Your SlideShare is downloading. ×
Acórdão tcu 2612 2011 - amazonas distribuidora de energia sa - avaliação de controles de ti
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Acórdão tcu 2612 2011 - amazonas distribuidora de energia sa - avaliação de controles de ti

1,393
views

Published on

Entidade: Amazonas Distribuidora de Energia S/A …

Entidade: Amazonas Distribuidora de Energia S/A

RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE
TECNOLOGIA DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES
E OPORTUNIDADES DE MELHORIA. IRREGULARIDADES TRATADAS EM PROCESSOS
ESPECÍFICOS. DETERMINA-ÇÕES, RECOMENDAÇÕES E ALERTAS

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,393
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. P e squisa : Livre Em Form ulá rio Q ua rta -fe ira, 9 de Nove m bro de 2011.Pe squisa núm ero: 6Expressã o de Pe squisa: "AVALIAÇÃO DE C O NTR O LES GERAIS DE TEC NO LO GIA DA INFO RMAÇ ÃO "Ba se s pe squisa das: Acórdã osDocum e nto da ba se : Acórdã oDocum e ntos re cupera dos: 13Docum e nto m ostra do: 13Sta tus na Cole tâ nea : Não Se le cionadoVisua liza r e ste docum ento no Form a to P a drã o para Acórdãos 6form a to: Coletâ ne a Status do Documento na Coletânea: c d e f g [Nã o Se leciona do] Volta r à lista de docum entos Ante rior | Próx im o Identificação Acórdão 2612/2011 - Plenário Número Interno do Documento AC-2612-40/11-P Grupo/Classe/Colegiado GRUPO I / CLASSE V / Plenário Processo 024.193/2010-0 Natureza Relatório de Auditoria Entidade Entidade: Amazonas Distribuidora de Energia S/A Interessados Responsáveis: Flávio Decat de Moura, ex-diretor presidente (CPF 060.681.116-87) e Pedro Carlos Hosken Vieira, diretor-presidente (CPF 141.356.476- 34) Sumário RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES DE MELHORIA. IRREGULARIDADES TRATADAS EM PROCESSOS ESPECÍFICOS. DETERMINA-ÇÕES, RECOMENDAÇÕES E ALERTAS Assunto Relatório de Auditoria Ministro Relator AROLDO CEDRAZ
  • 2. Representante do Ministério Público não atuouUnidade Técnica Secretaria de Controle Externo no Estado do Amazonas - Secex/AMAdvogado Constituído nos Autos não háRelatório do Ministro Relator A Secretaria de Controle Externo no Estado do Amazonas - Secex/AMrealizou auditoria na Amazonas Distribuidora de Energia S/A, no período de 30/8 a22/10/2010, com o objetivo de avaliar controles gerais de tecnologia da informação - TIe verificar se estão de acordo com a legislação pertinente e com as boas práticas degovernança de TI. 2. As ocorrências detectadas foram apresentadas pela equipe de auditorianos seguintes termos (fls. 8/47): "3 - ACHADOS DE AUDITORIA 3.1 - Inexistência do Plano Estratégico Institucional 3.1.1 - Situação encontrada: Por meio do item 1 do Anexo I do Ofício nº 131/2010-GAB/Secex/AM (fls.12/16 do Anexo 1) solicitaram-se informações acerca do Plano Estratégico Institucionalda Amazonas Energia. Como resposta, foi enviada a seguinte documentação: - Contrato de Metas de Desempenho Empresarial - CMDE pactuado entre aAmazona Energia e sua controladora, a Eletrobrás; - Plano de Melhoria de Desempenho - PMD, para o período de 2010-2014. A entidade entende que tais documentos suprem a necessidade de umPlano Estratégico Institucional - PEI. Apontou como evidência de formalização asDeliberações DEL nº 134,135,136 e 137 do Conselho de Administração da Eletrobrás e,como evidência da participação das diversas áreas de negócio na elaboração, umarquivo que demonstra a participação de integrantes da Amazonas Energia num eventoocorrido na Eletrobrás. Por fim, apontou alguns e-mails como provas de divulgação do Plano paraos gestores da Amazonas Energia, indicou o referido PMD como o desdobramento a quefaz alusão o item 1.2.4 do Ofício e apresentou como evidência da avaliação do Plano aaprovação do Regimento Interno do Comitê de Gestão e ata de sua primeira reunião. A documentação apresentada, embora tenha valor em razão das metas eindicadores fixados, não contempla grande parte dos elementos essenciais de um PlanoEstratégico Institucional - PEI, uma vez que não abrange temas como negócio, visão,avaliação dos ambientes externo e interno do ente, e nem declara os objetivos einiciativas estratégicas do ente. A importância de tais itens num PEI pode ser verificada no Critério nº 2 doGespública, que examina como a organização, a partir de sua visão de futuro, daanálise dos ambientes interno e externo e da sua missão institucional formula suasestratégias, as desdobra em planos de ação de curto e longo prazos e acompanha asua implementação, visando o atendimento de sua missão e a satisfação das partesinteressadas. Finalmente, a documentação apresentada não evidencia a aprovação epublicação do PMD, o que foi confirmado em entrevistas realizadas durante os trabalhosde auditoria, de sorte que não pode ser considerado, para fins desta auditoria, comoválido, por não ser oficial. Referente ao CMDE, é instrumento de controle por parte da empresacontroladora (Eletrobrás). Em sua cláusula 3.1.1, estabelece, como obrigação dacontrolada, a implementação de ações para assegurar o aprimoramento dos métodos
  • 3. de gestão e a racionalização de custos e dos processos produtivos. Assim, pode-sedepreender que a elaboração de um PEI próprio da Amazonas Energia é instrumentoessencial para o cumprimento do CMDE. 3.1.2 - Objetos nos quais o achado foi constatado: Planejamento - Contrato de Metas de Desempenho Empresarial (CMDE)celebrado entre a Amazonas Energia e a Eletrobrás 3.1.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.1.4 - Efeitos/Consequências do achado: Ausência de referencial para verificar o alinhamento estratégico das açõesda área de TI com o negócio da instituição. (efeito real) Risco de a instituição não conseguir atuar de forma eficiente noatingimento dos seus objetivos finalísticos. (efeito potencial) 3.1.5 - Critérios: Constituição Federal, art. 37, caput Decreto Lei 200/1967, art. 6º, inciso I; art. 7º Norma Técnica - MPOG - Gespública - Instrumento para Avaliação daGestão Pública - Ciclo 2010 - critério de avaliação 2 3.1.6 - Evidências: Comunicação Interna nº 176/2010 (Anexo 1 - Principal - folhas 22/24) Contrato de Metas de Desempenho Empresarial (CMDE) celebrado entre aAmazonas Energia e a Eletrobrás (Anexo 1 - Principal - folhas 27/51) Plano de Melhoria de Desempenho - PMD (Anexo 1 - Principal - folhas79/103) 3.1.7 - Conclusão da equipe: A Equipe concluiu que os documentos apresentados pela entidade nãoapresentam todos os elementos essenciais de um Plano Estratégico Institucional (PEI),além de não ter sido aprovado pela Alta Administração e publicado, de forma que ficouevidenciada a sua inexistência. 3.1.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência) e ao Decreto Leinº 200/67, art. 6º, inciso I, e art. 7º, elabore um Plano Estratégico Institucional,considerando o previsto no critério de avaliação nº 2 do Gespública. 3.2 - Inexistência do PDTI 3.2.1 - Situação encontrada: Por meio do item 2 do Anexo I do Ofício nº 131/2010-GAB/Secex/AM (fls.12/16 do Anexo 1) solicitaram-se informações acerca do Planejamento Estratégico de TIda Amazonas Energia, o qual culminaria com a edição de um Plano Diretor de TI - PDTIou Plano Estratégico de TI - PETI. A entidade não enviou resposta específica quanto aeste item. Limitou-se a reforçar o conteúdo do Questionário PerfilGovTI no qual haviamencionado que executa um processo periódico de planejamento, embora este nãoesteja formalmente instituído. 3.2.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.2.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.2.4 - Efeitos/Consequências do achado: Ações de TI não alinhadas ao negócio. (efeito potencial) 3.2.5 - Critérios: Constituição Federal, art. 37, caput Decreto Lei 200/1967, art. 6º, inciso I; art. 7º
  • 4. Instrução Normativa 4/2008, SLTI/MPOG, art. 2º, inciso X; art. 3º; art. 4º,inciso III Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI 3.2.6 - Evidências: Respostas aos itens 2.2 e 2.3 do questionário PerfilGovTI 2010. (Anexo 1 -Principal - folha 5) 3.2.7 - Conclusão da equipe: Já existem normas que tratam da necessidade da elaboração de um PlanoDiretor de TI (PDTI). É o caso da IN nº 04/2008 da SLTI (Secretaria de Logística eTecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão), que,embora não aplicável diretamente á entidade auditada, revela a importância do tema. Nesse sentido, um conteúdo mínimo do PDTI é esperado, incluindoelementos tais como: necessidades de informação alinhada à estratégia do órgão ouentidade; plano de investimentos; contratações de serviços; aquisição deequipamentos; e quantitativo e capacitação de pessoal, gestão de risco, ambienteexterno e ambiente interno da área de TI. Além disso, o PDTI deve declarar os objetivos e as iniciativas estratégicasda área de TI, estabelecer os indicadores de desempenho, de acordo com os objetivosestratégicos, com vistas a avaliar a atuação da área de TI; e ser formalmente aprovadoe publicado. Para auxiliar os diversos órgãos e entidades na elaboração do PDTI, oMinistério do Planejamento elaborou o Modelo de Referência de Plano Diretor deTecnologia da Informação, que pode servir como ponto de partida. 3.2.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S/A que elabore eaprove um Plano Diretor de Tecnologia da Informação - PDTI, observando as diretrizesconstantes na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4, III, no que couber,e as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI e noModelo de Referência de Plano Diretor de Tecnologia da Informação da SLTI/MPOG,disponível em http://catir.softwarepublico.gov.br/dotlrn/clubs/gestodetisisp/onecommunity?page_num=2. 3.3 - Inexistência de comitê de TI 3.3.1 - Situação encontrada: Por meio do item 3.2 do Anexo I do Ofício nº 131/2010-GAB/Secex/AM (fls.12/16) solicitaram-se evidências de que Amazonas Energia instituiu um Comitê de TI. Aentidade não enviou resposta específica quanto a este item. Em entrevistas realizadas,evidenciou-se que a Alta Administração da empresa não designou formalmente umComitê de TI para auxiliá-la nas decisões relativas à gestão e ao uso corporativos deTI. 3.3.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.3.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.3.4 - Efeitos/Consequências do achado: Sobreposição de ações de TI por parte das áreas de negócio queintegrariam o comitê de TI. (efeito potencial) Priorização inadequada das ações de TI devido à ausência da participaçãodas áreas de negócio da instituição. (efeito potencial) 3.3.5 - Critérios: Constituição Federal, art. 37, caput Norma Técnica - ITGI - Cobit 4.1, PO4.3 - Comitê diretor de TI Norma Técnica - ITGI - Cobit 4.1, PO4.2 - Comitê estratégico de TI 3.3.6 - Evidências:
  • 5. Resposta ao item 1.1 do Questionário PerfilGovTI-2010 (Anexo 1 - Principal- folha 4) 3.3.7 - Conclusão da equipe: Já existem normas que tratam da necessidade da criação de um Comitê deTI no âmbito das organizações. É o caso da IN nº 04/2008 da SLTI (Secretaria deLogística e Tecnologia da Informação do Ministério do Planejamento, Orçamento eGestão), que, embora não aplicável diretamente à entidade auditada, revela aimportância do tema. Também a norma técnica internacional CobIT (PO4.2 e PO4.3) traz anecessidade da formalização do mencionado comitê. No presente conclui-se que a Alta Administração da instituição nãodesignou formalmente um Comitê de TI para auxiliá-la nas decisões relativas à gestão eao uso corporativo de TI. 3.3.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S.A. que implante umComitê de Tecnologia da Informação que envolva as suas diversas áreas e que seresponsabilize por alinhar os investimentos de Tecnologia da Informação com osobjetivos institucionais e por apoiar a priorização de projetos a serem implantados,considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3- Comitê diretor de TI. 3.4 - Inexistência de avaliação do quadro de pessoal de TI 3.4.1 - Situação encontrada: Por meio do item 3.7 do Anexo I do Ofício nº 131/2010-GAB/Secex/AM (fls.12/16 do Anexo 1) solicitou-se que fosse informado se a estrutura de recursoshumanos do setor de informática (quantitativo e qualificação de servidores) é suficientepara o desempenho das atribuições da área e para o atendimento das necessidadesda empresa. A entidade apresentou documento que somente menciona estudo daANEEL sobre quantitativo ideal de pessoal em empresa de referência, porém,afirmando, sem fundamentação plausível e estudos técnicos, que a Amazonas Energianecessita de número maior de pessoal. Esta necessidade é atendida por meio decontratação irregular de pessoal terceirizado (irregularidade objeto da representaçãoconstante do TC 031.510/2010-8). 3.4.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.4.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.4.4 - Efeitos/Consequências do achado: Dependência do serviço de empresas terceirizadas (efeito potencial) Recursos humanos de TI insuficientes para atender às necessidades donegócio. (efeito potencial) Falta de competênicas apropriadas na área de TI. (efeito potencial) 3.4.5 - Critérios: ACÓRDÃO 71/2007, item 9.2.23, Tribunal de Contas da União, Plenário Norma Técnica - ITGI - Cobit 4.1, PO4.12 - Pessoal de TI 3.4.6 - Evidências: Nota Técnica 1 (Anexo 1 - Principal - folhas 193/198) 3.4.7 - Conclusão da equipe: O documento apresentado somente tenta justificar o quadro excessivo depessoal da área de TI vindo de anos anteriores sem avaliar os ambientes de TI,operacional ou de negócio para garantir que a área de TI tenha quantidade suficientede pessoal para suportar de forma adequada os objetivos e metas de negócios. 3.4.8 - Proposta de encaminhamento:
  • 6. Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência) elabore estudotécnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas afundamentar futuros pleitos de ampliação e preenchimento de vagas de servidoresefetivos devidamente qualificados, objetivando o melhor atendimento das necessidadesinstitucionais, observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI . 3.5 - Falhas no orçamento de TI 3.5.1 - Situação encontrada: Em resposta ao questionário PerfilGovTI 2010, item 7.15, a AmazonasEnergia informou que: a solicitação de orçamento de TI é feita com base na estimativados custos das contratações previstas; há alocação de custos de TI por área denegócio; a execução da despesa de TI é acompanhada pela área de TI; a execução dadespesa de TI é acompanhada pela Alta Administração da instituição; e a classificaçãodas despesas de TI é de responsabilidade da área contábil/orçamentária da instituição. Foram apresentados, como evidência, requisições de compras e aditivos acontratos, plano de ações a implantar e executar pela área de TI para o período 2010-2014 com montantes de recursos por projeto. Os referidos documentos apresentados demonstram que os recursosprevistos no orçamento oficial da empresa não é o real praticado pelo setor de TI,divergindo em montante próximo a vinte milhões de reais. Em reunião com a equipe deauditoria, os gestores da área não souberam determinar o quantitativo de recursosdisponíveis. 3.5.2 - Objetos nos quais o achado foi constatado: Orçamento - Orçamento da Eletrobrás Amazonas Energia. 3.5.3 - Causas da ocorrência do achado: Não detalhamento adequado do orçamento. 3.5.4 - Efeitos/Consequências do achado: Risco de inexecução de serviços por falta de previsão orçamentária. (efeitopotencial) 3.5.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, PO5.3 - Orçamentação de TI Norma Técnica - MPOG - Gespública - Instrumento para Avaliação daGestão Pública - Ciclo 2010 - critério de avaliação 7.3 3.5.6 - Evidências: Documentos de evidência à resposta ao item 7.15 do questionário. (Anexo1 - Volume 1 - folhas 203/297) 3.5.7 - Conclusão da equipe: Da forma que é apresentado o orçamento da empresa, impossibilita aidentificação adequada da previsão dos gastos. Ademais, verificada a inexistência de planejamento estratégico institucionale da área de TI pela presente auditoria, é possível inferir que os recursos de TI sãoalocados aleatoriamente, sem identificar quais as áreas de negócio prioritárias norecebimento de recursos e quais gerariam maior valor agregado. A empresa não possui processo para preparar e controlar um orçamentoque reflita as prioridades estabelecidas pelo portfólio de programas de investimentosde TI da organização, incluindo os custos contínuos de operação e manutenção dainfraestrutura atual. 3.5.8 - Proposta de encaminhamento: Aperfeiçoe o processo de elaboração do orçamento de TI, necessário aocumprimento das disposições contidas Lei nº 12.017/2009 (LDO 2009/2010), art. 9º, IIc/c Anexo II, XVIII, ou das que vierem a lhe suceder, de maneira que as solicitações deorçamento das despesas de TI estejam baseadas nas ações que se pretende executar,observando as práticas contidas no Cobit 4.1, processo PO5.3 - Orçamentação de TI eno Gespública, critério de avaliação 7.3.
