área de TI com o negócio da instituição. (efeito real) Risco de a instituição não conseguir atuar de forma eficiente noatingimento dos seus objetivos finalísticos. (efeito potencial) 3.1.5 - Critérios: Constituição Federal, art. 37, caput Decreto Lei 200/1967, art. 6º, inciso I; art. 7º Norma Técnica - MPOG - Gespública - Instrumento para Avaliação daGestão Pública - Ciclo 2010 - critério de avaliação 2 3.1.6 - Evidências: Comunicação Interna nº 176/2010 (Anexo 1 - Principal - folhas 22/24) Contrato de Metas de Desempenho Empresarial (CMDE) celebrado entre aAmazonas Energia e a Eletrobrás (Anexo 1 - Principal - folhas 27/51) Plano de Melhoria de Desempenho - PMD (Anexo 1 - Principal - folhas79/103) 3.1.7 - Conclusão da equipe: A Equipe concluiu que os documentos apresentados pela entidade nãoapresentam todos os elementos essenciais de um Plano Estratégico Institucional (PEI),além de não ter sido aprovado pela Alta Administração e publicado, de forma que ficouevidenciada a sua inexistência. 3.1.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência) e ao Decreto Leinº 200/67, art. 6º, inciso I, e art. 7º, elabore um Plano Estratégico Institucional,considerando o previsto no critério de avaliação nº 2 do Gespública. 3.2 - Inexistência do PDTI 3.2.1 - Situação encontrada: Por meio do item 2 do Anexo I do Ofício nº 131/2010-GAB/Secex/AM (fls.12/16 do Anexo 1) solicitaram-se informações acerca do Planejamento Estratégico de TIda Amazonas Energia, o qual culminaria com a edição de um Plano Diretor de TI - PDTIou Plano Estratégico de TI - PETI. A entidade não enviou resposta específica quanto aeste item. Limitou-se a reforçar o conteúdo do Questionário PerfilGovTI no qual haviamencionado que executa um processo periódico de planejamento, embora este nãoesteja formalmente instituído. 3.2.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.2.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.2.4 - Efeitos/Consequências do achado: Ações de TI não alinhadas ao negócio. (efeito potencial) 3.2.5 - Critérios: Constituição Federal, art. 37, caput Decreto Lei 200/1967, art. 6º, inciso I; art. 7º
  4. 4. Instrução Normativa 4/2008, SLTI/MPOG, art. 2º, inciso X; art. 3º; art. 4º,inciso III Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI 3.2.6 - Evidências: Respostas aos itens 2.2 e 2.3 do questionário PerfilGovTI 2010. (Anexo 1 -Principal - folha 5) 3.2.7 - Conclusão da equipe: Já existem normas que tratam da necessidade da elaboração de um PlanoDiretor de TI (PDTI). É o caso da IN nº 04/2008 da SLTI (Secretaria de Logística eTecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão), que,embora não aplicável diretamente á entidade auditada, revela a importância do tema. Nesse sentido, um conteúdo mínimo do PDTI é esperado, incluindoelementos tais como: necessidades de informação alinhada à estratégia do órgão ouentidade; plano de investimentos; contratações de serviços; aquisição deequipamentos; e quantitativo e capacitação de pessoal, gestão de risco, ambienteexterno e ambiente interno da área de TI. Além disso, o PDTI deve declarar os objetivos e as iniciativas estratégicasda área de TI, estabelecer os indicadores de desempenho, de acordo com os objetivosestratégicos, com vistas a avaliar a atuação da área de TI; e ser formalmente aprovadoe publicado. Para auxiliar os diversos órgãos e entidades na elaboração do PDTI, oMinistério do Planejamento elaborou o Modelo de Referência de Plano Diretor deTecnologia da Informação, que pode servir como ponto de partida. 3.2.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S/A que elabore eaprove um Plano Diretor de Tecnologia da Informação - PDTI, observando as diretrizesconstantes na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4, III, no que couber,e as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI e noModelo de Referência de Plano Diretor de Tecnologia da Informação da SLTI/MPOG,disponível em http://catir.softwarepublico.gov.br/dotlrn/clubs/gestodetisisp/onecommunity?page_num=2. 3.3 - Inexistência de comitê de TI 3.3.1 - Situação encontrada: Por meio do item 3.2 do Anexo I do Ofício nº 131/2010-GAB/Secex/AM (fls.12/16) solicitaram-se evidências de que Amazonas Energia instituiu um Comitê de TI. Aentidade não enviou resposta específica quanto a este item. Em entrevistas realizadas,evidenciou-se que a Alta Administração da empresa não designou formalmente umComitê de TI para auxiliá-la nas decisões relativas à gestão e ao uso corporativos deTI. 3.3.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.3.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.3.4 - Efeitos/Consequências do achado: Sobreposição de ações de TI por parte das áreas de negócio queintegrariam o comitê de TI. (efeito potencial) Priorização inadequada das ações de TI devido à ausência da participaçãodas áreas de negócio da instituição. (efeito potencial) 3.3.5 - Critérios: Constituição Federal, art. 37, caput Norma Técnica - ITGI - Cobit 4.1, PO4.3 - Comitê diretor de TI Norma Técnica - ITGI - Cobit 4.1, PO4.2 - Comitê estratégico de TI 3.3.6 - Evidências:
  5. 5. Resposta ao item 1.1 do Questionário PerfilGovTI-2010 (Anexo 1 - Principal- folha 4) 3.3.7 - Conclusão da equipe: Já existem normas que tratam da necessidade da criação de um Comitê deTI no âmbito das organizações. É o caso da IN nº 04/2008 da SLTI (Secretaria deLogística e Tecnologia da Informação do Ministério do Planejamento, Orçamento eGestão), que, embora não aplicável diretamente à entidade auditada, revela aimportância do tema. Também a norma técnica internacional CobIT (PO4.2 e PO4.3) traz anecessidade da formalização do mencionado comitê. No presente conclui-se que a Alta Administração da instituição nãodesignou formalmente um Comitê de TI para auxiliá-la nas decisões relativas à gestão eao uso corporativo de TI. 3.3.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S.A. que implante umComitê de Tecnologia da Informação que envolva as suas diversas áreas e que seresponsabilize por alinhar os investimentos de Tecnologia da Informação com osobjetivos institucionais e por apoiar a priorização de projetos a serem implantados,considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3- Comitê diretor de TI. 3.4 - Inexistência de avaliação do quadro de pessoal de TI 3.4.1 - Situação encontrada: Por meio do item 3.7 do Anexo I do Ofício nº 131/2010-GAB/Secex/AM (fls.12/16 do Anexo 1) solicitou-se que fosse informado se a estrutura de recursoshumanos do setor de informática (quantitativo e qualificação de servidores) é suficientepara o desempenho das atribuições da área e para o atendimento das necessidadesda empresa. A entidade apresentou documento que somente menciona estudo daANEEL sobre quantitativo ideal de pessoal em empresa de referência, porém,afirmando, sem fundamentação plausível e estudos técnicos, que a Amazonas Energianecessita de número maior de pessoal. Esta necessidade é atendida por meio decontratação irregular de pessoal terceirizado (irregularidade objeto da representaçãoconstante do TC 031.510/2010-8). 3.4.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.4.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.4.4 - Efeitos/Consequências do achado: Dependência do serviço de empresas terceirizadas (efeito potencial) Recursos humanos de TI insuficientes para atender às necessidades donegócio. (efeito potencial) Falta de competênicas apropriadas na área de TI. (efeito potencial) 3.4.5 - Critérios: ACÓRDÃO 71/2007, item 9.2.23, Tribunal de Contas da União, Plenário Norma Técnica - ITGI - Cobit 4.1, PO4.12 - Pessoal de TI 3.4.6 - Evidências: Nota Técnica 1 (Anexo 1 - Principal - folhas 193/198) 3.4.7 - Conclusão da equipe: O documento apresentado somente tenta justificar o quadro excessivo depessoal da área de TI vindo de anos anteriores sem avaliar os ambientes de TI,operacional ou de negócio para garantir que a área de TI tenha quantidade suficientede pessoal para suportar de forma adequada os objetivos e metas de negócios. 3.4.8 - Proposta de encaminhamento:
  6. 6. Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência) elabore estudotécnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas afundamentar futuros pleitos de ampliação e preenchimento de vagas de servidoresefetivos devidamente qualificados, objetivando o melhor atendimento das necessidadesinstitucionais, observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI . 3.5 - Falhas no orçamento de TI 3.5.1 - Situação encontrada: Em resposta ao questionário PerfilGovTI 2010, item 7.15, a AmazonasEnergia informou que: a solicitação de orçamento de TI é feita com base na estimativados custos das contratações previstas; há alocação de custos de TI por área denegócio; a execução da despesa de TI é acompanhada pela área de TI; a execução dadespesa de TI é acompanhada pela Alta Administração da instituição; e a classificaçãodas despesas de TI é de responsabilidade da área contábil/orçamentária da instituição. Foram apresentados, como evidência, requisições de compras e aditivos acontratos, plano de ações a implantar e executar pela área de TI para o período 2010-2014 com montantes de recursos por projeto. Os referidos documentos apresentados demonstram que os recursosprevistos no orçamento oficial da empresa não é o real praticado pelo setor de TI,divergindo em montante próximo a vinte milhões de reais. Em reunião com a equipe deauditoria, os gestores da área não souberam determinar o quantitativo de recursosdisponíveis. 3.5.2 - Objetos nos quais o achado foi constatado: Orçamento - Orçamento da Eletrobrás Amazonas Energia. 3.5.3 - Causas da ocorrência do achado: Não detalhamento adequado do orçamento. 3.5.4 - Efeitos/Consequências do achado: Risco de inexecução de serviços por falta de previsão orçamentária. (efeitopotencial) 3.5.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, PO5.3 - Orçamentação de TI Norma Técnica - MPOG - Gespública - Instrumento para Avaliação daGestão Pública - Ciclo 2010 - critério de avaliação 7.3 3.5.6 - Evidências: Documentos de evidência à resposta ao item 7.15 do questionário. (Anexo1 - Volume 1 - folhas 203/297) 3.5.7 - Conclusão da equipe: Da forma que é apresentado o orçamento da empresa, impossibilita aidentificação adequada da previsão dos gastos. Ademais, verificada a inexistência de planejamento estratégico institucionale da área de TI pela presente auditoria, é possível inferir que os recursos de TI sãoalocados aleatoriamente, sem identificar quais as áreas de negócio prioritárias norecebimento de recursos e quais gerariam maior valor agregado. A empresa não possui processo para preparar e controlar um orçamentoque reflita as prioridades estabelecidas pelo portfólio de programas de investimentosde TI da organização, incluindo os custos contínuos de operação e manutenção dainfraestrutura atual. 3.5.8 - Proposta de encaminhamento: Aperfeiçoe o processo de elaboração do orçamento de TI, necessário aocumprimento das disposições contidas Lei nº 12.017/2009 (LDO 2009/2010), art. 9º, IIc/c Anexo II, XVIII, ou das que vierem a lhe suceder, de maneira que as solicitações deorçamento das despesas de TI estejam baseadas nas ações que se pretende executar,observando as práticas contidas no Cobit 4.1, processo PO5.3 - Orçamentação de TI eno Gespública, critério de avaliação 7.3.
