Your SlideShare is downloading. ×
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti

859
views

Published on

Unidade: Ministério do Planejamento, Orçamento e Gestão – MPOG. …

Unidade: Ministério do Planejamento, Orçamento e Gestão – MPOG.
RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE
CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO.
CONSTATAÇÃO DE PRECARIEDADES E OPORTUNIDADES
DE MELHORIA. DETERMINAÇÕES E RECOMENDAÇÕES.

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
859
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 GRUPO I – CLASSE V – Plenário TC 024.956/2010-4 Natureza: Relatório de Auditoria. Unidade: Ministério do Planejamento, Orçamento e Gestão – MPOG. Responsável: João Bernardo de Azevedo Bringel, secretário executivo. Advogado constituído nos autos: não há. Sumário: RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO. CONSTATAÇÃO DE PRECARIEDADES E OPORTUNIDADES DE MELHORIA. DETERMINAÇÕES E RECOMENDAÇÕES. RELATÓRIO A Secretaria de Fiscalização de Tecnologia da Informação – Sefti realizou auditoria noMinistério do Planejamento, Orçamento e Gestão – MPOG com o objetivo de avaliar controles gerais detecnologia da informação – TI e verificar se estão de acordo com a legislação pertinente e com as boaspráticas de governança de TI.2. As ocorrências detectadas foram apresentadas pela equipe de auditoria nos seguintestermos (fls. 122/149): ―2 – ACHADOS DE AUDITORIA 2.1 – Inexistência do plano estratégico institucional 2.1.1 – Situação encontrada: Por meio do item 1 do Anexo I do Ofício 1-849/2010-Sefti, o qual faz referência à pergunta 2.1 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do planejamento estratégico institucional do MP (fl. 19). O Gestor declarou que o processo de planejamento estratégico institucional formal é acompanhado segundo indicadores estabelecidos (Anexo 1, fl. 15v). Como evidências, o Gestor encaminhou: a) plano estratégico da SOF (Anexo 1, fls. 60-72), com planilhas (Anexo 1, arquivos da pasta ‗1.1 e 2.1 – Segue impresso e mídiaSOF‘ no CD, fl. 18) e uma apresentação sobre o citado plano (Anexo 1, fls. 55-59); e b) apresentações versando sobre planejamento estratégico de outras áreas (SLTI, Seges, SPU, Assec, SPI, SEAIN e SRH) (Anexo 1, fls. 23-54; 73-82). Ocorre que os documentos não evidenciam a existência de um planejamento estratégico institucional do Ministério, tendo em vista que: a) todos os documentos encaminhados referem-se especificamente a determinado órgão singular da estrutura do Ministério (SOF, SLTI, Seges, SPU, Assec, SPI, SEAIN, SRH); b) os documentos, a menos da SOF, não versam sobre negócio, missão, visão, avaliação dos ambientes externo e interno do Ministério; não declaram objetivos e iniciativas estratégicas do órgão; e não estabelecem indicadores de desempenho do órgão; c) não foi apresentado um planejamento estratégico institucional do MP que agregue todos os órgãos integrantes da estrutura do Ministério; d) somente há evidências de que a SOF contém documento formal versando sobre planejamento estratégico. As evidências trazidas pelos demais setores são apenas apresentações versando sobre aspectos do planejamento estratégico de cada área; e) a ata de reunião do DSTI, datada de 11/8/2010, registra que ‗...foi destacado que no Ministério do Planejamento não há um Plano Estratégico...‘ (Anexo 1, v. 2, fl. 532); e f) o próprio diagnóstico do PDTI do MP confirma a ‗Inexistência de Planejamento Estratégico Organizacional do Ministério‘ (Anexo 1, fl. 91). 1 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 2. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 2.1.2 – Causas da ocorrência do achado: a) deficiências de controles; b) inexistência ou insuficiência de gestão de riscos. 2.1.3 – Efeitos/Consequências do achado: a) ausência de referencial para verificar o alinhamento estratégico das ações da área deTI com o negócio da instituição (efeito real); b) risco de a instituição não conseguir atuar de forma eficiente no alcance de seusobjetivos finalísticos (efeito potencial). 2.1.4 – Critérios: a) Decreto-Lei 200/1967, art. 6º, inciso I; art. 7º; b) Norma Técnica – MP – Gespública – Instrumento para Avaliação da Gestão Pública– Ciclo 2010 – critério de avaliação 2. 2.1.5 – Evidências: a) resposta do MP ao item 2.1 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 1 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) apresentação sobre ‗Planejamento estratégico da SLTI‘ (Anexo 1 – Principal – fls.23-35); d) apresentação sobre ‗Seges planejamento 2008/2009‘ (Anexo 1 – Principal – fls. 36-41); e) apresentação da Secretaria do Patrimônio da União (o título da apresentação estáilegível) (Anexo 1 – Principal – fls. 42-47); f) apresentação sobre ‗Planejamento estratégico 2008 – Assessoria Econômica – Assec‘(Anexo 1 – Principal – fls. 48-50); g) apresentação sobre ‗Planejamento estratégico da SPI‘ (Anexo 1 – Principal – fls. 51-54); h) apresentação sobre ‗Planejamento estratégico da SOF‘ (Anexo 1 – Principal – fls. 55-59); i) documento intitulado ‗Planejamento Estratégico 2007-2010‘ da SOF (Anexo 1 –Principal – fls. 60-72); j) apresentação sobre ‗Planejamento estratégico‘ da Seain (Anexo 1 – Principal – fls.73-77); k) apresentação sobre ‗Secretaria de Recursos Humanos – Planejamento Estratégico2008-2010‘ (Anexo 1 – Principal – fls. 78-82); l) PDTI-MP, Anexo I da Nota Técnica – DSTI/SLTI/MP 173/2010 (Anexo 1 –Principal – fls. 89-91); m) ata de Reunião – DSTI/SLTI/MP, de 11/8/2010 (Anexo 1 – Volume 2 – fls. 531-532); n) Ofício – SE/MP 684/2010, que encaminhou documentos quanto ao Anexo 2, item 1,do Ofício 7-849/2010-Sefti (Anexo 1 – Volumes 4 e 5 – fls. 713-1004); o) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.1.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP encaminhou, em caráter restrito, por meio doOfício – SE/MP 684/2010 (Anexo 1, v. 4, fl. 713), telas de apresentação de agenda de governo, asquais considera constituírem o planejamento estratégico institucional do Ministério (Anexo 1, v. 4-5, fls. 714-1004). 2 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 3. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o planejamento estratégico do Ministérioé definido em reuniões com as unidades responsáveis, está consubstanciado nos programas eorçamento do Ministério e é acompanhado e avaliado mediante reuniões periódicas com os órgãossetoriais e central de orçamento (Anexo 1, v. 6, fl. 1006-1006v). 2.1.7 – Conclusão da equipe: Os documentos apresentados pelas áreas de TI e pela Secretaria-executiva do MP,incluindo as informações enviadas em caráter restrito acerca da agenda de governo, não constituemum Plano Estratégico Institucional no âmbito de todo o MP, como referência para o alinhamentoestratégico das ações da área de TI com o negócio da instituição. Igualmente, os comentários do Gestor apresentados em resposta às conclusões e propostasdo relatório preliminar não dão conta de que exista um plano estratégico institucional do Ministério. Dessa forma, o MP não adota as boas práticas preconizadas pelo Programa Nacional deGestão Pública e Desburocratização – Gespública –, cujo comitê gestor é instituído no âmbito dopróprio órgão. Cumpre destacar que a ausência de referencial de negócio na organização prejudica aaderência de modelos de governança corporativa de TI no Ministério. Considerando o pedido de tratamento restrito às informações enviadas pelo MP por meiodo Ofício – SE/MP 684/2010, recomenda-se a aposição da chancela de sigilo às peças dos presentesautos em que as referidas informações foram autuadas. 2.1.8 – Propostas de encaminhamento: Apor chancela de sigilo aos Volumes 4 e 5 do Anexo 1 dos presentes autos; Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque, em atenção ao Decreto-Lei 200/1967, art. 6º, I, e art. 7º, elabore um plano estratégicoinstitucional, considerando o previsto no critério de avaliação 2 do Gespública. 2.2 – Falhas no PDTI 2.2.1 – Situação encontrada: Por meio do item 2 do Anexo I do Ofício 1-849/2010-Sefti, o qual faz referência àpergunta 2.3 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do plano diretorde tecnologia da informação do MP (fl. 19). O Gestor declarou que, além de vincular as ações de TIa indicadores e metas de negócio, o PDTI do MP vincula os custos de TI a atividades e projetos deTI e vincula as ações de TI a indicadores e metas de serviços ao cidadão (Anexo 1, fl. 15v). Ocorre que o PDTI publicado pelo MP não estabelece indicadores de desempenho, nãovincula custos de TI a atividades e projetos de TI e não vincula as ações de TI a indicadores e metasde serviços ao cidadão (Anexo 1, fls. 90-91). Convém salientar mais duas falhas, essas baseadas no disposto no art. 4º, inciso III, da IN –SLTI/MP 4/2008, expedida pelo próprio Ministério (Anexo 1, fls. 90-91): a) o PDTI não alinha necessidades de informação à estratégia do órgão; b) o PDTI não dispõe de um plano de investimentos. 2.2.2 – Causas da ocorrência do achado: a) deficiências de controles; b) inexistência ou insuficiência de gestão de riscos. 2.2.3 – Efeitos/Consequências do achado: a) ações de TI não alinhadas ao negócio (efeito potencial). b) dificuldade de a instituição atuar de forma eficiente no alcance de seus objetivosfinalísticos (efeito potencial). 2.2.4 – Critérios: a) Instrução Normativa – SLTI/MP 4/2008, art. 4º, inciso III; b) Norma Técnica – ITGI – Cobit 4.1, PO1 – Planejamento Estratégico de TI. 3 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 4. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 2.2.5 – Evidências: a) resposta do MP ao item 2.2 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 2 do Anexo I do Ofício 1-849/2010-Sefti.(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) PDTI-MP, Anexo I da Nota Técnica – DSTI/SLTI/MP 173/2010 (Anexo 1 –Principal – fls. 89-91); d) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); e) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.2.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício-SE/MP 678/2010 – SE/MP 678/2010, que está em elaboração o PDTI para 2011, que apresentaráindicadores de desempenho para as equipes definidas no novo organograma proposto para a TI doMinistério (Anexo 1, v. 3, fl. 684). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o PDTI está sendo revisado visandocontemplar já no exercício de 2011 as recomendações da proposta sugerida no relatório preliminar(Anexo 1, v. 6, fl. 1006v). 2.2.7 – Conclusão da equipe: Conquanto o MP tenha apresentado PDTI aprovado e publicado, o referido plano contémfalhas: não estabelece indicadores de desempenho, não vincula custos de TI a atividades e projetosde TI e não apresenta indicadores e metas de serviços ao cidadão. Além disso, em desatendimentoao disposto no inciso III do art. 4º da Instrução Normativa – SLTI/MP 4/2008, expedida peloMinistério, o PDTI do MP não dispõe de plano de investimentos e não alinha necessidades deinformação à estratégia do órgão, sendo que para essa falha, a causa é a inexistência deplanejamento estratégico institucional. O processo de revisão do PDTI do MP para 2011, citado pelo Gestor, ainda estava emandamento após a ação de controle, e, portanto, seus resultados não puderam ser comprovados pelaequipe no presente trabalho, o que poderá ser realizado em futuro monitoramento das deliberaçõesdo acórdão que vier a ser proferido. 2.2.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque, em atenção às disposições contidas no Decreto-Lei 200/1967, art. 6º, I, e na InstruçãoNormativa – SLTI/MP 4/2010, art. 4º, aperfeiçoe o processo de planejamento estratégico de TI,observando as diretrizes constantes da Estratégia Geral de Tecnologia da Informação (EGTI) emvigor, e à semelhança das orientações previstas no Cobit 4.1, processo PO1 – PlanejamentoEstratégico de TI. 2.3 – Falhas relativas ao comitê de TI 2.3.1 – Situação encontrada: Por meio do item 2.1 do Anexo I do Ofício 1-849/2010-Sefti, o qual faz referência àpergunta 1.1 do Questionário Perfil GovTI-2010, solicitaram-se informações acerca da organizaçãoe dos relacionamentos da TI (fl. 19). Como resposta, o Gestor declarou que a instituição designouformalmente um comitê de TI para auxiliá-la nas decisões relativas à gestão e ao uso corporativo daTI (Anexo 1, fl. 15). 4 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 5. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 Da análise das respostas (Portaria SE/MP 276/2009 e ata da 23ª reunião do comitê de TI doMP), verifica-se que o órgão não atribuiu ao comitê de TI a responsabilidade de acompanhar oestado dos projetos e resolver conflitos por recursos, nem a de monitorar as melhorias implantadas eos níveis de serviço acordados entre as áreas de TI e as áreas usuárias do MP (Anexo 1, arquivo‗3.1Portaria SE 276 – publicada no BPS de 21-05-2009.pdf‘ no CD, fl. 18). 2.3.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.3.3 – Efeitos/Consequências do achado: a) ausência de resolução de conflitos por recursos (efeito real); b) ausência de acompanhamento de status dos projetos (efeito potencial); c) ausência de monitoramento das melhorias implantadas (efeito potencial); d) ausência de monitoramento dos níveis de serviço (efeito real). 2.3.4 – Critérios: a) Instrução Normativa – SLTI/MP 4/2008, art. 4º, inciso IV; b) Norma Técnica – ITGI – Cobit 4.1, PO4.3 – Comitê diretor de TI; c) Norma Técnica – ITGI – Cobit 4.1, PO4.2 – Comitê estratégico de TI. 2.3.5 – Evidências: a) resposta do MP ao item 1.1 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 2.1 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); d) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010); e) Ofício – SLTI/MP 1.113/2011, que encaminhou documentos em complementação aoOfício – SE/MP 152/2011 (Anexo 1 – Volume 6 – fls. 1011-1054). 2.3.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010, que a partir do segundo semestre de 2010 reformulou a composição darepresentatividade do comitê com o propósito de aprimorar o acompanhamento de projetos de TI eo processo decisório de priorização de novas ações e investimentos em TI (Anexo 1, v. 3, fl. 684). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que as atas do comitê de TI comprovam oacompanhamento de projetos e monitoramento de melhorias implantadas (Anexo 1, v. 6, fl. 1006v),apresentando evidências (Anexo 1, v. 6, fls. 1032; 1035; 1037). 2.3.7 – Conclusão da equipe: Não obstante o MP dispor de comitê de TI formalizado, constatou-se que o rol de suasatribuições bem como sua atuação não incluem a resolução de conflitos por recursos e omonitoramento dos níveis de serviço de TI. Além disso, apesar de o comitê de TI do MP acompanhar o estado de projetos e monitorarmelhorias implantadas, tais atribuições não foram previstas na formalização do comitê, o que gerarisco de descontinuidade desse acompanhamento. 2.3.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque aperfeiçoe a atuação do comitê de tecnologia da informação, à semelhança das diretrizes do 5 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 6. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4Cobit 4.1, PO4.2 – Comitê estratégico de TI e PO4.3 – Comitê diretor de TI, prevendo as seguintesatribuições para o comitê de TI: a) acompanhar o estado dos projetos; b) resolver conflitos porrecursos; e c) monitorar os níveis de serviço e as melhorias implantadas. 2.4 – Inexistência de avaliação do quadro de pessoal de TI 2.4.1 – Situação encontrada: Por meio do item 2.7 do Anexo I do Ofício 1-849/2010-Sefti, solicitaram-se informaçõesacerca da avaliação do quadro de pessoal de TI do MP (fl. 20). Como resposta, o Gestor encaminhou evidências de algumas áreas de TI do Ministério –Seges, SPU, SOF e DSTI – com as seguintes observações: a) o setor de TI da Seges afirma que não tem informações suficientes para embasar umaresposta neste sentido (Anexo 1, arquivo ‗3.7SEGES – resposta tcu – 3.7.odt‘ no CD, fl. 18); b) a Coordenação-Geral de Tecnologia da Informação da SPU afirma que a estruturaalocada não é suficiente para o desempenho das necessidades da Secretaria, e aduz que baseou aresposta em estudo contido no plano diretor de tecnologia da informação da SPU, elaborado em2008, citando trecho desse PDTI quanto ao assunto, sem, contudo, apresentar cópia do citadodocumento (Anexo 1, arquivo ‗3.7SPU – 3.7.odt‘ no CD, fl. 18); c) a Coordenação-Geral de Tecnologia da Informação da SOF aduz que não foiconsolidado estudo que identificasse a demanda por profissionais na área de TI para a Secretaria.Afirma também que foram abertas vagas específicas para a área de TI em 2009, mas que aindapersiste a demanda por mais profissionais dessa área (Anexo 1, arquivo ‗3.7SOF – Item 3.7SOF –3.7.odt‘ no CD, fl. 18); e d) o DSTI afirmou que existe um projeto de governança de TI em fase final deelaboração, o qual proporá nova estrutura organizacional do departamento, identificando ascarências e definindo qualificação (Anexo 1, arquivo ‗3.7Item 3.7.odt‘ no CD, fl. 18). Durante a execução dos trabalhos, o Gestor encaminhou, como resposta complementar, umrelatório sobre análise quantitativa de pessoal do DSTI (Anexo 1, v. 3, fl. 631), o qual sugere comoquantitativo ideal de pessoal para o DSTI um número de servidores superior ao informado naresposta do MP ao item 2.4 do Anexo I do Ofício 1-849/2010-Sefti (Anexo 1, fl. 18). Ocorre que essa análise quantitativa de pessoal de TI está restrita ao escopo do DSTI e nãoao do Ministério como um todo (Anexo 1, v. 3, fl. 631). 2.4.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.4.3 – Efeitos/Consequências do achado: a) dependência do serviço de empresas terceirizadas (efeito potencial); b) recursos humanos de TI insuficientes para atender às necessidades do negócio (efeitopotencial); c) falta de competências apropriadas na área de TI (efeito potencial). 