  • 7. 3.6 - Inexistência de controle da execução do orçamento de TI 3.6.1 - Situação encontrada: Por meio do item 4.3 do Anexo I do Ofício nº 131/2010-GAB/Secex/AM (fls.12/16) solicitou-se planilha que controle periodicamente a execução dos gastos da áreade TI do ano corrente, em função da disponibilidade financeira. Foi apresentada planilha de acompanhamento de alguns contratos e doPDG que não evidenciam acompanhamento da execução do orçamento de TI, tanto pelaárea quanto pela Alta Administração. 3.6.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.6.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.6.4 - Efeitos/Consequências do achado: Desconhecimento da disponibilização orçamentária de TI. (efeito potencial) 3.6.5 - Critérios: Lei 4320/1964, art. 75, inciso III Norma Técnica - MPOG - Gespública - Instrumento para Avaliação daGestão Pública - Ciclo 2010 - critério de avaliação 7.3 Norma Técnica - ITGI - Cobit 4.1, PO5.4 - Gerência de custos 3.6.6 - Evidências: Planilhas de controle orçamentário - PDG e PMD. (Anexo 1 - Volume 1 -folhas 300/305) 3.6.7 - Conclusão da equipe: A Amazonas Energia não monitora a execução orçamentária e financeira. 3.6.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, àAmazonas Distribuidora de Energia S.A. que, em atenção às disposições contidas na Leinº 4.320/64, art. 75, inciso III, implante controle da execução orçamentária, a fim de seobter prontamente informações acerca dos gastos e da disponibilidade de recursos deTI. 3.7 - Inexistência de processo de software 3.7.1 - Situação encontrada: Em resposta ao QuestionárioPerfil GovTI 2010 realizado pela SEFTI, aAmazonas Energia informou que, atualmente, seu processo de software se enquadrano nível de maturidade inicial - não há processo nem seu controle, mas já há conceitosde qualidade de processo em implantação (conforme ABNT NBR ISO/IEC 15.504). Por intermédio do item 5 do anexo ao Ofício nº 131/2010 - GAB/Secex/AM,de 28/7/2010, (folhas 12/16 do anexo 1) solicitaram-se informações acerca daafirmação da empresa. Como resposta, foi apresentado um quadro prospectivo demétodos e ferramentas de futuro processo de software, o que não evidencia a práticadas disciplinas de gestão de requisitos e gestão de projetos, disciplinas mínimasnecessárias para caracterização dos conceitos de qualidade de processo de softwaresegundo a NBR ISO/IEC 15.504. 3.7.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.7.3 - Causas da ocorrência do achado: Inexistência de controles 3.7.4 - Efeitos/Consequências do achado: Deficiência no processo de contratação, decorrente da inexistência deprocesso que assegure boa contratação de desenvolvimento de sistemas. (efeitopotencial) Inexistência de parâmetros de aferição de qualidade para contratação dedesenvolvimento de sistemas. (efeito potencial)
  • 8. 3.7.5 - Critérios: Lei 8666/1993, art. 6º, inciso IX Norma Técnica - ITGI - Cobit 4.1, PO8.3 - Padrões de desenvolvimento e deaquisições. Norma Técnica - NBR ISO/IEC - 12.207 e 15.504 3.7.6 - Evidências: Documento de evidência ao item 7.3 do questionário. (Anexo 1 - Volume 1 -folhas 307/309) 3.7.7 - Conclusão da equipe: A Amazonas Energia não possui processo de software, podendo acarretardeficiência no processo de contratação de desenvolvimento de sistemas e na qualidadedo produto adquirido. Registre-se, por oportuno, que a definição do processo de software é onúcleo da definição do objeto nos contratos de desenvolvimento e manutenção desoftware e, sem essa definição, a contratação torna-se irregular em afronta ao art. 6,IX, da Lei nº 8.666/1993 e art. 3º, II, da Lei nº 10.520/2005. 3.7.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, à AmazonasDistribuidora de Energia S.A. que, em atenção ao disposto na Lei nº 8.666/93, art. 6º,inc. IX, defina um processo de software previamente às futuras contratações deserviços de desenvolvimento ou manutenção de softw are, vinculando o contrato com oprocesso de software, sem o qual o objeto não estará precisamente definido. Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência), quando doestabelecimento de seu processo de softw are, considere as Normas NBR ISO/IEC12.207 e 15.504. 3.8 - Inexistência de processo de gerenciamento de projetos 3.8.1 - Situação encontrada: Por meio do item 6.1 do Anexo I do Ofício nº 131/2010-GAB/Secex/AM (fls.12/16 do Anexo 1) solicitaram-se evidências de que Amazonas Energia pratica ogerenciamento de projetos, mas não adota qualquer padrão interno ou de mercado,conforme resposta apresentada pela entidade na resposta ao questionário perfil GovTI2010. Como evidência foi apresentada tela de um sistema DotProject, dito comode acompanhamento de projetos. O documento apresentado pelo auditado foi considerado insuficiente paraevidenciar que a empresa possui um processo de gerenciamento de projetos, tendo emvista que apresenta uma série de inconsistências, a saber: a) o projeto apresentado é atípico: tem só seis tarefas e a duração total éde apenas cinco dias; b) todas as tarefas têm duração de uma hora (embora os nomes dastarefas sugiram conteúdos que normalmente demoram bem mais que uma hora paraserem executados); c) algumas tarefas têm data de encerramento anterior à data inicial; d) há apenas um usuário vinculado (desenv031) a todas as tarefas,sugerindo que a equipe do projeto é composta de um único membro (o próprio gerentedo projeto) ou, então, o projeto não tem gerente. Em tese, embora esses itens, isoladamente, não descaracterizem que oque foi apresentado seja um projeto, é estranho a empresa apresentar como exemploum projeto com essas características, principalmente tendo sido criado em 16/8/2010(data esta posterior ao ofício de comunicação da auditoria). Para dirimir as dúvidas acima, foram solicitados, por meio do item 3 doOfício nº 898/2010-1 (fls. 466 v.2 do anexo1), de 14/9/2010, outros três projetos de TIgerenciados.
  • 9. Foram apresentadas telas da mesma ferramenta de acompanhamento deprojetos (fls. 43/49 do anexo 1). Novamente, os documentos apresentados não evidenciam a existência deprocesso de gerenciamento de projetos, o que foi confirmado por entrevista realizadacom o gestor da área. 3.8.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.8.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.8.4 - Efeitos/Consequências do achado: Risco de insucesso de projetos relevantes, pela falta de estrutura degestão de projetos. (efeito potencial) 3.8.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, PO10.2 - Estrutura de gerência deprojetos 3.8.6 - Evidências: Documento de evidência ao item 7.4 do questionário. (Anexo 1 - Volume 1 -folha 311) Documento 2 de evidência ao item 7.4 do questionário. (Anexo 1 - Volume2 - folhas 488/493) 3.8.7 - Conclusão da equipe: Há uma ferramenta de acompanhamento de projetos, mas não umprocesso de gerenciamento aprovado e publicado estabelecendo um padrão interno. 3.8.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência), implante umaestrutura formal de gerência de projetos, observando as orientações contidas no Cobit4.1, processo PO10.2 - Estruturas de Gerência de Projetos e do PMBOK, dentre outrasboas práticas de mercado. 3.9 - Inexistência do processo de gestão de incidentes 3.9.1 - Situação encontrada: A Amazonas Energia declarou que não implementou o processo de gestãode incidentes (item 7.6 do questionário Perfil GovTI). 3.9.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.9.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.9.4 - Efeitos/Consequências do achado: Ocorrência de incidentes sem o devido gerenciamento. (efeito potencial) Paralisação dos serviços de TI. (efeito potencial) Paralisação das atividades da organização. (efeito potencial) 3.9.5 - Critérios: Constituição Federal, art. 37, caput Norma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar a Central de Serviço e osIncidentes Norma Técnica - NBR - ISO/IEC 27002, item 13 - Gestão de incidentes desegurança da informação Norma Técnica - NBR - ISO/IEC 20000, item 8.2 - Gerenciamento deincidentes 3.9.6 - Evidências: Resposta ao item 7.6 do Questionário PerfilGovTI-2010 (Anexo 1 - Principal- folha 8)
  • 10. 3.9.7 - Conclusão da equipe: A instituição não implementou um processo de gestão de incidentesreferente a serviços de TI. 3.9.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência), implementeprocesso de gestão de incidentes de serviços de tecnologia da informação, àsemelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a centralde serviços e incidentes e de outras boas práticas de mercado (como a NBR ISO/IEC20000 e a NBR 27002). 3.10 - Inexistência do processo de gestão de configuração 3.10.1 - Situação encontrada: A Amazonas Energia declarou que não implementou o processo de gestãode configuração (item 7.6 do questionário Perfil GovTI). 3.10.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.10.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.10.4 - Efeitos/Consequências do achado: Desatualização ou deficiência da configuração de TI. (efeito potencial) 3.10.5 - Critérios: Constituição Federal, art. 37, caput Norma Técnica - ITGI - Cobit 4.1, DS9 - Gerenciar Configurações. Norma Técnica - NBR - ISO/IEC 20000, item 9.1 - Gerenciamento deconfiguração 3.10.6 - Evidências: Resposta ao item 7.6 do Questionário PerfilGovTI-2010 (Anexo 1 - Principal- folha 8) 3.10.7 - Conclusão da equipe: A instituição não implementou um processo de gestão da configuração,referente a serviços de TI. 3.10.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência), implementeprocesso de gestão de configuração de serviços de tecnologia da informação, àsemelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciarconfiguração e de outras boas práticas de mercado (como a NBR ISO/IEC 20000). 3.11 - Inexistência do processo de gestão de mudanças 3.11.1 - Situação encontrada: A instituição declarou que não implementou um processo de gestão demudanças. 3.11.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.11.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.11.4 - Efeitos/Consequências do achado: Não avaliação do impacto de eventuais mudanças. (efeito potencial) Solicitações de mudanças não controladas. (efeito potencial) 3.11.5 - Critérios: Constituição Federal, art. 37, caput Norma Técnica - ITGI - Cobit 4.1, AI6 - Gerenciar mudanças. Norma Técnica - NBR - ISO/IEC 27002, 12.5.1 - Procedimentos para
  • 11. controle de mudanças 3.11.6 - Evidências: Resposta ao item 7.6 do questionário PerfilGovTI 2010 (Anexo 1 - Principal- folha 8) 3.11.7 - Conclusão da equipe: A instituição não implementou um processo de gestão de mudanças. 3.11.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência), estabeleçaprocedimentos formais de gestão de mudanças, de acordo com o previsto no item12.5.1 da NBR ISO/IEC 27.002 à semelhança das orientações contidas no Cobit 4.1,processo AI6 - Gerenciar mudanças e de outras boas práticas de mercado (como a NBRISO/IEC 20000). 3.12 - Inexistência de Gestor de Segurança da Informação e Comunicações 3.12.1 - Situação encontrada: A empresa deixou em branco os itens 7.1 e 7.2 (relativos ao tema deSegurança da Informação) do Questionário PerfilGovTI 2010. Por meio do item 8.2 doAnexo I do Ofício nº 131/2010-GAB/Secex/AM (fls. 12/16 do Anexo 1) solicitou-seevidências da designação e atuação do Gestor de Segurança da Informação eComunicações. A empresa auditada não apresentou qualquer resposta ao item. Ainda, por intermédio do Ofício de Requisição nº 898/2010-1 (fl. 466 v.2 doAnexo 1), solicitou-se que a empresa confirmasse ausência de resposta os itens 7.1 e7.2 (relativos ao tema de Segurança da Informação) do Questionário PerfilGovTI 2010. Na sua resposta a este último ofício, a empresa confirmou a ausência deresposta aos mencionados itens, que incluíam a designação de um Gestor Segurançada Informação e Comunicações. 3.12.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.12.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.12.4 - Efeitos/Consequências do achado: Não otimização das ações de segurança da informação. (efeito potencial) 3.12.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional -Presidência da República, art. 5º, inciso IV; art. 7º Norma Técnica - Gabinete de Segurança Institucional - Presidência daRepública - Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2 Norma Técnica - NBR - ISO/IEC 27002, 6.1.3 - Atribuição deresponsabilidade para segurança da informação. 3.12.6 - Evidências: Resposta ao Ofício de Requisição nº 898/2010-1 (Anexo 1 - Volume 2 -folhas 468/472) Resposta ao item 7.2 do Questionário PerfilGovTI 2010 (Anexo 1 - Principal- folha 7) 3.12.7 - Conclusão da equipe: Não há indicação do Gestor de Segurança da Informação e Comunicações. 3.12.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, à AmazonasDistribuidora de Energia S.A. que, em atenção ao disposto na Instrução NormativaGSI/PR nº 01/2008, art. 5º, IV e art. 7º, c/c Norma Complementar 03/IN01/DSIC/GSIPR,item 5.3.7.2, nomeie Gestor de Segurança da Informação e Comunicações, observandoas práticas contidas na NBR ISO/IEC 27.002, item 6.1.3 - Atribuição de responsabilidade
  • 12. para segurança da informação. 3.13 - Inexistência de Comitê de Segurança da Informação e Comunicações 3.13.1 - Situação encontrada: A empresa deixou em branco os itens 7.1 e 7.2 (relativos ao tema deSegurança da Informação) do Questionário PerfilGovTI 2010. Por meio do item 8.3 doAnexo I do Ofício nº 131/2010-GAB/Secex/AM (fls. 12/16 do Anexo 1) solicitou-seevidências da instituição e atuação do Comitê de Segurança da Informação eComunicações. A empresa auditada não apresentou qualquer resposta ao item. Ainda, por intermédio do Ofício de Requisição nº 898/2010-1 (fl. 466 v.2 doAnexo 1), solicitou-se que a empresa confirmasse ausência de resposta os itens 7.1 e7.2 (relativos ao tema de Segurança da Informação) do Questionário PerfilGovTI 2010. Na sua resposta a este último ofício, a empresa confirmou a ausência deresposta aos mencionados itens, que incluíam a instituição de um Comitê de Segurançada Informação e Comunicações. 3.13.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.13.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.13.4 - Efeitos/Consequências do achado: Não otimização das ações de segurança da informação. (efeito potencial) 3.13.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional -Presidência da República, art. 5º, inciso VI Norma Técnica - Gabinete de Segurança Institucional - Presidência daRepública - Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3 Norma Técnica - NBR - ISO/IEC 27002, item 6.1.2 - Coordenação desegurança da informação 3.13.6 - Evidências: Resposta ao Ofício de Requisição nº 898/2010-1 (Anexo 1 - Volume 2 -folhas 468/472) Resposta ao item 7.2 do Questionário PerfilGovTI 2010 (Anexo 1 - Principal- folha 7) 3.13.7 - Conclusão da equipe: Não há Comitê de Segurança da Informação e Comunicações instituído. 3.13.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, à AmazonasDistribuidora de Energia S.A. que, em atenção ao disposto na Instrução NormativaGSI/PR nº 01/2008, art. 5º, VI c/c Norma Complementar 03/IN01/DSIC/GSIPR, item5.3.7.3, institua Comitê de Segurança da Informação e Comunicações, observando aspráticas contidas na NBR ISO/IEC 27.002, item 6.1.2 - Coordenação de segurança dainformação. 3.14 - Inexistência de Política de Segurança da Informação e Comunicações(POSIC) 3.14.1 - Situação encontrada: A Amazonas Energia respondeu que não possui política de segurança dainformação (item 7.2 do Questionário PerfilGovTI 2010). Por meio do Ofício de Requisição nº 898/2010-1 (fl. 466 v.2 do anexo 1),solicitou-se que a empresa confirmasse a resposta prestada. Na sua resposta ao ofício, a empresa ratifica a informação acima, porém,ressalta que medidas de implementação de uma política de segurança estão sendotomadas. Foi alegado pelo gestor da empresa que foi publicado regulamento interno