  7. 7. 3.6 - Inexistência de controle da execução do orçamento de TI 3.6.1 - Situação encontrada: Por meio do item 4.3 do Anexo I do Ofício nº 131/2010-GAB/Secex/AM (fls.12/16) solicitou-se planilha que controle periodicamente a execução dos gastos da áreade TI do ano corrente, em função da disponibilidade financeira. Foi apresentada planilha de acompanhamento de alguns contratos e doPDG que não evidenciam acompanhamento da execução do orçamento de TI, tanto pelaárea quanto pela Alta Administração. 3.6.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.6.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.6.4 - Efeitos/Consequências do achado: Desconhecimento da disponibilização orçamentária de TI. (efeito potencial) 3.6.5 - Critérios: Lei 4320/1964, art. 75, inciso III Norma Técnica - MPOG - Gespública - Instrumento para Avaliação daGestão Pública - Ciclo 2010 - critério de avaliação 7.3 Norma Técnica - ITGI - Cobit 4.1, PO5.4 - Gerência de custos 3.6.6 - Evidências: Planilhas de controle orçamentário - PDG e PMD. (Anexo 1 - Volume 1 -folhas 300/305) 3.6.7 - Conclusão da equipe: A Amazonas Energia não monitora a execução orçamentária e financeira. 3.6.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, àAmazonas Distribuidora de Energia S.A. que, em atenção às disposições contidas na Leinº 4.320/64, art. 75, inciso III, implante controle da execução orçamentária, a fim de seobter prontamente informações acerca dos gastos e da disponibilidade de recursos deTI. 3.7 - Inexistência de processo de software 3.7.1 - Situação encontrada: Em resposta ao QuestionárioPerfil GovTI 2010 realizado pela SEFTI, aAmazonas Energia informou que, atualmente, seu processo de software se enquadrano nível de maturidade inicial - não há processo nem seu controle, mas já há conceitosde qualidade de processo em implantação (conforme ABNT NBR ISO/IEC 15.504). Por intermédio do item 5 do anexo ao Ofício nº 131/2010 - GAB/Secex/AM,de 28/7/2010, (folhas 12/16 do anexo 1) solicitaram-se informações acerca daafirmação da empresa. Como resposta, foi apresentado um quadro prospectivo demétodos e ferramentas de futuro processo de software, o que não evidencia a práticadas disciplinas de gestão de requisitos e gestão de projetos, disciplinas mínimasnecessárias para caracterização dos conceitos de qualidade de processo de softwaresegundo a NBR ISO/IEC 15.504. 3.7.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.7.3 - Causas da ocorrência do achado: Inexistência de controles 3.7.4 - Efeitos/Consequências do achado: Deficiência no processo de contratação, decorrente da inexistência deprocesso que assegure boa contratação de desenvolvimento de sistemas. (efeitopotencial) Inexistência de parâmetros de aferição de qualidade para contratação dedesenvolvimento de sistemas. (efeito potencial)
  8. 8. 3.7.5 - Critérios: Lei 8666/1993, art. 6º, inciso IX Norma Técnica - ITGI - Cobit 4.1, PO8.3 - Padrões de desenvolvimento e deaquisições. Norma Técnica - NBR ISO/IEC - 12.207 e 15.504 3.7.6 - Evidências: Documento de evidência ao item 7.3 do questionário. (Anexo 1 - Volume 1 -folhas 307/309) 3.7.7 - Conclusão da equipe: A Amazonas Energia não possui processo de software, podendo acarretardeficiência no processo de contratação de desenvolvimento de sistemas e na qualidadedo produto adquirido. Registre-se, por oportuno, que a definição do processo de software é onúcleo da definição do objeto nos contratos de desenvolvimento e manutenção desoftware e, sem essa definição, a contratação torna-se irregular em afronta ao art. 6,IX, da Lei nº 8.666/1993 e art. 3º, II, da Lei nº 10.520/2005. 3.7.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, à AmazonasDistribuidora de Energia S.A. que, em atenção ao disposto na Lei nº 8.666/93, art. 6º,inc. IX, defina um processo de software previamente às futuras contratações deserviços de desenvolvimento ou manutenção de softw are, vinculando o contrato com oprocesso de software, sem o qual o objeto não estará precisamente definido. Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência), quando doestabelecimento de seu processo de softw are, considere as Normas NBR ISO/IEC12.207 e 15.504. 3.8 - Inexistência de processo de gerenciamento de projetos 3.8.1 - Situação encontrada: Por meio do item 6.1 do Anexo I do Ofício nº 131/2010-GAB/Secex/AM (fls.12/16 do Anexo 1) solicitaram-se evidências de que Amazonas Energia pratica ogerenciamento de projetos, mas não adota qualquer padrão interno ou de mercado,conforme resposta apresentada pela entidade na resposta ao questionário perfil GovTI2010. Como evidência foi apresentada tela de um sistema DotProject, dito comode acompanhamento de projetos. O documento apresentado pelo auditado foi considerado insuficiente paraevidenciar que a empresa possui um processo de gerenciamento de projetos, tendo emvista que apresenta uma série de inconsistências, a saber: a) o projeto apresentado é atípico: tem só seis tarefas e a duração total éde apenas cinco dias; b) todas as tarefas têm duração de uma hora (embora os nomes dastarefas sugiram conteúdos que normalmente demoram bem mais que uma hora paraserem executados); c) algumas tarefas têm data de encerramento anterior à data inicial; d) há apenas um usuário vinculado (desenv031) a todas as tarefas,sugerindo que a equipe do projeto é composta de um único membro (o próprio gerentedo projeto) ou, então, o projeto não tem gerente. Em tese, embora esses itens, isoladamente, não descaracterizem que oque foi apresentado seja um projeto, é estranho a empresa apresentar como exemploum projeto com essas características, principalmente tendo sido criado em 16/8/2010(data esta posterior ao ofício de comunicação da auditoria). Para dirimir as dúvidas acima, foram solicitados, por meio do item 3 doOfício nº 898/2010-1 (fls. 466 v.2 do anexo1), de 14/9/2010, outros três projetos de TIgerenciados.