2.4.4 – Critérios: a) Decreto 5.707/2006, art. 1º, inciso III; b) Norma Técnica – ITGI – Cobit 4.1, PO4.12 – Pessoal de TI. 2.4.5 – Evidências: a) resposta do MP ao questionamento 2.7 do Anexo I ao Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); b) análise quantitativa de pessoal de TI alinhada à proposta do novo organograma doDSTI (Anexo 1 – Volume 3 – fls. 626-632); c) relatório executivo de governança de TI – Estrutura Organizacional DSTI (Anexo 1 –Volume 3 – fls. 603-625); d) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); 6 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 7. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 e) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.4.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP, por meio do Anexo 2 do Ofício – SE/MP678/2010, mencionou novamente a análise quantitativa de pessoal de TI realizada para o DSTI,afirmando que cerca de 50% dos 115 analistas de TI que tiveram sua chamada autorizada nosegundo semestre de 2010 foram empossados no MP a partir da citada avaliação. Manifestoutambém que o projeto de governança de TI com a UnB previu a definição de atribuições das novasequipes do DSTI, o que embasou a alocação dos profissionais admitidos nas referidas equipes de TI(Anexo 1, v. 3, fl. 684). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o MP envidará esforços para realizaravaliação do quadro de pessoal de TI, nos moldes da realizada no DSTI, com abrangência para todoo Ministério (Anexo 1, v. 6, fl. 1006v). 2.4.7 – Conclusão da equipe: Não obstante as declarações da SPU e da SOF indiquem a necessidade de servidores paraas referidas áreas, bem como o fato de a realização de estudo quantitativo do quadro de pessoal parao DSTI ter embasado a alocação dos profissionais das equipes de TI do DSTI, não foi apresentadaevidência de realização de avaliação do quadro de pessoal de TI no âmbito de todo o Ministério quejustifique o quadro de pessoal adequado para toda a área de TI do MP. Por oportuno, os comentários do Gestor no sentido de que o MP envidará esforços pararealizar avaliação do quadro de pessoal de TI no âmbito de todo o Ministério confirmam anecessidade de realização de tal estudo. 2.4.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque, em atenção ao Decreto 5.707/2006, art. 1º, III, elabore estudo técnico de avaliação qualitativa equantitativa do quadro da área de TI no âmbito de todo o Ministério, com vistas a fundamentarfuturos pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamentequalificados, objetivando o melhor atendimento das necessidades institucionais, à semelhança daspráticas contidas no Cobit 4.1, PO4.12 – Pessoal de TI. 2.5 – Inexistência de processo de software 2.5.1 – Situação encontrada: Por meio do item 4 do Anexo I do Ofício1-849/2010-Sefti (fl. 20), o qual faz menção àpergunta 7.3 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do processo desoftware que apoie a administração da qualidade dos produtos de software. Como resposta, o Gestor declarou no questionário que há um processo informal repetidovárias vezes e que implementa conceitos de qualidade de processo (Anexo 1, fl. 16v). Dentre asevidências encaminhadas pelo MP, há uma proposta de metodologia de desenvolvimento desistemas (MDS), elaborada por grupo de trabalho formado por membros de alguns setores do órgão:SLTI, Dest, SOF, SPI, SPOA/CGTI (Anexo 1, ‗5.1Proposta de MDS para Comitê de TI do MPv15.doc‘ no CD, fl. 18) e um registro em ata de reunião do comitê estratégico de TI, de 23/9/2009,afirmando que ‗A MDS foi aprovada pelos participantes, devendo ser formalizada em Resolução doComitê Estratégico de TI...‘ (Anexo 1, v.3, fl. 634). Cumpre destacar que não foram encaminhadas pelo MP evidências da publicação dareferida MDS. 7 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 8. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 Da análise da MDS, constatou-se que não contempla todos os elementos essenciais de umprocesso de software, haja vista que: a) não descreve os papéis do cliente e do usuário; b) não prevê artefatos para aceite de requisitos, nem registro de histórico de mudançasde requisitos, e nem para acompanhamento de projetos; c) não apresenta os modelos dos artefatos da metodologia, limitando-se a indicar que osmodelos de artefatos constam de documento complementar, e os citados artefatos não constam dadocumentação enviada pelo Gestor. Impende citar que não foram encaminhadas evidências de que a MDS esteja sendoutilizada, visto que o Gestor encaminhou artefatos que não se referem ao processo, quais sejam:especificações de regras de negócio, especificações de caso de uso e plano de testes utilizados pelaSOF no projeto SIOP (Anexo 1, arquivos da pasta ‗5.1SOF‘ no CD, fl. 18) e especificações deregras de negócio, evidência de homologação e documentos contendo telas de sistema e resultadode homologação utilizados pela SPI em um projeto de software no âmbito do Contrato 45/2005(Anexo 1, arquivos da pasta ‗5.1SPI – 5.1‘ no CD, fl. 18). Analisando-se esses artefatos à luz das fases do ciclo de desenvolvimento de softwareprevistas na MDS, constatou-se que não contemplam o previsto nessa metodologia, visto que, auma, no projeto da SOF foram apresentados somente artefatos que poderiam ser usados na análisefuncional e apenas três deles, enquanto a MDS elenca pelo menos oito artefatos para essa fase(documento de visão, diagrama de casos de uso, especificação de casos de uso, requisitos desoftware, regras de negócio, plano de testes, glossário, documento de mensuração) (fl. 11 doarquivo ‗5.1Proposta de MDS para Comitê de TI do MP v15.doc‘ no CD, fl. 18), a duas, noprojeto da SPI foram encaminhados apenas um artefato que poderia ser considerado na fase deanálise funcional e um na fase de implementação, ao passo que a MDS elenca inúmeros outrosartefatos nas referidas fases do ciclo de desenvolvimento (fls. 11; 13, do arquivo ‗5.1Proposta deMDS para Comitê de TI do MP v15.doc‘ no CD, fl. 18). Além disso, as evidências revelam que nãoé seguido um modelo único pelo Ministério, uma vez que o modelo de artefato para especificaçãode regras de negócio usado pela SOF é distinto do adotado pela SPI. Por fim, cumpre destacar que a MDS não é mencionada no quarto e último termo aditivodo Contrato 45/2005 (Anexo 2, v. 8, fls. 1739-1742), o qual abrange a maior parte dos serviços dedesenvolvimento/manutenção de software prestados ao MP, e foi celebrado posteriormente àaprovação da multicitada MDS, e nem no Contrato 74/2010 (Anexo 1, v. 3, fls. 655-676), quesucedeu o Contrato 45/2005. 2.5.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.5.3 – Efeitos/Consequências do achado: a) impropriedade nos contratos 45/2005 e 74/2010, decorrente de que parte do objeto(desenvolvimento e manutenção de software) não está suficientemente definido, pois o processo desoftware é que o definiria (efeito real); b) inexistência de parâmetros de aferição de qualidade para contratação dedesenvolvimento de sistemas (efeito real). 2.5.4 – Critérios: a) Instrução Normativa – SLTI/MP 4/2008, art. 12, inciso II; b) Lei 8.666/1993, art. 6º, inciso IX; c) Norma Técnica – ITGI – Cobit 4.1, PO8.3 – Padrões de desenvolvimento e deaquisições; d) Norma Técnica – NBR ISO/IEC – 12.207 e 15.504. 2.5.5 – Evidências: a) resposta do MP ao item 7.3 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); 8 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 9. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 b) resposta do MP ao questionamento 4 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) ata da 16ª reunião do comitê estratégico de TI do MP, de XX/XX/2009 (Anexo 1 –Volume 3 – fls. 633-635); d) Quarto termo aditivo ao Contrato 45/2005 (Anexo 2 – Volume 8 – fls. 1739-1742); e) Contrato 47/2010 (Anexo 1, v. 3, fls. 655-676); f) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); g) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.5.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP, por meio do Anexo 2 do Ofício – SE/MP678/2010, mencionou novamente a metodologia de desenvolvimento de sistemas (Anexo 1, v. 3, fl.684), aprovada em reunião do comitê estratégico de TI do Ministério, de 23/9/2009 (Anexo 1, v. 3,fl. 634), já analisada na seção situação encontrada. Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que estaria em andamento projeto no sentidode garantir a aplicabilidade e a formalização do uso da MDS, com previsão de implantação emdezembro de 2011, e que desta forma, entenderia que existe processo de software (Anexo 1, v. 6, fl.1006v). 2.5.7 – Conclusão da equipe: A despeito das manifestações do Gestor, a MDS aprovada em ata de reunião do comitêestratégico de TI do MP não contém os elementos essenciais de um processo de software, bemcomo não foram apresentadas evidências de que esteja sendo utilizada no órgão, provocandodeficiências nos processos de contratação e aferição da qualidade dos artefatos produzidos nessascontratações. Ademais, o comentário do Gestor no sentido do andamento de projeto para garantir aaplicabilidade e a formalização do uso da MDS a ser implantado até dezembro de 2011, confirmaque a metodologia ainda não é aplicada e não tem seu uso formalizado no Ministério. Salienta-se que a iniciativa se materializou após a ação de controle e, portanto, seusresultados não puderam ser comprovados pela equipe no presente trabalho, o que poderá serrealizado em futuro monitoramento das deliberações do acórdão que vier a ser proferido. 2.5.8 – Propostas de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-executiva do Ministériodo Planejamento, Orçamento e Gestão que, em atenção ao disposto na Lei 8.666/1993, art. 6º, IX, eàs disposições contidas na Instrução Normativa – SLTI/MP 4/2010, art. 13, II, defina um processode software previamente às futuras contratações de serviços de desenvolvimento ou manutenção desoftware, vinculando o contrato com o processo de software, sem o qual o objeto não estaráprecisamente definido. Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque, quando do estabelecimento de seu processo de software, considere as Normas NBR ISO/IEC12.207 e 15.504. 2.6 – Inexistência de processo de gerenciamento de projetos 2.6.1 – Situação encontrada: Por meio do item 5 do Anexo I do Ofício 1-849/2010-Sefti (fls. 20/21), o qual faz mençãoà pergunta 7.4 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do processo de 9 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 10. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4gerenciamento de projetos. Como resposta, o Gestor declarou no questionário que praticagerenciamento de projetos, mas não adota qualquer padrão interno ou de mercado (Anexo 1, fl. 16v)e encaminhou alguns artefatos que evidenciariam algumas práticas de gerenciamento de projetosimplementadas por setores do órgão (SOF, SLTI, SPI e SPU) (Anexo 1, arquivos da pasta ‗6.1‘ noCD, fl. 18). Além disso, o próprio diagnóstico do PDTI do Ministério registra ‗Gerenciamento deprocessos e de projetos de TI feitos de maneira ad hoc‘ e aponta como solução a ‗Sistematização deuma metodologia de gestão de projetos‘ (Anexo 1, fl. 91). 2.6.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.6.3 – Efeito/Consequência do achado: a) elevação do risco de insucesso de projetos relevantes (efeito potencial). 2.6.4 – Critério: a) Norma Técnica – ITGI – Cobit 4.1, PO10.2 – Estrutura de gerência de projetos. 2.6.5 – Evidências: a) resposta do MP ao item 7.4 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 5 do Anexo I do Ofício 1-849/2010-Sefti. (Anexo1 – Principal – fl. 18); c) PDTI-MP, Anexo I da Nota Técnica – DSTI/SLTI/MP 173/2010 (Anexo 1 –Principal – fls. 89-91); d) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); e) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.6.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010, que na proposta de novo modelo organizacional da TI do Ministério foirecomendada a criação do escritório de projetos de TI, a qual foi viabilizada com a posse dos novosanalistas de TI, estando o escritório em funcionamento desde novembro de 2010. O representantedo auditado afirmou ainda que a descrição dos processos de trabalho do escritório e o início do usode ferramenta de gestão de portfólio de projetos estavam em fase final de implantação à época daconclusão do relatório preliminar do presente trabalho (Anexo 1, v. 3, fl. 684). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o escritório de projetos do DSTI, nãoformalizado no Regimento Interno do MP à época dos trabalhos de campo, estaria implantando,desde novembro de 2010, processo de gerenciamento de projetos, acompanhando todos os projetosde TI do Ministério (Anexo 1, v. 6, fl. 1006v). 2.6.7 – Conclusão da equipe: O MP não possui um processo de gerenciamento de projetos, o que é confirmado nodiagnóstico constante do PDTI do próprio órgão e nos esclarecimentos acima, sob risco decomprometimento da gestão de cada projeto corporativo do órgão. A partir da manifestação do Gestor sobre o relatório preliminar, verifica-se que o MP jávem adotando providências no sentido de implantar um processo de gerenciamento de projetos deTI, o que está em consonância com a proposta sugerida no relatório preliminar. 10 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 11. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 A despeito disso, a iniciativa manifestada pelo Gestor iniciou-se posteriormente ao períododa ação de controle e não pôde ser comprovada pela equipe no presente trabalho, o que poderá serrealizado em futuro monitoramento das deliberações do acórdão que vier a ser proferido. 2.6.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque implante uma estrutura formal de gerência de projetos, à semelhança das orientações contidasno Cobit 4.1, processo PO10.2 – Estruturas de Gerência de Projetos e no PMBOK, entre outras boaspráticas de mercado. 2.7 – Inexistência do processo de gestão de mudanças 2.7.1 – Situação encontrada: Por meio dos itens 6.1 e 6.2 do Anexo I do Ofício 1-849/2010-Sefti (fl. 21) e da pergunta7.6 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do processo de gestão demudanças de TI estabelecido. Como resposta, o Gestor declarou no questionário que a instituiçãonão implementou corporativamente processo de gestão de mudanças (Anexo 1, fl. 17) e nãoencaminhou evidências correspondentes ao referido processo (Anexo 1, fl. 18). 2.7.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.7.3 – Efeitos/Consequências do achado: a) não avaliação do impacto de eventuais mudanças (efeito potencial); b) incidentes de segurança no ambiente de TI do Ministério (efeito potencial). 2.7.4 – Critérios: a) Norma Técnica – ITGI – Cobit 4.1, AI6 – Gerenciar mudanças; b) Norma Técnica – NBR – ISO/IEC 27002, 12.5.1 – Procedimentos para controle demudanças; c) Norma Técnica – NBR – ISO/IEC 20000, item 9.2 – Gerenciamento de mudanças; d) Norma Técnica – OGC – ITIL versão 2 – Livro Suporte a Serviços. 2.7.5 – Evidências: a) resposta do MP ao item 7.6 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 6.1 do Anexo I do Ofício 1-849/2010-Sefti.(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); d) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.7.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010- SE/MP 678/2010, que o modelo de contratação com o Serpro define que osserviços e processos de gestão de mudanças sejam conduzidos pela contratada, tendo em vista queprodução, manutenção e evolução dos serviços estratégicos de TI são integralmente prestados peloSerpro (Anexo 1, v. 3, fl. 684v). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o processo de gestão de demandas aoSerpro, que é controlado pelas unidades do MP, garante que seu atendimento não interrompa osnegócios, e que o processo de gestão de mudanças na infraestrutura de TI do MP é conduzido peloDSTI (Anexo 1, v. 6, fl. 1006v). 11 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 12. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 2.7.7 – Conclusão da equipe: Em relação à manifestação do Gestor encaminhada por meio do Ofício – SE/MP 678/2010,ressalta-se que ainda que os serviços sejam contratados com o Serpro, o controle e aresponsabilidade pelos processos de gestão e governança de TI são dos gestores do MP. Especificamente em relação ao processo de gestão de demandas citado pelo Gestor,destaca-se que a existência de processo estanque de gestão de demandas a uma das prestadoras deserviços de TI, qual seja, o Serpro, difere do processo de gestão de demandas a outra prestadora, porexemplo, a empresa Calandra Soluções S.A., conforme ordens de serviço utilizadas no Contrato58/2009 (Anexo 1, v. 3, fl. 600), demonstrando que não há um processo corporativo de gestão dasmudanças relacionadas às demandas de serviços de TI. Acrescenta-se que a infraestrutura constitui apenas um dos objetos (aplicações,procedimentos, processos, parâmetros de sistema, parâmetros de serviço e plataformas subjacentes)que devem ter suas mudanças geridas em um processo de gestão de mudanças. Além disso, o MPnão apresentou em sua manifestação evidência de qualquer dos elementos essenciais de umprocesso de gestão de mudanças (descrição dos papéis dos profissionais envolvidos, bem comoatividades e artefatos previstos) no tocante à infraestrutura de TI. Portanto, como declarado inicialmente pelo Gestor, o MP não possui processo de gestão demudanças. 2.7.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto no item12.5.1 da NBR ISO/IEC 27002, à semelhança das orientações contidas no Cobit 4.1, processo AI6 –Gerenciar mudanças, e em outras boas práticas de mercado (tais como ITIL e NBR ISO/IEC20000). 