  • 13. da Eletrobrás, em 15/9/2009, Instrução Normativa 1/2009 - que estabelece normas,diretrizes e padrões destinados a garantir os aspectos da integridade,confidencialidade, disponibilidade, autenticidade e legalidade das informações, bemcomo regulamentar aspectos relativos ao uso, habilitação e segurança dos recursos deTI. Também, comunica a existência de um Comitê de Tecnologia daInformação, Automação e Telecomunicações do Sistema Eletrobrás - COTISE, do qualparticipa a Amazonas Energia, que busca a definição e aplicação de políticas integradasde TI visando o aumento da eficácia e eficiência empresarial, com subcomitês temáticos,dentre eles os de governança, segurança da informação de TI, arquitetura de TI,aquisição de bens e serviços de TI e aplicações de TI. Relatam que as deliberações do COTISE têm alcance em todo o SistemaEletrobrás. Desse modo, alegam que, apesar da não implementação formal dosprocessos corporativos de segurança da informação na Amazonas Energia, tão logoaconteçam as primeiras deliberações, serão devidamente aplicadas. 3.14.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.14.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.14.4 - Efeitos/Consequências do achado: Falhas nos procedimentos de segurança. (efeito potencial) 3.14.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional -Presidência da República, art. 5º, inciso VII Norma Técnica - Gabinete de Segurança Institucional - Presidência daRepública - Norma Complementar 03/IN01/DSIC/GSIPR Norma Técnica - NBR - ISO/IEC 27002, item 5.1 - Política de segurança dainformação 3.14.6 - Evidências: Resposta ao Ofício de Requisição nº 898/2010-1 (Anexo 1 - Volume 2 -folhas 468/472) Resposta ao item 7.2 do Questionário PerfilGovTI 2010 (Anexo 1 - Principal- folha 7) 3.14.7 - Conclusão da equipe: As informações prestadas demonstram que não existe Política deSegurança da Informação e Comunicações, havendo somente tentativas iniciais deelaboração de uma política de segurança. Considerando que o referido COTISE, com fulcro na Resolução de Diretoriada Eletrobrás nº 835/2009, de 2/9/2009, tem competência para formular políticaintegrada de tecnologia da informação, telecomunicação e automação de todo oSistema Eletrobrás; além das demais subsidiárias da Eletrobrás, outras cincodistribuidoras de energia integrantes do Sistema Eletrobrás são gerenciadas pelamesma diretoria, todas de porte financeiro inferior ao da empresa em análise, havendopossibilidade que se encontrem na mesma situação de governança corporativa daAmazonas Energia; conclui-se pela necessidade de encaminhar cópia do relatório dapresente auditoria à presidência da Eletrobrás, a fim de que tome conhecimento eprovidências no sentido de subsidiar os trabalhos do referido Comitê e aplicação dasdeterminações, recomendações e alertas, que couberem, em todas as empresas doSistema. 3.14.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, àAmazonas Distribuidora de Energia S.A que, em atenção ao disposto na InstruçãoNormativa GSI/PR nº 1/2008, art. 5º, VII, implante Política de Segurança da Informação
  • 14. e Comunicações, observando as práticas contidas na Norma Complementar03/IN01/DSIC/GSIPR. Encaminhar cópia do presente relatório de auditoria à Eletrobrás, a fim deque tome conhecimento e as providências cabíveis no sentido de subsidiar os trabalhosdo Comitê de Tecnologia da Informação, Telecomunicação e Automação do SistemaEletrobrás, na aplicação das determinações, recomendações e alertas proferidos noacórdão a ser exarado, no que couberem, em todas as empresas do Sistema. 3.15 - Inexistência de equipe de tratamento e resposta a incidentes emredes computacionais (ETRI) 3.15.1 - Situação encontrada: A empresa deixou em branco os itens 7.1 e 7.2 (relativos ao tema deSegurança da Informação) do Questionário PerfilGovTI 2010. Por meio do item 8.8 doAnexo I do Ofício nº 131/2010-GAB/Secex/AM (fls. 12/16 do Anexo 1) solicitou-seevidências da existência e atuação de uma equipe de tratamento e resposta aincidentes em redes computacionais (ETRI). A empresa auditada não apresentou qualquer resposta ao item. Ainda, por intermédio do Ofício de Requisição nº 898/2010-1 (fl. 466 v.2 doAnexo 1), solicitou-se que a empresa confirmasse ausência de resposta os itens 7.1 e7.2 (relativos ao tema de Segurnaça da Informação) do Questionário PerfilGovTI 2010. Na sua resposta a este último ofício, a empresa confirmou a ausência deresposta aos mencionados itens. 3.15.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.15.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.15.4 - Efeitos/Consequências do achado: Falhas relativas às notificações e às atividades relacionadas a incidentesde segurança em redes de computadores. (efeito potencial) 3.15.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional -Presidência da República, art. 5º, inciso V Norma Técnica - Gabinete de Segurança Institucional - Presidência daRepública - Norma Complementar 05/IN01/DSIC/GSIPR 3.15.6 - Evidências: Resposta ao Ofício de Requisição nº 898/2010-1 (Anexo 1 - Volume 2 -folhas 468/472) Resposta ao item 7.2 do Questionário PerfilGovTI 2010 (Anexo 1 - Principal- folha 7) Resposta ao item 7.1 do Questionário PerfilGovTI 2010 (Anexo 1 - Principal- folha 7) 3.15.7 - Conclusão da equipe: Não há equipe de tratamento e resposta a incidentes em redescomputacionais (ETRI) instituída. 3.15.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, à AmazonasDistribuidora de Energia S/A que, em atenção ao disposto na Instrução NormativaGSI/PR nº 01/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes emredes computacionais, observando as práticas contidas na Norma Complementar05/IN01/DSIC/GSIPR. 3.16 - Inexistência de classificação da informação 3.16.1 - Situação encontrada: A empresa deixou em branco os itens 7.1 e 7.2 (relativos ao tema deSegurança da Informação) do Questionário PerfilGovTI 2010. Por meio do item 8.6 do
  • 15. Anexo I do Ofício nº 131/2010-GAB/Secex/AM (fls. 12/16 do Anexo 1) solicitou-seevidências da classificação das informações para o negócio. A empresa auditada não apresentou qualquer resposta ao item. Ainda, por intermédio do Ofício de Requisição nº 898/2010-1 (fl. 466 v.2 doAnexo 1), solicitou-se que a empresa confirmasse ausência de resposta os itens 7.1 e7.2 (relativos ao tema de Segurança da Informação) do Questionário PerfilGovTI 2010. Na sua resposta a este último ofício, a empresa confirmou a ausência deresposta aos mencionados itens, que incluía a classificação de informações. 3.16.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.16.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.16.4 - Efeitos/Consequências do achado: Risco de divulgação indevida de informação restrita. (efeito potencial) 3.16.5 - Critérios: ACÓRDÃO 2023/2005, item 9.1.4, Tribunal de Contas da União, Plenário Decreto 4553/2002, art. 6º, § 2º, inciso I; art. 6º, § 2º, inciso II; art. 67 Norma Técnica - NBR - ISO/IEC 27002, item 7.2 - Classificação dainformação. 3.16.6 - Evidências: Resposta ao Ofício de Requisição nº 898/2010-1 (Anexo 1 - Volume 2 -folhas 468/472) Resposta ao item 7.1 do Questionário PerfilGovTI 2010 (Anexo 1 - Principal- folha 7) 3.16.7 - Conclusão da equipe: Não existe procedimento institucional de classificação da informação. 3.16.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, à AmazonasDistribuidora de Energia S/A que, em atenção ao disposto no Decreto nº 4553/2002,art. 6º, § 2º, inciso II e art. 67, crie critérios de classificação das informações a fim deque possam ter tratamento diferenciado conforme seu grau de importância, criticidade esensibilidade, observando as práticas contidas no item 7.2 da NBR ISO/IEC 27.002. 3.17 - Inexistência de inventário dos ativos de informação 3.17.1 - Situação encontrada: A empresa deixou em branco os itens 7.1 e 7.2 (relativos ao tema deSegurança da Informação) do Questionário PerfilGovTI 2010. Por meio do item 8.5 doAnexo I do Ofício nº 131/2010-GAB/Secex/AM (fls. 12/16 do Anexo 1) solicitaram-seevidências de que os ativos de informação são inventariados. A empresa auditada não apresentou qualquer resposta ao item. Ainda, por intermédio do Ofício de Requisição nº 898/2010-1 (fl. 466 v.2 doAnexo 1), solicitou-se que a empresa confirmasse ausência de resposta os itens 7.1 e7.2 (relativos ao tema de Segurança da Informação) do Questionário PerfilGovTI 2010. Na sua resposta a este último ofício, a empresa confirmou a ausência deresposta aos mencionados itens, que incluía o inventário de ativos de informação. 3.17.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.17.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.17.4 - Efeitos/Consequências do achado: Dificuldade de recuperação de ativo de informação. (efeito potencial) 3.17.5 - Critérios: Norma Técnica - NBR - ISO/IEC 27002, item 7.1.1 - inventário de ativos.
  • 16. Norma Técnica - Gabinete de Segurança Institucional - Presidência daRepública - Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1. 3.17.6 - Evidências: Resposta ao Ofício de Requisição nº 898/2010-1 (Anexo 1 - Volume 2 -folhas 468/472) Resposta ao item 7.1 do Questionário PerfilGovTI 2010 (Anexo 1 - Principal- folha 7) 3.17.7 - Conclusão da equipe: A instituição não executa procedimentos de inventário de ativos deinformação. 3.17.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, à AmazonasDistribuidora de Energia S.A. que, em atenção ao disposto na Instrução NormativaGSI/PR nº 01/2008, art. 5º, VII c/c Norma Complementar 04/IN01/DSIC/GSIPR, item5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira quetodos os ativos de informação sejam inventariados e tenham um proprietárioresponsável, observando as práticas contidas no item 7.1 da NBR ISO/IEC 27.002. 3.18 - Inexistência de processo de gestão de riscos de segurança dainformação (GRSIC) 3.18.1 - Situação encontrada: A empresa deixou em branco os itens 7.1 e 7.2 (relativos ao tema deSegurança da Informação) do Questionário PerfilGovTI 2010. Por meio do item 8.7 doAnexo I do Ofício nº 131/2010-GAB/Secex/AM (fls. 12/16 do Anexo 1) solicitaram-seevidências da existência de um processo de gestão de riscos de segurança dainformação e comunicações em vigor. A empresa auditada não apresentou qualquer resposta ao item. Ainda, por intermédio do Ofício de Requisição nº 898/2010-1 (fl. 466 v.2 doAnexo 1), solicitou-se que a empresa confirmasse ausência de resposta os itens 7.1 e7.2 (relativos ao tema de Segurança da Informação) do Questionário PerfilGovTI 2010. Na sua resposta a este último ofício, a empresa confirmou a ausência deresposta aos mencionados itens, que incluía o processo de gestão de riscos desegurança da informação e comunicações. 3.18.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.18.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.18.4 - Efeitos/Consequências do achado: Desconhecimento das ameaças e respectivos impactos relacionados àsegurança da informação. (efeito potencial) 3.18.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional -Presidência da República, art. 5º, inciso VII Norma Técnica - Gabinete de Segurança Institucional - Presidência daRepública - Norma Complementar 04/IN01/DSIC/GSIPR Norma Técnica - ITGI - Cobit 4.1, PO9.4 - Avaliação de riscos. Norma Técnica - NBR - 27005 - Gestão de riscos de segurança dainformação 3.18.6 - Evidências: Resposta ao Ofício de Requisição nº 898/2010-1 (Anexo 1 - Volume 2 -folhas 468/472) Resposta ao item 7.1 do Questionário PerfilGovTI 2010 (Anexo 1 - Principal- folha 7) 3.18.7 - Conclusão da equipe:
  • 17. A instituição não executa procedimentos de gestão de riscos dainformação, não tendo implementado, portanto, um processo de gestão de riscos desegurança da informação (GRSIC). 3.18.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, à AmazonasDistribuidora de Energia S.A. que, em atenção ao disposto na Instrução NormativaGSI/PR nº 01/2008, art. 5º, VII c/c Norma Complementar 04/IN01/DSIC/GSIPR,implemente processo de gestão de riscos de segurança da informação. 3.19 - Inexistência de plano anual de capacitação 3.19.1 - Situação encontrada: Por meio do item 9 do Anexo I do Ofício nº 131/2010-GAB/Secex/AM (fls.12/16 do Anexo 1) solicitaram-se informações do Processo de Capacitação dosProfissionais de TI da Amazonas Distribuidora de Energia S/A. Como resposta, foienviada a seguinte documentação: - Resolução 330/2009 da Diretoria Executiva da Amazonas Energia, a qualaprovou o nome dos empregados que passaram a exercer responsabilidadesgerenciais, dentre eles o Gerente de Departamento de Tecnologia da Informação eTelecomunicações, o Sr. André Luiz Pereira do Couto; - Curriculum Vitae do Sr. André Luiz Pereira do Couto; - Comunicação Interna nº 013/2009, oriunda da Assessoria de Informática,que traz consigo o Levantamento de Necessidades de treinamento da área de TI parao biênio 2009/2010, mas que prevê cursos apenas até Julho de 2009; - Documentação sobre a capacitação do Sr. André Luiz Pereira do Couto; e - Programa de Aperfeiçoamento e Capacitação Técnico-Profissional - POTG. A entidade entende que o Levantamento de Necessidades de treinamentoda área de TI e que o Programa de Aperfeiçoamento e Capacitação Técnico-Profissional- POTG se constituem em um Plano Anual de Capacitação. A documentação apresentada, contudo, não demonstra a existência de umPlano Anual de Capacitação, cujos elementos, tomando por base o previsto no Guia deOrientação para Elaboração dos Planos de Capacitação do Sistema de Pessoal Civil(SIPEC) do Ministério do Planejamento, Orçamento e Gestão(https://portalsipec.planejamento.gov.br/clientes/sipec/sipec/eventos/iv -encontro-nacional-de-dirigentes-de-recursos-humanos-do-sipec/arquivos/a rquivo.2010-05-07.6860946339/at_download.), seriam os seguintes: apresentação (fundamentos doplano, processo de estruturação e o porquê de sua realização); objetivos (principaisobjetivos do plano); público-alvo (definição do público a que se destina o plano); metase resultados esperados (esperados com a implementação do plano em termos damelhoria dos processos de trabalho e desempenho dos servidores); classificação doscursos e eventos (definição dos cursos e eventos no contexto do plano, como porexemplo, cursos internos e externos, cursos de curta e longa duração, cursos deformação e cursos de educação continuada, cursos gerenciais e técnico - operacionais);local e realização dos cursos e eventos (condições para realização da capacitação,principalmente fora do ambiente de trabalho); e previsão de cursos e eventos emoutras localidades (regras para a realização de cursos em outras Unidades daFederação, mencionando-se quem autoriza, as condições da autorização e apoiodisponível). Além disso, não há evidências de publicação do plano. Também não sevislumbram cursos voltados especificamente para a Gestão de TI, mas tão somentecursos direcionados para a parte técnica. 3.19.2 - Objetos nos quais o achado foi constatado: Planejamento Levantamento de Necessidades de Treinamento - LNT Biênio2009/2010 Planejamento Programa de Aperfeiçoamento e Capacitação Técnico-Operacional - PTOG