  9. 9. Foram apresentadas telas da mesma ferramenta de acompanhamento deprojetos (fls. 43/49 do anexo 1). Novamente, os documentos apresentados não evidenciam a existência deprocesso de gerenciamento de projetos, o que foi confirmado por entrevista realizadacom o gestor da área. 3.8.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.8.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.8.4 - Efeitos/Consequências do achado: Risco de insucesso de projetos relevantes, pela falta de estrutura degestão de projetos. (efeito potencial) 3.8.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, PO10.2 - Estrutura de gerência deprojetos 3.8.6 - Evidências: Documento de evidência ao item 7.4 do questionário. (Anexo 1 - Volume 1 -folha 311) Documento 2 de evidência ao item 7.4 do questionário. (Anexo 1 - Volume2 - folhas 488/493) 3.8.7 - Conclusão da equipe: Há uma ferramenta de acompanhamento de projetos, mas não umprocesso de gerenciamento aprovado e publicado estabelecendo um padrão interno. 3.8.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência), implante umaestrutura formal de gerência de projetos, observando as orientações contidas no Cobit4.1, processo PO10.2 - Estruturas de Gerência de Projetos e do PMBOK, dentre outrasboas práticas de mercado. 3.9 - Inexistência do processo de gestão de incidentes 3.9.1 - Situação encontrada: A Amazonas Energia declarou que não implementou o processo de gestãode incidentes (item 7.6 do questionário Perfil GovTI). 3.9.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.9.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.9.4 - Efeitos/Consequências do achado: Ocorrência de incidentes sem o devido gerenciamento. (efeito potencial) Paralisação dos serviços de TI. (efeito potencial) Paralisação das atividades da organização. (efeito potencial) 3.9.5 - Critérios: Constituição Federal, art. 37, caput Norma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar a Central de Serviço e osIncidentes Norma Técnica - NBR - ISO/IEC 27002, item 13 - Gestão de incidentes desegurança da informação Norma Técnica - NBR - ISO/IEC 20000, item 8.2 - Gerenciamento deincidentes 3.9.6 - Evidências: Resposta ao item 7.6 do Questionário PerfilGovTI-2010 (Anexo 1 - Principal- folha 8)
  10. 10. 3.9.7 - Conclusão da equipe: A instituição não implementou um processo de gestão de incidentesreferente a serviços de TI. 3.9.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência), implementeprocesso de gestão de incidentes de serviços de tecnologia da informação, àsemelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a centralde serviços e incidentes e de outras boas práticas de mercado (como a NBR ISO/IEC20000 e a NBR 27002). 3.10 - Inexistência do processo de gestão de configuração 3.10.1 - Situação encontrada: A Amazonas Energia declarou que não implementou o processo de gestãode configuração (item 7.6 do questionário Perfil GovTI). 3.10.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.10.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.10.4 - Efeitos/Consequências do achado: Desatualização ou deficiência da configuração de TI. (efeito potencial) 3.10.5 - Critérios: Constituição Federal, art. 37, caput Norma Técnica - ITGI - Cobit 4.1, DS9 - Gerenciar Configurações. Norma Técnica - NBR - ISO/IEC 20000, item 9.1 - Gerenciamento deconfiguração 3.10.6 - Evidências: Resposta ao item 7.6 do Questionário PerfilGovTI-2010 (Anexo 1 - Principal- folha 8) 3.10.7 - Conclusão da equipe: A instituição não implementou um processo de gestão da configuração,referente a serviços de TI. 3.10.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência), implementeprocesso de gestão de configuração de serviços de tecnologia da informação, àsemelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciarconfiguração e de outras boas práticas de mercado (como a NBR ISO/IEC 20000). 3.11 - Inexistência do processo de gestão de mudanças 3.11.1 - Situação encontrada: A instituição declarou que não implementou um processo de gestão demudanças. 3.11.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.11.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.11.4 - Efeitos/Consequências do achado: Não avaliação do impacto de eventuais mudanças. (efeito potencial) Solicitações de mudanças não controladas. (efeito potencial) 3.11.5 - Critérios: Constituição Federal, art. 37, caput Norma Técnica - ITGI - Cobit 4.1, AI6 - Gerenciar mudanças. Norma Técnica - NBR - ISO/IEC 27002, 12.5.1 - Procedimentos para
  11. 11. controle de mudanças 3.11.6 - Evidências: Resposta ao item 7.6 do questionário PerfilGovTI 2010 (Anexo 1 - Principal- folha 8) 3.11.7 - Conclusão da equipe: A instituição não implementou um processo de gestão de mudanças. 3.11.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência), estabeleçaprocedimentos formais de gestão de mudanças, de acordo com o previsto no item12.5.1 da NBR ISO/IEC 27.002 à semelhança das orientações contidas no Cobit 4.1,processo AI6 - Gerenciar mudanças e de outras boas práticas de mercado (como a NBRISO/IEC 20000). 3.12 - Inexistência de Gestor de Segurança da Informação e Comunicações 3.12.1 - Situação encontrada: A empresa deixou em branco os itens 7.1 e 7.2 (relativos ao tema deSegurança da Informação) do Questionário PerfilGovTI 2010. Por meio do item 8.2 doAnexo I do Ofício nº 131/2010-GAB/Secex/AM (fls. 12/16 do Anexo 1) solicitou-seevidências da designação e atuação do Gestor de Segurança da Informação eComunicações. A empresa auditada não apresentou qualquer resposta ao item. Ainda, por intermédio do Ofício de Requisição nº 898/2010-1 (fl. 466 v.2 doAnexo 1), solicitou-se que a empresa confirmasse ausência de resposta os itens 7.1 e7.2 (relativos ao tema de Segurança da Informação) do Questionário PerfilGovTI 2010. Na sua resposta a este último ofício, a empresa confirmou a ausência deresposta aos mencionados itens, que incluíam a designação de um Gestor Segurançada Informação e Comunicações. 3.12.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.12.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.12.4 - Efeitos/Consequências do achado: Não otimização das ações de segurança da informação. (efeito potencial) 3.12.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional -Presidência da República, art. 5º, inciso IV; art. 7º Norma Técnica - Gabinete de Segurança Institucional - Presidência daRepública - Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2 Norma Técnica - NBR - ISO/IEC 27002, 6.1.3 - Atribuição deresponsabilidade para segurança da informação. 3.12.6 - Evidências: Resposta ao Ofício de Requisição nº 898/2010-1 (Anexo 1 - Volume 2 -folhas 468/472) Resposta ao item 7.2 do Questionário PerfilGovTI 2010 (Anexo 1 - Principal- folha 7) 3.12.7 - Conclusão da equipe: Não há indicação do Gestor de Segurança da Informação e Comunicações. 3.12.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, à AmazonasDistribuidora de Energia S.A. que, em atenção ao disposto na Instrução NormativaGSI/PR nº 01/2008, art. 5º, IV e art. 7º, c/c Norma Complementar 03/IN01/DSIC/GSIPR,item 5.3.7.2, nomeie Gestor de Segurança da Informação e Comunicações, observandoas práticas contidas na NBR ISO/IEC 27.002, item 6.1.3 - Atribuição de responsabilidade
  12. 12. para segurança da informação. 3.13 - Inexistência de Comitê de Segurança da Informação e Comunicações 3.13.1 - Situação encontrada: A empresa deixou em branco os itens 7.1 e 7.2 (relativos ao tema deSegurança da Informação) do Questionário PerfilGovTI 2010. Por meio do item 8.3 doAnexo I do Ofício nº 131/2010-GAB/Secex/AM (fls. 12/16 do Anexo 1) solicitou-seevidências da instituição e atuação do Comitê de Segurança da Informação eComunicações. A empresa auditada não apresentou qualquer resposta ao item. Ainda, por intermédio do Ofício de Requisição nº 898/2010-1 (fl. 466 v.2 doAnexo 1), solicitou-se que a empresa confirmasse ausência de resposta os itens 7.1 e7.2 (relativos ao tema de Segurança da Informação) do Questionário PerfilGovTI 2010. Na sua resposta a este último ofício, a empresa confirmou a ausência deresposta aos mencionados itens, que incluíam a instituição de um Comitê de Segurançada Informação e Comunicações. 3.13.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.13.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.13.4 - Efeitos/Consequências do achado: Não otimização das ações de segurança da informação. (efeito potencial) 3.13.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional -Presidência da República, art. 5º, inciso VI Norma Técnica - Gabinete de Segurança Institucional - Presidência daRepública - Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3 Norma Técnica - NBR - ISO/IEC 27002, item 6.1.2 - Coordenação desegurança da informação 3.13.6 - Evidências: Resposta ao Ofício de Requisição nº 898/2010-1 (Anexo 1 - Volume 2 -folhas 468/472) Resposta ao item 7.2 do Questionário PerfilGovTI 2010 (Anexo 1 - Principal- folha 7) 3.13.7 - Conclusão da equipe: Não há Comitê de Segurança da Informação e Comunicações instituído. 3.13.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, à AmazonasDistribuidora de Energia S.A. que, em atenção ao disposto na Instrução NormativaGSI/PR nº 01/2008, art. 5º, VI c/c Norma Complementar 03/IN01/DSIC/GSIPR, item5.3.7.3, institua Comitê de Segurança da Informação e Comunicações, observando aspráticas contidas na NBR ISO/IEC 27.002, item 6.1.2 - Coordenação de segurança dainformação. 3.14 - Inexistência de Política de Segurança da Informação e Comunicações(POSIC) 3.14.1 - Situação encontrada: A Amazonas Energia respondeu que não possui política de segurança dainformação (item 7.2 do Questionário PerfilGovTI 2010). Por meio do Ofício de Requisição nº 898/2010-1 (fl. 466 v.2 do anexo 1),solicitou-se que a empresa confirmasse a resposta prestada. Na sua resposta ao ofício, a empresa ratifica a informação acima, porém,ressalta que medidas de implementação de uma política de segurança estão sendotomadas. Foi alegado pelo gestor da empresa que foi publicado regulamento interno