2.8 – Inexistência do processo de gestão de incidentes 2.8.1 – Situação encontrada: Por meio dos itens 6.1 e 6.3 do Anexo I do Ofício 1-849/2010-Sefti e da pergunta 7.6 doQuestionário PerfilGovTI-2010 (fl. 21), solicitaram-se informações acerca do processo de gestão deincidentes de TI estabelecido. Como resposta, o Gestor declarou no questionário que a instituiçãonão implementou corporativamente processo de gestão de incidentes (Anexo 1, fl. 17) e nãoencaminhou evidências correspondentes ao referido processo (Anexo 1, fl. 18). 2.8.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.8.3 – Efeitos/Consequências do achado: a) ocorrência de incidentes sem o devido gerenciamento (efeito potencial); b) paralisação dos serviços de TI (efeito potencial); c) paralisação das atividades da organização (efeito potencial). 2.8.4 – Critérios: a) Norma Técnica – ITGI – Cobit 4.1, DS8 – Gerenciar a Central de Serviço e osIncidentes; b) Norma Técnica – NBR – ISO/IEC 27002, item 13 – Gestão de incidentes desegurança da informação; c) Norma Técnica – NBR – ISO/IEC 20000, item 8.2 – Gerenciamento de incidentes; d) Norma Técnica – OGC – ITIL versão 2 – Livro Suporte a Serviços. 2.8.5 – Evidências: a) resposta do MP ao item 7.6 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 6.1 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); 12 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 13. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 d) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.8.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010- SE/MP 678/2010, que o modelo de contratação com o Serpro define que osserviços e processos de gestão de incidentes sejam conduzidos pela contratada, tendo em vista queprodução, manutenção e evolução dos serviços estratégicos de TI são integralmente prestados peloSerpro (Anexo 1, v.3 , fl. 684v). Por meio da citada comunicação, o Gestor da Secretaria-executiva do MP também afirmouque o MP cumpre a Instrução Normativa – GSI/PR 1/2008 no que se refere à criação da equipe detratamento e resposta a incidentes em redes computacionais, e atua em parceria com o Serproconforme processo de trabalho definido (Anexo 1, v. 6, fl. 1013). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que existe equipe setorial na SLTI comatribuição de atender acionamentos relacionados a incidentes nos sistemas setoriais do MP e que assecretarias gestoras dos sistemas estruturantes têm o mesmo papel quanto a incidentes nessessistemas. Acrescentou que a equipe setorial do DSTI contrata suporte junto ao Serpro paraatendimento de incidentes de primeiro e segundo níveis (Anexo 1, v. 6, fls. 1006v-1007). 2.8.7 – Conclusão da equipe: No que tange à manifestação do Gestor encaminhada por meio do Ofício – SE/MP678/2010, convém ressaltar que os incidentes tratados por equipe de tratamento e resposta aincidentes em redes computacionais são incidentes de segurança da informação, e não incidentessob a ótica de gestão de serviços de TI, que trata de uma gama mais ampla de incidentes (vide NBR20.000). Portanto, como declarado inicialmente pelo Gestor, o MP não possui processo de gestão deincidentes no contexto da gestão de serviços de TI. Novamente registra-se que ainda que os serviços sejam contratados com o Serpro, ocontrole e a responsabilidade pelos processos de gestão e governança de TI são dos gestores do MP. A existência de equipes para atender acionamentos de incidentes em sistemas, nãoconstitui, por si só, um processo de gestão de incidentes no contexto da gestão de serviços de TI, oqual demandaria a descrição dos papéis dos profissionais envolvidos, das atividades e dos artefatosprevistos, tal como a lista de incidentes, que deve conter pelo menos a classificação dos incidentes,datas de abertura e de fechamento do incidente e histórico das ações realizadas em virtude doincidente. 2.8.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque implemente processo de gestão de incidentes de serviços de tecnologia da informação, àsemelhança das orientações contidas no Cobit 4.1, processo DS8 – Gerenciar a central de serviços eincidentes, e de outras boas práticas de mercado (tais como NBR ISO/IEC 20000, ITIL e NBR27002). 2.9 – Inexistência do processo de gestão de configuração 2.9.1 – Situação encontrada: Por meio dos itens 6.1 e 6.4 do Anexo I do Ofício 1-849/2010-Sefti (fl. 21) e da pergunta7.6 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do processo de gestão deconfiguração de TI estabelecido. Como resposta, o Gestor declarou no questionário que a instituição 13 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 14. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4não implementou corporativamente processo de gestão de configuração (Anexo 1, fl. 17) e nãoencaminhou evidências correspondentes ao referido processo (Anexo 1, fl. 18). Além disso, o próprio diagnóstico do PDTI do Ministério registra a ‗Ausência desistemática de gestão dos itens de configuração‘ e aponta como solução a ‗Gestão sistêmica dositens de configuração de TI‘ (Anexo 1, fl. 91). 2.9.2 – Causas da ocorrência do achado: a) deficiências de controles. 2.9.3 – Efeito/Consequência do achado: a) desatualização ou deficiência da configuração de TI (efeito potencial); b) incidentes de segurança no ambiente de TI do Ministério (efeito potencial). 2.9.4 – Critérios: a) Norma Técnica – ITGI – Cobit 4.1, DS9 – Gerenciar configurações; b) Norma Técnica – NBR – ISO/IEC 20000, item 9.1 – Gerenciamento deconfiguração; c) Norma Técnica – OGC – ITIL versão 2 – Livro Suporte a Serviços. 2.9.5 – Evidências: a) resposta do MP ao item 7.6 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 6.1 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) PDTI-MP, Anexo I da Nota Técnica – DSTI/SLTI/MP 173/2010 (Anexo 1 –Principal – fls. 89-91); d) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); e) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.9.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o MP manifestou, por meio do Ofício – SE/MP 678/2010- SE/MP 678/2010, que omodelo de contratação com o Serpro define que os serviços e processos de gestão de configuraçãosejam conduzidos pela contratada, tendo em vista que produção, manutenção e evolução dosserviços estratégicos de TI são integralmente prestadas pelo Serpro (Anexo 1, v. 3, fl. 684v). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a definição da configuração dainfraestrutura de TI do MP é gerida pelo DSTI com o apoio do Serpro no âmbito do Contrato74/2010 (Anexo 1, v. 6, fl. 1007). 2.9.7 – Conclusão da equipe: Em relação à manifestação do Gestor encaminhada por meio do Ofício SE/MP 678/2010,novamente cabe o comentário sobre impossibilidade de transferência aos contratados do controle eresponsabilidade dos processos de gestão e governança de TI. No que concerne à manifestação do Gestor sobre o relatório preliminar, a configuração dainfraestrutura de TI que seria gerida pelo DSTI se refere ao âmbito dos itens de configuração dosserviços prestados em um contrato específico, celebrado posteriormente ao período da ação decontrole e, isoladamente, não constitui um processo corporativo de gestão de configuração. Demais disso, o Gestor não afirmou existir um processo corporativo de gestão deconfiguração, nem apresentou evidências da existência de qualquer dos elementos essenciais desse 14 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 15. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4processo no MP (descrição dos papéis envolvidos, das atividades e dos artefatos previstos, taiscomo base de dados de configuração e ferramenta de gestão de configuração). Dessarte, como declarado inicialmente pelo Gestor, o MP não possui processo de gestãode configuração no contexto da gestão de serviços de TI. 2.9.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque implemente processo de gestão de configuração de serviços de tecnologia da informação, àsemelhança das orientações contidas no Cobit 4.1, processo DS9 – Gerenciar configuração e emoutras boas práticas de mercado (como ITIL e NBR ISO/IEC 20000). 2.10 – Inexistência de gestor de segurança da informação e comunicações 2.10.1 – Situação encontrada: Por meio do item 7.2 do Anexo I do Ofício 1-849/2010-Sefti, solicitaram-se informaçõesacerca da designação formal e evidências de atuação do gestor de segurança da informação (fl. 22).Da documentação apresentada, a ata da 2ª reunião do comitê de segurança da informação ecomunicações (CSIC) do órgão menciona que ‗Com a publicação da primeira versão da Posic, serátambém atribuído o cargo de gestor de segurança...‘ (Anexo 1, fl. 1 do arquivo ‗8.2 e8.3Oficio452ªnexoI-item8.3CSIC-2ªReuniao.pdf‘ no CD, fl. 18). No entanto, não foram apresentadas evidências de designação formal nem atuação dogestor de segurança de informação e comunicações. 2.10.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.10.3 – Efeito/Consequência do achado: a) não otimização das ações de segurança da informação (efeito potencial). 2.10.4 – Critérios: a) Instrução Normativa 1/2008 do Gabinete de Segurança Institucional – Presidência daRepública, art. 5º, inciso IV; art. 7º; b) Norma Técnica – Gabinete de Segurança Institucional – Presidência da República –Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2; c) Norma Técnica – NBR – ISO/IEC 27002, 6.1.3 – Atribuição de responsabilidadepara segurança da informação. 2.10.5 – Evidências: a) resposta do MP ao questionamento 7.2 do Anexo I do Ofício 1-849/2010-Sefti(Anexo 1 – Principal – fl. 18); b) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); c) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.10.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do OfícioSE/MP 678/2010- SE/MP 678/2010, de 20/12/2010, que estava prevista a publicação da designaçãodo diretor do DSTI para a função de gestor de segurança da informação e comunicações (Anexo 1,v. 3 , fl. 684v). Posteriormente, em 4/3/2011, um dos gestores do MP encaminhou mensagem eletrônica(Anexo 1, v. 3, fl. 711) informando que a impropriedade havia sido sanada, por meio da publicaçãoda Portaria SE/MP 56/2011, de 23/2/2011, que designou o diretor do DSTI/SLTI/MP como gestorde segurança da informação e comunicações no âmbito do MP (Anexo 1, v. 3, fl. 712). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio da 15 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 16. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4Nota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), ratificou que a impropriedade havia sido sanada (Anexo1, v. 6, fl. 1007). 2.10.7 – Conclusão da equipe: A medida promovida pelo Gestor após a ação de controle está em conformidade com odisposto na Instrução Normativa GSI/PR 1/2008, art. 5º, IV, e art. 7º, c/c Norma Complementar3/IN01/DSIC/GSIPR, item 5.3.7.2, e observa as práticas contidas na NBR ISO/IEC 27.002, item6.1.3 – Atribuição de responsabilidade para segurança da informação, de modo que deixa-se depropor comando à Secretaria-executiva do MP quanto a essa questão no presente relatório. Tendo vista que um dos meios de se atingir o cumprimento tempestivo e eficiente damissão da área de TI se dá a partir do monitoramento dos controles implantados, será propostadeterminação à Sefti para que avalie a atuação do gestor de segurança da informação ecomunicações do MP, por ocasião do monitoramento das deliberações do acórdão que vier a serproferido. 2.10.8 – Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria de Fiscalização deTecnologia da Informação – Sefti que, por ocasião do monitoramento das deliberações do acórdãoque vier a ser proferido, avalie se a atuação do gestor de segurança da informação e comunicaçõesdo MP está em conformidade com o disposto na Instrução Normativa – GSI/PR 1/2008, art. 7º 2.11 – Falhas na política de segurança da informação e comunicações (Posic) 2.11.1 – Situação encontrada: Por meio do item 7.1 do Anexo I do Ofício 1-849/2010-Sefti (fl. 22), o qual faz menção àpergunta 7.2 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca da políticacorporativa de segurança da informação (Posic). Como resposta, o Gestor declarou no questionárioque a instituição formalizou – aprovou e publicou – a Posic do órgão (Anexo 1, fl. 16v) eencaminhou cópia da referida política (Anexo 1, fl. 1 do arquivo ‗8.1Oficio452ªnexoI-item8.1_Ref.Quest-item7.2Posic.pdf‘ no CD, fl. 18). Ocorre que há falhas na Posic/MP, por não conter os seguintes elementos essenciais(referência a itens da Norma Complementar 03/IN01/DSIC/GSIPR): a) não institui o papel de gestor de segurança da informação e comunicações e suasresponsabilidades (5.3.7.2); b) não estabelece diretrizes gerais sobre auditoria e conformidade, uso de e-mail eacesso à internet (5.3.5, letras e, f e g); c) não estabelece competências e responsabilidades, com procedimentos que definam aestrutura para a gestão da segurança da informação e comunicações (5.3.7.1); d) não define responsabilidades pela edição de normas específicas, tais como asreferentes a penalidades (5.3.6). Apenas menciona genericamente a possibilidade de sançõesadministrativas, penais e civis por descumprimento ou violação da Posic e a responsabilidade deusuários por atos que comprometam a segurança do sistema da informação (Posic/MP, item 4,inciso V, e item 8, inciso III); e) não estabelece diretrizes gerais sobre tratamento de incidentes de rede (5.3.5, letrab), embora haja disposição no item ‗Regras Gerais‘ prevendo normatização de procedimentosespecíficos relacionados ao tema ‗incidentes‘ (Posic/MP, item 6, inciso V); f) não estabelece diretrizes gerais sobre gestão de riscos e controle de acesso (5.3.5,letras c e f). Apenas há a previsão de elaboração de procedimentos específicos sobre o primeiro.Para o segundo, não há previsão de normas específicas para o tema, mas somente para o tema‗segurança lógica‘ (Posic/MP, item 6, inciso V); e g) não institui o papel do comitê de segurança da informação e comunicações (CSIC),suas competências e responsabilidades (item 5.3.7.3), embora a sua publicação (do CSIC) tenhasido enviada como parte da resposta ao item 7.1 anteriormente mencionado. A Posic apenas define 16 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 17. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4o termo CSIC (Posic/MP, item 2, inciso IV) e determina que é responsável por procedimentosespecíficos (Posic/MP, item 6, inciso V). 2.11.2 – Causas da ocorrência do achado: a) deficiências de controles; b) inexistência ou insuficiência de gestão de riscos. 2.11.3 – Efeitos/Consequências do achado: a) incompletude das diretrizes mínimas sobre segurança da informação (efeito real); b) falhas nos procedimentos de segurança (efeito potencial). 2.11.4 – Critérios: a) Instrução Normativa 1/2008, Gabinete de Segurança Institucional – Presidência daRepública, art. 5º, inciso VII; b) Norma Técnica – Gabinete de Segurança Institucional – Presidência da República –Norma Complementar 03/IN01/DSIC/GSIPR; c) Norma Técnica – NBR – ISO/IEC 27002, item 5.1 – Política de segurança dainformação. 2.11.5 – Evidências: a) resposta do MP ao item 7.2 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 7.1 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); d) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.11.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010, que foi instituído grupo de trabalho, no âmbito do CSIC, com o intuito deelaborar nova versão da política de segurança da informação e comunicações (Anexo 1, v. 3,fl. 684v). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a publicação da Posic revisada,conforme apontamentos do TCU durante a auditoria, estava em fase final de conclusão (Anexo 1, v.6, fl. 1007). 2.11.7 – Conclusão da equipe: Não obstante o MP dispor de uma política de segurança da informação e comunicações(Posic) formalizada (aprovada e publicada), constatou-se que a norma não contempla elementosessenciais, constituindo-se em falhas a serem corrigidas pelo Ministério. A iniciativa de revisão da Posic do MP informada nas manifestações do Gestor não foiconcluída até o término da ação de controle e não pôde ser comprovada pela equipe no presentetrabalho, o que poderá ser realizado em futuro monitoramento das deliberações do acórdão que viera ser proferido. 2.11.8 – Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-executiva do Ministériodo Planejamento, Orçamento e Gestão que, em atenção ao disposto na Instrução Normativa –GSI/PR 1/2008, art. 5º, VII, adeque a política de segurança da informação e comunicações àspráticas contidas na Norma Complementar 3/IN01/DSIC/GSIPR. 17 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 18. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 2.12 – Inexistência de classificação da informação 2.12.1 – Situação encontrada: Por meio do item 7.6 do Anexo I do Ofício 1-849/2010-Sefti (fl. 22), o qual faz menção àpergunta 7.1 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca da classificaçãode informações para o negócio. Como resposta, o Gestor declarou no questionário que a instituiçãonão classifica a informação (Anexo 1, fl. 16v) e não encaminhou evidências correspondentes aoitem 7.6 do referido ofício (Anexo 1, fl. 18). 2.12.2 – Causas da ocorrência do achado: a) deficiências de controles; b) inexistência ou insuficiência de gestão de riscos. 2.12.3 – Efeito/Consequência do achado: a) risco de divulgação indevida de informação restrita (efeito potencial). 2.12.4 – Critérios: a) Decreto 4.553/2002, art. 6º, § 2º, inciso II; art. 67; b) Norma Técnica – NBR – ISO/IEC 27002, item 7.2 – Classificação da informação. 2.12.5 – Evidências: a) resposta do MP ao item 7.1 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 7.6 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); d) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.12.