  • 18. 3.19.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.19.4 - Efeitos/Consequências do achado: Não otimização do potencial dos recursos humanos. (efeito potencial) Desatualização do quadro de pessoal em termos deconhecimento/capacitação. (efeito potencial) 3.19.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, PO7.2-Competências Pessoais Norma Técnica - ITGI - Cobit 4.1, PO7.4 - Treinamento do Pessoal 3.19.6 - Evidências: Levantamento de Necessidades de Treinamento - LNT Biênio 2009/2010(Anexo 1 - Volume 1 - folhas 325/328) Programa de Aperfeiçoamento e Capacitação Técnico-Operacional - PTOG(Anexo 1 - Volume 1 - folhas 354/358) 3.19.7 - Conclusão da equipe: Ainda que os normativos a seguir não sejam cogentes à AmazonasEnergia, a importância de um Plano Anual de Capacitação contendo todos os elementosmencionados extrai-se do art. 5º, I, do Decreto nº 5.707/2006, do art. 2º, I, e art. 4º daPortaria MPOG nº 208/2006 e do PO7.2 (Competências Pessoais - Verificarregularmente se o pessoal tem as competências necessárias para exercer suas funçõescom base na formação, no treinamento e/ou na experiência. Definir os requisitoscentrais de competência em TI e verificar se estão sendo mantidos através deprogramas de qualificação e certificação onde apropriado) e PO7.4 (Treinamento doPessoal - Prover ao pessoal de TI treinamento apropriado para manter conhecimento,especializações, habilidades, conscientização sobre controles internos e segurança nonível exigido para atingir os objetivos organizacionais), combinados com odetalhamento proposto pelo Guia de Orientação para Elaboração dos Planos deCapacitação do Sistema de Pessoal Civil (SIPEC) do Ministério do Planejamento,Orçamento e Gestão (MPOG). A documentação apresentada, além de não tratar da Gestão de TI, que éde vital importância, se configura mais como um cronograma de atividades, semsincronia com objetivos, metas e necessidades evidenciadas. 3.19.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente umPlano Anual de Capacitação, contemplando ações de capacitação voltadas para agestão de tecnologia da informação, observando as práticas contidas no Cobit 4.1,processos PO7.2 - Competências Pessoais e PO7.4 - Treinamento do Pessoal, e oprevisto no Guia de Orientação para Elaboração do Plano de Capacitação do SIPEC,disponível em https://portalsipec.planejamento.gov.br/clientes/sipec/sipec/eventos/iv-encontro-nacional-de-dirigentes-de-recursos-humanos-do-sipec/arquivos/arquivo.2010-05-07.6860946339/at_dow nload. 3.20 - Inexistência de avaliação da gestão de TI 3.20.1 - Situação encontrada: Questionada no item 1.2 do Perfil GovTI 2010 a respeito do desempenhoorganizacional na gestão e no uso de TI, a empresa auditada respondeu, inicialmente,que nenhuma das opções elencadas descrevia a situação da empresa. Em momentoposterior, contudo, alterou sua resposta afirmando que a alta administração recebe eavalia regularmente informações sobre o desempenho relativo à gestão e ao usocorporativo de TI. Em resposta ao item 10.1 do Ofício nº 131/2010-GAB/Secex/AM -evidências que comprovem a resposta acima apresentada, foi encaminhado Relatóriode Desempenho do Departamento de Tecnologia da Informação e Telecomunicações -
  • 19. DGT, período janeiro a junho de 2010. Verifica-se que o relatório apresentado informa apenas as açõesempreendidas pela área e os recursos orçamentários despendidos ao longo do primeirosemestre de 2010, entretanto não demonstra até que ponto objetivos planejadosforam atingidos, metas de desempenho alcançadas e riscos minimizados. Além de nãoexecutar análise de causa-raiz de problemas identificados pela avaliação dedesempenho e iniciar ações corretivas. Inexistente o PDTI da Amazonas Energia (conforme descrito no achadoespecífico) a ocorrência de falhas na avaliação da gestão de TI da empresa éconsequência óbvia, visto que o não estabelecimento de objetivos, indicadores e metasinvalida qualquer mensuração de desempenho. 3.20.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.20.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.20.4 - Efeitos/Consequências do achado: Impossiblidade de verificação de possibilidades de melhoria na gestão deTI. (efeito potencial) 3.20.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, ME1.5 - Relatórios gerenciais Norma Técnica - ITGI - Cobit 4.1, ME1.4 - Avaliar o desempenho Norma Técnica - ITGI - Cobit 4.1, ME1.6 - Ações corretivas Norma Técnica - ITGI - Cobit 4.1, ME2 - Monitorar e avaliar os controlesinternos 3.20.6 - Evidências: RELATÓRIO de desempenho do DGT. (Anexo 1 - Volume 1 - folhas 360/368) 3.20.7 - Conclusão da equipe: A documentação apresentada pelo auditado não atesta a informaçãoprestada de que a alta administração recebe e avalia regularmente informações sobreo desempenho relativo à gestão e ao uso corporativo de TI. A equipe de auditoriaconclui que não é praticada avaliação de gestão de TI da Amazonas Energia. Nãopoderia ser outra a constatação, visto que não foi elaborado PDTI contendo objetivos,indicadores e metas para a área. 3.20.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência), estabeleça umprocesso de avaliação da gestão de TI, observando as orientações contidas no Cobit4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 Relatórios gerenciais, ME1.6 - Açõescorretivas e ME2 - Monitorar e avaliar os controles internos. 3.21 - Inexistência dos estudos técnicos preliminares 3.21.1 - Situação encontrada: Recebida documentação referente ao processo licitatório do Pregão nº109/2009 cujo objeto é terceirização de pessoal de TI, que resultou no Contrato nº34932/2009 celebrado com a empresa Rudary Prestadora de Serviços do AmazonasLtda., no valor de R$ 3.077.454,25, foi identificada ausência dos estudos técnicospreliminares. Por meio do Ofício nº 898/2010-3, de 22/9/2010, a equipe de auditoriarequisitou da Amazonas Energia os respectivos estudos, não obtendo êxito. 3.21.2 - Objetos nos quais o achado foi constatado: Contrato 34932/2009 - Contrato de Terceirização de pessoal de TI 3.21.3 - Causas da ocorrência do achado: Deficiências de controles 3.21.4 - Efeitos/Consequências do achado:
  • 20. Risco da ocorrência de aquisições ou contratações que não atendam ànecessidade do órgão (efeito potencial) Falhas no Termo de Referência ou Projeto Básico. (efeito potencial) 3.21.5 - Critérios: Lei 8666/1993, art. 6º, inciso IX 3.21.6 - Evidências: Processo licitatório contratação de terceirizada de pessoal. (Anexo 2 -Principal - folhas 9/137) Ofício TCU 898/2010-3 falta de resposta a questionamento da equipe deauditoria. (Anexo 1 - Volume 2 - folha 510) 3.21.7 - Conclusão da equipe: Não consta, do processo de contratação ou do projeto básico, referênciadireta à justificativa da necessidade dos serviços, elemento essencial para afundamentação da contratação. Não constam também justificativas quanto à quantidade de serviço a sercontratada nem uma demonstração direta dos resultados a serem alcançados com acontratação, em termos de economicidade e melhor aproveitamento de recursos. A elaboração do projeto básico deveria ter sido baseada em estudostécnicos preliminares, conforme preconiza a Lei nº 8.666/1993, em seu art. 6º, inciso IX.Os estudos técnicos preliminares devem trazer elementos que evidenciam viabilidadetécnica e possibilite a avaliação do custo contratual, dentre outros. 3.21.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia que, na elaboração dosestudos técnicos preliminares, considere o conteúdo da "Análise da Viabilidade daContratação", descrita como uma das etapas da fase de planejamento da contratação,conforme Instrução Normativa nº 04/2008-SLTI/MPOG, arts. 9º e 10. Alertar a Amazonas Distribuidora de Energia quanto à não realização deestudos técnicos preliminares anteriormente à elaboração dos termos de referência ouprojetos básicos, em confronto com as disposições contidas na Lei nº 8.666/1993, art.6º, IX. 3.22 - Inexistência de controles que promovam que o Termo de Referênciaou Projeto Básico seja elaborado a partir de estudos técnicos preliminares 3.22.1 - Situação encontrada: Em resposta ao item 7.10 do questionário Perfil GovTI 2010, foi afirmado,primeiramente, que as contratações de TI são feitas conforme os procedimentos legaise à medida que as demandas vão surgindo. Posteriormente, a resposta foi alteradapara a seguinte opção: além dos procedimentos legais, há procedimentos internos queauxiliam na padronização do processo de planejamento das contratações. A fim de comprovar a nova resposta dada, foi encaminhado Manual deNormas e Procedimentos para Aquisição de Bens e Serviços do Departamento deTecnologia da Informação e Telecomunicações - DGT. A documentação apresentada não atesta a resposta dada pelo auditado.Vejamos. Foi apresentado um manual de normas e procedimentos de aquisições nasmodalidades licitatórias possíveis. Este manual são algoritmos de execução deprocessos licitatórios após determinados o objeto a ser adquirido e a modalidadeadotada. Não são descritos procedimentos padronizados para a consecução doplanejamento das contratações. Portanto, fase anterior à abordada no referido manualencaminhado. Estão ausentes no documento apresentado comentários e determinaçõesacerca de como são realizados estudos técnicos preliminares e de viabilidade técnica etratamento do impacto ambiental, avaliação do custo da obra e a definição dosmétodos e do prazo de execução, os quais são procedimentos da fase de planejamento
  • 21. de contratações. Ademais, nos contratos que passaram por testes substantivos, foiidentificada ausência de estudos técnicos preliminares que embasaram a elaboraçãodos projetos básicos, dificultando a verificação da adequação e correção das soluçõesescolhidas. Reiterando o assunto acima e retificando o item 11.2 do Anexo I do Ofícionº 131/2010-GAB/Secex/AM (fls. 12/16) a equipe de auditoria solicitou ao auditadoinformar se há controles que promovam que os termos de referência ou projetosbásicos para contratações de TI sejam elaborados a partir de estudos técnicos preliminares, apresentandoevidência de que este controle é utilizado e é monitorado. (item h do Ofício nº898/2010-5). Em resposta, é afirmado que, conforme informações da área, o colaboradordesignado para fazer o estudo técnico preliminar também é o responsável pelaelaboração do termo de referência que naturalmente recebe diretamente os resultadosdesses estudos. Desse modo, o documento que acaba sendo analisado e vistado peloslíderes de processo e pela gerência é o termo de referência. E complementaminformando que estão se adequando no sentido de separar esse processo em trêsfases: 1) Elaboração dos estudos técnicos preliminares; 2) Elaboração do termo dereferência; 3) Aprovação do termo de referência por parte do líder de processo e dagerência, conferindo e cruzando informações entre os conteúdos desses doisdocumentos. 3.22.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.22.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.22.4 - Efeitos/Consequências do achado: Termo de Referência ou Projeto Básico não baseado em estudos técnicospreliminares. (efeito potencial) Risco da ocorrência de aquisições ou contratações que não atendam ànecessidade do órgão (efeito potencial) 3.22.5 - Critérios: Lei 8666/1993, art. 6º, inciso IX Norma Técnica - ITGI - Cobit 4.1, AI 1 - Identificar soluções automatizadas. Norma Técnica - ITGI - Cobit 4.1, AI2 - Adquirir e Manter Software Aplicativo Norma Técnica - ITGI - Cobit 4.1, AI3 - Adquirir e Manter Infraestrutura deTecnologia. Norma Técnica - ITGI - Cobit 4.1, AI5.4 - Adquirir recursos de TI(edital/contrato). Norma Técnica - ITGI - Cobit 4.1, AI5.3 - Seleção de fornecedores. Norma Técnica - ITGI - Cobit 4.1, ME3.3 - Avaliação da Conformidade comRequisitos Externos. 3.22.6 - Evidências: Manual de normas e procedimentos. (Anexo 1 - Volume 1 - folhas 391/423) 3.22.7 - Conclusão da equipe: A documentação apresentada e informações prestadas pelo auditado nãosão capazes de comprovar a informação prestada de que há procedimentos internos depadronização do processo de planejamento das contratações. 3.22.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S.A. que, na elaboraçãodos estudos técnicos preliminares, considere o conteúdo da "Análise da Viabilidade daContratação", descrita como uma das etapas da fase de planejamento da contratação,conforme Instrução Normativa nº 04/2008-SLTI/MPOG, arts. 9º e 10.
  • 22. Recomendar à Amazonas Distribuidora de Energia S.A. que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência), implementecontroles que garantam que o Termo de Referência ou Projeto Básico seja elaborado apartir de estudos técnicos preliminares. Alertar a Amazonas Distribuidora de Energia S.A. quanto à ausência, nosprocessos licitatórios, dos estudos técnicos preliminares que embasaram a elaboraçãodo Termo de Referência ou Projeto Básico, em dissonância com o art. 6º, IX, da Lei8.666/1993. 3.23 - Irregularidades na contratação 3.23.1 - Situação encontrada: Foram realizados testes substantivos nos Contratos nº 34932/2009 e58554/2010, com o objetivo de avaliar a aderência dos procedimentos licitatóriosadotados com a legislação, constatnado-se as seguintes impropriedades: I - Com relação ao Contrato nº 34932/2009 - Terceirização de pessoal deTI, celebrado com a empresa Rudary Prestadora de Serviços do Amazonas Ltda., novalor de R$ 3.077.454,25: a) Contratação por interposição de mão de obra A impropriedade é caracterizada pelo seguinte: subordinação direta dosfuncionários da contratada a servidores da contratante; ausência de preposto dacontratada; habitualidade (ou pessoalidade), concernente ao vínculo pessoal nasrelações entre o empregado terceirizado e a contratante; a propriedade dos recursosutilizados pelos funcionários da contratada é da contratante; remuneração dacontratada pela mera disponibilidade de funcionários à contratante; e gestão dosresultados pela contratante. A contratação por interposição de mão de obra afronta o Enunciado 331-TST, e já foi objeto de pronunciamento do Tribunal, conforme Acórdão nº 786/2006 -Plenário, item 9.1.1. b) Não divisibilidade do objeto, estando presentes a viabilidade técnica eeconômica O objeto do contrato incluía os serviços de desenvolvimento e manutençãode sistemas; suporte técnico em ambiente cliente/servidor; e suporte técnico a redes,os quais são tecnicamente divisíveis. Nesse sentido aponta o Acórdão 1.558/2003 - Plenário, que determina acontratação em separado de serviços técnicos de informática como gerênciaestratégica, desenvolvimento de softw are, gerenciamento de dados, administração derede, suporte a usuários, manutenção de hardware, operação de microcomputadores edigitação. Da mesma forma sucede com a Decisão 811/2002, item 8.2.4, do Plenário. Dessa forma, os serviços somente podem ser licitados conjuntamentequando houver demonstração da inviabilidade econômica, o que não se verifica no casoem questão. c) Pagamento não vinculado a resultados Os pagamentos efetuados à empresa contratada vinculam-se tão somenteà disponibilização da mão de obra, não havendo qualquer aferição de resultados ou donível mínimo de serviços. Uma vez que o contrato trata da interposição de pessoal enão da prestação de serviços em si, não há como vincular o pagamento a resultados. A referida prática está em desacordo com os princípios constitucionais daeficiência (art. 37, caput da CF) e da economicidade (art. 70 da CF). Assim já foi definidopelo TCU nos Acórdãos 1915/2009 e 786/2006, item 9.4.3, ambos do Plenário. d) Impertinência nos critérios de habilitação referente à solicitação de CRA O Edital do certame que culminou na celebração do contrato em apreço, emseu item 4.1.5, estabeleceu a necessidade de registro do licitante no Conselho Regionalde Administração (CRA). Como se sabe, com relação aos serviços de TI, não há entidadeprofissional estabelecida no Brasil. Assim, para a contratação deste tipo de serviço, não