  13. 13. da Eletrobrás, em 15/9/2009, Instrução Normativa 1/2009 - que estabelece normas,diretrizes e padrões destinados a garantir os aspectos da integridade,confidencialidade, disponibilidade, autenticidade e legalidade das informações, bemcomo regulamentar aspectos relativos ao uso, habilitação e segurança dos recursos deTI. Também, comunica a existência de um Comitê de Tecnologia daInformação, Automação e Telecomunicações do Sistema Eletrobrás - COTISE, do qualparticipa a Amazonas Energia, que busca a definição e aplicação de políticas integradasde TI visando o aumento da eficácia e eficiência empresarial, com subcomitês temáticos,dentre eles os de governança, segurança da informação de TI, arquitetura de TI,aquisição de bens e serviços de TI e aplicações de TI. Relatam que as deliberações do COTISE têm alcance em todo o SistemaEletrobrás. Desse modo, alegam que, apesar da não implementação formal dosprocessos corporativos de segurança da informação na Amazonas Energia, tão logoaconteçam as primeiras deliberações, serão devidamente aplicadas. 3.14.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.14.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.14.4 - Efeitos/Consequências do achado: Falhas nos procedimentos de segurança. (efeito potencial) 3.14.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional -Presidência da República, art. 5º, inciso VII Norma Técnica - Gabinete de Segurança Institucional - Presidência daRepública - Norma Complementar 03/IN01/DSIC/GSIPR Norma Técnica - NBR - ISO/IEC 27002, item 5.1 - Política de segurança dainformação 3.14.6 - Evidências: Resposta ao Ofício de Requisição nº 898/2010-1 (Anexo 1 - Volume 2 -folhas 468/472) Resposta ao item 7.2 do Questionário PerfilGovTI 2010 (Anexo 1 - Principal- folha 7) 3.14.7 - Conclusão da equipe: As informações prestadas demonstram que não existe Política deSegurança da Informação e Comunicações, havendo somente tentativas iniciais deelaboração de uma política de segurança. Considerando que o referido COTISE, com fulcro na Resolução de Diretoriada Eletrobrás nº 835/2009, de 2/9/2009, tem competência para formular políticaintegrada de tecnologia da informação, telecomunicação e automação de todo oSistema Eletrobrás; além das demais subsidiárias da Eletrobrás, outras cincodistribuidoras de energia integrantes do Sistema Eletrobrás são gerenciadas pelamesma diretoria, todas de porte financeiro inferior ao da empresa em análise, havendopossibilidade que se encontrem na mesma situação de governança corporativa daAmazonas Energia; conclui-se pela necessidade de encaminhar cópia do relatório dapresente auditoria à presidência da Eletrobrás, a fim de que tome conhecimento eprovidências no sentido de subsidiar os trabalhos do referido Comitê e aplicação dasdeterminações, recomendações e alertas, que couberem, em todas as empresas doSistema. 3.14.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, àAmazonas Distribuidora de Energia S.A que, em atenção ao disposto na InstruçãoNormativa GSI/PR nº 1/2008, art. 5º, VII, implante Política de Segurança da Informação
  14. 14. e Comunicações, observando as práticas contidas na Norma Complementar03/IN01/DSIC/GSIPR. Encaminhar cópia do presente relatório de auditoria à Eletrobrás, a fim deque tome conhecimento e as providências cabíveis no sentido de subsidiar os trabalhosdo Comitê de Tecnologia da Informação, Telecomunicação e Automação do SistemaEletrobrás, na aplicação das determinações, recomendações e alertas proferidos noacórdão a ser exarado, no que couberem, em todas as empresas do Sistema. 3.15 - Inexistência de equipe de tratamento e resposta a incidentes emredes computacionais (ETRI) 3.15.1 - Situação encontrada: A empresa deixou em branco os itens 7.1 e 7.2 (relativos ao tema deSegurança da Informação) do Questionário PerfilGovTI 2010. Por meio do item 8.8 doAnexo I do Ofício nº 131/2010-GAB/Secex/AM (fls. 12/16 do Anexo 1) solicitou-seevidências da existência e atuação de uma equipe de tratamento e resposta aincidentes em redes computacionais (ETRI). A empresa auditada não apresentou qualquer resposta ao item. Ainda, por intermédio do Ofício de Requisição nº 898/2010-1 (fl. 466 v.2 doAnexo 1), solicitou-se que a empresa confirmasse ausência de resposta os itens 7.1 e7.2 (relativos ao tema de Segurnaça da Informação) do Questionário PerfilGovTI 2010. Na sua resposta a este último ofício, a empresa confirmou a ausência deresposta aos mencionados itens. 3.15.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.15.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.15.4 - Efeitos/Consequências do achado: Falhas relativas às notificações e às atividades relacionadas a incidentesde segurança em redes de computadores. (efeito potencial) 3.15.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional -Presidência da República, art. 5º, inciso V Norma Técnica - Gabinete de Segurança Institucional - Presidência daRepública - Norma Complementar 05/IN01/DSIC/GSIPR 3.15.6 - Evidências: Resposta ao Ofício de Requisição nº 898/2010-1 (Anexo 1 - Volume 2 -folhas 468/472) Resposta ao item 7.2 do Questionário PerfilGovTI 2010 (Anexo 1 - Principal- folha 7) Resposta ao item 7.1 do Questionário PerfilGovTI 2010 (Anexo 1 - Principal- folha 7) 3.15.7 - Conclusão da equipe: Não há equipe de tratamento e resposta a incidentes em redescomputacionais (ETRI) instituída. 3.15.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, à AmazonasDistribuidora de Energia S/A que, em atenção ao disposto na Instrução NormativaGSI/PR nº 01/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes emredes computacionais, observando as práticas contidas na Norma Complementar05/IN01/DSIC/GSIPR. 3.16 - Inexistência de classificação da informação 3.16.1 - Situação encontrada: A empresa deixou em branco os itens 7.1 e 7.2 (relativos ao tema deSegurança da Informação) do Questionário PerfilGovTI 2010. Por meio do item 8.6 do
  15. 15. Anexo I do Ofício nº 131/2010-GAB/Secex/AM (fls. 12/16 do Anexo 1) solicitou-seevidências da classificação das informações para o negócio. A empresa auditada não apresentou qualquer resposta ao item. Ainda, por intermédio do Ofício de Requisição nº 898/2010-1 (fl. 466 v.2 doAnexo 1), solicitou-se que a empresa confirmasse ausência de resposta os itens 7.1 e7.2 (relativos ao tema de Segurança da Informação) do Questionário PerfilGovTI 2010. Na sua resposta a este último ofício, a empresa confirmou a ausência deresposta aos mencionados itens, que incluía a classificação de informações. 3.16.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.16.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.16.4 - Efeitos/Consequências do achado: Risco de divulgação indevida de informação restrita. (efeito potencial) 3.16.5 - Critérios: ACÓRDÃO 2023/2005, item 9.1.4, Tribunal de Contas da União, Plenário Decreto 4553/2002, art. 6º, § 2º, inciso I; art. 6º, § 2º, inciso II; art. 67 Norma Técnica - NBR - ISO/IEC 27002, item 7.2 - Classificação dainformação. 3.16.6 - Evidências: Resposta ao Ofício de Requisição nº 898/2010-1 (Anexo 1 - Volume 2 -folhas 468/472) Resposta ao item 7.1 do Questionário PerfilGovTI 2010 (Anexo 1 - Principal- folha 7) 3.16.7 - Conclusão da equipe: Não existe procedimento institucional de classificação da informação. 3.16.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, à AmazonasDistribuidora de Energia S/A que, em atenção ao disposto no Decreto nº 4553/2002,art. 6º, § 2º, inciso II e art. 67, crie critérios de classificação das informações a fim deque possam ter tratamento diferenciado conforme seu grau de importância, criticidade esensibilidade, observando as práticas contidas no item 7.2 da NBR ISO/IEC 27.002. 3.17 - Inexistência de inventário dos ativos de informação 3.17.1 - Situação encontrada: A empresa deixou em branco os itens 7.1 e 7.2 (relativos ao tema deSegurança da Informação) do Questionário PerfilGovTI 2010. Por meio do item 8.5 doAnexo I do Ofício nº 131/2010-GAB/Secex/AM (fls. 12/16 do Anexo 1) solicitaram-seevidências de que os ativos de informação são inventariados. A empresa auditada não apresentou qualquer resposta ao item. Ainda, por intermédio do Ofício de Requisição nº 898/2010-1 (fl. 466 v.2 doAnexo 1), solicitou-se que a empresa confirmasse ausência de resposta os itens 7.1 e7.2 (relativos ao tema de Segurança da Informação) do Questionário PerfilGovTI 2010. Na sua resposta a este último ofício, a empresa confirmou a ausência deresposta aos mencionados itens, que incluía o inventário de ativos de informação. 3.17.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.17.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.17.4 - Efeitos/Consequências do achado: Dificuldade de recuperação de ativo de informação. (efeito potencial) 3.17.5 - Critérios: Norma Técnica - NBR - ISO/IEC 27002, item 7.1.1 - inventário de ativos.