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010, que o processo de classificação da informação está em elaboração, sob conduçãoda Coordenação de Documentação e Informação (Codin/CGDAP/SPOA) e acompanhamento pelocomitê de segurança da informação e comunicações do MP (Anexo 1, v.3, fl. 684v). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o comitê de segurança da informação ecomunicações do MP em conjunto com a CODIN/CGDAP/SPOA/SE/MP irá elaborar agenda deimplementação da política de classificação da informação no âmbito do Ministério (Anexo 1, v. 6,fl. 1007). 2.12.7 – Conclusão da equipe: O MP não possui processo de classificação da informação, a fim de propiciar tratamentodiferenciado conforme importância, criticidade e sensibilidade, não observando o comando doDecreto 4.553/2002 e as boas práticas de segurança da informação do item 7.2 da NBR ISO/IEC27002. Por oportuno, os comentários do Gestor no sentido de que o MP irá elaborar agenda deimplementação da política de classificação da informação no âmbito do Ministério confirmam anecessidade de sua implementação. 2.12.8 – Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-executiva do Ministériodo Planejamento, Orçamento e Gestão que, em atenção ao disposto no Decreto 4.553/2002, art. 6º,§2º, II, e art. 67, estabeleça critérios de classificação das informações a fim de que possam ter 18 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 19. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observandoas práticas contidas no item 7.2 da NBR ISO/IEC 27.002. 2.13 – Inexistência de inventário dos ativos de informação 2.13.1 – Situação encontrada: Por meio do item 7.5 do Anexo I do Ofício 1-849/2010-Sefti (fl. 22), o qual faz menção àpergunta 7.1 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do inventário deativos de informação. Como resposta, o Gestor declarou no questionário que a instituição inventaria todos osativos de informação (dados, hardware, software e instalações) (Anexo 1, fl. 16v). As evidências apresentadas incluem apenas um gráfico estatístico sobre a distribuição deestações de trabalho por sistemas operacionais, elaborado pelo software Cacic, um software públicodo governo federal resultante do consórcio de cooperação entre a SLTI/MP e a Dataprev, querealiza captura de informações de configuração de estações de trabalho, tais como os tipos desoftwares utilizados e licenciados, configurações de hardware, entre outras informações (Anexo 1,arquivo ‗8.5Captura_de_tela.png‘ no CD, fl. 18). Ocorre que as evidências não são suficientes para comprovar a realização de inventário deativos, uma vez que a mera instalação da ferramenta Cacic não significa que as informações obtidaspela ferramenta estejam sendo utilizadas para a realização de um inventário de ativos deinformação. Ademais, verifica-se que as informações fornecidas pela ferramenta Cacic abrangemapenas ativos físicos e de software (informações das estações de trabalho), não contemplando ativosde informação propriamente ditos, segundo o item 7.1.1 da NBR – ISO/IEC 27002, tais como basede dados e arquivos, contratos e acordos, documentação de sistema, procedimentos de suporte ouoperação, planos de continuidade do negócio, procedimentos de recuperação etc. Além disso, aferramenta não fornece algumas das informações necessárias que permitem recuperar o ativo de umdesastre, tais como: a) tipo do ativo; b) formato; c) informações sobre cópia de segurança; d) aimportância do ativo para o negócio, e não identifica os responsáveis por esses ativos. Por fim, cumpre ressaltar ainda que o próprio diagnóstico do PDTI do Ministério alertasobre a necessidade de padronização de serviços de infraestrutura, incluindo inventário do parque,realizado de forma automática e sistêmica (Anexo 1, fl. 91). 2.13.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.13.3 – Efeito/Consequência do achado: a) dificuldade de recuperação de ativo de informação (efeito potencial). 2.13.4 – Critérios: a) Norma Técnica – NBR – ISO/IEC 27002, item 7.1.1 – inventário de ativos; b) Norma Técnica – Gabinete de Segurança Institucional – Presidência da República –Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1. 2.13.5 – Evidências: a) resposta do MP ao item 7.1 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 7.5 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) PDTI-MP, Anexo I da Nota Técnica – DSTI/SLTI/MP 173/2010 (Anexo 1 –Principal – fls. 89-91); d) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); e) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.13.6 – Esclarecimentos dos responsáveis: 19 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 20. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010, que o Ministério está utilizando em todas as estações de trabalho de sua rede osoftware Cacic, não apresentando informações adicionais (Anexo 1, v.3, fl. 684). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o uso do software Cacic está sob gestãodo DSTI/SLTI/MP e que foi criada rotina para tratamento dos relatórios gerados pela ferramenta.Acrescentou que os procedimentos de recuperação dos ativos de hardware e software passaram a serconduzidos pela equipe de tratamento e resposta a incidentes de redes computacionais (ETRI) doMP, constituída em 25/3/2011 (Anexo 1, v. 6, fl. 1007). 2.13.7 – Conclusão da equipe: As informações fornecidas pela ferramenta Cacic usada pelo MP abrangem apenas ativosfísicos e de software (informações das estações de trabalho), não contemplando ativos deinformação propriamente ditos. O Cacic também não oferece as informações necessárias quepermitem recuperar o ativo de um desastre. Em face do exposto, o MP não realiza inventário de seus ativos de informação,dificultando o controle e a recuperação desses ativos. Quanto à iniciativa de recuperação dos ativos de hardware e software, mencionada peloGestor nos comentários ao relatório preliminar, não há informação acerca de como esseprocedimento seria realizado. Além disso, essa iniciativa se iniciou após a ação de controle, nãopodendo ser comprovada pela equipe no presente trabalho, o que poderá ser realizado em futuromonitoramento das deliberações do acórdão que vier a ser proferido. 2.13.8 – Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-executiva do Ministériodo Planejamento, Orçamento e Gestão que, em atenção ao disposto na Instrução Normativa –GSI/PR 1/2008, art. 5º, VII, c/c Norma Complementar 4/IN01/DSIC/GSIPR, item 5.2.1, estabeleçaprocedimento de inventário de ativos de informação, de maneira que todos os ativos de informaçãosejam inventariados e tenham um proprietário responsável, observando as práticas contidas no item7.1 da NBR ISO/IEC 27.002. 2.14 – Inexistência de processo de gestão de riscos de segurança da informação (GRSIC) 2.14.1 – Situação encontrada: Por meio do item 7.7 do Anexo I do Ofício 1-849/2010-Sefti (fl. 22), o qual faz menção àpergunta 7.1 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca da gestão deriscos de segurança da informação e comunicações em vigor. Como resposta, o Gestor declarou noquestionário que a instituição não analisa riscos aos quais a informação crítica para o negócio estásubmetida, considerando, pelo menos, confidencialidade, integridade e disponibilidade (Anexo 1, fl.16v) e não encaminhou evidências correspondentes ao item 7.7 do referido ofício. Cumpre salientar que o item 6, inciso II, da Posic/MP menciona que a gestão de riscosdeve ser considerada como critério para a confidencialidade, integridade, disponibilidade eautenticidade das informações, serviços, sistemas de informação e recursos computacionais (Anexo1, arquivo ‗8.1Oficio452ªnexoI-item8.1_Ref.Quest-item7.2Posic.pdf‘ no CD, fl. 18). 2.14.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.14.3 – Efeito/Consequência do achado: a) desconhecimento das ameaças e dos respectivos impactos relacionados à segurançada informação (efeito real). 2.14.4 – Critérios: 20 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 21. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 a) Instrução Normativa 1/2008, Gabinete de Segurança Institucional – Presidência daRepública, art. 5º, inciso VII; b) Norma Técnica – Gabinete de Segurança Institucional – Presidência da República –Norma Complementar 04/IN01/DSIC/GSIPR; c) Norma Técnica – ITGI – Cobit 4.1, PO9.4 – Avaliação de riscos; d) Norma Técnica – NBR – 27005 – Gestão de riscos de segurança da informação. 2.14.5 – Evidências: a) resposta do MP ao item 7.1 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) Posic/MP (Anexo 1, arquivo ‗8.1Oficio452ªnexoI-item8.1_Ref.Quest-item7.2Posic.pdf‘ no CD, fl. 18) (Anexo 1 – Principal – fl. 18); c) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); d) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.14.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010, que a gestão de riscos de segurança da informação está em discussão no âmbitodo comitê de segurança da informação e comunicações do Ministério (Anexo 1, v.3, fl. 684v). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a gestão de riscos de segurança dainformação é realizada desde julho de 2010 pelo Centro de Tratamento e Resposta a Ataques naRede do MP – Cetra, instituído formalmente pela Portaria SLTI 13/2011, e acompanhada pelocomitê de segurança da informação e comunicações do Ministério (Anexo 1, v. 6, fl. 1007). 2.14.7 – Conclusão da equipe: Em que pese o Gestor ter manifestado nos comentários ao relatório preliminar que o MPrealiza gestão de riscos de segurança da informação desde julho de 2010, não foram apresentadasevidências de qualquer dos elementos essenciais de um processo de gestão de riscos de segurançada informação (descrição dos papéis envolvidos no GRSIC, bem como atividades e artefatosprevistos, tais como plano de análise e avaliação de risco ou plano de tratamento de riscos). Ademais, o Gestor já havia manifestado após a apresentação dos resultados da auditoria,que a gestão de riscos de segurança da informação estava apenas em discussão no âmbito do comitêde segurança da informação e comunicações do Ministério. Portanto, ante a contradição nas manifestações e ausência de evidências em contrário,conclui-se que o MP não dispõe de processo de gestão de riscos de segurança da informação ecomunicações. Por oportuno, registra-se que a instituição do Cetra no MP, em 25/3/2011, evidenciaadoção de medida que poderá contribuir para a realização da gestão de riscos de segurança dainformação no Ministério. 2.14.8 – Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-executiva do Ministériodo Planejamento, Orçamento e Gestão que, em atenção ao disposto na Instrução Normativa GSI/PR1/2008, art. 5º, VII, c/c Norma Complementar 4/IN01/DSIC/GSIPR, implemente processo de gestãode riscos de segurança da informação. 2.15 – Falhas na equipe de tratamento e resposta a incidentes em redes computacionais(ETRI) 21 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 22. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 2.15.1 – Situação encontrada: Por meio do item 7.8 do Anexo I do Ofício 1-849/2010-Sefti (fl. 22), o qual faz menção àpergunta 7.1 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca da existência deuma equipe de tratamento e resposta a incidentes em redes computacionais (ETRI). Como resposta,o Gestor declarou gerenciar os incidentes de segurança da informação (Anexo 1, fl. 16v). Os documentos apresentados evidenciam que a ETRI do MP, chamada de Cetra.MP, foicriada (Anexo 1, fls. 92/95; 100) e está em atuação (Anexo 1, arquivo ‗8.8Oficio452ªnexoI-item8.8_Ref.Quest-item7.2folder cetra_20100721.pdf‘ no CD, fl. 18; fls. 96-99). Todavia, suacriação não havia sido formalizada. 2.15.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.15.3 – Efeito/Consequência do achado: a) falhas relativas às notificações e às atividades relacionadas a incidentes de segurançaem redes de computadores (efeito potencial). 2.15.4 – Critérios: a) Instrução Normativa 1/2008, Gabinete de Segurança Institucional – Presidência daRepública, art. 5º, inciso V; b) Norma Técnica – Gabinete de Segurança Institucional – Presidência da República –Norma Complementar 05/IN01/DSIC/GSIPR. 2.15.5 – Evidências: a) resposta do MP ao item 7.1 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 7.8 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) cópia de documento, não formalizado, de criação da ETRI, Anexo II da Nota Técnica– DSTI/SLTI/MP 173/2010 (Anexo 1 – Principal – fls. 92-95; 100); d) ata da 2ª reunião do CSIC, Anexo II da Nota Técnica – DSTI/SLTI/MP 173/2010(Anexo 1 – Principal – fls. 95-98); e) informações do Comitê de Segurança da Informação e Comunicações do MP (Anexo1 – Principal – fl. 99); f) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); g) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010); h) Ofício – SLTI/MP 1113/2011, que encaminhou documentos em complementação aoOfício – SE/MP 152/2011 (Anexo 1 – Volume 6 – fls. 1011-1054). 2.15.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010, que a publicação da ETRI estava em trâmite interno (Anexo 1, v.3, fl. 684v). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a ETRI do MP existe desde julho/2010 esua formalização foi realizada pela Portaria 13, de 25 de março de 2011 (Anexo 1, v. 6, fls. 1007;1013). 2.15.7 – Conclusão da equipe: Conquanto existam evidências da existência e estruturação da ETRI do MP, ela foiformalmente constituída somente após a ação de controle. 22 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 23. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 A medida promovida pelo Gestor abrange a proposta sugerida no relatório preliminar,atendendo ao disposto na Instrução Normativa GSI/PR 1/2008, art. 5º, V, e observando as práticascontidas na Norma Complementar 5/IN01/DSIC/GSIPR, motivo pelo qual, deixa-se de proporcomando à Secretaria-executiva do MP quanto a essa questão no presente relatório. Tendo em vista que um dos meios de se atingir o cumprimento tempestivo e eficiente damissão da área de TI se dá a partir do acompanhamento dos controles implantados, será propostadeterminação à Sefti para que avalie a atuação da ETRI do MP, por ocasião do monitoramento dasdeliberações do acórdão que vier a ser proferido. 2.15.8 – Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria de Fiscalização deTecnologia da Informação – Sefti que, por ocasião do monitoramento das deliberações do acórdãoque vier a ser proferido, avalie a conformidade da atuação da equipe de tratamento e resposta aincidentes em redes computacionais do MP com o disposto na Norma Complementar05/IN01/DSIC/GSIPR. 2.16 – Inexistência de plano anual de capacitação 2.16.1 – Situação encontrada: Por intermédio dos itens 8.2 e 8.4 do Anexo I do Ofício 1-849/2010-Sefti (fl. 22), os quaisfazem menção à pergunta 6.3 do Questionário PerfilGovTI-2010, solicitaram-se informações acercado processo de capacitação de profissionais de TI. Como resposta, o Gestor declarou no questionário que a instituição elabora e executa umplano de capacitação para atender às necessidades de capacitação em gestão de TI (Anexo 1, fl.16v). Quatro setores do órgão encaminharam evidências: a) DSTI: encaminhou um plano anual de capacitação do DSTI para 2010 (Anexo 1,fls. 102-119); b) SOF: encaminhou um plano de capacitação anual (PCA) constituído de apenas umalista de cursos e quantidade de vagas (Anexo 1, arquivo ‗9.4SOF – 9.4.odt‘ no CD, fl. 18); c) SPU: afirmou que ‗não existe um plano formal de capacitação de funcionários de TIpara o setor‘ (Anexo 1, arquivo ‗9.2SPU – 9.odt‘ no CD, fl. 18); e d) Seges: afirmou que ‗não conta com um plano anual de capacitação específico paraseus profissionais de tecnologia da informação‘ (Anexo 1, arquivo ‗9.4 SEGES – resposta tcu –9.4.odt‘ no CD, fl. 18). Também foi recebido relatório de execução de capacitações que não identifica o período aque se refere (Anexo 1, fls. 120-129) nem o plano de capacitação a que se refere. Nenhum dos documentos acima, nem a união deles, corresponde ao previsto no Decreto5.707/2006, arts. 5º e 2º, c/c Portaria – MP 208/2006, art. 2º, I, e art. 4º 2.16.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.16.3 – Efeitos/Consequências do achado: a) não otimização do potencial dos recursos humanos (efeito potencial); b) desatualização do quadro de pessoal em termos de conhecimento/capacitação (efeitopotencial). 2.16.4 – Critérios: a) Decreto 5.707/2006, art. 5º, § 2º; b) Norma Técnica – ITGI – Cobit 4.1, PO7.2 – Competências Pessoais; c) Norma Técnica – ITGI – Cobit 4.1, PO7.4 – Treinamento do Pessoal; d) Portaria 208/2006, Ministério do Planejamento, art. 2º, inciso I; art. 4º 2.16.5 – Evidências: a) cópia de plano anual de capacitação do DSTI, Anexo III da Nota Técnica –DSTI/SLTI/MP 173/2010 (Anexo 1 – Principal – fls. 102-119); 23 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 24. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 b) cópia de relatório de execução de um plano de capacitação, constante do anexo III daNota Técnica DSTI/SLTI/MP 173/2010 (Anexo 1 – Principal – fls. 120-129); c) resposta do MP ao item 6.3 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); d) resposta do MP aos questionamentos 8.2 e 8.4 do Anexo I do Ofício 1-849/2010-Sefti. (arquivos em CD) (Anexo 1 – Principal – fl. 18); f) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); e) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.16.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP, por meio do Anexo 2 do Ofício – SE/MP678/2010, trouxe aos autos um relatório, elaborado pela SPOA/SE/MP, por unidade administrativado Ministério, contendo as capacitações realizadas com e sem ônus em 2010 (Anexo 1, v. 3, fls.687-710), mas não um plano anual de capacitação para o ano de 2010. Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a SPOA encaminha anualmente àSRH/MP o relatório do plano anual de capacitação para o exercício seguinte, bem como o relatóriode execução do plano de capacitação do exercício corrente. Acrescentou que, para o exercício de2011, a SRH/MP determinou, por intermédio do SIPEC, que fosse respondido questionáriodiretamente em seu portal eletrônico (Anexo 1, v. 6, fl. 1007). 2.16.7 – Conclusão da equipe: Embora o Gestor da Secretaria-executiva do MP tenha manifestado que anualmente éelaborado plano anual de capacitação para o exercício seguinte, não apresentou evidências daexistência do plano anual de capacitação de 2010. Dessarte, o MP não apresentou plano anual de capacitação do órgão como um todo, nosmoldes preconizados pelo Decreto 5.707/2006, arts. 5º e 2º c/c Portaria – MP 208/2006, art. 2º, I, eart. 4º, criando o risco de não otimizar o potencial de recursos humanos disponíveis e desatualizar oquadro de pessoal em termos de conhecimento. 2.16.8 – Propostas de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-executiva do Ministériodo Planejamento, Orçamento e Gestão que, em atenção às disposições contidas no Decreto5.707/2006, art. 5º, § 2º, c/c Portaria – MP 208/2006, art. 2º, I, e art. 4º, elabore plano anual decapacitação. Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque, quando elaborar o plano anual de capacitação, contemple ações de capacitação voltadas para agestão de tecnologia da informação, à semelhança das práticas contidas no Cobit 4.1, processosPO7.2 – Competências Pessoais e PO7.4 – Treinamento do Pessoal. 2.17 – Auditoria interna não apoia avaliação da TI 2.17.1 – Situação encontrada: Por meio do item 9.2 do Anexo I do Ofício 1-849/2010-Sefti (fl. 22), o qual faz menção àpergunta 1.4 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do processo demonitoração do desempenho da gestão e do uso da TI, em particular sobre a realização de auditoriasde TI por iniciativa da própria instituição nos últimos três anos. Como resposta, o Gestor declarou no questionário que a instituição realizou auditorias desegurança da informação nos últimos três anos (Anexo 1, fl. 15v). Como evidência, encaminhou 24 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 25. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4relatórios de 2009, expedidos pela Coordenação Geral de Tecnologia da Informação (CGTI), áreade TI existente anteriormente à publicação do Decreto 7.063/2010 (Anexo 1, arquivos da pasta‗10.2Oficio452ªnexoI-item10.2_Ref.Quest-item1.4‘ no CD, fl. 18). Os documentos apresentados evidenciam avaliações realizadas pelos próprios gestores,prática conhecida por controle de auto-avaliação (do inglês Control Self Assessement – CSA), e nãoevidenciam apoio da auditoria interna aos trabalhos realizados. 2.17.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.17.3 – Efeito/Consequência do achado: a) deficiências na governança de TI, gestão de riscos e controles internos (efeito real,evidenciado pelos achados descritos neste relatório). 2.17.4 – Critério: a) Norma Técnica – ITGI – Cobit 4.1, E2 – Monitorar e avaliar os controles internos. 2.17.5 – Evidências: a) resposta do MP ao item 1.4 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 9.2 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); d) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.17.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010, que a estrutura regimental do Ministério, aprovada pelo Decreto 7.063/2010, nãoprevê a realização de auditoria pela SLTI, nem por outra unidade/entidade do Ministério (Anexo 1,v.3, fl. 686). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), mencionou que a Controladoria Geral da União (CGU)realizou várias auditorias nos últimos anos, inclusive com diversas recomendações que foramincorporadas ao Contrato 74/2010, celebrado com o Serpro (Anexo 1, v. 6, fl. 1007v). 2.17.7 – Conclusão da equipe: Em que pese o Gestor do MP afirmar que houve auditorias realizadas pelo órgãoresponsável pela auditoria interna do MP, a CGU, com incorporação de recomendações no Contrato74/2010, não foram trazidas aos autos evidências da afirmação. Ademais, não se pôde evidenciar, segundo as informações constantes dos autos, que aCGU apoia a avaliação da TI do Ministério. Registre-se que as boas práticas internacionais (The Institute of Internal Auditors – IIA,The International Organisation of Supreme Audit Institutions – Intosai, dentre outros) preconizamque a Auditoria Interna é um instrumento que deve ser utilizado pelos gestores para avaliar seusprocessos de governança, riscos e controles internos, incluindo-se na avaliação do processo degovernança a avaliação do alcance das metas atribuídas à gestão da tecnologia da informação. Nasinformações constantes dos autos, não se pôde evidenciar a existência de metas atribuídas à gestãoda tecnologia da informação do MP. Houve uma boa prática dos gestores do MP ao praticar, em alguma medida, o controle deauto-avaliação. 25 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 26. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 2.17.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque promova ações para que a auditoria interna apoie a avaliação da TI, à semelhança dasorientações contidas no Cobit 4.1, ME2 – Monitorar e avaliar os controles internos. 2.18 – Falhas na avaliação da gestão de TI 2.18.1 – Situação encontrada: Por meio do item 9.1 do Anexo I do Ofício 1-849/2010-Sefti (fl. 22), o qual faz menção àpergunta 1.2 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do processo demonitoração do desempenho da gestão e do uso da TI, em particular sobre a atuação da altaadministração no desempenho organizacional da gestão e do uso da TI. O Gestor respondeu no questionário (Anexo 1, fl. 15) que: a) estabeleceu objetivos (diretrizes) de desempenho de gestão e de uso corporativos deTI; b) recebe e avalia regularmente informações sobre o desempenho relativo à gestão e aouso corporativos de TI. Como evidências, o Gestor encaminhou relatórios de auditoria anual de contas e relatóriosde gestão de algumas das áreas do MP, todos do exercício de 2008 (Anexo 1, arquivos da pasta‗10.1‘ no CD, fl. 18). Os relatórios de auditoria de contas não tratam de gestão de TI e os relatórios de gestãoincluem atividades executadas pela gestão de TI, o que evidencia um acompanhamento a posterioridas ações realizadas, mas não uma avaliação da gestão de TI como preconizam as boas práticas, porconta da ausência de elementos essenciais, tais como: definição de indicadores e metas da gestão daTI; realização de avaliação propriamente dita da gestão de TI, materializada por relatórios dedesempenho que avaliem o alcance ou não das metas estipuladas; e determinação de açõescorretivas, caso necessário. 2.18.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.18.3 – Efeitos/Consequências do achado: a) dificuldades de identificação de possibilidades de melhoria da gestão de TI (efeitopotencial); b) dificuldades de identificação de problemas nos serviços de TI (efeito potencial); c) decisões gerenciais baseadas em informações incompletas ou errôneas (efeitopotencial). 2.18.4 – Critérios: a) Norma Técnica – ITGI – Cobit 4.1, ME1.5 – Relatórios gerenciais; b) Norma Técnica – ITGI – Cobit 4.1, ME1.4 – Avaliar o desempenho; c) Norma Técnica – ITGI – Cobit 4.1, ME1.6 – Ações corretivas; d) Norma Técnica – ITGI – Cobit 4.1, ME2 – Monitorar e avaliar os controles internos. 2.18.5 – Evidências: a) resposta do MP ao item 1.2 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 9.1 do Anexo I do Ofício 1-849/2010-Sefti.(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); d) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.18.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critérios 26 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 27. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010, que as falhas da avaliação da gestão da TI estão relacionadas a falhas noconteúdo do PDTI do Ministério, notadamente a inexistência de indicadores de desempenho.Afirmou ainda que estava em elaboração o PDTI para 2011, com a previsão de inclusão deindicadores de desempenho para as equipes definidas no novo organograma proposto para a TI doMP (Anexo 1, v. 3,fl. 685). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o PDTI do MP estava sendo revisadovisando contemplar as recomendações do TCU (Anexo 1, v. 6, fl. 1007v). 2.18.7 – Conclusão da equipe: O MP apresenta falhas na avaliação de sua gestão de TI, pela ausência de elementosessenciais, tais como mencionado ao final do item 2.18.1. Essas falhas dificultam a identificação de possibilidades de melhoria na gestão de TI, o quepode conduzir a decisões gerenciais baseadas em informações incompletas ou errôneas. O processo de revisão do PDTI do MP para 2011, citado pelo Gestor nos comentários aorelatório preliminar, ainda estava em andamento após a ação de controle, e, portanto, seusresultados não puderam ser comprovados pela equipe no presente trabalho, o que poderá serrealizado, em futuro monitoramento das deliberações do acórdão que vier a ser proferido. 2.18.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque aperfeiçoe o processo de avaliação da gestão de TI, à semelhança das orientações contidas noCobit 4.1, itens ME1.4 – Avaliação de desempenho, ME1.5 – Relatórios gerenciais, ME1.6 – Açõescorretivas e ME2 – Monitorar e avaliar os controles internos. 2.19 – Falhas nos controles que promovam o cumprimento da Instrução Normativa –SLTI/MP 4/2008 2.19.1 – Situação encontrada: Por meio do item 10 do Anexo I do Ofício 1-849/2010-Sefti (fl. 23), o qual faz menção àpergunta 7.10 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do processo decontratação de bens e serviços de TI, incluindo informar se há controles no órgão que promovam ocumprimento da Instrução Normativa – SLTI/MP 4/2008, com a apresentação de evidências de queeste controle é utilizado e é monitorado. Como resposta, o Gestor afirmou que as aquisições de TI estão centralizadas no DSTI, quemonitora os processos de contratações de TI (Anexo 1, arquivo ‗11.2Item 11.2‘ no CD,fl. 18). Em adição, encaminhou um documento referente ao planejamento da contratação deservidores e equipamentos de armazenamento para a SOF e um fluxograma de um escritório deaquisições de tecnologia da informação (Anexo 1, arquivos da pasta ‗11.1‘ no CD,fl. 18). Dessa forma, por meio dos itens 1 e 2 do Ofício de Requisição 3-849/2010-Sefti (fl. 26), aequipe de auditoria solicitou as seguintes informações adicionais: 1) cópia de documento formal que expresse as atribuições do escritório de aquisições,bem como descrição de sua localização na estrutura organizacional no MP; e 2) descrição dos controles existentes no órgão para promover o cumprimento doprocesso de planejamento de contratações de bens e serviços de TI de acordo com o disposto naInstrução Normativa – SLTI/MP 4/2008, identificando as etapas realizadas, os modelos dedocumentos produzidos e as áreas responsáveis por sua realização. Como resposta ao novo ofício, o Gestor: a) informou que a proposta para a criação de uma estrutura de escritório de projetos deaquisições, numa parceria do DSTI com a Universidade de Brasília (UnB), encontrava-se emandamento e, para atender ao disposto no Decreto 7.063/2010, encontrava-se em fase de 27 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 28. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4estruturação uma equipe interna no sentido do exercício da competência do DSTI de aprovar asproposições para aquisição de bens e serviços de informática (Anexo 1, fl. 138), encaminhando; b) fluxo do processo de aquisição do DSTI (Anexo 1, fls. 139-145); e c) documentos relativos a um processo de planejamento de aquisição de rack paraservidores (Anexo 1, fls. 146-163). Quanto ao escritório de aquisições, verifica-se que a proposta para a sua criaçãoencontrava-se em andamento, até a época da conclusão dos trabalhos de campo, conforme respostado Gestor (Anexo 1, fl. 138), denotando que o escritório de projetos não estava formalmente criadodentro da estrutura organizacional do DSTI. Quanto às demais evidências apresentadas, se referem à aplicação de controles noplanejamento de contratações específicas, o que não demonstra que tais controles estejamformalizados e sejam aplicados no processo de contratação de bens e serviços de TI do órgão.Ademais, mesmo se coubesse análise somente no escopo dos referidos planejamentos decontratações, cumpre destacar que a aplicação dos controles foi insuficiente, visto que osdocumentos de análise de viabilidade da contratação desses planejamentos não identificam osbenefícios que serão alcançados com a efetivação da contratação em termos de eficácia, eficiência,efetividade e economicidade (Anexo 1, fls. 7-17 do arquivo‗11.1PLANEJAMENTO_CONTRATACAO_SOF – Servidores v2.odt‘ no CD, fl. 18; 159v-162). 2.19.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.19.3 – Efeito/Consequência do achado: a) falhas no cumprimento do processo de planejamento previsto na IN – SLTI/MP4/2008 (efeito real, conforme achado relatado adiante). 2.19.4 – Critério: a) Instrução Normativa – SLTI/MP 4/2008, art. 10. 2.19.5 – Evidências: a) resposta do MP ao item 7.10 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 10 do Anexo I do Ofício 1-849/2010-Sefti.(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) definição das atribuições do escritório de aquisições, integrante do Anexo I da NotaTécnica – DSTI/SLTI/MP 174/2010 (Anexo 1 – Principal – fls. 138-145); d) documentos referentes a processos de aquisição de bens de TI, como o fluxo doprocesso de aquisição, Anexo II da Nota Técnica – DSTI/SLTI/MP 174/2010 (Anexo 1 – Principal–fls. 139-163); e) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); f) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.19.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010, que estava em andamento projeto de aprimoramento e descrição do processo detrabalho do escritório de aquisições de TI (Anexo 1, v. 3, fl. 685). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que foi iniciado em março de 2011 projeto 28 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 29. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4de definição de metodologia, processos e controles no âmbito do escritório de aquisições em TI, aser formalizado na estrutura organizacional do DSTI/SLTI/MP (Anexo 1, v. 6, fl. 1007v). 2.19.7 – Conclusão da equipe: Há falhas nos controles que promovam o cumprimento da Instrução Normativa – SLTI/MP4/2008, uma vez que as evidências apresentadas ora se referem a processos de planejamento decontratações específicas de bens de TI com falhas, não demonstrando que os controles foramformalizados, ora se referem a um fluxo de processo de aquisições de um escritório de aquisiçõesdo DSTI, cujo processo de criação ainda estaria em andamento durante a ação de controle. O projeto citado pelo Gestor iniciou-se após a ação de controle, de modo que seusresultados, no tocante ao aperfeiçoamento dos controles que promovam o cumprimento da InstruçãoNormativa – SLTI/MP 4/2008, não puderam ser comprovados pela equipe de auditoria no presentetrabalho, o que poderá ser realizado em futuro monitoramento das deliberações do acórdão que viera ser proferido. 2.19.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque aperfeiçoe os controles destinados a promover o cumprimento do processo de planejamentoprevisto na Instrução Normativa – SLTI/MP 4/2010. 2.20 – Inexistência dos estudos técnicos preliminares 2.20.1 – Situação encontrada: O projeto básico do Contrato 45/2005 informa que o MP é responsável por diversossistemas de gestão administrativa do governo federal e que, devido à ausência de quadrosespecializados no Ministério, a contratação dos serviços com o Serpro traria segurança, por ser aempresa reconhecida por operar com elevados requisitos nesse sentido. Declara ainda que acontratação se justificaria para evitar o risco de perda de continuidade da gestão de processosestratégicos e para possibilitar a integração dos sistemas existentes no âmbito do MP, haja vista queos serviços já eram prestados pelo Serpro, de forma continuada, também por dispensa de licitação(Anexo 2, fls. 6-7). Quanto aos pressupostos de segurança da informação, argumenta-se, de plano, que nãoconstam dos autos estudos que demonstrem que somente o Serpro poderia satisfazer tais requisitosde segurança. Nesse sentido, há serviços dentre os contratados, como o de provimento deinfraestrutura de redes, que poderiam ser licitados, desde que positivadas cláusulas de segurançaque garantissem a disponibilidade, integridade, confidencialidade e não repúdio da informação. No que tange ao dimensionamento dos serviços, constam dos autos analisados somente asquantidades a serem contratadas, informadas no projeto básico (Anexo 2, fls. 29-31) e na propostacomercial do Serpro (Anexo 2, fls. 128; 136; 142; 154; 160; 164; 168; 170; 172v; 174; 175v; 180v),sem que haja memória de cálculo que as justifique. Também não há nos autos analisados demonstrativo de resultados a serem alcançados coma referida contratação, em termos de economicidade e de melhor aproveitamento dos recursoshumanos, materiais ou financeiros disponíveis. Assim, por intermédio dos itens 1 e 2.a) do Ofício de Requisição 4-849/2010-Sefti (fl. 27),a equipe de auditoria solicitou a apresentação de estudos técnicos preliminares à elaboração doprojeto básico, conforme preconiza a Lei 8666/1993, art. 6º, IX, a exemplo do demonstrativo deresultados na forma do disposto no Decreto 2.271/1997. Em resposta, o Gestor da Subsecretaria de Planejamento, Orçamento e Gestão do MPdeclarou que: a) os serviços objeto do Contrato 45/2005 não se tratavam de serviços novos queensejariam a realização de estudos técnicos preliminares, e sim a continuidade de serviços que jávinham sendo prestados pelo Serpro, mas que mesmo assim, a SLTI havia promovido avaliaçãotécnica global dos serviços, a qual contém elementos/informações para sustentação do projetobásico (Anexo 1, fl. 198), encaminhando o documento (Anexo 1, v. 1, fls. 205-206), que já constavados presentes autos (Anexo 2, fls. 100v-101); 29 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 30. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 b) os serviços de informática previstos no Decreto 2.271/1997 privilegiam o simplespagamento da mão de obra e os serviços contratados com o Serpro, por serem baseados na entregade produtos, não estão sujeitos aos dispositivos mencionados no citado Decreto (Anexo 1, fls. 198-199). Quanto ao item a da manifestação do Gestor, destaca-se que: 1) o fato de os serviços já estarem sendo prestados pela contratada no âmbito decontratos anteriores não exime o órgão da realização dos estudos técnicos preliminares; 2) a análise da SLTI foi realizada posteriormente à elaboração do projeto básico eaborda aspectos acerca da justificativa para a escolha da empresa (Anexo 1, v. 1, fl. 205), já tratadosno projeto básico (Anexo 2, fls. 6-7), não contemplando as justificativas da necessidade e dodimensionamento dos serviços, nem demonstrativo dos resultados a serem alcançados. O item b da manifestação do Gestor também não prospera, haja vista que o citado Decretonão especifica que os serviços de informática elencados em seu art. 1º, § 1º, privilegiem o simplespagamento da mão de obra, e, em sentido inverso à manifestação do Gestor, o multicitado Decretodispõe que: a) é vedada a inclusão de dispositivos contratuais que permitam a caracterizaçãoexclusiva do objeto como fornecimento de mão de obra (art. 4º, II); b) sempre que a prestação do serviço puder ser avaliada por unidade quantitativa deserviço, esta será utilizada na aferição dos resultados (art. 3º, § 1º), situação na qual se enquadramos serviços objeto do referido contrato. 2.20.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.20.3 – Efeitos/Consequências do achado: a) risco da ocorrência de aquisições ou contratações que não atendam à necessidade doórgão (efeito potencial); b) falhas no termo de referência ou projeto básico (efeito real, conforme achadorelatado adiante). 2.20.4 – Critério: a) Lei 8.666/1993, art. 6º, inciso IX. 2.20.5 – Evidências: a) projeto básico do Contrato 45/2005 (Anexo 2 – Principal – fls. 6-99); b) Nota Informativa – GAB/SPOA/MP 2/2010 (Anexo 1 – Principal – fls. 197-203); c) Anexo I da Nota Informativa – GAB/SPOA/MP 2/2010 (Anexo 1 – Volume 1 – fls.204-206); d) Nota Técnica – SLTI/MP s/n, de 17/10/2005 (Anexo 2 – Principal – fls. 100v-101); e) proposta comercial do Serpro (Anexo 2 – Principal – fls. 102-180); f) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.20.6 – Esclarecimentos dos responsáveis: Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o contrato analisado foi celebrado antesda vigência da Instrução Normativa – SLTI/MP 4/2008 e, portanto, não previa a existência dosestudos técnicos preliminares. Acrescentou que o Contrato 74/2010 substituiu o contrato 45/2005 eatende plenamente a referida instrução (Anexo 1, v. 6, fl. 1007v). 2.20.7 – Conclusão da equipe: Embora o processo administrativo mencione a necessidade de prestação dos serviços de TI,não apresenta estudos que a demonstrem. Além disso, não consta do referido processo ou dosdocumentos contidos na manifestação do Gestor justificativa quanto à quantidade dos serviços a 30 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 31. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4serem contratados, nem demonstração dos resultados a serem alcançados em termos deeconomicidade e de melhor aproveitamento dos recursos disponíveis, o que desatende ao dispostono Decreto 2.271/1997, incisos II e III, ao qual o Contrato 45/2005 está sujeito. A elaboração do projeto básico deveria ter sido baseada em estudos técnicos preliminares,conforme preconiza a Lei 8.666/1993, em seu art. 6º, inciso IX, uma vez que o dispositivo deve serseguido independentemente da data de vigência da Instrução Normativa – SLTI/MP 4/2008. Osestudos técnicos preliminares devem trazer elementos que evidenciem viabilidade técnica epossibilite a avaliação do custo contratual, dentre outros. Como exemplo de conteúdo esperado dos estudos técnicos preliminares, podemos citar oprevisto na etapa de análise da viabilidade da contratação, definido pelo art. 10 da InstruçãoNormativa – SLTI/MP 4/2008. Dessa forma, ressalta-se que a elaboração dos estudos técnicos preliminares está previstadesde a vigência da Lei 8.666/1993, art. 6º, inciso IX, e não somente para contratos posteriores aoadvento da Instrução Normativa – SLTI/MP 4/2008. Como consta desse relatório encaminhamento no sentido de determinar que o MPestabeleça controles que garantam a produção dos artefatos previstos na instrução normativa, noâmbito de seus processos de contratação de serviços de TI, será proposto apenas dar ciência àSE/MP sobre a ausência de estudos técnicos preliminares ao projeto básico referente ao Contrato45/2005, decorrente do descumprimento do inciso IX, art. 6º, da Lei 8.666/1993. 2.20.8 – Proposta de encaminhamento: Dar ciência à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãosobre a ausência de estudos técnicos preliminares à elaboração do projeto básico referente aoContrato 45/2005, o que afronta o disposto na Lei 8.666/1993, art. 6º, IX. 2.21 – Falhas no cumprimento do processo de planejamento de acordo com a InstruçãoNormativa – SLTI/MP 4/2008 2.21.1 – Situação encontrada: Foram realizados testes substantivos no Contrato 58/2009 (anexo 3, v. 1, fls. 294-305),celebrado com a empresa Calandra Soluções S.A. em 1/1/2009, por inexigibilidade de licitação,amparada no caput do art. 25 da mesma lei, com o objetivo de avaliar o cumprimento do processode planejamento de acordo com a Instrução Normativa – SLTI/MP 4/2008, e constatadas asseguintes impropriedades: a) a análise de riscos não levou em consideração as informações obtidas durante a etapade elaboração da estratégia da contratação, pois o documento referente à estratégia da contratação(Anexo 3, v.1, fl. 222-231) foi elaborado posteriormente (setembro de 2009) ao documento deanálise de riscos da contratação (julho de 2009) (Anexo 3, fls. 14-15); b) falhas no conteúdo do documento sobre estratégia da contratação, tais como:emprego do indicador ‗Horas‘ (Anexo 3, v.1, fl. 223) para mensurar ‗número de solicitaçõesrealizadas/número de solicitações atendidas‘ para o serviço de suporte remoto; conteúdo da seção‗Critério Técnicos de Julgamento da Proposta‘ (Anexo 3, v. 1, fl. 231) versando apenas sobre aindicação de gestor do contrato; c) o documento versando sobre análise de riscos não foi assinado pelo gestor docontrato (Anexo 3, fl. 15), o qual teve sua indicação como gestor realizada no mesmo dia da data dodocumento (Anexo 3, fl. 16). 2.21.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.21.3 – Efeitos/Consequências do achado: a) risco da ocorrência de aquisições ou contratações que não atendam à necessidade doórgão (efeito potencial); b) falhas no termo de referência ou projeto básico (efeito potencial). 2.21.4 – Critério: a) Instrução Normativa – SLTI/MP 4/2008, arts. 9º, 11, 12, 13, 14, 15 e 16. 31 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 32. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 2.21.5 – Evidências: a) Contrato 58/2009 (Anexo 3 – Volume 1 – fls. 294-305); b) projeto básico do Contrato 58/2009 (Anexo 3 – Principal – fls. 17-21); c) análise de risco da fase de planejamento da contratação 58/2009 (Anexo 3 – Principal– fls. 14-15); d) indicação do gestor na fase de planejamento da contratação 58/2009 (Anexo 3 –Principal – fl. 16); e) estratégica da contratação elaborada na fase de planejamento da contratação 58/2009(Anexo 3 – Volume 1 – fls. 222-231); f) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.21.6 – Esclarecimentos dos responsáveis: Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que à época da apresentação de seuscomentários as recomendações da Instrução Normativa – SLTI/MP 4/2010 estavam sendo atendidaspela equipe responsável pela contratação (Anexo 1, v. 6, fl. 1007v). 2.21.7 – Conclusão da equipe: A partir dos testes substantivos realizados no processo referente ao Contrato 58/2009, aequipe concluiu pela existência de falhas no cumprimento do processo de planejamento de acordocom a Instrução Normativa – SLTI/MP 4/2008, quais sejam: a) a análise de riscos não levou em consideração as informações obtidas durante a etapaestratégia da contratação; b) falhas na elaboração do documento sobre estratégia da contratação; e c) falta de assinatura do documento versando sobre análise de riscos pelo Gestor docontrato o qual foi teve sua indicação como gestor realizada no mesmo dia da data do documento. O atendimento à Instrução Normativa – SLTI/MP 4/2010 citado pelo Gestor refere-se amomento posterior à ação de controle, e não pôde ser comprovado pela equipe de auditoria nopresente trabalho, o que poderá ser realizado em futuro monitoramento das deliberações do acórdãoque vier a ser proferido. 2.21.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque planeje as contratações de serviços de tecnologia da informação executando o processo previstona Instrução Normativa – SLTI/MP 4/2010, observando a sequência lógico-temporal entre astarefas e os ritos de aprovação dos artefatos produzidos ao longo do processo. 2.22 – Impropriedades na contratação 2.22.1 – Situação encontrada: Foram realizados testes substantivos no Contrato 45/2005 – celebrado com o Serpro, pordispensa de licitação, com fundamento no inciso XVI do art. 24 da Lei 8.666/1993 – e no Contrato58/2009 – celebrado com a empresa Calandra Soluções S.A., por inexigibilidade de licitação,amparada no caput do art. 25 da mesma lei, com o objetivo de avaliar a aderência da contrataçãocom a legislação –, nos quais foram constatadas as seguintes impropriedades: I – Relativo ao Contrato 45/2005: a) não divisibilidade do objeto, estando presentes a viabilidade técnica e econômica; O contrato tem por objeto a prestação de serviços de desenvolvimento e manutenção desistema, produção, atendimento aos usuários, treinamento, correio eletrônico, assessoramentotécnico, rede multisserviços, acesso discado à rede de comunicação, Infovia Brasília, redecorporativa, administração do ambiente de tecnologia da informação, suporte técnico e assistência 32 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 33. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4técnica para manutenção corretiva de hardware, os quais são tecnicamente divisíveis (Anexo 2, v.1,fl. 235). Consta do projeto básico que a unificação dos contratos anteriores celebrados entre o MP eo Serpro teve como objetivo inicial racionalizar o trâmite administrativo e proporcionar ganhos decontrole, permitindo uma visão padronizada e consolidada dos serviços (Anexo 2, fl. 8). No entanto, o que se observa é que os serviços contratados possuem naturezas distintas,utilizam diferentes métricas (Anexo 2, v.1, fls. 274-279), em sua maioria não apresentam qualquerrelação entre si, e nem houve ganhos de escala com a contratação conjunta. Além disso, os serviçoscontratados têm sua gestão realizada de forma separada, não refletindo a visão padronizadainformada pelo MP. b) ausência de elementos básicos na fundamentação do objetivo da contratação; Não consta do processo administrativo indicação precisa de com quais elementos(objetivos, iniciativas e ações) das estratégias institucionais e de tecnologia da informação acontratação está alinhada (Decreto-Lei 200/1967, art. 6º, inciso I, c/c itens 9.3.11 doAcórdão1.558/2003, 9.1.1 do Acórdão 2.094/2004 e 9.1.9 do Acórdão 2.023/2005, todos do Plenário). Por meio do item 2.b do Ofício 4/849/2010-Sefti (fl. 27), foi solicitado ao MP informaçõesacerca do alinhamento da contratação com o seu planejamento de longo prazo. Em atendimento aocitado ofício, o Gestor declarou que a contratação encontra-se alinhada com o PDTI do Ministério ecom os objetivos de longo prazo constantes do Plano Plurianual (PPA) (Anexo 1, fl. 199). No entanto, verifica-se que não foi formalizado plano estratégico institucional pelo MP atéa data de conclusão desse trabalho e que o PDTI do Ministério foi elaborado e publicado somenteem 2009, portanto, em momento posterior à contratação. c) desconformidades nos pareceres jurídicos; Os pareceres jurídicos que analisaram as minutas do Contrato 45/2005 (Anexo 2, v. 1, fl.222) e do primeiro termo aditivo (Anexo 2, v. 2, fl. 461) não questionaram o fato de as respectivasjustificativas de preço apresentadas pela Administração (Anexo 2, v. 1, fls. 214-216, Anexo 2, v. 2,fls. 458-459) basearem-se somente em preços globais praticados pela contratada (Anexo 2, v. 1, fls.184-213, Anexo 1, v. 1-2, fls. 341-447), sem a realização de pesquisa dos preços no mercado,conforme dispõe o art. 24, inciso VIII, da Lei 8.666/1993. Além disso, o parecer jurídico que analisou a minuta do segundo termo aditivo (Anexo 2,v. 3, fl. 764) não questionou a justificativa de preço apresentada pela Administração, a qual apenasinformou que os valores do contrato encontravam-se razoáveis em relação aos preços praticados nomercado (Anexo 2, v. 3, fl. 756), sem que tivesse sido realizada qualquer estimativa de preços quefundamentasse a argumentação de vantagem para a prorrogação, seja no mercado ou naAdministração Pública. d) insuficiência de cláusulas contratuais; Há falhas em requisitos essenciais de contratação (necessários e suficientes), sem os quaisse compromete a boa execução do objeto pretendido, uma vez que não estão presentes a vinculaçãoa processo de software e a processo de gerenciamento de projetos. Como o MP não dispõe de processo de software (Anexo 1, fls. 16v e 18), o Contrato45/2005 (Anexo 2, v.1, fls. 235-411) e o projeto básico (Anexo 2, fls. 6-99) não vinculam processode software do contratante nos serviços de desenvolvimento e manutenção de sistemas. Como o MP não possui processo de gerenciamento de projetos (Anexo 1, fl. 16v e 18), oContrato 45/2005 não define como se dará o processo de gerenciamento de projetos por parte docontratante para o rol de serviços a serem prestados, a exemplo da cláusula quinta – das definições edos níveis de serviços básicos, item 5.1 (administração e operação de correio eletrônico, que incluidesenvolvimento de projetos para ampliação da capacidade dos servidores) (Anexo 2, v. 1, fl. 349). II – Com relação ao Contrato 58/2009: a) ausência de elementos básicos na fundamentação do objetivo da contratação; Não há indicação precisa de quais elementos (objetivos, iniciativas e ações) das estratégiasinstitucionais e de tecnologia da informação a contratação está alinhada (Decreto-Lei 200/1967, art. 33 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 34. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-46º, inciso I, c/c itens 9.3.11 do Acórdão 1.558/2003, 9.1.1 do Acórdão 2.094/2004 e 9.1.9 doAcórdão 2.023/2005, todos do Plenário). b) falhas no método de mensuração dos serviços; Não foi definido no projeto básico (Anexo 3, fls. 17-21) ou no contrato (Anexo 3, v. 1, fls.294-305) um modelo de ordem de serviço (OS) para mensuração dos serviços prestados, o quedescumpre a Lei 8.666/1993, art. 6º, inciso IX, e está em desconformidade com a jurisprudênciadesta Corte, constante dos itens 9.4.3 e 9.4.4 do Acórdão 786/2006-TCU-Plenário. c) insuficiência de cláusulas contratuais; Há insuficiência de cláusulas contratuais no tocante a: i) cláusulas de segurança dainformação; ii) vinculação a processo de software; iii) gestão de projetos; e iv) valor do contrato,em desacordo com o disposto na Lei 8.666/1993, art. 6º, inciso IX, letra d. i) O contrato não contém cláusula de segurança da informação para acordos com terceiros(Anexo 3, v. 1, fls. 294-305); ii) não há vinculação do contrato (Anexo 3, v. 1, fls. 294-305) ou do projeto básico (Anexo3, fls. 17-21) com processo de software nos serviços de desenvolvimento e manutenção de sistemas; iii) não há vinculação do contrato ou do projeto básico com metodologia de gestão deprojetos, para os serviços de assessoramento técnico especializado por projetos (Anexo 3, v. 1, fls.294-305); iv) a cláusula nona do contrato estabelece o valor total do ajuste (Anexo 3, v. 1, fl. 300),não havendo cláusula que especifique o valor previsto para cada um dos serviços que compõem oobjeto, quais sejam: assessoramento técnico especializado, suporte remoto e manutenção evolutiva,sendo a prestação do assessoramento técnico especializado em duas modalidades: serviçoscontínuos e por projetos (Anexo 3, v. 1, fl. 294). O contrato detalha apenas o valor dos serviços aserem prestados por projetos, sem dimensionar os valores para os serviços contínuos e demanutenção evolutiva (Anexo 3, v. 1, fl. 297). d) falhas nas cláusulas de penalidades. As cláusulas de penalidades do Contrato 58/2009 são genéricas (Anexo 3, v. 1, fl. 302).Não se observa procedimentos para calcular o valor da sanção, impossibilitando, assim, enquadrar asanção em cada possível caso de descumprimento contratual. Além disso, o contrato não estabelece as sanções de advertência, de suspensão temporáriade participação em licitação e de declaração de inidoneidade para licitar ou para contratar com aAdministração Pública, conforme determina o art. 87, I, III e IV, da Lei 8.666/1993. 2.22.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.22.3 – Efeito/Consequência do achado: a) risco da ocorrência de aquisições ou contratações que não atendam à necessidade doórgão (efeito potencial). 