  • 23. se pode exigir o registro no CRA. Esta exigência apenas comprova que o contrato versasobre uma ilegal interposição de mão de obra, tendo em vista que o registro do CRAafigura-se cabível para empresas de Recursos Humanos. O TCU já firmou entendimento nesse sentido, conforme Acórdão 116/2006,item 9.2.4, e Decisão 811/2002, item 8.2.2, ambos do Plenário . Também o PoderJudiciário, consoante os julgados seguir, segue a mesma linha: STJ, RESP 496149 / RJ,Processo 200300159908, DJ 15/8/2005 p. 236; e STJ, RESP 488441 / RS, Processo200201710602, DJ 20/9/2004 p. 238 II - Com relação ao Contrato nº 58554/2010 - Outsourcing de impressão,celebrado com a empresa CSI Service Ltda., no valor de R$ 2.999.933,76: a) Justificativa inadequada do preço da contratação O TCU já tem decidido que a pesquisa de preços deve considerar todas asvariáveis correlacionadas, tais quais as quantidades pretendidas, prazos e forma deentrega, nos termos do disposto no art. 3º, inciso III, da Lei nº 10.520/2002, e art. 8º,inciso III, Anexo I, do Decreto nº 3.555/2000 (Acórdão 3667/2009 Segunda Câmara). Também as especificações dos objetos devem ser idênticas para umaadequada pesquisa de preços. O TCU já decidiu, por exemplo, que deve ser realizadauma nova pesquisa de preços quando as especificações do objeto a ser contratadoforem alteradas, de sorte a obter estimativa mais adequada. (Acórdão 3294/2009Segunda Câmara). No caso em questão, as propostas de comparação de preço divergemquanto às especificações dos modelos de impressoras e dos quantitativos contratados,não se mostrando apropriadas, assim, para a aferição do valor justo de mercado. b) Falhas na adesão a ata de registro de preços A ata de registro de preços à qual a Amazonas Energia aderiu foigerenciada pela Secretaria de Estado da Fazenda do Amazonas (SEFAZ-AM), tendo ocertame licitatório sido conduzido pela Comissão Geral de Licitação (CGL) do Estado doAmazonas, ou seja, órgãos da esfera administrativa estadual. Sabe-se que a publicidade da licitação de órgãos e entidades federaisdeve ter abrangência nacional, contrariamente ao que ocorre nas licitações estaduais,nas quais a publicidade se circunscreve ao Estado licitante. A entidade auditada é Sociedade de Economia Mista Federal e integra,portanto, a Administração Pública Federal. É sabido que os preços coletados devem serpesquisados em condições semelhantes às solicitadas no procedimento licitatório e sereferir a objeto idêntico ao da licitação. Nesse sentido, o TCU tem entendido, conforme item 1.6.2 do Acórdão6511/2009 - 1ª Câmara, que órgãos e entidades federais não podem aderir a atas deregistro de preços realizadas pelas Administrações da esfera estadual, municipal oudistrital. Da mesma forma entende a Advocacia Geral da União (AGU), que editou aOrientação Normativa 21/2009 com igual conteúdo. Esta última norma, embora nãoaplicável diretamente à Amazonas Energia, demonstra o entendimento dominantesobre o tema. Outra falha decorre de a Amazonas Energia ter contratado quantitativodiverso do autorizado pela SEFAZ-AM para adesão à ata de preços registrada sob seucomando. c) Projeto básico não elaborado com base nos estudos técnicospreliminares e não aprovado pela autoridade competente O projeto básico diverge em quantitativos de serviços contratados dosconstantes dos estudos técnicos preliminares e a aprovação da contratação foi anteriorà elaboração do projeto básico. Em razão dessas irregularidades contratou-sequantitativo de equipamentos superior ao aprovado inicialmente pela autoridadecompetente. Os quantitativos de serviços foram alterados, diminuiu-se o número de
  • 24. impressões e aumentou-se o número de impressoras colocadas à disposição dacontratante. Como resultado, o pagamento fixo por impressora é elevado e, de formafictícia, o de impressões reduzido, mantendo o valor final idêntico ao inicialmenteaprovado. O número de impressões é apenas uma estimativa e não se alterará pelasimples modificação de suas quantidades no contrato. Ao contrário, maior número deimpressoras disponíveis diminui o potencial de controle das quantidades e tipos dedocumentos impressos, reduzindo a economia justificada para a presente contratação. A manipulação dos quantitativos, além de ser injustificada, somentebeneficia a empresa contratada trazendo prejuízos à Amazonas Energia no valormensal de R$ 15.781,37 (quinze mil, setecentos oitenta e um reais e trinta e setecentavos) e anual de R$ 189.376,44 (cento e oitenta e nove mil, trezentos e setenta eseis reais e quarenta e quatro centavos), visto que a contratante será obrigada apagar um valor fixo maior à contratada, independente do número de impressões. Anexaao achado encontra-se planilha comparativa dos quantitativos contratados eplanejados. 3.23.2 - Objetos nos quais o achado foi constatado: Contrato 34932/2009 - Contrato de Terceirização de pessoal de TI Contrato 58554/2010 - Outsourcing de impressão 3.23.3 - Causas da ocorrência do achado: Não adoção de controles que permitam a correta aderência dascontratações à legislação 3.23.4 - Efeitos/Consequências do achado: Aquisições ou contratações que não atendem à necessidade do órgão(efeito real) Prejuízos gerados por pagamentos indevidos (efeito potencial) 3.23.5 - Critérios: ACÓRDÃO 1558/2003, Tribunal de Contas da União, Plenário ACÓRDÃO 116/2006, item 9.2.4, Tribunal de Contas da União, Plenário ACÓRDÃO 786/2006, item 9.1.1, Tribunal de Contas da União, Plenário ACÓRDÃO 2471/2008, item 9.1, Tribunal de Contas da União, Plenário ACÓRDÃO 2471/2008, item 9.2, Tribunal de Contas da União, Plenário ACÓRDÃO 1915/2009, Tribunal de Contas da União, Plenário ACÓRDÃO 3294/2009, Tribunal de Contas da União, 2ª Câmara ACÓRDÃO 3667/2009, Tribunal de Contas da União, 2ª Câmara ACÓRDÃO 6511/2009, item 1.6.2, Tribunal de Contas da União, 1ª Câmara Constituição Federal, art. 37, caput ; art. 70, caput Decisão 811/2002, item 8.2.4, Tribunal de Contas da União, Plenário Decisão 811/2002, item 8.2.2, Tribunal de Contas da União, Plenário Decreto 3555/2000, art. 8º, inciso III, item Anexo I Lei 8666/1993, art. 6º, inciso IX; art. 7º, § 2º, inciso I; art. 23, § 1º; art.30, § 1º, inciso I Lei 10520/2002, art. 3º, inciso III Súmula 331/2003, Tribunal Superior do Trabalho 3.23.6 - Evidências: Processos de pagamento Março/Abril/Maio 2010 (Anexo 1 - Volume 3 -folhas 663/712) Orçamentos das empresas Mr. Computer e AMC (justificativa inadequadado preço da contratação) (Anexo 2 - Volume 4 - folhas 950/953) Descrição dos serviços do Contrato 58554/2010-Outsourcing de impressão(justificativa inadequada do preço da contratação) (Anexo 2 - Volume 5 - folhas1187/1189) CE 25/2010-DGT manifestando interesse em aderir à ata estadual, comquantitativos (falhas na adesão a ata de registro de preços) (Anexo 2 - Volume 4 -
  • 25. folhas 955/956) Ofício SEFAZ-AM 1072/2010/GSEFAZ autorizando adesão à ata (falhas naadesão a ata de registro de preços) (Anexo 2 - Volume 4 - folha 957) Projeto básico outsourcing de impressão (Projeto básico não elaboradocom base nos estudos técnicos preliminares e não aprovado pela autoridadecompetente) (Anexo 2 - Volume 5 - folhas 1158/1177) Estudos técnicos preliminares outsourcing de impressão (Projeto básiconão elaborado com base nos estudos técnicos preliminares e não aprovado pelaautoridade competente) (Anexo 1 - Volume 3 - folhas 716/740) Comunicação Interna 172/2010 (contratação por interposição de mão-de-obra) (Anexo 1 - Volume 3 - folhas 741/742) Resposta ao Questionamento 7 dos licitantes no Adendo nº 02 (CE nº353/2009) (contratação por interposição de mão-de-obra) (Anexo 2 - Principal - folha182) Resposta ao Questionamento 6 dos licitantes no Adendo nº 02 (CE nº353/2009) (contratação por interposição de mão-de-obra) (Anexo 2 - Principal - folha182) RELATÓRIO de Julgamento de Impugnação dos licitantes, item 6(contratação por interposição de mão-de-obra e impertinência nos critérios dehabilitação) (Anexo 2 - Volume 1 - folha 214) Projeto Básico, item 1.2.2 (contratação por interposição de mão-de-obra epagamento não vinculado a resultados) (Anexo 2 - Principal - folhas 10/11) Projeto Básico, item 1.1 (contratação conjunta de serviços técnica eeconomicamente divisíveis) (Anexo 2 - Principal - folha 10) Edital, item 4.1.5 (impertinência nos critérios de habilitação) (Anexo 2 -Principal - folha 78) 3.23.7 - Esclarecimentos dos responsáveis: O auditado apresentou os seguintes esclarecimento: I - Com relação ao Contrato nº 34932/2009 - Terceirização de pessoal deTI: a) Contratação por interposição de mão de obra O auditado alega que a terceirização é um dos meios de modernização daestrutura estatal e estaria contida em alguns dispositivos legais relativos àAdministração Pública, a exemplo do Decreto-lei nº 200, de 25 de fevereiro de 1967,art. 10, § 7º, que permitiria ao Estado contratar serviços de particulares especializadosem determinadas atividades. Na continuidade das alegações, acerca da possibilidade de terceirizaçãopela Administração Pública, são citados os artigos 3º da Lei nº 5.645, de 10 dedezembro de 1970; 6º, II, da Lei nº 8.666/1993; 18, § 1º, da Lei Complementar nº 101,de 4 de maio de 2000; e 1º do Decreto nº 2.271, de 7 de julho de 1997. Afirma que a jurisprudência do TST culminou na Súmula 331 peloentendimento de atribuir licitude à terceirização nas atividades meio, desde que não seconfigure pessoalidade e subordinação e ilicitude na terceirização da atividade fim, econclui: "Diante do que aqui se destaca, de se ver que no caso em comento não há asuposta irregularidade, visto que a par da existência de permissivo legal, no casoespecífico da prestação de serviços de Tecnologia da Informação, foram tomadas asmedidas indicadas pela Corte de Contas, atendidos os interesses e o planejamentoinstitucional da empresa - Amazonas Energia". Ao fim, alega que os postos de serviços contratados não constam do Planode Cargos e Salários da empresa e que tais serviços são indispensáveis para odesenvolvimento das atividades do Departamento de Tecnologia da Informação eTelecomunicações. b) Não divisibilidade do objeto, estando presentes a viabilidade técnica eeconômica
  • 26. Alega que, consoante orientação deste Tribunal, nas hipóteses de licitaçãocom diversidade de serviços, o entendimento tem sido o de que o parcelamento ou nãodo objeto da licitação deve ser auferido sempre no caso concreto, perquirindo-seessencialmente acerca da viabilidade técnica e econômica do parcelamento e dadivisibilidade do objeto. Afirma que o TCU, no Acórdão nº 732/2008-P, se pronunciou nosentido de que "a questão da viabilidade do fracionamento deve ser decidida com baseem cada caso, pois cada obra tem as suas especificidades, devendo o gestor decidiranalisando qual a solução mais adequada no caso concreto". Continuando a defesa,reproduz entendimento de Jorge Ulisses Jacoby Fernandes, no Parecer nº 2086/00,elaborado no Processo nº 194/2000 do TCDF, acerca da avaliação da viabilidade técnicapara adoção do parcelamento do objeto. E arremata: "Diante desta perspectiva, considerando principalmente ocenário do mercado do Amazonas e a interligação dos serviços contratados, apósprévia análise por parte das áreas competentes, concluiu-se que o fracionamento dosserviços em licitações distintas acarretaria o aumento dos custos ferindo aeconomicidade almejada, sem garantir ampliação da competitividade, correndo-se orisco de contratar-se a mesma empresa para todos os serviços, inclusive, por um customais elevado". É afirmado que, nos termos das informações apresentadas pelas áreastécnica e de licitações, o mais indicado para a referida contratação seria que os serviçosdescritos no pregão em tela fossem prestados por uma mesma empresa. c) Pagamento não vinculado a resultados Alegam que o pagamento efetuado à contratada é resultante da aplicaçãodo valor unitário do h/h multiplicado pelo total de hora/mês que o profissional executa,que nos termos das informações apresentadas pelas áreas técnica e de licitações, seriao mais indicado para a referida contratação. d) Impertinência nos critérios de habilitação referente à solicitação de CRA Alega-se que a exigência relacionada ao Conselho de Administração visouselecionar empresas com qualificação e expertise necessárias para recrutar osprofissionais almejados para consecução do objeto contratual. Consideram que os profissionais necessários à prestação do serviçoexerceriam atividades de cunho operacional, exigindo que os mesmos tivessemconhecimentos técnicos, portanto, buscaram com a exigência de registro no órgãoprofissional, demonstração mínima acerca da capacidade de seleção profissional. Ratificando o entendimento, argumentam o seguinte: "A aferição de talcapacidade é regulada pelo Conselho Federal de Administração - CFA que em suaResolução 288/03 - CFA Art. 3º dispõe, consoante o disposto no Art. 30, inciso I da Leinº 8.666/93: "As empresas de prestação com locação de pessoal, tem como atividadefim o próprio fornecimento de mão de obra, caracterizando-se como especializadas emdecorrência da experiência, formação e qualificação do pessoal postos à disposição docontratante"". Salientam, por fim, que o quesito de habilitação acima não teve o condãode restringir a competitividade, mas de resguardar a qualidade do serviço prestadoatravés da capacidade da empresa fornecedora da mão de obra necessária. II - Com relação ao Contrato nº 58554/2010 - Outsourcing de impressão: a) Justificativa inadequada do preço da contratação É alegado que a diferença existente entre os modelos constantes na atade registro de preço e nas propostas se deu pelo fato dos modelos T644dn e X646terem sido descontinuados pelo fabricante, sendo assim os modelos constantes naspropostas como: T656dtn e X656e eram aqueles que melhor se encaixavam nascaracterísticas dos equipamentos descontinuados. Quanto aos quantitativos contratados, alegam, inicialmente teremestabelecido 206 (duzentas e seis) impressoras, e, durante o processo de adesão, foidetectada necessidade de dotar as áreas técnicas das agências do interior do Estado
  • 27. com mais uma impressora, ficando em 267 (duzentos sessenta e sete) o contratado; eno que concerne aos preços, o fato das propostas possuírem o valor unitário, afirmamque permitiu a estimativa dos valores totais em quaisquer cenários. b) Falhas na adesão a ata de registro de preços Alegam que, após consulta prévia a várias empresas em relação aorçamento e interesse em prestação dos serviços de outsourcing de impressão paratodo o Estado do Amazonas, nenhuma empresa demonstrou interesse em participar,pois nem teriam enviado orçamento. E que, com o decurso de quase dois anos do início dos estudos técnicospara a prestação dos serviços, concluíram ser a adesão "carona" à ata da SEFAZ/AM aúnica alternativa viável. O prejuízo da não contração seria a inexistência de controle egerenciamento de gastos com papel, tonner e demais insumos; a não realização demanutenção nos equipamentos; maiores gastos logística para serviços no interior doEstado, além da acumulação de materiais em estoque, super ou sub dimensionados,acarretando custos extras com compras emergenciais, além de prejuízos peladeterioração dos estoques. Alegam ainda que somente os órgãos federais da Administração Diretaestão, pelo viés da Orientação Normativa nº 21/2009 AGU, impedidos de aderir a atasgeridas por entes da Administração Pública Estadual, Municipal ou Distrital, excluídos aí,portanto, os Órgãos da Administração Indireta, onde se enquadra a AmazonasDistribuidora de Energia S/A, empresa de distribuição da Eletrobrás. Quanto ao objeto contratado ser distinto do registrado em ata, alegamque o Contrato 58554/2010 (ELB AmE) foi elaborado de forma detalhada, seguindo naíntegra o Edital da Licitação promovida pela Comissão Geral de Licitação da SEFAZ, e,também, de acordo com a respectiva Ata de Registro de Preço ARP 0198/2009 (SEFAZ),sendo que Ata constaria o objeto de forma clara, objetiva, porém resumido, semprejuízo do seu conteúdo e não ferindo quaisquer das leis que regem a matéria. c) Projeto básico não elaborado com base nos estudos técnicospreliminares e não aprovado pela autoridade competente O auditado foi questionado inicialmente pela equipe de auditoria a respeitoda ausência de estudos técnicos preliminares indicando: que a justificativa do modelode prestação de serviço (outsourcing de impressão) é o mais adequado em relação aoanteriormente praticado, e o quantitativo de serviço contratado; as respectivasrespostas serão aproveitadas no presente achado. O contraditório e a ampla defesa doauditado não são prejudicados nessa fase processual. Quanto à justificativa de que o modelo de prestação de serviço é o maisadequado, alegam que, conforme documento anexo, a opção pela contratação namodalidade outsourcing de impressão se deu após a apresentação e análise deextensa nota expedida pela área técnica competente - DGT. Enfatizam ser possível verificar que o estudo englobou análise da situaçãode dispêndio da empresa com a impressão de documentos, levando-se em conta custosdiretos e indiretos, dentre os quais a logística de atendimento aos 104 pontos daAmazonas Energia localizados no interior. As vantagens apontadas por referido estudoconcentrar-se-iam na utilização de equipamentos sempre novos, gerência informatizadado processo de impressão, criação de cotas considerando o histórico de consumo, eeconomicidade ligada à gestão. Quanto ao quantitativo de serviço contratado, afirmam que o estudomencionado levantou a quantidade e qualidade de impressões realizadas pela empresaao longo de um ano, balizando as necessidades reais capazes de nortear a contrataçãode Outsourcing de Impressão. 3.23.8 - Conclusão da equipe: Após analisados os esclarecimentos do auditado, a equipe de auditoriaconclui que as contratações estão eivadas de irregularidades. A seguir análise das informações prestadas pela Amazonas Energia.