  16. 16. Norma Técnica - Gabinete de Segurança Institucional - Presidência daRepública - Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1. 3.17.6 - Evidências: Resposta ao Ofício de Requisição nº 898/2010-1 (Anexo 1 - Volume 2 -folhas 468/472) Resposta ao item 7.1 do Questionário PerfilGovTI 2010 (Anexo 1 - Principal- folha 7) 3.17.7 - Conclusão da equipe: A instituição não executa procedimentos de inventário de ativos deinformação. 3.17.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, à AmazonasDistribuidora de Energia S.A. que, em atenção ao disposto na Instrução NormativaGSI/PR nº 01/2008, art. 5º, VII c/c Norma Complementar 04/IN01/DSIC/GSIPR, item5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira quetodos os ativos de informação sejam inventariados e tenham um proprietárioresponsável, observando as práticas contidas no item 7.1 da NBR ISO/IEC 27.002. 3.18 - Inexistência de processo de gestão de riscos de segurança dainformação (GRSIC) 3.18.1 - Situação encontrada: A empresa deixou em branco os itens 7.1 e 7.2 (relativos ao tema deSegurança da Informação) do Questionário PerfilGovTI 2010. Por meio do item 8.7 doAnexo I do Ofício nº 131/2010-GAB/Secex/AM (fls. 12/16 do Anexo 1) solicitaram-seevidências da existência de um processo de gestão de riscos de segurança dainformação e comunicações em vigor. A empresa auditada não apresentou qualquer resposta ao item. Ainda, por intermédio do Ofício de Requisição nº 898/2010-1 (fl. 466 v.2 doAnexo 1), solicitou-se que a empresa confirmasse ausência de resposta os itens 7.1 e7.2 (relativos ao tema de Segurança da Informação) do Questionário PerfilGovTI 2010. Na sua resposta a este último ofício, a empresa confirmou a ausência deresposta aos mencionados itens, que incluía o processo de gestão de riscos desegurança da informação e comunicações. 3.18.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.18.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.18.4 - Efeitos/Consequências do achado: Desconhecimento das ameaças e respectivos impactos relacionados àsegurança da informação. (efeito potencial) 3.18.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional -Presidência da República, art. 5º, inciso VII Norma Técnica - Gabinete de Segurança Institucional - Presidência daRepública - Norma Complementar 04/IN01/DSIC/GSIPR Norma Técnica - ITGI - Cobit 4.1, PO9.4 - Avaliação de riscos. Norma Técnica - NBR - 27005 - Gestão de riscos de segurança dainformação 3.18.6 - Evidências: Resposta ao Ofício de Requisição nº 898/2010-1 (Anexo 1 - Volume 2 -folhas 468/472) Resposta ao item 7.1 do Questionário PerfilGovTI 2010 (Anexo 1 - Principal- folha 7) 3.18.7 - Conclusão da equipe:
  17. 17. A instituição não executa procedimentos de gestão de riscos dainformação, não tendo implementado, portanto, um processo de gestão de riscos desegurança da informação (GRSIC). 3.18.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, à AmazonasDistribuidora de Energia S.A. que, em atenção ao disposto na Instrução NormativaGSI/PR nº 01/2008, art. 5º, VII c/c Norma Complementar 04/IN01/DSIC/GSIPR,implemente processo de gestão de riscos de segurança da informação. 3.19 - Inexistência de plano anual de capacitação 3.19.1 - Situação encontrada: Por meio do item 9 do Anexo I do Ofício nº 131/2010-GAB/Secex/AM (fls.12/16 do Anexo 1) solicitaram-se informações do Processo de Capacitação dosProfissionais de TI da Amazonas Distribuidora de Energia S/A. Como resposta, foienviada a seguinte documentação: - Resolução 330/2009 da Diretoria Executiva da Amazonas Energia, a qualaprovou o nome dos empregados que passaram a exercer responsabilidadesgerenciais, dentre eles o Gerente de Departamento de Tecnologia da Informação eTelecomunicações, o Sr. André Luiz Pereira do Couto; - Curriculum Vitae do Sr. André Luiz Pereira do Couto; - Comunicação Interna nº 013/2009, oriunda da Assessoria de Informática,que traz consigo o Levantamento de Necessidades de treinamento da área de TI parao biênio 2009/2010, mas que prevê cursos apenas até Julho de 2009; - Documentação sobre a capacitação do Sr. André Luiz Pereira do Couto; e - Programa de Aperfeiçoamento e Capacitação Técnico-Profissional - POTG. A entidade entende que o Levantamento de Necessidades de treinamentoda área de TI e que o Programa de Aperfeiçoamento e Capacitação Técnico-Profissional- POTG se constituem em um Plano Anual de Capacitação. A documentação apresentada, contudo, não demonstra a existência de umPlano Anual de Capacitação, cujos elementos, tomando por base o previsto no Guia deOrientação para Elaboração dos Planos de Capacitação do Sistema de Pessoal Civil(SIPEC) do Ministério do Planejamento, Orçamento e Gestão(https://portalsipec.planejamento.gov.br/clientes/sipec/sipec/eventos/iv -encontro-nacional-de-dirigentes-de-recursos-humanos-do-sipec/arquivos/a rquivo.2010-05-07.6860946339/at_download.), seriam os seguintes: apresentação (fundamentos doplano, processo de estruturação e o porquê de sua realização); objetivos (principaisobjetivos do plano); público-alvo (definição do público a que se destina o plano); metase resultados esperados (esperados com a implementação do plano em termos damelhoria dos processos de trabalho e desempenho dos servidores); classificação doscursos e eventos (definição dos cursos e eventos no contexto do plano, como porexemplo, cursos internos e externos, cursos de curta e longa duração, cursos deformação e cursos de educação continuada, cursos gerenciais e técnico - operacionais);local e realização dos cursos e eventos (condições para realização da capacitação,principalmente fora do ambiente de trabalho); e previsão de cursos e eventos emoutras localidades (regras para a realização de cursos em outras Unidades daFederação, mencionando-se quem autoriza, as condições da autorização e apoiodisponível). Além disso, não há evidências de publicação do plano. Também não sevislumbram cursos voltados especificamente para a Gestão de TI, mas tão somentecursos direcionados para a parte técnica. 3.19.2 - Objetos nos quais o achado foi constatado: Planejamento Levantamento de Necessidades de Treinamento - LNT Biênio2009/2010 Planejamento Programa de Aperfeiçoamento e Capacitação Técnico-Operacional - PTOG
  18. 18. 3.19.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.19.4 - Efeitos/Consequências do achado: Não otimização do potencial dos recursos humanos. (efeito potencial) Desatualização do quadro de pessoal em termos deconhecimento/capacitação. (efeito potencial) 3.19.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, PO7.2-Competências Pessoais Norma Técnica - ITGI - Cobit 4.1, PO7.4 - Treinamento do Pessoal 3.19.6 - Evidências: Levantamento de Necessidades de Treinamento - LNT Biênio 2009/2010(Anexo 1 - Volume 1 - folhas 325/328) Programa de Aperfeiçoamento e Capacitação Técnico-Operacional - PTOG(Anexo 1 - Volume 1 - folhas 354/358) 3.19.7 - Conclusão da equipe: Ainda que os normativos a seguir não sejam cogentes à AmazonasEnergia, a importância de um Plano Anual de Capacitação contendo todos os elementosmencionados extrai-se do art. 5º, I, do Decreto nº 5.707/2006, do art. 2º, I, e art. 4º daPortaria MPOG nº 208/2006 e do PO7.2 (Competências Pessoais - Verificarregularmente se o pessoal tem as competências necessárias para exercer suas funçõescom base na formação, no treinamento e/ou na experiência. Definir os requisitoscentrais de competência em TI e verificar se estão sendo mantidos através deprogramas de qualificação e certificação onde apropriado) e PO7.4 (Treinamento doPessoal - Prover ao pessoal de TI treinamento apropriado para manter conhecimento,especializações, habilidades, conscientização sobre controles internos e segurança nonível exigido para atingir os objetivos organizacionais), combinados com odetalhamento proposto pelo Guia de Orientação para Elaboração dos Planos deCapacitação do Sistema de Pessoal Civil (SIPEC) do Ministério do Planejamento,Orçamento e Gestão (MPOG). A documentação apresentada, além de não tratar da Gestão de TI, que éde vital importância, se configura mais como um cronograma de atividades, semsincronia com objetivos, metas e necessidades evidenciadas. 3.19.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente umPlano Anual de Capacitação, contemplando ações de capacitação voltadas para agestão de tecnologia da informação, observando as práticas contidas no Cobit 4.1,processos PO7.2 - Competências Pessoais e PO7.4 - Treinamento do Pessoal, e oprevisto no Guia de Orientação para Elaboração do Plano de Capacitação do SIPEC,disponível em https://portalsipec.planejamento.gov.br/clientes/sipec/sipec/eventos/iv-encontro-nacional-de-dirigentes-de-recursos-humanos-do-sipec/arquivos/arquivo.2010-05-07.6860946339/at_dow nload. 3.20 - Inexistência de avaliação da gestão de TI 3.20.1 - Situação encontrada: Questionada no item 1.2 do Perfil GovTI 2010 a respeito do desempenhoorganizacional na gestão e no uso de TI, a empresa auditada respondeu, inicialmente,que nenhuma das opções elencadas descrevia a situação da empresa. Em momentoposterior, contudo, alterou sua resposta afirmando que a alta administração recebe eavalia regularmente informações sobre o desempenho relativo à gestão e ao usocorporativo de TI. Em resposta ao item 10.1 do Ofício nº 131/2010-GAB/Secex/AM -evidências que comprovem a resposta acima apresentada, foi encaminhado Relatóriode Desempenho do Departamento de Tecnologia da Informação e Telecomunicações -