  • 28. Contrato nº 34932/2009 - Terceirização de Pessoal de TI: Quanto à contratação por interposição de mão de obra, conforme alega oauditado, a Administração Pública deve buscar a eficiência terceirizando serviços nãoligados à sua atividade fim ou que não constem do plano de cargos e salários daempresa. Sobre isso não há divergências. Ocorre que a Amazonas Energia deveria terutilizado o modelo de contratação de execução indireta de serviços baseado naprestação e remuneração de serviços mensuradas por resultados, considerando acompatibilidade dos serviços ora licitados com esse modelo e as vantagens advindas desua aplicação, conforme jurisprudência vigente. Não são apresentados argumentos quederrubem o entendimento da equipe de auditoria. Quanto à não divisibilidade do objeto, a viabilidade de sua aplicação deveser analisada no caso concreto. Este Tribunal já decidiu que os serviços em tela sãotecnicamente divisíveis, restando o licitante avaliar, economicamente, a possibilidade,ou não, de sua separação. O processo de contratação não demonstra ter sido realizadatal análise. Realmente impossível que houvesse esse tipo de avaliação, visto que desdeo início do processo licitatório foi escolhida a contratação por interposição de mão deobra, inviabilizando a segregação do objeto. O auditado não demonstra cabalmente a inviabilidade técnica e econômicaalegada, somente afirma que as áreas competentes entendem não ser possível amesma. Quanto ao pagamento não vinculado a resultados, o auditado ratifica oachado da auditoria e considera que o correto é o pagamento pela mera disponibilidadede mão de obra, apesar da ampla jurisprudência em contrário. Quanto à impertinência de solicitação de CRA aos licitantes, as alegaçõesdo auditado são totalmente descabidas em razão de que os objetos licitados foramserviços de TI e não recrutamento de pessoal, portanto indevida tal exigência. Escolhida indevidamente a contratação por interposição de mão de obra,esta afetou a regularidade de toda a contratação a exemplo da não divisibilidade doobjeto a fim de proporcionar maior competitividade, e dos critérios de habilitaçãoinadequados, gerando restrição à competitividade. Contrato nº 58554/2010 - Outsourcing de impressão: Referente à justificativa inadequada do preço da contratação, o auditadonão apresenta justificativas para o aumento no quantitativo de impressorascontratadas, somente relata que "foi detectada necessidade de dotar as áreas técnicasdas agências do interior do Estado com mais uma impressora". Há de se lembrar que oquantitativo inicialmente estabelecido foi dito como baseado em estudos preliminares,portanto, suas alterações deveriam também ser fundamentadas. Em contraponto ao alegado, a quantidade de impressões deveriaaumentar. Porém, ocorreu o contrário. Os quantitativos foram alterados para ajustar oorçamento. Na prática, quando iniciada a prestação dos serviços, as modificaçõessomente beneficiarão a contratada, gerando prejuízo à Amazonas Energia. Novamente, não há aprovação dos estudos, nem da alteração nosquantitativos. Também infrutífera a alegação de diferença nos modelos de impressorasda ata de registro de preços e cotações realizadas pela Amazonas Energia se dar pordescontinuidade na sua fabricação, visto que nova cotação de preços deveria ter sidorealizada para verificação do modelo exato a ser contratado. Quanto às alegações à adesão indevida a ata estadual, cumpre ressaltarque estas não prosperam. Além de a jurisprudência desta Corte de Contas afastar apossibilidade de adesão, os dois anos passados desde o início dos estudos técnicos,conforme alegado, seriam suficientes para lançamento de edital e verificação efetiva daexistência, ou não, de interessados no objeto em comento. Então poder-se-ia buscaroutras soluções. Os argumentos expostos pelo auditado demonstram a inérciaadministrativa reinante na Amazonas Energia.
  • 29. Ao cabo, conclui-se que não foram apresentadas justificativas para oprojeto básico divergir dos estudos técnicos preliminares, e evidencia-se que não foiaprovado pela autoridade competente. 3.23.9 - Proposta de encaminhamento: Alertar a Amazonas Distribuidora de Energia quanto à: a) Contratação por interposição de mão de obra, descumprindo Enunciado331-TST e Acórdão TCU nº 786/2006 - Plenário, item 9.1.1; b) Não divisibilidade do objeto, estando presentes a viabilidade técnica eeconômica, decorrente do descumprimento do art. 23, § 1º, da Lei nº 8.666/1993; c) Pagamento não vinculado a resultados, decorrente do descumprimentodo Princípio da Eficiência e Economicidade e Acórdão TCU 786/2006 - Plenário, item9.4.3; d) Impertinência nos critérios de habilitação referente a solicitação de CRAde licitantes, decorrente do descumprimento da Lei nº 8.666/1993, inciso I do § 1º doart. 30 e Acórdão TCU 116/2006 - Plenário, item 9.2.4; e) Justificativa inadequada do preço da contratação, decorrente dodescumprimento do art. 3º, III, da Lei nº 10.520/2002, e art. 8º, III, Anexo I, doDecreto nº 3.555/2000 (Acórdão TCU 3667/2009 - Segunda Câmara); f) Falhas na adesão a ata de registro de preços, decorrente dodescumprimento do item 1.6.2 do Acórdão TCU 6511/2009 - 1ª Câmara; e g) Projeto básico não elaborado com base nos estudos técnicospreliminares e não aprovado pela autoridade competente, decorrente dodescumprimento da Lei nº 8.666/1993, art. 6º, IX, e 7º, § 2º, I. 3.24 - Inexistência de controles que promovam a regular gestão contratual 3.24.1 - Situação encontrada: Em resposta ao item 7.11 do questionário Perfil GovTI 2010, foi informado,primeiramente, que as diretrizes legais são observadas, mas há grande variação nosprocedimentos adotados; posteriormente alterada para a seguinte opção: as diretrizeslegais são observadas e os procedimentos reconhecidos como boas práticas sãodisseminados internamente e praticados. Na primeira resposta apresentada, o auditado alegou que com o adventoda nova estrutura organizacional da empresa, na qual a gestão de processos seria oprincipal diferencial, iniciou-se o mapeamento de processos através de oficinas onde oslíderes de processos e os colaboradores que mais conhecem o negócio se reúnem paradesenhar os processos que serão a base para as normas internas, e, no que tange àgestão de contratos de TI e diante da falta de uma norma aprovada e publicada, o DGTaplica procedimentos internos na gestão de contratos de TI, como: classificar o gestorde contrato de acordo com o objeto (p.e., todos os contratos relativos a sistemasinformatizados são geridos pelo líder de processo de sistemas de informação); atentarpara o cumprimento das cláusulas contratuais quando do pagamento aos fornecedores;Fiscalizar se os acordos de níveis de serviço estão sendo atendidos; e aplicarpenalidades quando necessário for. Como evidência ao alegado, anexaram documento relativo à imputação depenalidade a contratada inadimplente, atesto de execução de serviços, e termo denomeação de gestor de contrato de TI. A fim de comprovar a segunda resposta dada, foi encaminhado Manual deNormas e Procedimentos para Aquisição de Bens e Serviços do DGT, o mesmoapresentado como evidência à resposta do item 7.10 do questionário. Novamente a documentação apresentada não comprova a resposta dadapelo auditado. Conforme dito em achado precedente, foi apresentado um manual denormas e procedimentos de aquisições nas modalidades licitatórias possíveis. Estemanual são algoritmos de execução de processos licitatórios, após determinados oobjeto a ser adquirido e a modalidade adotada, até o momento de assinatura do
  • 30. contrato entre as partes. Portanto, a fase de gestão contratual não é abordada. 3.24.2 - Objetos nos quais o achado foi constatado: Questionário perfil GovTI2010. 3.24.3 - Causas da ocorrência do achado: Alta Administração não se responsabiliza pela governança de TI (verrespostas das questões 1.1 e 1.2 do Perfil GovTI 2010 - fl. 4 do Anexo 1) 3.24.4 - Efeitos/Consequências do achado: Risco de ineficiência no acompanhamento da execução contratual, podendoresultar na qualidade/prazo insatisfatórios de serviços e produtos entregues. (efeitopotencial) 3.24.5 - Critérios: ACÓRDÃO 669/2008, item 9.1.15, Tribunal de Contas da União, Plenário Norma Técnica - ITGI - Cobit 4.1, ME3.3 - Avaliar a conformidade comrequisitos externos Norma Técnica - ITGI - Cobit 4.1, DS2.4 - Monitorar o desempenho dofornecedor Norma Técnica - ITGI - Cobit 4.1, AI5.2 - Gerir contratos com fornecedores 3.24.6 - Evidências: Planilha de controle. (Anexo 1 - Volume 2 - folhas 451/452) Manual de normas e procedimentos. (Anexo 1 - Volume 1 - folhas 391/423) 3.24.7 - Conclusão da equipe: Não é estabelecido processo para monitorar a prestação do serviço demodo a assegurar que o fornecedor atenda aos requisitos atuais do negócio,obedecendo os contratos e acordos de nível de serviço firmados, e que seudesempenho seja competitivo com outros prestadores e condições do mercado, neminstituído procedimento para estabelecer, modificar e rescindir contratos com osfornecedores. 3.24.8 - Proposta de encaminhamento: Recomendar à Amazonas Distribuidora de Energia S.A que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência), implementecontroles que promovam a regular gestão contratual e que permitam identificar setodas as obrigações do contratado foram cumpridas antes do ateste do serviço. 3.25 - Irregularidades na gestão contratual 3.25.1 - Situação encontrada: Foram realizados testes substantivos nos Contratos nº 34932/2009 e43790/2009, com o objetivo de avaliar a aderência dos procedimentos de gestãocontratual adotados com os normativos, e constatou-se as seguintes impropriedades: I - Com relação ao Contrato nº 34932/2009-Terceirização de pessoal de TI: a) Pagamento de horas-extras não trabalhadas Foram identificados registros de horas-extras não trabalhadas defuncionários da contratada, pagos à esta, mas não transferidos aos trabalhadores. Os documentos indicam que eram computadas horas-extras fictícias defuncionários demitidos a fim de pagar as custas rescisórias. No mês seguinte ao depagamento de horas-extras elevadas, os funcionários já não mais integravam a folhade pagamento. Nas folhas individuais de pagamento não constavam os valores dehoras-extras, mas sim de rescisão contratual. Vale ressaltar que no demonstrativo de formação de preços do vencedor àlicitação está provisionado o valor de verbas rescisórias. b) Ausência de preposto O contrato em tela não prevê a figura do preposto da contratada a fim derepresentá-la. Essa afirmativa é ratificada pela resposta dada aos interessados nalicitação, ainda na fase prévia à abertura do certame, de que deveria serdesconsiderado o preposto para fins do cálculo da proposta de preços. c) Ausência de fiscal
  • 31. Questionado pela equipe de auditoria acerca da designação formal derepresentante da Amazonas Energia como fiscal do contrato em tela, o auditadorespondeu não ter ocorrido tal designação. d) Ausência de formalização da verificação dos relatórios de horastrabalhadas emitidos pela contratada. Foi identificada a inexistência de controles formais próprios da AmazonasEnergia na verificação das horas trabalhadas pelos funcionários terceirizados.Questionado, o auditado confirmou a falta de relatório próprio de acompanhamento,sendo realizado somente o aceite das informações apresentadas pelo contratado. II - Com relação ao Contrato nº 43790/2009-Equipamentos, softwares eserviços de TI (BladeCenter): a) Celebração de termo aditivo sem razoável motivo justificador Ajustado o contrato no valor original de R$ 8.683.490,00 (oito milhões,seiscentos e oitenta e três mil, quatrocentos noventa reais), a adição foi de R$2.134.458,74 (dois milhões, cento e trinta e quatro mil, quatrocentos e cinquenta e oitoreais e setenta e quatro centavos) englobando aquisição extra de equipamentos,softwares de backup e gerenciamento de dados, e serviços de instalação, treinamentoe suporte. Como fundamento ao aditivo é alegado o seguinte: o parque de servidoresconta com 60 (sessenta) máquinas sem quaisquer garantia do fabricante e/ou contratode suporte e assistência técnica, das quais as mais novas têm 5 (cinco) anos e 20(vinte) não possuem peças de reposição no mercado, e apresentam inúmerosproblemas técnicos intermitentes; o crescimento exponencial do interior do Estado querecebeu, no começo do ano, cerca de 200 (duzentos) computadores e serácontemplado com links de comunicação da Embratel, totalizando 61 (sessenta e uma)localidades conectadas diretamente à sede, além das indiretas; o DGT não possuiservidores e espaço de armazenamento para novas demandas que possam surgir como crescimento e expansão das necessidades tecnológicas da empresa; e o atual parquede servidores necessita ser atualizado em razão da aludida plataforma e o mesmo nãosuportará as futuras demandas para hospedagem de novos sistemas corporativos (fls.538/540 do anexo 2 v.2). As alegações acima não podem ser aceitas por serem todas condições pré-existentes ao contrato original celebrado e conhecidas pela administração da AmazonasEnergia. Não há ilegalidade na celebração de aditivos contratuais. Ao contrário, aLei nº 8.666/1993 prevê a possibilidade de alteração contratual em seu art. 65, I, a , e§ 6º A modificação unilateral do contrato consiste numa das prerrogativas daAdministração e é uma das expressões da supremacia do interesse público no que dizrespeito aos contratos administrativos Contudo, a Administração tem de evidenciar a superveniência de motivojustificador da alteração contratual. Deve indicar os fatos posteriores que alteraram asituação inicial e exigem um tratamento distinto daquele adotado. Opinião do prof.Jessé Torres Pereira Júnior sobre a possibilidade de alteração contratual, contida emsua obra ´´Comentários à Lei nº 8.666/93´´, p. 413, assim dispõe: Consigne-se, porfim, que as modificações qualitativas ou quantitativas de um contrato públicoconstituem excepcionalidade a ser cabalmente justificada diante de fatossupervenientes à contratação. A Lei nº 8.666/1993 trouxe para a Administração o deverde somente iniciar a licitação depois de aprovar projeto básico, em caso de obras eserviços, e de bem definir a especificação completa do bem, incluindo quantidades econdições de sua guarda e armazenamento, no caso de compras. Logo, a necessidadede se modificar projeto, especificações ou quantidades de material, a menos que sejaimposta por fatos que venham a ocorrer durante a execução do contrato, será sempreinsinuante do desleixo no cumprimento daquele dever . Não deixando passar em branco, coincidentemente, o quantitativo
  • 32. aditivado do objeto faz com que o valor financeiro chegue bem próximo ao tetoestabelecido no § 1º, artigo 65, da Lei nº 8.666, de 21 de junho de 1993, de 25%(vinte e cinco por cento). Os documentos apresentados pelo auditado não demonstrama existência de estudos ou cálculos que suportem o montante escolhido para aditivo. Potencialmente, tivesse a Amazonas Energia lançado edital com o valortotal contratado, mais concorrentes poderiam ter se interessado pelo certame,aumentando a concorrência e diminuindo os preços global e unitário alcançados. b) Aquisição de serviços desnecessários e já contratados O primeiro aditivo ao contrato em tela contempla a aquisição extra de 1(um) chassi para os servidores, 14 (quatorze) servidores blade tipo 1, 14 (quatorze)softwares de backup, 1 (um) software de gerenciamento de dados, 1 (uma) unidade deserviços de instalação e treinamento, e 1 (uma) unidade de serviços de suporte. Comparando os preços originais praticados no contrato com o montanteaditivado, verifica-se uma diferença a maior de R$ 43.101,94 (quarenta e três mil, centoe um reais e noventa e quatro centavos) em prejuízo da Amazonas Energia. Anexa aoachado encontra-se planilha demonstrando o referido montante de prejuízo causado àAmazonas Energia. Além do acima, é contestável o valor de R$ 1.066.718,06 (um milhão,sessenta e seis mil , setecentos e dezoito reais e seis centavos) referente àcontratação do software de gerenciamento de dados e os serviços de instalação etreinamento, e de suporte, visto que o contrato original já adquiriu o mesmo softw are,que poderia ser estendido aos aditivados, e já houve treinamento quando dainstalação dos primeiros equipamentos. Não é razoável contratar pelo mesmo montanteo serviço de suporte a uma menor quantidade de equipamentos que formarão um únicoconjunto. Portanto, deve ser glosado do aditivo em comento o valor de R$1.109.820,00 (um milhão, cento e nove mil, oitocentos e vinte reais), ou 52% (cinquentae dois por cento) do total. As irregularidades serão tratadas em processo apartado derepresentação desta unidade técnica. 3.25.2 - Objetos nos quais o achado foi constatado: Contrato 34932/2009 - Contrato de Terceirização de pessoal de TI Contrato 73790/2009 - Equipamentos, softw ares e serviços de TI(BladeCenter). 3.25.3 - Causas da ocorrência do achado: Inexistência de controles que promovam a regular gestão contratual. 3.25.4 - Efeitos/Consequências do achado: Serviços em desacordo com o contratado (efeito potencial) Pagamentos sem que tenham sido produzidos os resultados esperados(efeito potencial) Aquisições ou contratações que não atendem à necessidade do órgão(efeito potencial) Aquisições sem o devido caráter competitivo (efeito potencial) Prejuízos gerados por pagamentos indevidos (efeito real) 3.25.5 - Critérios: Lei 4320/1964, art. 63, § 1º, inciso II Lei 8666/1993, art. 65; art. 66; art. 67; art. 68 3.25.6 - Evidências: Contrato 43790/2009 - planilha objeto contratado (Anexo 1 - Volume 3 -folhas 744/745) Processos de pagamento Março/Abril/Maio 2010 (Anexo 1 - Volume 3 -folhas 663/712) RELATÓRIO à Diretoria Executiva aprovando 1º termo aditivo eapresentando justificativas (Anexo 1 - Volume 2 - folhas 538/540) Ofício TCU 898/2010-3 falta de resposta a questionamento da equipe de
  • 33. auditoria - Ausência de fiscal. (Anexo 1 - Volume 2 - folha 510) Resposta ao Questionamento 7 dos licitantes no Adendo nº 02 (CE nº353/2009) (contratação por interposição de mão-de-obra e ausência de preposto)(Anexo 2 - Principal - folha 182) 3.25.7 - Esclarecimentos dos responsáveis: A entidade enviou esclarecimentos referentes à seguinte irregularidadeverificada na gestão contratual: -pagamento de horas-extra não trabalhadas para cobrir custos comrescisão contratual de empregados terceirizados: confirmou a existência dairregularidade e informou que estão sendo tomadas medidas no sentido de promover oressarcimento dos valores pagos indevidamente. (Anexo 1 - Volume 3 - folhas 746/755) 3.25.8 - Conclusão da equipe: Foram encontradas falhas na gestão e fiscalização do Contrato nº34932/2009 e na celebração de termo aditivo do Contrato nº 43790/2009. Osesclarecimentos apresentados, apesar de manifestarem a intenção de reparação dodano, não elidem a constatação. 3.25.9 - Proposta de encaminhamento: Alertar a Amazonas Distribuidora de Energia S.A quanto a: a) Pagamento de horas-extras não trabalhadas, decorrente dodescumprimento da Lei 4.320, de 17/3//1964, art. 63 § 1º II; b) Ausência de preposto, decorrente do descumprimento da Lei8.666/1993, art. 68; c) Ausência de fiscal, decorrente do descumprimento da Lei 8.666/1993,art. 67; d) Ausência de formalização da verificação dos relatórios de horastrabalhadas emitidos pela contratada; e) Celebração de termo aditivo sem razoável motivo justificador,decorrente do descumprimento da Lei 8.666/1993, art. 65, caput; e f) Aquisição de serviços desnecessários e já contratados, decorrente dodescumprimento dos princípios da eficiência e economicidade." 3. Por tais motivos, a Secex/AM, em pareceres uniformes (fls. 106/112),sugeriu a esta Corte formular à Amazonas Distribuidora de Energia S/A as seguintesdeterminações, recomendações e alertas: "Recomendar à Amazonas Distribuidora de Energia S.A.- Eletrobras - MMEque, Em atenção ao disposto na Constituição Federal, art. 37, caput (princípio daeficiência): a) Elabore um Plano Estratégico Institucional, considerando o previsto nocritério de avaliação nº 2 do Gespública, para dar cumprimento ao ao Decreto Lei nº200/67, art. 6º, inciso I, e art. 7º(item 3.1 - Achado "Inexistência do Plano EstratégicoInstitucional"); b) Elabore e aprove um Plano Diretor de Tecnologia da Informação - PDTI,observando as diretrizes constantes na Instrução Normativa nº 04/2008 - SLTI/MPOG,art. 4, III, no que couber, e as práticas contidas no Cobit 4.1, processo PO1 -Planejamento Estratégico de TI e no Modelo de Referência de Plano Diretor deTecnologia da Informação da SLTI/MPOG, disponível emhttp://catir.softwarepublico.gov.br/dotlrn/clubs/gestodetisisp/onecommun ity?page_num=2 (item 3.2 - Achado "Inexistência do PDTI"); c) Implante um Comitê de Tecnologia da Informação que envolva as suasdiversas áreas e que se responsabilize por alinhar os investimentos de Tecnologia daInformação com os objetivos institucionais e por apoiar a priorização de projetos aserem implantados, considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitêestratégico de TI e PO4.3 - Comitê diretor de TI (item 3.3 - Achado "Inexistência deComitê de TI); d) Elabore estudo técnico de avaliação qualitativa e quantitativa do quadro
  • 34. da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimentode vagas de servidores efetivos devidamente qualificados, objetivando o melhoratendimento das necessidades institucionais, observando as práticas contidas no Cobit4.1, PO4.12 - Pessoal de TI (item 3.4 - Achado "Inexistência de avaliação do quadro depessoal de TI"); e) Quando do estabelecimento de seu processo de softw are, considere asNormas NBR ISO/IEC 12.207 e 15.504 (item 3.7 - Achado "Inexistência de processo desoftware"); f) Implante uma estrutura formal de gerência de projetos, observando asorientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência deProjetos e do PMBOK, dentre outras boas práticas de mercado (item 3.8 - Achado"Inexistência de processo de gerenciamento de projetos"); g) Implemente processo de gestão de incidentes de serviços de tecnologiada informação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 -Gerenciar a central de serviços e incidentes e de outras boas práticas de mercado(como a NBR ISO/IEC 20000 e a NBR 27002) (item 3.9 - Achado "Inexistência doprocesso de gestão de incidentes"); h) Implemente processo de gestão de configuração de serviços detecnologia da informação, à semelhança das orientações contidas no Cobit 4.1,processo DS9 - Gerenciar configuração e de outras boas práticas de mercado (como aNBR ISO/IEC 20000) (item 3.10 - Achado "Inexistência do processo de gestão deconfiguração"); i) Estabeleça procedimentos formais de gestão de mudanças, de acordocom o previsto no item 12.5.1 da NBR ISO/IEC 27.002 à semelhança das orientaçõescontidas no Cobit 4.1, processo AI6 - Gerenciar mudanças e de outras boas práticas demercado (como a NBR ISO/IEC 20000) (item 3.11 - Achado "Inexistência do processo degestão de mudanças"); j) Implemente um Plano Anual de Capacitação, contemplando ações decapacitação voltadas para a gestão de tecnologia da informação, observando aspráticas contidas no Cobit 4.1, processos PO7.2 - Competências Pessoais e PO7.4 -Treinamento do Pessoal, e o previsto no Guia de Orientação para Elaboração do Planode Capacitação do SIPEC, disponível emhttps://portalsipec.planejamento.gov.br/clientes/sipec/sipec/eventos/iv- encontro-nacional-de-dirigentes-de-recursos-humanos-do-sipec/arquivos/ar quivo.2010-05-07.6860946339/at_download (item 3.19 - Achado "Inexistência de plano anual decapacitação"); l) Estabeleça um processo de avaliação da gestão de TI, observando asorientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5Relatórios gerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controlesinternos (item 3.20 - Achado "Inexistência de avaliação da gestão de TI"); m) Na elaboração dos estudos técnicos preliminares, considere o conteúdoda "Análise da Viabilidade da Contratação", descrita como uma das etapas da fase deplanejamento da contratação, conforme Instrução Normativa nº 04/2008-SLTI/MPOG,arts. 9º e 10 (itens 3.21 e 3.22, respectivamente achados "Inexistência de controlesque promovam que o Termo de Referência ou Projeto Básico seja elaborado a partir deestudos técnicos preliminares" e "Irregularidades na contratação"); m) Implemente controles que garantam que o Termo de Referência ouProjeto Básico seja elaborado a partir de estudos técnicos preliminares (item 3.22 -Achado "Inexistência de controles que promovam que o Termo de Referência ou ProjetoBásico seja elaborado a partir de estudos técnicos preliminares"); n) Implemente controles que promovam a regular gestão contratual e quepermitam identificar se todas as obrigações do contratado foram cumpridas antes doateste do serviço (item 3.24 - Achado "Inexistência de controles que promovam aregular gestão contratual").
  • 35. Alertar a Amazonas Distribuidora de Energia S.A.- Eletrobras - MME quantoàs seguintes irregularidades: a) Não realização de estudos técnicos preliminares anteriormente àelaboração dos termos de referência ou projetos básicos, em confronto com asdisposições contidas na Lei nº 8.666/1993, art. 6º, IX (item 3.21 - Achado "Inexistênciade estudos técnicos preliminares"); b) Ausência, nos processos licitatórios, dos estudos técnicos preliminaresque embasaram a elaboração do Termo de Referência ou Projeto Básico, emdissonância com o art. 6º, IX, da Lei 8.666/1993 (item 3.22 - Achado "Inexistência decontroles que promovam que o Termo de Referência ou Projeto Básico seja elaborado apartir de estudos técnicos preliminares"; c) Contratação por interposição de mão de obra, descumprindo Enunciado331-TST e Acórdão TCU nº 786/2006 - Plenário, item 9.1.1 (item 3.23 - "Irregularidadesna contratação"); d) Não divisibilidade do objeto, estando presentes a viabilidade técnica eeconômica, decorrente do descumprimento do art. 23, § 1º, da Lei nº 8.666/1993 (item3.23 - "Irregularidades na contratação"); e) Pagamento não vinculado a resultados, decorrente do descumprimentodo Princípio da Eficiência e Economicidade e Acórdão TCU 786/2006 - Plenário, item9.4.3 (item 3.23 - "Irregularidades na contratação"); f) Impertinência nos critérios de habilitação referente a solicitação de CRAde licitantes, decorrente do descumprimento da Lei nº 8.666/1993, inciso I do § 1º doart. 30 e Acórdão TCU 116/2006 - Plenário, item 9.2.4 (item 3.23 - "Irregularidades nacontratação"); g) Justificativa inadequada do preço da contratação, decorrente dodescumprimento do art. 3º, III, da Lei nº 10.520/2002, e art. 8º, III, Anexo I, doDecreto nº 3.555/2000 (Acórdão TCU 3667/2009 - Segunda Câmara) (item 3.23 -"Irregularidades na contratação"); h) Falhas na adesão a ata de registro de preços, decorrente dodescumprimento do item 1.6.2 do Acórdão TCU 6511/2009 - 1ª Câmara (item 3.23 -"Irregularidades na contratação"); i) Projeto básico não elaborado com base nos estudos técnicospreliminares e não aprovado pela autoridade competente, decorrente dodescumprimento da Lei nº 8.666/1993, art. 6º, IX, e 7º, § 2º, I (item 3.23 -"Irregularidades na contratação"); j) Pagamento de horas-extras não trabalhadas, decorrente dodescumprimento da Lei 4.320, de 17/3//1964, art. 63 § 1º II (item 3.25 - Achado"Irregularidades na gestão contratual"); l) Ausência de preposto, decorrente do descumprimento da Lei 8.666/1993,art. 68 (item 3.25 - Achado "Irregularidades na gestão contratual"); m) Ausência de fiscal, decorrente do descumprimento da Lei 8.666/1993,art. 67 (item 3.25 - Achado "Irregularidades na gestão contratual"); n) Ausência de formalização da verificação dos relatórios de horastrabalhadas emitidos pela contratada (item 3.25 - Achado "Irregularidades na gestãocontratual"); o) Celebração de termo aditivo sem razoável motivo justificador,decorrente do descumprimento da Lei 8.666/1993, art. 65, caput (item 3.25 - Achado"Irregularidades na gestão contratual"); p) Aquisição de serviços desnecessários e já contratados, decorrente dodescumprimento dos princípios da eficiência e economicidade (item 3.25 - Achado"Irregularidades na gestão contratual"). Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, à AmazonasDistribuidora de Energia S.A.- Eletrobras - MME que: a) Aperfeiçoe o processo de elaboração do orçamento de TI, necessário ao
  • 36. cumprimento das disposições contidas Lei nº 12.017/2009 (LDO 2009/2010), art. 9º, IIc/c Anexo II, XVIII, ou das que vierem a lhe suceder, de maneira que as solicitações deorçamento das despesas de TI estejam baseadas nas ações que se pretende executar,observando as práticas contidas no Cobit 4.1, processo PO5.3 - Orçamentação de TI eno Gespública, critério de avaliação 7.3 (item 3.5 - Achado "Falhas no orçamento deTI"); b) Em atenção às disposições contidas na Lei nº 4.320/64, art. 75, incisoIII, implante controle da execução orçamentária, a fim de se obter prontamenteinformações acerca dos gastos e da disponibilidade de recursos de TI (item 3.6 -Achado "Inexistência de controle da execução do orçamento de TI"); c) Em atenção ao disposto na Lei nº 8.666/1993, art. 6º, inc. IX, defina umprocesso de softw are previamente às futuras contratações de serviços dedesenvolvimento ou manutenção de software, vinculando o contrato com o processo desoftware, sem o qual o objeto não estará precisamente definido (item 3.7 - Achado"Inexistência de processo de softw are"); d) Em atenção ao disposto na Instrução Normativa GSI/PR nº 1/2008, art.5º, IV e art. 7º, c/c Norma Complementar nº 3/IN01/DSIC/GSIPR, item 5.3.7.2, nomeieGestor de Segurança da Informação e Comunicações, observando as práticas contidasna NBR ISO/IEC 27.002, item 6.1.3 - Atribuição de responsabilidade para segurança dainformação (item 3.12 - Achado "Inexistência de Gestor de Segurança da Informação eComunicações"); e) Em atenção ao disposto na Instrução Normativa GSI/PR nº 1/2008, art.5º, VI c/c Norma Complementar nº 3/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê deSegurança da Informação e Comunicações, observando as práticas contidas na NBRISO/IEC 27.002, item 6.1.2 - Coordenação de segurança da informação (item 3.13 -Achado "Inexistência de Comitê de Segurança da Informação e Comunicações"); f) Em atenção ao disposto na Instrução Normativa GSI/PR nº 1/2008, art.5º, VII, implante Política de Segurança da Informação e Comunicações, observando aspráticas contidas na Norma Complementar 03/IN01/DSIC/GSIPR (item 3.14 - Achado"Inexistência de Política de Segurança da Informação e Comunicações"); g) Em atenção ao disposto na Instrução Normativa GSI/PR nº 1/2008, art.5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais,observando as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR (item3.15 - Achado "Inexistência de equipe de tratamento e resposta a incidentes em redescomputacionais - ETRI"); h) Em atenção ao disposto no Decreto nº 4.553/2002, art. 6º, § 2º, incisoII e art. 67, crie critérios de classificação das informações a fim de que possam tertratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade,observando as práticas contidas no item 7.2 da NBR ISO/IEC 27.002 (item 3.16 -Achado "Inexistência de classificação da informação"); i) Em atenção ao disposto na Instrução Normativa GSI/PR nº 1/2008, art.5º, VII c/c Norma Complementar nº 4/IN01/DSIC/GSIPR, item 5.2.1, estabeleçaprocedimento de inventário de ativos de informação, de maneira que todos os ativos deinformação sejam inventariados e tenham um proprietário responsável, observando aspráticas contidas no item 7.1 da NBR ISO/IEC 27.002 (item 3.17 - Achado "Inexistênciade inventário dos ativos de informação"); j) Em atenção ao disposto na Instrução Normativa GSI/PR nº 1/2008, art.5º, VII c/c Norma Complementar nº 4/IN01/DSIC/GSIPR, implemente processo degestão de riscos de segurança da informação (item 3.18 - Achado "Inexistência deprocesso de gestão de riscos de segurança da informação - GRSIC"); l) No prazo de 30 (trinta) dias a contar da ciência do Acórdão que vier a serproferido, encaminhe plano de ação para a implementação das medidas contidas noDecisum, contendo: 1) para cada determinação, o prazo e o responsável (nome, cargo e CPF)