  19. 19. DGT, período janeiro a junho de 2010. Verifica-se que o relatório apresentado informa apenas as açõesempreendidas pela área e os recursos orçamentários despendidos ao longo do primeirosemestre de 2010, entretanto não demonstra até que ponto objetivos planejadosforam atingidos, metas de desempenho alcançadas e riscos minimizados. Além de nãoexecutar análise de causa-raiz de problemas identificados pela avaliação dedesempenho e iniciar ações corretivas. Inexistente o PDTI da Amazonas Energia (conforme descrito no achadoespecífico) a ocorrência de falhas na avaliação da gestão de TI da empresa éconsequência óbvia, visto que o não estabelecimento de objetivos, indicadores e metasinvalida qualquer mensuração de desempenho. 3.20.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.20.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.20.4 - Efeitos/Consequências do achado: Impossiblidade de verificação de possibilidades de melhoria na gestão deTI. (efeito potencial) 3.20.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, ME1.5 - Relatórios gerenciais Norma Técnica - ITGI - Cobit 4.1, ME1.4 - Avaliar o desempenho Norma Técnica - ITGI - Cobit 4.1, ME1.6 - Ações corretivas Norma Técnica - ITGI - Cobit 4.1, ME2 - Monitorar e avaliar os controlesinternos 3.20.6 - Evidências: RELATÓRIO de desempenho do DGT. (Anexo 1 - Volume 1 - folhas 360/368) 3.20.7 - Conclusão da equipe: A documentação apresentada pelo auditado não atesta a informaçãoprestada de que a alta administração recebe e avalia regularmente informações sobreo desempenho relativo à gestão e ao uso corporativo de TI. A equipe de auditoriaconclui que não é praticada avaliação de gestão de TI da Amazonas Energia. Nãopoderia ser outra a constatação, visto que não foi elaborado PDTI contendo objetivos,indicadores e metas para a área. 3.20.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência), estabeleça umprocesso de avaliação da gestão de TI, observando as orientações contidas no Cobit4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 Relatórios gerenciais, ME1.6 - Açõescorretivas e ME2 - Monitorar e avaliar os controles internos. 3.21 - Inexistência dos estudos técnicos preliminares 3.21.1 - Situação encontrada: Recebida documentação referente ao processo licitatório do Pregão nº109/2009 cujo objeto é terceirização de pessoal de TI, que resultou no Contrato nº34932/2009 celebrado com a empresa Rudary Prestadora de Serviços do AmazonasLtda., no valor de R$ 3.077.454,25, foi identificada ausência dos estudos técnicospreliminares. Por meio do Ofício nº 898/2010-3, de 22/9/2010, a equipe de auditoriarequisitou da Amazonas Energia os respectivos estudos, não obtendo êxito. 3.21.2 - Objetos nos quais o achado foi constatado: Contrato 34932/2009 - Contrato de Terceirização de pessoal de TI 3.21.3 - Causas da ocorrência do achado: Deficiências de controles 3.21.4 - Efeitos/Consequências do achado:
  20. 20. Risco da ocorrência de aquisições ou contratações que não atendam ànecessidade do órgão (efeito potencial) Falhas no Termo de Referência ou Projeto Básico. (efeito potencial) 3.21.5 - Critérios: Lei 8666/1993, art. 6º, inciso IX 3.21.6 - Evidências: Processo licitatório contratação de terceirizada de pessoal. (Anexo 2 -Principal - folhas 9/137) Ofício TCU 898/2010-3 falta de resposta a questionamento da equipe deauditoria. (Anexo 1 - Volume 2 - folha 510) 3.21.7 - Conclusão da equipe: Não consta, do processo de contratação ou do projeto básico, referênciadireta à justificativa da necessidade dos serviços, elemento essencial para afundamentação da contratação. Não constam também justificativas quanto à quantidade de serviço a sercontratada nem uma demonstração direta dos resultados a serem alcançados com acontratação, em termos de economicidade e melhor aproveitamento de recursos. A elaboração do projeto básico deveria ter sido baseada em estudostécnicos preliminares, conforme preconiza a Lei nº 8.666/1993, em seu art. 6º, inciso IX.Os estudos técnicos preliminares devem trazer elementos que evidenciam viabilidadetécnica e possibilite a avaliação do custo contratual, dentre outros. 3.21.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia que, na elaboração dosestudos técnicos preliminares, considere o conteúdo da "Análise da Viabilidade daContratação", descrita como uma das etapas da fase de planejamento da contratação,conforme Instrução Normativa nº 04/2008-SLTI/MPOG, arts. 9º e 10. Alertar a Amazonas Distribuidora de Energia quanto à não realização deestudos técnicos preliminares anteriormente à elaboração dos termos de referência ouprojetos básicos, em confronto com as disposições contidas na Lei nº 8.666/1993, art.6º, IX. 3.22 - Inexistência de controles que promovam que o Termo de Referênciaou Projeto Básico seja elaborado a partir de estudos técnicos preliminares 3.22.1 - Situação encontrada: Em resposta ao item 7.10 do questionário Perfil GovTI 2010, foi afirmado,primeiramente, que as contratações de TI são feitas conforme os procedimentos legaise à medida que as demandas vão surgindo. Posteriormente, a resposta foi alteradapara a seguinte opção: além dos procedimentos legais, há procedimentos internos queauxiliam na padronização do processo de planejamento das contratações. A fim de comprovar a nova resposta dada, foi encaminhado Manual deNormas e Procedimentos para Aquisição de Bens e Serviços do Departamento deTecnologia da Informação e Telecomunicações - DGT. A documentação apresentada não atesta a resposta dada pelo auditado.Vejamos. Foi apresentado um manual de normas e procedimentos de aquisições nasmodalidades licitatórias possíveis. Este manual são algoritmos de execução deprocessos licitatórios após determinados o objeto a ser adquirido e a modalidadeadotada. Não são descritos procedimentos padronizados para a consecução doplanejamento das contratações. Portanto, fase anterior à abordada no referido manualencaminhado. Estão ausentes no documento apresentado comentários e determinaçõesacerca de como são realizados estudos técnicos preliminares e de viabilidade técnica etratamento do impacto ambiental, avaliação do custo da obra e a definição dosmétodos e do prazo de execução, os quais são procedimentos da fase de planejamento
  21. 21. de contratações. Ademais, nos contratos que passaram por testes substantivos, foiidentificada ausência de estudos técnicos preliminares que embasaram a elaboraçãodos projetos básicos, dificultando a verificação da adequação e correção das soluçõesescolhidas. Reiterando o assunto acima e retificando o item 11.2 do Anexo I do Ofícionº 131/2010-GAB/Secex/AM (fls. 12/16) a equipe de auditoria solicitou ao auditadoinformar se há controles que promovam que os termos de referência ou projetosbásicos para contratações de TI sejam elaborados a partir de estudos técnicos preliminares, apresentandoevidência de que este controle é utilizado e é monitorado. (item h do Ofício nº898/2010-5). Em resposta, é afirmado que, conforme informações da área, o colaboradordesignado para fazer o estudo técnico preliminar também é o responsável pelaelaboração do termo de referência que naturalmente recebe diretamente os resultadosdesses estudos. Desse modo, o documento que acaba sendo analisado e vistado peloslíderes de processo e pela gerência é o termo de referência. E complementaminformando que estão se adequando no sentido de separar esse processo em trêsfases: 1) Elaboração dos estudos técnicos preliminares; 2) Elaboração do termo dereferência; 3) Aprovação do termo de referência por parte do líder de processo e dagerência, conferindo e cruzando informações entre os conteúdos desses doisdocumentos. 3.22.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.22.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.22.4 - Efeitos/Consequências do achado: Termo de Referência ou Projeto Básico não baseado em estudos técnicospreliminares. (efeito potencial) Risco da ocorrência de aquisições ou contratações que não atendam ànecessidade do órgão (efeito potencial) 3.22.5 - Critérios: Lei 8666/1993, art. 6º, inciso IX Norma Técnica - ITGI - Cobit 4.1, AI 1 - Identificar soluções automatizadas. Norma Técnica - ITGI - Cobit 4.1, AI2 - Adquirir e Manter Software Aplicativo Norma Técnica - ITGI - Cobit 4.1, AI3 - Adquirir e Manter Infraestrutura deTecnologia. Norma Técnica - ITGI - Cobit 4.1, AI5.4 - Adquirir recursos de TI(edital/contrato). Norma Técnica - ITGI - Cobit 4.1, AI5.3 - Seleção de fornecedores. Norma Técnica - ITGI - Cobit 4.1, ME3.3 - Avaliação da Conformidade comRequisitos Externos. 3.22.6 - Evidências: Manual de normas e procedimentos. (Anexo 1 - Volume 1 - folhas 391/423) 3.22.7 - Conclusão da equipe: A documentação apresentada e informações prestadas pelo auditado nãosão capazes de comprovar a informação prestada de que há procedimentos internos depadronização do processo de planejamento das contratações. 3.22.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S.A. que, na elaboraçãodos estudos técnicos preliminares, considere o conteúdo da "Análise da Viabilidade daContratação", descrita como uma das etapas da fase de planejamento da contratação,conforme Instrução Normativa nº 04/2008-SLTI/MPOG, arts. 9º e 10.