  • 37. pelo desenvolvimento das ações; 2) para cada recomendação, cuja implementação seja consideradaconveniente e oportuna, o prazo e o responsável (nome, cargo e CPF) pelodesenvolvimento das ações; 3) para cada recomendação cuja implementação não seja consideradaconveniente ou oportuna, justificativa da decisão. Determinar a seguinte providência interna do TCU: Encaminhar cópia do presente relatório de auditoria à Eletrobrás, a fim deque tome conhecimento e as providências cabíveis no sentido de subsidiar os trabalhosdo Comitê de Tecnologia da Informação, Telecomunicação e Automação do SistemaEletrobrás, na aplicação das determinações, recomendações e alertas proferidos noacórdão a ser exarado, no que couberem, em todas as empresas do Sistema (item 3.14- Achado "Inexistência de Política de Segurança da Informação e Comunicações")." É o RelatórioVoto do Ministro Relator VOTO Na sessão de 8/9/2010 (acórdão 2.308/2010 - Plenário), apresentei a estecolegiado o resultado consolidado do levantamento efetuado pela Secretaria deFiscalização de Tecnologia da Informação - Sefti, em 2010, para avaliar a governança detecnologia da informação em 315 órgãos e entidades das administrações direta eindireta dos três poderes da União. 2. Destaquei, naquela oportunidade, a importância da atuação desta Cortecom relação à matéria, eis que, a partir da identificação de pontos vulneráveis, serápossível ao Tribunal, em primeiro lugar, atuar como indutor do aperfeiçoamento dagovernança de TI no setor público e, em segundo lugar, identificar e disseminar entreas unidades jurisdicionadas os bons exemplos e modelos identificados. 3. Apontei, ainda, as conclusões mais significativas do levantamento, quepermitiu constatar, em síntese, que: a) mais de 60% das organizações não possui planejamento estratégico deTI; b) algumas organizações continuam a ter sua TI totalmente controlada porpessoas estranhas a seus quadros de pessoal; c) são graves os problemas de segurança da informação, já queinformações críticas não são protegidas adequadamente; d) metade das organizações não possui método ou processo paradesenvolvimento de softw ares e para aquisição de bens e serviços de informática, oque gera riscos de irregularidades em contratações; e) a atuação sistemática da alta administração com respeito à TI ainda éincipiente; f) mais da metade das organizações está no estágio inicial de governançade TI, e apenas 5% encontram-se em estágio aprimorado. 4. Neste momento, trago à consideração deste Plenário mais um trabalhoconcernente à matéria: a auditoria realizada pela Secex/AM na Amazonas Distribuidorade Energia S/A com o intuito de avaliar controles gerais de governança de TI naquelaentidade. 5. As principais ocorrências detectadas no presente trabalho assemelham-se às verificadas no levantamento consolidada e confirmam a precisão daquele estudo.Basicamente, constatou-se na Amazonas Energia: a) inexistência de plano estratégico institucional; b) inexistência de plano diretor de TI; c) inexistência de comitê gestor de TI; d) inexistência de avaliação de adequação de quadro de pessoal de TI; e) falhas no orçamento de TI;
  • 38. f) inexistência de controle da execução do orçamento de TI; g) inexistência de processo adequado de desenvolvimento de software; h) inexistência de processo de gerenciamento de projetos de TI; i) inexistência de processo de gestão de incidentes de TI; j) inexistência de processo de gestão de configuração de serviços de TI; k) inexistência de processo de gestão de mudanças; l) inexistência de gestor de segurança da informação; m) inexistência de comitê de segurança da informação; n) inexistência de política de segurança da informação; o) inexistência de equipe de tratamento e resposta a incidentes em redescomputacionais; p) inexistência de classificação da informação; q) inexistência de inventário de ativos de informação; r) inexistência de processo de gestão de riscos de segurança dainformação; s) inexistência de plano anual de capacitação em TI; t) inexistência de avaliação de gestão de TI; u) inexistência de controles que assegurem a elaboração de termo dereferência ou projeto básico a partir de estudos técnicos preliminares; v) irregularidades em contratações de TI; w ) inexistência de controles que promovam regular gestão contratual deTI; x) irregularidades na gestão contratual de TI; y) inexistência de estudos técnicos preliminares. 6. Conforme registrou a equipe de auditoria, as fragilidades constatadastornaram a empresa incapaz de prever a totalidade de suas necessidades deprocessamento e facilitaram a ocorrência de irregularidades em contratos e deprejuízos à empresa, estimados, no presente processo, em mais de R$ 1 milhão. Taisirregularidades e prejuízos, oriundos de pagamentos em duplicidade e da aquisição deserviços desnecessários ou já contratados, serão tratadas em representaçõesespecíficas para cada contrato. 7. Com respeito às demais falhas acima apontadas, a unidade técnicaapresentou uma série de determinações, recomendações e alertas que contribuirãopara o saneamento das ocorrências e para o aperfeiçoamento da governança de TI daAmazonas Energia. 8. Assim, por considerar papel deste Tribunal a constante indução demelhoria da gestão estatal e por estar integralmente de acordo com as medidasaventadas pela Secex/AM - especialmente no tocante ao crucial tema da segurança dainformação, que reputo essencial para adequado funcionamento das organizaçõespúblicas e para defesa da intimidade dos cidadãos que com elas interagem - acolho asmanifestações daquela Secretaria e voto pela adoção da minuta de acórdão que tragoao escrutínio deste colegiado. Sala das Sessões, em 28 de setembro de 2011. AROLDO CEDRAZ RelatorAcórdão VISTOS, relatados e discutidos estes autos de relatório de auditoriarealizada para avaliar controles gerais de tecnologia da informação na AmazonasDistribuidora de Energia S/A. ACORDAM os Ministros do Tribunal de Contas da União, reunidos emsessão do Plenário, ante as razões expostas pelo relator e com base nos arts. 42, §1º,e 43, I, da Lei 8.443/1992, e nos arts. 245, §1º, e 250, inciso III, do Regimento Interno,em:
  • 39. 9.1. recomendar à Amazonas Distribuidora de Energia S/A que, em atençãoao princípio da eficiência consagrado no art. 37 da Constituição Federal: 9.1.1. elabore Plano Estratégico Institucional, considerando o critério deavaliação 2 do Gespública, para dar cumprimento ao Decreto-Lei 200/67, arts. 6º, I, e7º; 9.1.2. elabore e aprove Plano Diretor de Tecnologia da Informação - PDTI,observando diretrizes da Instrução Normativa 04/2008 - SLTI/MPOG, art. 4, III, no quecouber, e as práticas do Cobit 4.1, processo PO1 - Planejamento Estratégico de TI e doModelo de Referência de Plano Diretor de Tecnologia da Informação da SLTI/MPOG,disponível em http://catir.softw arepublico.gov.br/dotlrn/clubs/gestodetisisp/onecommunity?page_num=2; 9.1.3. implante Comitê de Tecnologia da Informação que envolva suasdiversas áreas e se responsabilize por alinhar investimentos de Tecnologia daInformação com objetivos institucionais e por apoiar a priorização de projetos a seremimplantados, considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégicode TI e PO4.3 - Comitê diretor de TI; 9.1.4. elabore estudo técnico de avaliação qualitativa e quantitativa doquadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação epreenchimento de vagas de servidores efetivos devidamente qualificados, objetivandomelhor atendimento das necessidades institucionais, observando as práticas contidasno Cobit 4.1, PO4.12 - Pessoal de TI; 9.1.5. por ocasião do estabelecimento de seu processo de softw are,considere as Normas NBR ISO/IEC 12.207 e 15.504; 9.1.6. implante estrutura formal de gerência de projetos, observando asorientações do Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos e doPMBOK, entre outras boas práticas de mercado; 9.1.7. implemente processo de gestão de incidentes de serviços detecnologia da informação, à semelhança das orientações do Cobit 4.1, processo DS8 -Gerenciar a central de serviços e incidentes e de outras boas práticas de mercado(como a NBR ISO/IEC 20000 e a NBR 27002); 9.1.8. implemente processo de gestão de configuração de serviços detecnologia da informação, à semelhança das orientações do Cobit 4.1, processo DS9 -Gerenciar configuração e de outras boas práticas de mercado (como a NBR ISO/IEC20000); 9.1.9. estabeleça procedimentos formais de gestão de mudanças, deacordo com o item 12.5.1 da NBR ISO/IEC 27.002 e à semelhança das orientações doCobit 4.1, processo AI6 - Gerenciar mudanças e de outras boas práticas de mercado(como a NBR ISO/IEC 20000); 9.1.10. implemente Plano Anual de Capacitação, contemplando ações decapacitação voltadas para gestão de tecnologia da informação, observando as práticascontidas no Cobit 4.1, processos PO7.2 - Competências Pessoais e PO7.4 - Treinamentodo Pessoal, e o previsto no Guia de Orientação para Elaboração do Plano deCapacitação do SIPEC, disponível emhttps://portalsipec.planejamento.gov.br/clientes/sipec/sipec/eventos/iv- encontro-nacional-de-dirigentes-de-recursos-humanos-do-sipec/arquivos/ar quivo.2010-05-07.6860946339/at_download; 9.1.11. estabeleça processo de avaliação da gestão de TI, observandoorientações do Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 Relatóriosgerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controles internos; 9.1.12. na elaboração dos estudos técnicos preliminares, considere oconteúdo da "Análise da Viabilidade da Contratação", descrita como uma das etapas dafase de planejamento da contratação, conforme Instrução Normativa 04/2008-SLTI/MPOG, arts. 9º; 9.1.13. implemente controles que garantam que o Termo de Referência ou
  • 40. Projeto Básico seja elaborado a partir de estudos técnicos preliminares; 9.1.14. implemente controles que promovam a regular gestão contratual eque permitam identificar se todas as obrigações do contratado foram cumpridas antesdo ateste do serviço; 9.2. alertar a Amazonas Distribuidora de Energia S/A quanto às seguintesirregularidades: 9.2.1. não realização de estudos técnicos preliminares anteriormente àelaboração dos termos de referência ou projetos básicos, em confronto com a Lei8.666/1993, art. 6º, IX; 9.2.2. ausência, nos processos licitatórios, dos estudos técnicospreliminares que embasaram a elaboração do Termo de Referência ou Projeto Básico,em dissonância com o art. 6º, IX, da Lei 8.666/1993; 9.2.3. contratação por interposição de mão de obra, descumprindo oenunciado TST 331 e o acórdão TCU 786/2006 - Plenário, item 9.1.1; 9.2.4. não divisão do objeto, estando presentes a viabilidade técnica eeconômica, decorrente do descumprimento do art. 23, § 1º, da Lei 8.666/1993; 9.2.5. pagamento não vinculado a resultados, decorrente dodescumprimento dos princípios da eficiência e da economicidade e do acórdão TCU786/2006 - Plenário, item 9.4.3; 9.2.6. impertinência dos critérios de habilitação referente a solicitação deCRA de licitantes, decorrente do descumprimento da Lei 8.666/1993, inciso I do § 1º doart. 30, e acórdão TCU 116/2006 - Plenário, item 9.2.4; 9.2.7. justificativa inadequada do preço da contratação, decorrente dodescumprimento do art. 3º, III, da Lei 10.520/2002, e do art. 8º, III, Anexo I, doDecreto 3.555/2000 (acórdão TCU 3667/2009 - 2ª Câmara); 9.2.8. falhas na adesão a ata de registro de preços, decorrente dodescumprimento do item 1.6.2 do acórdão TCU 6.511/2009 - 1ª Câmara; 9.2.9. projeto básico não elaborado com base nos estudos técnicospreliminares e não aprovado pela autoridade competente, decorrente dodescumprimento da Lei 8.666/1993, art. 6º, IX, e 7º, § 2º, I; 9.2.10. pagamento de horas-extras não trabalhadas, decorrente dodescumprimento da Lei 4.320/1964, art. 63, § 1º, II; 9.2.11. ausência de preposto, decorrente do descumprimento da Lei8.666/1993, art. 68; 9.2.12. ausência de fiscal, decorrente do descumprimento da Lei8.666/1993, art. 67; 9.2.13. ausência de formalização da verificação dos relatórios de horastrabalhadas emitidos pela contratada; 9.2.14. celebração de termo aditivo sem razoável motivo justificador,decorrente do descumprimento da Lei 8.666/1993, art. 65, caput; 9.2.15. aquisição de serviços desnecessários e já contratados, decorrentedo descumprimento dos princípios da eficiência e economicidade; 9.3. determinar à Amazonas Distribuidora de Energia S/A, com fulcro na Lei8.443/1992, art. 43, I, que: 9.3.1. aperfeiçoe o processo de elaboração do orçamento de TI, necessárioao cumprimento da Lei 12.017/2009 (LDO 2009/2010), art. 9º, II c/c Anexo II, XVIII, oudas que vierem a sucedê-la, de maneira a que solicitações de orçamento de despesasde TI estejam baseadas em ações que se pretende executar, observando as práticascontidas no Cobit 4.1, processo PO5.3 - Orçamentação de TI e no Gespública, critério deavaliação 7.3; 9.3.2. em atenção à Lei 4.320/1964, art. 75, III, implante controle daexecução orçamentária, a fim de obter prontamente informações acerca de gastos e dadisponibilidade de recursos de TI; 9.3.3. em atenção à Lei 8.666/1993, art. 6º, IX, defina processo de
  • 41. software previamente a futuras contratações de serviços de desenvolvimento oumanutenção de softw are, vinculando o contrato com o processo de softw are, sem oqual o objeto não estará precisamente definido; 9.3.4. em atenção à Instrução Normativa GSI/PR 1/2008, arts. 5º, IV, e 7º,c/c a Norma Complementar 3/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie Gestor deSegurança da Informação e Comunicações, observando as práticas da NBR ISO/IEC27.002, item 6.1.3 - Atribuição de responsabilidade para segurança da informação; 9.3.5. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VI, c/c aNorma Complementar 3/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurançada Informação e Comunicações, observando as práticas da NBR ISO/IEC 27.002, item6.1.2 - Coordenação de segurança da informação; 9.3.6. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII,implante Política de Segurança da Informação e Comunicações, observando as práticasda Norma Complementar 03/IN01/DSIC/GSIPR; 9.3.7. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, V, instituaequipe de tratamento e resposta a incidentes em redes computacionais, observando aspráticas da Norma Complementar 05/IN01/DSIC/GSIPR; 9.3.8. em atenção ao Decreto 4.553/2002, arts. 6º, § 2º, II, e 67, criecritérios de classificação de informações, a fim de que possam ter tratamentodiferenciado conforme seu grau de importância, criticidade e sensibilidade, observandoas práticas do item 7.2 da NBR ISO/IEC 27.002; 9.3.9. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII, c/c aNorma Complementar 4/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento deinventário de ativos de informação, de maneira a que todos os ativos de informaçãosejam inventariados e tenham um proprietário responsável, observando as práticas doitem 7.1 da NBR ISO/IEC 27.002; 9.3.10. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII, c/c aNorma Complementar 4/IN01/DSIC/GSIPR, implemente processo de gestão de riscos desegurança da informação; 9.3.11. no prazo de 30 (trinta) dias a contar da ciência deste acórdão,encaminhe plano de ação para implementação de todas as medidas acima arroladas,contendo: 9.3.11.1 para cada determinação, o prazo e o responsável (nome, cargo eCPF) pelo desenvolvimento das ações; 9.3.11.2 para cada recomendação cuja implementação seja consideradaconveniente e oportuna, o prazo e o responsável (nome, cargo e CPF) pelodesenvolvimento das ações; 9.3.11.3 para cada recomendação cuja implementação não sejaconsiderada conveniente ou oportuna, justificativa da decisão; 9.4. encaminhar cópia deste acórdão, do relatório e do voto que ofundamentaram e do relatório de auditoria à Eletrobrás, a fim de que tomeconhecimento e adote providências para subsidiar os trabalhos do Comitê deTecnologia da Informação, Telecomunicação e Automação do Sistema Eletrobrás naaplicação das determinações, recomendações e alertas contidos neste acórdão, no quecouberem, a todas as empresas do SistemaQuorum 13.1. Ministros presentes: Augusto Nardes (na Presidência), ValmirCampelo, Walton Alencar Rodrigues, Aroldo Cedraz (Relator), Raimundo Carreiro, JoséJorge e José Múcio Monteiro. 13.2. Ministro-Substituto convocado: Augusto Sherman Cavalcanti. 13.3. Ministro-Substituto presente: André Luís de CarvalhoPublicação
  • 42. Ata 40/2011 - Plenário Sessão 28/09/2011 Dou vide data do DOU na ATA 40 - Plenário, de 28/09/2011 Referências (HTML) Documento(s):judoc/Acord/20111017/AC_2612_40_11_P.doc Ante rior | Próx im o Coletâ ne aStatus do Documento na Coletânea: c d e f g [Nã o Se leciona do] Volta r à lista de docum entos Em caso de dúvidas, críticas e sugestões, favor entrar em contato: Jurisprudência R equisiçã o a tendida e m 0.552 se gundo(s).