  22. 22. Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência), implementecontroles que garantam que o Termo de Referência ou Projeto Básico seja elaborado apartir de estudos técnicos preliminares. Alertar a Amazonas Distribuidora de Energia S.A. quanto à ausência, nosprocessos licitatórios, dos estudos técnicos preliminares que embasaram a elaboraçãodo Termo de Referência ou Projeto Básico, em dissonância com o art. 6º, IX, da Lei8.666/1993. 3.23 - Irregularidades na contratação 3.23.1 - Situação encontrada: Foram realizados testes substantivos nos Contratos nº 34932/2009 e58554/2010, com o objetivo de avaliar a aderência dos procedimentos licitatóriosadotados com a legislação, constatnado-se as seguintes impropriedades: I - Com relação ao Contrato nº 34932/2009 - Terceirização de pessoal deTI, celebrado com a empresa Rudary Prestadora de Serviços do Amazonas Ltda., novalor de R$ 3.077.454,25: a) Contratação por interposição de mão de obra A impropriedade é caracterizada pelo seguinte: subordinação direta dosfuncionários da contratada a servidores da contratante; ausência de preposto dacontratada; habitualidade (ou pessoalidade), concernente ao vínculo pessoal nasrelações entre o empregado terceirizado e a contratante; a propriedade dos recursosutilizados pelos funcionários da contratada é da contratante; remuneração dacontratada pela mera disponibilidade de funcionários à contratante; e gestão dosresultados pela contratante. A contratação por interposição de mão de obra afronta o Enunciado 331-TST, e já foi objeto de pronunciamento do Tribunal, conforme Acórdão nº 786/2006 -Plenário, item 9.1.1. b) Não divisibilidade do objeto, estando presentes a viabilidade técnica eeconômica O objeto do contrato incluía os serviços de desenvolvimento e manutençãode sistemas; suporte técnico em ambiente cliente/servidor; e suporte técnico a redes,os quais são tecnicamente divisíveis. Nesse sentido aponta o Acórdão 1.558/2003 - Plenário, que determina acontratação em separado de serviços técnicos de informática como gerênciaestratégica, desenvolvimento de softw are, gerenciamento de dados, administração derede, suporte a usuários, manutenção de hardware, operação de microcomputadores edigitação. Da mesma forma sucede com a Decisão 811/2002, item 8.2.4, do Plenário. Dessa forma, os serviços somente podem ser licitados conjuntamentequando houver demonstração da inviabilidade econômica, o que não se verifica no casoem questão. c) Pagamento não vinculado a resultados Os pagamentos efetuados à empresa contratada vinculam-se tão somenteà disponibilização da mão de obra, não havendo qualquer aferição de resultados ou donível mínimo de serviços. Uma vez que o contrato trata da interposição de pessoal enão da prestação de serviços em si, não há como vincular o pagamento a resultados. A referida prática está em desacordo com os princípios constitucionais daeficiência (art. 37, caput da CF) e da economicidade (art. 70 da CF). Assim já foi definidopelo TCU nos Acórdãos 1915/2009 e 786/2006, item 9.4.3, ambos do Plenário. d) Impertinência nos critérios de habilitação referente à solicitação de CRA O Edital do certame que culminou na celebração do contrato em apreço, emseu item 4.1.5, estabeleceu a necessidade de registro do licitante no Conselho Regionalde Administração (CRA). Como se sabe, com relação aos serviços de TI, não há entidadeprofissional estabelecida no Brasil. Assim, para a contratação deste tipo de serviço, não
  23. 23. se pode exigir o registro no CRA. Esta exigência apenas comprova que o contrato versasobre uma ilegal interposição de mão de obra, tendo em vista que o registro do CRAafigura-se cabível para empresas de Recursos Humanos. O TCU já firmou entendimento nesse sentido, conforme Acórdão 116/2006,item 9.2.4, e Decisão 811/2002, item 8.2.2, ambos do Plenário . Também o PoderJudiciário, consoante os julgados seguir, segue a mesma linha: STJ, RESP 496149 / RJ,Processo 200300159908, DJ 15/8/2005 p. 236; e STJ, RESP 488441 / RS, Processo200201710602, DJ 20/9/2004 p. 238 II - Com relação ao Contrato nº 58554/2010 - Outsourcing de impressão,celebrado com a empresa CSI Service Ltda., no valor de R$ 2.999.933,76: a) Justificativa inadequada do preço da contratação O TCU já tem decidido que a pesquisa de preços deve considerar todas asvariáveis correlacionadas, tais quais as quantidades pretendidas, prazos e forma deentrega, nos termos do disposto no art. 3º, inciso III, da Lei nº 10.520/2002, e art. 8º,inciso III, Anexo I, do Decreto nº 3.555/2000 (Acórdão 3667/2009 Segunda Câmara). Também as especificações dos objetos devem ser idênticas para umaadequada pesquisa de preços. O TCU já decidiu, por exemplo, que deve ser realizadauma nova pesquisa de preços quando as especificações do objeto a ser contratadoforem alteradas, de sorte a obter estimativa mais adequada. (Acórdão 3294/2009Segunda Câmara). No caso em questão, as propostas de comparação de preço divergemquanto às especificações dos modelos de impressoras e dos quantitativos contratados,não se mostrando apropriadas, assim, para a aferição do valor justo de mercado. b) Falhas na adesão a ata de registro de preços A ata de registro de preços à qual a Amazonas Energia aderiu foigerenciada pela Secretaria de Estado da Fazenda do Amazonas (SEFAZ-AM), tendo ocertame licitatório sido conduzido pela Comissão Geral de Licitação (CGL) do Estado doAmazonas, ou seja, órgãos da esfera administrativa estadual. Sabe-se que a publicidade da licitação de órgãos e entidades federaisdeve ter abrangência nacional, contrariamente ao que ocorre nas licitações estaduais,nas quais a publicidade se circunscreve ao Estado licitante. A entidade auditada é Sociedade de Economia Mista Federal e integra,portanto, a Administração Pública Federal. É sabido que os preços coletados devem serpesquisados em condições semelhantes às solicitadas no procedimento licitatório e sereferir a objeto idêntico ao da licitação. Nesse sentido, o TCU tem entendido, conforme item 1.6.2 do Acórdão6511/2009 - 1ª Câmara, que órgãos e entidades federais não podem aderir a atas deregistro de preços realizadas pelas Administrações da esfera estadual, municipal oudistrital. Da mesma forma entende a Advocacia Geral da União (AGU), que editou aOrientação Normativa 21/2009 com igual conteúdo. Esta última norma, embora nãoaplicável diretamente à Amazonas Energia, demonstra o entendimento dominantesobre o tema. Outra falha decorre de a Amazonas Energia ter contratado quantitativodiverso do autorizado pela SEFAZ-AM para adesão à ata de preços registrada sob seucomando. c) Projeto básico não elaborado com base nos estudos técnicospreliminares e não aprovado pela autoridade competente O projeto básico diverge em quantitativos de serviços contratados dosconstantes dos estudos técnicos preliminares e a aprovação da contratação foi anteriorà elaboração do projeto básico. Em razão dessas irregularidades contratou-sequantitativo de equipamentos superior ao aprovado inicialmente pela autoridadecompetente. Os quantitativos de serviços foram alterados, diminuiu-se o número de
  24. 24. impressões e aumentou-se o número de impressoras colocadas à disposição dacontratante. Como resultado, o pagamento fixo por impressora é elevado e, de formafictícia, o de impressões reduzido, mantendo o valor final idêntico ao inicialmenteaprovado. O número de impressões é apenas uma estimativa e não se alterará pelasimples modificação de suas quantidades no contrato. Ao contrário, maior número deimpressoras disponíveis diminui o potencial de controle das quantidades e tipos dedocumentos impressos, reduzindo a economia justificada para a presente contratação. A manipulação dos quantitativos, além de ser injustificada, somentebeneficia a empresa contratada trazendo prejuízos à Amazonas Energia no valormensal de R$ 15.781,37 (quinze mil, setecentos oitenta e um reais e trinta e setecentavos) e anual de R$ 189.376,44 (cento e oitenta e nove mil, trezentos e setenta eseis reais e quarenta e quatro centavos), visto que a contratante será obrigada apagar um valor fixo maior à contratada, independente do número de impressões. Anexaao achado encontra-se planilha comparativa dos quantitativos contratados eplanejados. 3.23.2 - Objetos nos quais o achado foi constatado: Contrato 34932/2009 - Contrato de Terceirização de pessoal de TI Contrato 58554/2010 - Outsourcing de impressão 3.23.3 - Causas da ocorrência do achado: Não adoção de controles que permitam a correta aderência dascontratações à legislação 3.23.4 - Efeitos/Consequências do achado: Aquisições ou contratações que não atendem à necessidade do órgão(efeito real) Prejuízos gerados por pagamentos indevidos (efeito potencial) 3.23.5 - Critérios: ACÓRDÃO 1558/2003, Tribunal de Contas da União, Plenário ACÓRDÃO 116/2006, item 9.2.4, Tribunal de Contas da União, Plenário ACÓRDÃO 786/2006, item 9.1.1, Tribunal de Contas da União, Plenário ACÓRDÃO 2471/2008, item 9.1, Tribunal de Contas da União, Plenário ACÓRDÃO 2471/2008, item 9.2, Tribunal de Contas da União, Plenário ACÓRDÃO 1915/2009, Tribunal de Contas da União, Plenário ACÓRDÃO 3294/2009, Tribunal de Contas da União, 2ª Câmara ACÓRDÃO 3667/2009, Tribunal de Contas da União, 2ª Câmara ACÓRDÃO 6511/2009, item 1.6.2, Tribunal de Contas da União, 1ª Câmara Constituição Federal, art. 37, caput ; art. 70, caput Decisão 811/2002, item 8.2.4, Tribunal de Contas da União, Plenário Decisão 811/2002, item 8.2.2, Tribunal de Contas da União, Plenário Decreto 3555/2000, art. 8º, inciso III, item Anexo I Lei 8666/1993, art. 6º, inciso IX; art. 7º, § 2º, inciso I; art. 23, § 1º; art.30, § 1º, inciso I Lei 10520/2002, art. 3º, inciso III Súmula 331/2003, Tribunal Superior do Trabalho 3.23.6 - Evidências: Processos de pagamento Março/Abril/Maio 2010 (Anexo 1 - Volume 3 -folhas 663/712) Orçamentos das empresas Mr. Computer e AMC (justificativa inadequadado preço da contratação) (Anexo 2 - Volume 4 - folhas 950/953) Descrição dos serviços do Contrato 58554/2010-Outsourcing de impressão(justificativa inadequada do preço da contratação) (Anexo 2 - Volume 5 - folhas1187/1189) CE 25/2010-DGT manifestando interesse em aderir à ata estadual, comquantitativos (falhas na adesão a ata de registro de preços) (Anexo 2 - Volume 4 -
  25. 25. folhas 955/956) Ofício SEFAZ-AM 1072/2010/GSEFAZ autorizando adesão à ata (falhas naadesão a ata de registro de preços) (Anexo 2 - Volume 4 - folha 957) Projeto básico outsourcing de impressão (Projeto básico não elaboradocom base nos estudos técnicos preliminares e não aprovado pela autoridadecompetente) (Anexo 2 - Volume 5 - folhas 1158/1177) Estudos técnicos preliminares outsourcing de impressão (Projeto básiconão elaborado com base nos estudos técnicos preliminares e não aprovado pelaautoridade competente) (Anexo 1 - Volume 3 - folhas 716/740) Comunicação Interna 172/2010 (contratação por interposição de mão-de-obra) (Anexo 1 - Volume 3 - folhas 741/742) Resposta ao Questionamento 7 dos licitantes no Adendo nº 02 (CE nº353/2009) (contratação por interposição de mão-de-obra) (Anexo 2 - Principal - folha182) Resposta ao Questionamento 6 dos licitantes no Adendo nº 02 (CE nº353/2009) (contratação por interposição de mão-de-obra) (Anexo 2 - Principal - folha182) RELATÓRIO de Julgamento de Impugnação dos licitantes, item 6(contratação por interposição de mão-de-obra e impertinência nos critérios dehabilitação) (Anexo 2 - Volume 1 - folha 214) Projeto Básico, item 1.2.2 (contratação por interposição de mão-de-obra epagamento não vinculado a resultados) (Anexo 2 - Principal - folhas 10/11) Projeto Básico, item 1.1 (contratação conjunta de serviços técnica eeconomicamente divisíveis) (Anexo 2 - Principal - folha 10) Edital, item 4.1.5 (impertinência nos critérios de habilitação) (Anexo 2 -Principal - folha 78) 3.23.7 - Esclarecimentos dos responsáveis: O auditado apresentou os seguintes esclarecimento: I - Com relação ao Contrato nº 34932/2009 - Terceirização de pessoal deTI: a) Contratação por interposição de mão de obra O auditado alega que a terceirização é um dos meios de modernização daestrutura estatal e estaria contida em alguns dispositivos legais relativos àAdministração Pública, a exemplo do Decreto-lei nº 200, de 25 de fevereiro de 1967,art. 10, § 7º, que permitiria ao Estado contratar serviços de particulares especializadosem determinadas atividades. Na continuidade das alegações, acerca da possibilidade de terceirizaçãopela Administração Pública, são citados os artigos 3º da Lei nº 5.645, de 10 dedezembro de 1970; 6º, II, da Lei nº 8.666/1993; 18, § 1º, da Lei Complementar nº 101,de 4 de maio de 2000; e 1º do Decreto nº 2.271, de 7 de julho de 1997. Afirma que a jurisprudência do TST culminou na Súmula 331 peloentendimento de atribuir licitude à terceirização nas atividades meio, desde que não seconfigure pessoalidade e subordinação e ilicitude na terceirização da atividade fim, econclui: "Diante do que aqui se destaca, de se ver que no caso em comento não há asuposta irregularidade, visto que a par da existência de permissivo legal, no casoespecífico da prestação de serviços de Tecnologia da Informação, foram tomadas asmedidas indicadas pela Corte de Contas, atendidos os interesses e o planejamentoinstitucional da empresa - Amazonas Energia". Ao fim, alega que os postos de serviços contratados não constam do Planode Cargos e Salários da empresa e que tais serviços são indispensáveis para odesenvolvimento das atividades do Departamento de Tecnologia da Informação eTelecomunicações. b) Não divisibilidade do objeto, estando presentes a viabilidade técnica eeconômica
  26. 26. Alega que, consoante orientação deste Tribunal, nas hipóteses de licitaçãocom diversidade de serviços, o entendimento tem sido o de que o parcelamento ou nãodo objeto da licitação deve ser auferido sempre no caso concreto, perquirindo-seessencialmente acerca da viabilidade técnica e econômica do parcelamento e dadivisibilidade do objeto. Afirma que o TCU, no Acórdão nº 732/2008-P, se pronunciou nosentido de que "a questão da viabilidade do fracionamento deve ser decidida com baseem cada caso, pois cada obra tem as suas especificidades, devendo o gestor decidiranalisando qual a solução mais adequada no caso concreto". Continuando a defesa,reproduz entendimento de Jorge Ulisses Jacoby Fernandes, no Parecer nº 2086/00,elaborado no Processo nº 194/2000 do TCDF, acerca da avaliação da viabilidade técnicapara adoção do parcelamento do objeto. E arremata: "Diante desta perspectiva, considerando principalmente ocenário do mercado do Amazonas e a interligação dos serviços contratados, apósprévia análise por parte das áreas competentes, concluiu-se que o fracionamento dosserviços em licitações distintas acarretaria o aumento dos custos ferindo aeconomicidade almejada, sem garantir ampliação da competitividade, correndo-se orisco de contratar-se a mesma empresa para todos os serviços, inclusive, por um customais elevado". É afirmado que, nos termos das informações apresentadas pelas áreastécnica e de licitações, o mais indicado para a referida contratação seria que os serviçosdescritos no pregão em tela fossem prestados por uma mesma empresa. c) Pagamento não vinculado a resultados Alegam que o pagamento efetuado à contratada é resultante da aplicaçãodo valor unitário do h/h multiplicado pelo total de hora/mês que o profissional executa,que nos termos das informações apresentadas pelas áreas técnica e de licitações, seriao mais indicado para a referida contratação. d) Impertinência nos critérios de habilitação referente à solicitação de CRA Alega-se que a exigência relacionada ao Conselho de Administração visouselecionar empresas com qualificação e expertise necessárias para recrutar osprofissionais almejados para consecução do objeto contratual. Consideram que os profissionais necessários à prestação do serviçoexerceriam atividades de cunho operacional, exigindo que os mesmos tivessemconhecimentos técnicos, portanto, buscaram com a exigência de registro no órgãoprofissional, demonstração mínima acerca da capacidade de seleção profissional. Ratificando o entendimento, argumentam o seguinte: "A aferição de talcapacidade é regulada pelo Conselho Federal de Administração - CFA que em suaResolução 288/03 - CFA Art. 3º dispõe, consoante o disposto no Art. 30, inciso I da Leinº 8.666/93: "As empresas de prestação com locação de pessoal, tem como atividadefim o próprio fornecimento de mão de obra, caracterizando-se como especializadas emdecorrência da experiência, formação e qualificação do pessoal postos à disposição docontratante"". Salientam, por fim, que o quesito de habilitação acima não teve o condãode restringir a competitividade, mas de resguardar a qualidade do serviço prestadoatravés da capacidade da empresa fornecedora da mão de obra necessária. II - Com relação ao Contrato nº 58554/2010 - Outsourcing de impressão: a) Justificativa inadequada do preço da contratação É alegado que a diferença existente entre os modelos constantes na atade registro de preço e nas propostas se deu pelo fato dos modelos T644dn e X646terem sido descontinuados pelo fabricante, sendo assim os modelos constantes naspropostas como: T656dtn e X656e eram aqueles que melhor se encaixavam nascaracterísticas dos equipamentos descontinuados. Quanto aos quantitativos contratados, alegam, inicialmente teremestabelecido 206 (duzentas e seis) impressoras, e, durante o processo de adesão, foidetectada necessidade de dotar as áreas técnicas das agências do interior do Estado
  27. 27. com mais uma impressora, ficando em 267 (duzentos sessenta e sete) o contratado; eno que concerne aos preços, o fato das propostas possuírem o valor unitário, afirmamque permitiu a estimativa dos valores totais em quaisquer cenários. b) Falhas na adesão a ata de registro de preços Alegam que, após consulta prévia a várias empresas em relação aorçamento e interesse em prestação dos serviços de outsourcing de impressão paratodo o Estado do Amazonas, nenhuma empresa demonstrou interesse em participar,pois nem teriam enviado orçamento. E que, com o decurso de quase dois anos do início dos estudos técnicospara a prestação dos serviços, concluíram ser a adesão "carona" à ata da SEFAZ/AM aúnica alternativa viável. O prejuízo da não contração seria a inexistência de controle egerenciamento de gastos com papel, tonner e demais insumos; a não realização demanutenção nos equipamentos; maiores gastos logística para serviços no interior doEstado, além da acumulação de materiais em estoque, super ou sub dimensionados,acarretando custos extras com compras emergenciais, além de prejuízos peladeterioração dos estoques. Alegam ainda que somente os órgãos federais da Administração Diretaestão, pelo viés da Orientação Normativa nº 21/2009 AGU, impedidos de aderir a atasgeridas por entes da Administração Pública Estadual, Municipal ou Distrital, excluídos aí,portanto, os Órgãos da Administração Indireta, onde se enquadra a AmazonasDistribuidora de Energia S/A, empresa de distribuição da Eletrobrás. Quanto ao objeto contratado ser distinto do registrado em ata, alegamque o Contrato 58554/2010 (ELB AmE) foi elaborado de forma detalhada, seguindo naíntegra o Edital da Licitação promovida pela Comissão Geral de Licitação da SEFAZ, e,também, de acordo com a respectiva Ata de Registro de Preço ARP 0198/2009 (SEFAZ),sendo que Ata constaria o objeto de forma clara, objetiva, porém resumido, semprejuízo do seu conteúdo e não ferindo quaisquer das leis que regem a matéria. c) Projeto básico não elaborado com base nos estudos técnicospreliminares e não aprovado pela autoridade competente O auditado foi questionado inicialmente pela equipe de auditoria a respeitoda ausência de estudos técnicos preliminares indicando: que a justificativa do modelode prestação de serviço (outsourcing de impressão) é o mais adequado em relação aoanteriormente praticado, e o quantitativo de serviço contratado; as respectivasrespostas serão aproveitadas no presente achado. O contraditório e a ampla defesa doauditado não são prejudicados nessa fase processual. Quanto à justificativa de que o modelo de prestação de serviço é o maisadequado, alegam que, conforme documento anexo, a opção pela contratação namodalidade outsourcing de impressão se deu após a apresentação e análise deextensa nota expedida pela área técnica competente - DGT. Enfatizam ser possível verificar que o estudo englobou análise da situaçãode dispêndio da empresa com a impressão de documentos, levando-se em conta custosdiretos e indiretos, dentre os quais a logística de atendimento aos 104 pontos daAmazonas Energia localizados no interior. As vantagens apontadas por referido estudoconcentrar-se-iam na utilização de equipamentos sempre novos, gerência informatizadado processo de impressão, criação de cotas considerando o histórico de consumo, eeconomicidade ligada à gestão. Quanto ao quantitativo de serviço contratado, afirmam que o estudomencionado levantou a quantidade e qualidade de impressões realizadas pela empresaao longo de um ano, balizando as necessidades reais capazes de nortear a contrataçãode Outsourcing de Impressão. 3.23.8 - Conclusão da equipe: Após analisados os esclarecimentos do auditado, a equipe de auditoriaconclui que as contratações estão eivadas de irregularidades. A seguir análise das informações prestadas pela Amazonas Energia.

×