2.22.4 – Critérios: a) Instrução Normativa – SLTI/MP 4/2008, art. 9º; art. 17; b) Norma Técnica – NBR – ISO/IEC 27002, 6.2.3 – Identificando segurança dainformação nos acordos com terceiros; c) são também considerados critérios para este achado, de maneira geral, a Lei8.666/1993 e aIN – SLTI/MP 4/2008. 2.22.5 – Evidências: a) resposta do MP aos itens 7.3 e 7.4 do Questionário PerfilGovTI-2010 (Anexo 1 –Principal – fls. 15-17); b) resposta do MP aos Questionamentos 4 e 5 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) projeto básico do Contrato 45/2005 (Anexo 2 – Principal – fls. 6-99); d) proposta comercial do Serpro (Anexo 2 – Principal – fls. 102-180); 34 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 35. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 e) Contrato 45/2005 (Anexo 2 – Volume 1 – fls. 235-411); f) projeto básico do Contrato 58/2009 (Anexo 3 – Principal – fls. 17-21); g) Contrato 58/2009 (Anexo 3 – Volume 1 – fls. 294-305); h) Nota Informativa – GAB/SPOA/MP 2/2010 (Anexo 1 – Principal – fls. 197-203); i) anexos da Nota Informativa – GAB/SPOA/MP 2/2010 (Anexo 1 – Volumes 1 e 2 –fls. 204-530); j) pesquisa de preços do Contrato 45/2005 (Anexo 2 – Volume 1 – fls. 184-211); k) pesquisa de preços do primeiro aditivo ao Contrato 45/2005 (Anexo 1 – Volumes 1 e2 –fls. 341-447); l) Ofício – SUNMP/MPCTR 31405/2004 (Anexo 2 – Volume 1 – fls. 211v-213); m) Despacho – CGLOG/SPOA/MP 105/2005 (Anexo 2 – Volume 1 – fls. 214-216); n) Despacho s/n, de 30/10/2006 (Anexo 2 – Volume 2 – fls. 458-459); o) Despacho – CGLOG/SPOA/SE/MP 97/2007(Anexo 2 – Volume 3 – fls. 756-757); p) parecer jurídico da minuta do Contrato 45/2005 (Anexo 2 – Volume 1 – fls. 217-225); q) parecer jurídico da minuta do primeiro termo aditivo ao Contrato 45/2005 (Anexo 2– Volume 2 – fls. 460-462); r) parecer jurídico da minuta do segundo termo aditivo ao Contrato 45/2005 (Anexo 2 –Volume 3 – fls. 759-766); s) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.21.6 – Esclarecimentos dos responsáveis: Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o Contrato 45/2005, encerrado em31/10/2010, foi substituído pelo Contrato 74/2010, o qual foi celebrado atendendo as etapasprevistas na Instrução Normativa – SLTI/MP 4/2008. Acrescentou que o Contrato 58/2009 foiencerrado em fevereiro/2011 e será formalizado novo contrato, que da mesma forma atenderá asrecomendações do TCU (Anexo 1, v. 6, fl. 1007v). 2.22.7 – Conclusão da equipe: A partir dos testes substantivos realizados no processo referente ao Contrato 45/2005, aequipe chegou às seguintes conclusões: a) a divisibilidade do objeto da contratação é técnica e economicamente viável, tendoem vista que os serviços possuem naturezas distintas, utilizam diferentes métricas, em sua maiorianão apresentam qualquer relação entre si, e que não houve ganhos de escala com a contrataçãoconjunta. Além disso, os serviços têm sua gestão contratual realizada de forma separada, o que nãoreflete a visão padronizada informada pelo MP. A não divisibilidade do objeto afronta o art. 23, §1º,da Lei 8.666/1993; b) em face dos esclarecimentos apresentados, persiste a ausência de indicação precisade com quais elementos (objetivos, iniciativas e ações) das estratégias institucionais e de tecnologiada informação a contratação está alinhada, uma vez que não foi formalizado plano estratégicoinstitucional pelo MP até a data de conclusão desse trabalho e que o PDTI do Ministério foielaborado e publicado somente em 2009, portanto, em momento posterior à contratação, o queafronta o disposto no Decreto-Lei 200/1967, art. 6º, inciso I c/c itens 9.3.11 do Acórdão 1.558/2003,9.1.1 do Acórdão 2.094/2004 e 9.1.9 do Acórdão 2.023/2005, todos do Plenário; c) quanto às desconformidades na elaboração dos pareceres jurídicos, considera-se quedeveria ter sido apontada a necessidade de realização de pesquisa de preços no mercado no quetange às minutas do Contrato 45/2005 e de seus dois primeiros termos aditivos; 35 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 36. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 d) insuficiência de cláusulas contratuais, pela ausência de vinculação a processo desoftware para serviços de desenvolvimento e manutenção de sistemas e pela ausência de vinculaçãoa um processo de gerenciamento para os projetos executados no âmbito dos serviços do contrato,decorrente do descumprimento da Lei 8.666/1993, art. 6º, inciso IX, letra d. A partir dos testes substantivos realizados no processo referente ao Contrato 58/2009, aequipe chegou às seguintes conclusões: a) não há indicação precisa de com quais elementos (objetivos, iniciativas e ações) dasestratégias institucionais e de Tecnologia da Informação a contratação está alinhada (Decreto-Lei200/1967, art. 6º, inciso I c/c itens 9.3.11 do Acórdão 1.558/2003, 9.1.1 do Acórdão 2.094/2004 e9.1.9 do Acórdão 2.023/2005, todos do Plenário); b) há falhas no método de mensuração dos serviços, tendo em vista que não foi definidono projeto básico ou no contrato um modelo de ordem de serviço (OS) para mensuração dosserviços prestados, o que afronta o disposto na Lei 8.666/1993, art. 6º, inciso IX, e está emdesconformidade com a jurisprudência desta Corte, constante dos itens 9.4.3 e 9.4.4 do Acórdão786/2006-TCU-Plenário; c) há insuficiência de cláusulas contratuais no tocante à segurança da informação, àgestão de projetos, a processo de software e ao valor do contrato, o que afronta o disposto na Lei8.666/1993, art. 6º, inciso IX, letra d; d) as cláusulas de penalidades do contrato são genéricas e não fazem previsão desanções de: advertência, suspensão temporária de participação em licitação, e declaração deinidoneidade para licitar ou para contratar com a Administração Pública, conforme determina o art.87, I, III e IV, da Lei 8.666/1993. 2.22.8 – Proposta de encaminhamento: Dar ciência à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãosobre as seguintes impropriedades identificadas no processo de contratação do Contrato 45/2005: a) não divisibilidade do objeto, estando presentes a viabilidade técnica e econômica, oque afronta o disposto no art. 23, §1º, da Lei 8.666/1993; b) ausência de elementos básicos na fundamentação do objetivo da contratação, o queafronta o disposto no Decreto-Lei 200/1967, art. 6º, I, c/c itens 9.3.11 do Acórdão 1.558/2003, 9.1.1do Acórdão 2.094/2004 e 9.1.9 do Acórdão 2.023/2005, todos do Plenário; c) desconformidades nos pareceres jurídicos, o que afronta o disposto no art. 38, VI, eparágrafo único, c/c o art. 26, III, todos da Lei 8.666/1993, por não ter sido apontada a necessidadede realização de pesquisa de preços no mercado no que tange às minutas do Contrato 45/2005 e deseus dois primeiros termos aditivos; d) insuficiência de cláusulas contratuais, pela ausência de vinculação a processo desoftware para serviços de desenvolvimento e manutenção de sistemas e pela ausência de vinculaçãoa um processo de gerenciamento para os projetos executados no contrato, o que afronta o dispostonaLei 8.666/1993, art. 6º, IX, letra d; Dar ciência à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãosobre as seguintes impropriedades identificadas no processo de contratação do Contrato 58/2009: a) ausência de elementos básicos na fundamentação do objetivo da contratação, o queafronta o disposto no Decreto-Lei 200/1967, art. 6º, I, c/c itens 9.3.11 do Acórdão 1.558/2003, 9.1.1do Acórdão 2.094/2004 e 9.1.9 do Acórdão 2.023/2005, todos do Plenário; b) falhas no método de mensuração dos serviços, tendo em vista que não foi definido noprojeto básico ou no contrato um modelo de ordem de serviço (OS) para mensuração dos serviçosprestados, o que afronta o disposto na Lei 8.666/1993, art. 6º, IX, e está em desconformidade com ajurisprudência desta Corte, constante dos itens 9.4.3 e 9.4.4 do Acórdão 786/2006-TCU-Plenário; c) insuficiência de cláusulas contratuais, no tocante à segurança da informação, à gestãode projetos, a processo de software e ao valor do contrato, o que afronta o disposto na Lei8.666/1993, art. 6º, IX, letra d; 36 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 37. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 d) não definição objetiva das penalidades e da fórmula de cálculo dos valorescorrespondentes a serem aplicados a cada caso de descumprimento contratual, o que afronta odisposto no art. 55, VII, da Lei 8.666/1993. 2.23 – Falhas nos controles que promovam a regular gestão contratual 2.23.1 – Situação encontrada: Por meio do item 11 do Anexo I do Ofício 1-849/2010-Sefti (fl. 23), o qual faz menção àpergunta 7.11 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do processo degestão de contratos de TI, em particular, sobre a existência de algum tipo de controle na fiscalizaçãoda execução de contratos de TI que permita identificar se todas as obrigações do contratado foramcumpridas (p.ex., produtos foram entregues, obrigações previdenciárias e trabalhistas, manutençãodas condições de habilitação e pontuação, quando for o caso), apresentando evidências de que estecontrole é utilizado e monitorado. Como resposta, o Gestor encaminhou apenas casos concretos de aplicação de controles naexecução do Contrato 45/2005, celebrado entre o MP e o Serpro (Anexo 1, arquivos das pastas‗12.1‘ e ‗12.2‘ no CD, fl. 18). Dessa forma, por meio do item 3 do Ofício de Requisição 3-849/2010-Sefti (fl. 26), aequipe de auditoria solicitou descrição dos controles existentes no órgão para promover a regulargestão contratual, identificando as etapas realizadas, os modelos de documentos produzidos e asáreas responsáveis por sua realização (fl. 26). Em resposta, o Gestor reenviou as informações apresentadas no Ofício 1-849/2010-Sefti,adicionando mais algumas evidências, que, conjuntamente, são as seguintes: a) afirmação da Seges de que não possui metodologia definida para ateste de execuçãodos serviços, aduzindo que o ateste é realizado, mas não está definido formalmente (Anexo 1, fl.18); b) controles aplicados pela SPI na gestão do contrato com o Serpro para a prestação deserviços nos sistemas Sispac e SIGPlan (Anexo 1, arquivos da pasta ‗12.112.1 – SPI‘ no CD, fl.18); c) descrição textual da atuação do DSTI e de algumas outras áreas de TI, de unidadesde negócio e do Serpro na gestão do contrato (Anexo 1, fl. 165); d) uma sequência de e-mails versando sobre homologação de uma demanda específicada SRH/MP, registrada em sistema de controle de demandas, cujo endereço éhttp://demandas.serpro.gov.br (Anexo 1, fls. 166-169); e) checklist elaborado pelo DSTI para ateste de uma fatura, bem como planilhascontendo demonstrativos de faturamento apresentados pela contratada no ano de 2010 e relação dedemandas associadas no âmbito de serviços prestados especificamente ao DSTI (Anexo 1, fls. 170-180); f) duas atas de reunião realizadas entre a SOF e o Serpro acerca de uma demandaespecífica (Anexo 1, fls. 181-187); e g) descrição dos controles usados pela SPU na gestão do contrato com o Serpro (Anexo1, fls. 188-191). Ocorre que os documentos apresentados não evidenciam a existência de um controleformalizado de gestão de contratos de TI, pois se referem apenas à aplicação de controles emalgumas demandas de um contrato específico de TI, o que caracteriza um controle ad hoc, ou seja,que pode ou não ser implementado, a depender da pessoa que execute o processo. 2.23.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.23.3 – Efeito/Consequência do achado: a) ineficiência no acompanhamento da execução contratual, podendo resultar na(o)qualidade/prazo insatisfatória(o) de serviços e produtos entregues (efeito potencial). 2.23.4 – Critérios: a) Instrução Normativa – SLTI/MP 4/2008, art. 20; 37 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 38. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 b) Norma Técnica – ITGI – Cobit 4.1, ME3.3 – Avaliar a conformidade com requisitosexternos; c) Norma Técnica – ITGI – Cobit 4.1, DS2.4 – Monitorar o desempenho do fornecedor; d) Norma Técnica – ITGI – Cobit 4.1, AI5.2 – Gerir contratos com fornecedores. 2.23.5 – Evidências: a) resposta do MP ao item 7.11 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 11 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) Anexo III da Nota Técnica – DSTI/SLTI/MP 174/2010 (Volume Principal, fls. 164-191); d) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); e) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.23.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP admitiu falhas no tocante à gestão contratual,afirmando que o novo contrato com o Serpro, Contrato 74/2010, assinado em 29/10/2010,viabilizará um novo modelo de gestão contratual, cujos processos estão em revisão no Ministério(Anexo 1, v.3, fl. 685). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o Contrato 74/2010 foi aditivado paraincluir em seu anexo h roteiro de métricas publicado pelo Sistema de Administração dos Recursosde Informação e Informática (Sisp). Acrescentou que o DSTI criou equipe chamada ‗escritório demétricas‘ para apoiar as áreas de TI do MP na contagem de pontos por função (Anexo 1, v. 6, fls.1007v-1008). 2.23.7 – Conclusão da equipe: Em que pese a apresentação de casos concretos de aplicação de controles no Contrato45/2005, não houve padronização entre as áreas de TI do MP quanto aos controles aplicados nagestão contratual do referido ajuste. Ademais, esses controles não são sistematizados formalmente,de forma a serem aplicados não apenas nos contratos com o Serpro, mas em todas as contrataçõesde bens e serviços de TI. Registre-se que a implementação de controles ad hoc gera riscos dedescontinuidade na sua aplicação. Portanto, não é possível inferir que todas as contratações seguem o disposto na seção degestão contratual positivada na Instrução Normativa – SLTI/MP 4/2008. A criação de equipe para apoiar as áreas de TI do MP na contagem de pontos por função,conforme a manifestação do Gestor sobre o relatório preliminar, ocorreu posteriormente ao períododa ação de controle e não pôde ser comprovada pela equipe no presente trabalho, o que poderá serrealizado em futuro monitoramento das deliberações do acórdão que vier a ser proferido. 2.23.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque aperfeiçoe os controles que promovam a regular gestão contratual e que permitam identificar setodas as obrigações do contratado foram cumpridas antes do ateste do serviço. 2.24 – Impropriedades na gestão contratual 2.24.1 – Situação encontrada: 38 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 39. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 Foram também realizados testes substantivos no Contrato 45/2005 e no Contrato 58/2009,com o objetivo de avaliar a aderência da gestão contratual com a legislação, tendo sido constatadasas seguintes impropriedades: I – Relativas ao Contrato 45/2005: a) inexistência de designação formal de preposto; Não consta dos autos analisados a designação formal de preposto para representar acontratada durante a execução contratual. Dessa forma, por meio do item 3 do Ofício 4-849/2010-Sefti (fl. 27), foi solicitado aoMinistério cópia da designação formal do preposto. Em resposta, o Gestor afirmou que o Serprodesignou o Senhor Iran Martins Porto Junior (Anexo 1, v. 1, fls. 207-212), o qual foi aceito pelaAdministração e vinha sendo acionado em todas as ocasiões em que houve necessidade deinterlocução com a contratada (Anexo 1, fls. 199-200). Todavia, a designação apresentada pelo MPocorreu em 1/4/2008, quando o contrato já se encontrava na vigência de seu terceiro termo aditivo,não apresentando designação de preposto para o período de 31/10/2005 a 31/3/2008. b) falha na designação formal dos fiscais do contrato; Na celebração inicial e nos três primeiros termos aditivos, os fiscais foram formalmentedesignados, mas de maneira intempestiva, pois os próprios atos de designação referentes ao períodoinicial e ao primeiro termo aditivo previam efeitos retroativos, e os referentes ao segundo e aoterceiro termos aditivos foram posteriores ao início da vigência e sequer previram efeitos retroativos(Anexo 2, v. 4, fls. 1022-1024; Anexo 2, v. 7, fls. 1592-1595), conforme a seguir: i) o primeiro ato de designação do supervisor para a vigência inicial do contrato, qualseja a Portaria MP 59/2006, de 21/3/2006 (Anexo 2, v. 2, fl. 422), previu efeitos retroativos a1/11/2005; ii) o primeiro ato de designação do supervisor e dos fiscais para a vigência do primeirotermo aditivo, qual seja, a Portaria MP 182/2007, de 30/3/2007 (Anexo 2, v. 3, fls. 697-699), previuefeitos retroativos a 1/11/2006; iii) a Portaria MP 120/2008, de 3/4/2008 (Anexo 2, v. 4, fls. 1022-1024) foi o primeiroato de designação do supervisor e dos fiscais para a vigência do segundo termo aditivo; portanto,intempestivo; iv) também foi intempestivo o primeiro ato de designação do supervisor e dos fiscaispara a vigência do terceiro termo aditivo, qual seja, a Portaria MP 510/2008, de 19/12/2008,conforme disposto na Portaria MP 44/2009, de 28/1/2009 (Anexo 2, v. 7, fls. 1592-1595). c) ateste de serviços por servidor não designado como fiscal do contrato; Verificou-se que serviços do primeiro termo aditivo foram atestados por servidores nãodesignados na portaria de designação dos fiscais do contrato (Anexo 2, v. 3, fls. 697-700), aexemplo do ocorrido durante os meses de maio e junho de 2007 para os serviços prestados àSPOA/SE/MP (Anexo 2, v. 3 , fls. 702-704) e do ocorrido no mês de julho do mesmo ano para osserviços prestados à SRH/MP (Anexo 2, v. 4 , fl. 1004). d) liquidação de despesas em conta contábil indevida; Verificou-se que despesas referentes a todos os diversos serviços distintos de TI prestadosno âmbito do Contrato 45/2005 foram liquidadas no elemento/subelemento 39.57 – Serviçostécnicos profissionais de TI – (Anexo 2, v. 9-12, fls. 1876; 1916; 1950; 2047; 2095; 2158; 2194;2290; 2328; 2378; 2402; 2433; 2472; 2512; 2652; 2696), mesmo após alteração no Plano de Contas,o qual passou a abarcar subelementos específicos para a prestação de serviços de tecnologia dainformação. Assim, as despesas referentes a tais serviços deveriam ser sido separadas e alocadas nascontas devidas, conforme orientações constantes da Seção 021100 — Outros Procedimentos aMacrofunção 021130 — DESPESAS COM TI, do Manual Siafi Web. e) falha na alteração do objeto. O parecer da consultoria jurídica do MP anterior à celebração do terceiro termo aditivo(Anexo 2, v. 4, fls. 1080-1081) apontou que o limite de 25% para alterações contratuais deve sercalculado com base no custo unitário dos serviços a serem adicionados ou suprimidos, e não apenas 39 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 40. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4no valor total do contrato, conforme o disposto no item 9.4.21 do Acórdão 1.330/2008-TCU-Plenário, recomendando que fossem juntados aos autos esclarecimentos quanto ao percentual deacréscimo da maneira determinada por essa Corte de Contas. Contudo, a Administração, aduzindo que a principal característica do contrato é o fato denão se dispor dos elementos que proporcionem o exato dimensionamento do quantitativo que seráexecutado (Anexo 2, v. 6, fls. 1334-1337), prosseguiu com a contratação, sem demonstrar aalteração no valor do contrato em termos dos custos unitários dos serviços adicionados ousuprimidos. II – Relativas ao Contrato 58/2009: a) ausência de designação formal do preposto da contratada; Não consta dos autos analisados a designação formal de preposto para representar acontratada durante a execução contratual. Dessa forma, por meio do item 8 do Ofício 4-849/2010-Sefti (fl. 27), foi solicitado aoMinistério cópia da designação formal do preposto, em conformidade com o disposto no art. 68 daLei 8.666/1993. Em resposta, o Gestor informou que o dispositivo legal supra não determina a necessidadede designação formal de preposto e informou que a contratada indicou a Senhora Juliana Kamimurapara atuar na condição de preposta da empresa, aduzindo que o fato foi aceito pela Administração(Anexo 1, fl. 200). Preliminarmente, registre-se que, contrariamente ao afirmado pelo gestor, a designação derepresentante da contratada deve ser formal. Essa formalidade é condição para que o administradorpúblico pratique, nos termos do art. 38 da Lei 8.666/1993, o ato administrativo de aceitar o preposto(ou recusá-lo). No mesmo sentido, a formalidade da indicação do preposto pela contratada écondição para que este (preposto) represente a contratada junto à Administração no âmbito docontrato, por exemplo, assinando documentos e dando encaminhamento a demandas da contratante. Haja vista os esclarecimentos do Gestor e o fato de ele não ter encaminhado qualquerevidência da referida designação, depreende-se que não foi realizada uma designação formal dopreposto da contratada. b) falhas na mensuração dos serviços; Apesar da omissão no projeto básico e no contrato quanto à definição de um modelo deordem de serviço (OS) para mensuração dos serviços prestados, foi adotado um modelo naexecução contratual dos serviços de assessoramento técnico especializado, os quais são prestadospor projetos ou por serviços contínuos. Ocorre que as OS utilizadas na execução contratual dos serviços prestados por projetos nãodistinguem a estimativa de esforço da quantidade de esforço realizado, não permitindo acomparação e o controle entre o estimado e o efetivamente executado, a exemplo das OSMP043/2010 (Anexo 1, v.3, fl. 583) e MP044/2010 (Anexo 1, v.3, fl. 568), relativas à fase deelaboração do projeto HOLOGRAMA na dimensão SLTI. Verificam-se ainda outras falhas na utilização das OS, quais sejam: 1) algumas OS referentes ao projeto HOLOGRAMA têm a informação de esforçopreenchida com o valor do custo do homem-hora, em vez da quantidade de horas, a exemplo dasOS MP044/2010, MP043/2010 (Anexo 1, v.3, fls. 568; 583) e MP042/2010 (Anexo 1, v.3, arquivo‗OS HologramaOS-MP42 HOLOGRAMA_SLTI_ELABORACAO_CONVENIOS.doc‘ no CD,fl. 600) (em todas elas, o esforço total registrado foi de 140 homens/hora, quando o total de horas é100); 2) nas OS referentes a serviços contínuos, que são remunerados por homem-hora(Anexo 3, v. 1, fl. 295), as atividades previstas são genéricas e idênticas, bem como são idênticos osprodutos e quantitativos de homens-hora para diversos meses, a exemplo das OS MP07/2009,MP16/2010, MP18/2010 e MP045/2010 (Anexo 1, v.3, fl. 600). Apesar da falha, cumpre salientarque nos processos de pagamento analisados, as quantidades de homem-hora foram confrontadas 40 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 41. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4com os quantitativos constantes das OS, sendo pagos somente os quantitativos aceitos no ateste dosserviços (Anexo 3, v. 1, fls. 352; 384). c) liquidação de despesas em conta contábil indevida; O MP vem empregando o elemento de despesa 3.3.3.9.0.39.05 – Serviços técnicosprofissionais – (Anexo 3, v. 1. fls. 362; 394), no âmbito do presente contrato, mesmo após alteraçãono Plano de Contas, que passou a abarcar subelementos específicos para a prestação de serviços detecnologia da informação. d) falha na prorrogação. Não foi realizada pesquisa de preço no processo de prorrogação do contrato capaz decomprovar vantajosidade para a Administração, mesmo que a consultoria jurídica do MP tenharecomendado sua realização por meio de parecer anterior à celebração do primeiro termo aditivo(Anexo 1, v. 3, fls. 641-642). 2.24.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.24.3 – Efeitos/Consequências do achado: a) serviços em desacordo com o contratado (efeito potencial); b) pagamentos sem que tenham sido produzidos os resultados esperados (efeitopotencial). 2.24.4 – Critérios: a) Lei 8.666/1993, art. 66; b) são também considerados critérios para este achado, de maneira geral, a Lei8.666/1993 e a Instrução Normativa – SLTI/MP 4/2008, art. 20. 2.24.5 – Evidências: a) Nota Informativa – GAB/SPOA/MP 2/2010 (Anexo 1 – Principal – fls. 197-203); b) anexos da Nota Informativa – GAB/SPOA/MP 2/2010 (Anexo 1 – Volumes 1 e 2 –fls. 204-530); c) Contrato 58/2009 (Anexo 3 – Volume 1 – fls. 294-305); d) Portaria – SPOA/MP 59/2006, de 21/3/2006 (Anexo 2 – Volume 2 – fl. 422); e) Portaria – SPOA/MP 182/2007, de 30/3/2007 (Anexo 2 – Volume 3 – fls. 697-700); f) Portaria – SPOA/MP 120/2008, de 3/4/2008 (Anexo 2 – Volume 4 – fls. 1022-1024); g) Portaria – SPOA/MP 44/2009, de 28/1/2009 (Anexo 2 – Volume 7 – fls. 1592-1595); h) Nota técnica – CGTI/SPOA s/n, de 10/7/2007, referente a ateste de serviçosrealizados no mês de maio de 2007 do Anexo IV do Contrato 45/2005 – Anexo IV (Anexo 2 –Volume 3 – fl. 702); i) Nota técnica – CGTI/SPOA/MP 23/2007, referente a ateste de serviços realizados nomês de junho de 2007 do Anexo IV do Contrato 45/2005 – Anexo IV (Anexo 2 – Volume 3 – fl.703); j) Memorando – CGCON/SPOA/MP 53/2007 (Anexo 2 – Volume 3 – fl. 704); k) Memorando – COSUC/CGCON/SPOA/MP 44/2007 (Anexo 2 – Volume 4 – fl.1004); l) parecer jurídico da minuta do terceiro termo aditivo ao Contrato 45/2005 (Anexo 2 –Volume 4 – fls. 1078-1085); m) Nota técnica – COGEC/CGCON/SPOA/SE/MP 36/2008 (Anexo 2 – Volume 6 – fls.1300-1341); n) Ordem de serviço MP 044/2010, referente ao Contrato 58/2009 (Anexo 1 – Volume3 – fls. 567-569); o) Ordem de serviço MP 043/2010, referente ao Contrato 58/2009 (Anexo 1 – Volume3 – fls. 582-584); p) Ordens de serviço referentes ao Contrato 58/2009 (Anexo 1 – Volume 3 – fl. 600); q) processos de pagamento dos Anexos do Contrato 45/2005, referentes aos meses deabril, junho e julho de 2010 (Anexo 2, v. 9-12, fls. 1809-2698); 41 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 42. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 r) Processo de pagamento 03110.007905/2010-31 – Contrato 58/2009 (Anexo 3 –Volume 1 – fls. 338-368); s) Processo de pagamento 03110.007897/2010-23 – Contrato 58/2009 (Anexo 3 –Volume 1 – fls. 369-400); t) Parecer jurídico da minuta do primeiro termo aditivo ao Contrato 58/2009 (Anexo 1– Volume 3 – fls. 640-645); u) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.24.6 – Esclarecimentos dos responsáveis: Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas: I – O Gestor da Secretaria-executiva do MP, por meio do Anexo I da Nota TécnicaConjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício – SE/MP 152/2011(Anexo 1, v. 6, fl. 1005), manifestou em relação ao Contrato 45/2005 que: a) as designações dos prepostos têm sido realizadas imediatamente após a assinaturados contratos, porém não apresentou evidências (Anexo 1, v. 6, fl. 1009); b) as portarias de designação dos fiscais têm sido publicadas imediatamente após aassinatura dos contratos (Anexo 1, v. 6, fl. 1009), e encaminhou todas as portarias de designaçãodos fiscais (Anexo 1, v. 6, fls. 1098-1176); c) nos processos de pagamento examinados, todas as faturas foram atestadas porservidor formalmente designado (Anexo 1, v. 6, fl. 1009); d) a conta contábil 3.3.3.9.0.39.57 utilizada no Contrato 45/2005 indica o registro dedespesa com serviços prestados por profissionais de TI, exceto quando puder ser classificada emconta específica. Acrescentou que incorporou a alteração no Plano de Contas e que tem orientado asunidades do Ministério para que detalhem o tipo de serviço executado (Anexo 1, v. 6, fl. 1009v); e) a justificativa para o questionamento da consultoria jurídica a respeito da ausência dedeclaração das modificações propostas ultrapassarem o limite de 25% encontra-se nos itens 25 a 31da Nota Técnica – COGEC/CGCON/SPOA/SE/MP 36/2008 (Anexo 1, v. 6, fls. 1090-1093).Convém destacar que a justificativa apresentada pelo Gestor (Anexo 2, v. 6, fls. 1334-1337) nesseitem já foi analisada na letra e do item 2.24.1do relatório preliminar (fl. 99); II – O Gestor da Secretaria-executiva do MP, por meio do Anexo I da Nota TécnicaConjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício – SE/MP 152/2011(Anexo 1, v. 6, fl. 1005), manifestou em relação ao Contrato 58/2009 que: a) as designações dos prepostos têm sido realizadas imediatamente após a assinaturados contratos (Anexo 1, v. 6, fl. 1009v), mas encaminhou apenas designações de fiscais do contrato(Anexo 1, v. 6, fls. 1177-1180); b) o fato de que na OS inexista a estimativa prévia para fins de comparação posteriornão significou que os produtos entregues estejam em desconformidade com as especificações docontrato. Acrescentou que as constatações apontadas serão levadas em consideração por ocasião donovo contrato sucessor daquele vencido (Anexo 1, v. 6, fl. 1010); c) no entendimento da área de execução orçamentária e financeira a despesa seriaclassificada como ‗serviços técnicos profissionais‘. Acrescentou que com as alterações ocorridas noPlano de Contas, a SPOA/MP tem buscado no exercício de 2011 obter o detalhamento da despesajunto às áreas demandantes (Anexo 1, v. 6, fl. 1010); d) houve pesquisa de preço em três órgãos em que a Calandra presta o mesmo serviço, eque a pesquisa foi realizada nas empresas em que a Calandra presta serviço, tendo em vista tratar-sede software exclusivo (Anexo 1, v. 6, fl. 1010). 2.24.7 – Conclusão da equipe: Em síntese, os comentários do gestor: 42 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 43. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 a) negam a inexistência de nomeação tempestiva dos prepostos dos dois contratos, adespeito das evidências apresentadas no relatório preliminar, sem apresentar argumentos ouevidências em contrário; b) negam a inexistência de nomeação tempestiva dos fiscais dos dois contratos, adespeito das evidências apresentadas no relatório preliminar, sem apresentar argumentos ouevidências em contrário; c) negam o ateste de serviços por servidor não designado como fiscal do contrato45/2005, a despeito das evidências apresentadas no relatório preliminar, sem apresentar argumentosou evidências em contrário; d) reconhecem a necessidade de aperfeiçoar a contabilização das despesas comtecnologia da informação, conforme falhas apontadas nos dois contratos; e) trazem argumento já analisado no item 2.24.1 do relatório preliminar com respeito àalteração do objeto no terceiro termo aditivo do contrato 45/2005; f) informam que se pretende corrigir as falhas nas OS por ocasião do novo contrato quesucederá o contrato 58/2009; g) informam que a pesquisa de preços para o Contrato 58/2009 foi feita, mas o que sequestionou foi a ausência de pesquisa para a prorrogação do referido contrato, fato não contestadona manifestação do Gestor do MP. A partir dos testes substantivos realizados no processo de execução do Contrato 45/2005 eda análise dos comentários do Gestor ao relatório preliminar, a equipe chegou às seguintesconclusões: a) ausência de designação formal de preposto da contratada durante os períodos devigência da celebração inicial do contrato, de seus dois primeiros termos aditivos e de parte doterceiro termo aditivo, o que afronta o disposto no art. 68 da Lei 8.666/1993; b) falha na designação formal do fiscal do contrato, tendo em vista a intempestividadedos atos de designação para os períodos de vigência da celebração inicial do contrato e dos trêsprimeiros termos aditivos, o que afronta o disposto no art. 58, III, c/c o art. 67 da Lei 8.666/1993; c) ateste de serviços do primeiro termo aditivo por servidor não designado formalmentecomo fiscal do contrato, o que afronta o disposto no art. 67 da Lei 8.666/1993; d) Despesas referentes a todos os diversos serviços distintos de TI prestados no âmbitodo Contrato 45/2005 foram liquidadas no subelemento de despesa 3.3.3.9.0.39.57, , as quaisdeveriam ser separadas e alocadas nas contas devidas, conforme alteração no Plano de Contas, quepassou a abarcar subelementos específicos para a prestação de serviços de tecnologia dainformação; e) falha na alteração do objeto, em razão da não demonstração de que a alteração dovalor do contrato na celebração do terceiro termo aditivo respeitou o limite de 25% em termos doscustos unitários dos serviços adicionados ou suprimidos, em face do disposto no item 9.4.21 doAcórdão 1.330/2008-TCU-Plenário, o que afronta o disposto no art. 65, §1º, da Lei 8.666/1993. A partir dos testes substantivos realizados no processo de execução do Contrato 58/2009 eda análise dos comentários do Gestor ao relatório preliminar, a equipe chegou às seguintesconclusões: a) ausência de designação formal de preposto da contratada, o que afronta o disposto noart. 68 da Lei 8.666/1993; b) falhas na mensuração dos serviços, tendo em vista que o instrumento de ordem deserviço adotado não contém a estimativa prévia do volume de serviços demandados, para fins decomparação e controle, bem como o fato de que as atividades previstas em algumas OS referentes aserviços contínuos prestados em diversos meses são genéricas e idênticas, bem como são idênticosos produtos e quantitativos de homens-hora, contrariamente ao que foi atestado, o que afronta o art.20, II, b, da IN – SLTI/MP 4/2008, e está em desconformidade com a jurisprudência do TCUconstante dos itens 9.4.3 e 9.4.4 do Acórdão 786/2006-TCU-Plenário; 43 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 44. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 c) liquidação de despesas em conta contábil indevida, uma vez que foi empregado osubelemento de despesa 3.3.3.9.0.39.05 – Serviços técnicos profissionais – (Anexo 3, v.1, fls. 357;362; 389; 394), no âmbito do presente contrato, mesmo após alteração no Plano de Contas, quepassou a abarcar subelementos específicos para a prestação de serviços de tecnologia dainformação; d) Previamente à celebração inicial do contrato, foi realizada pesquisa de preçosbalizada em contratos com as empresas IBOPE, ARACRUZ Celulose S.A. e com o BNDES,empresas privadas e pública em que a Calandra prestou serviço semelhante (Anexo 3, fls. 23-78).No entanto, na prorrogação do contrato não foi realizada pesquisa de preço capaz de comprovarvantajosidade para a Administração, o que vai de encontro ao art. 6º, IX, alínea f; art. 7º, §2º, II; art.26, parágrafo único, III, todos da Lei 8.666/1993. 2.24.8 – Propostas de encaminhamento: Considerando tratar-se de desconformidades em contrato de órgão da APF com o Serpro,objeto de apuração específica em outro processo deste TMS (TC 022.241/2010-8), propomos darciência à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestão, sobre asseguintes impropriedades identificadas na execução do Contrato 45/2005: a) não designação formal de um preposto aceito pela Administração para representar acontratada durante os períodos de vigência da celebração inicial do contrato, de seus dois primeirostermos aditivos e de parte do terceiro termo aditivo, o que afronta o disposto no art. 68 da Lei8.666/1993; b) falha na designação formal do fiscal do contrato, tendo em vista a intempestividadedos atos de designação para os períodos de vigência da celebração inicial do contrato e dos trêsprimeiros termos aditivos, o que afronta o disposto no art. 58, III, c/c o art. 67 da Lei 8.666/1993; c) ateste de serviços do primeiro termo aditivo por servidor não designado formalmentecomo fiscal do contrato, o que afronta o disposto no art. 67 da Lei 8.666/1993; d) adoção de elemento de despesa desconforme com o Plano de Contas Aplicado aoSetor Público – Administração Pública Federal, o que afronta o disposto nas orientações constantesda Seção 021100 – Outros Procedimentos da Macrofunção 021130 — DESPESAS COM TI, doManual Siafi Web; e) ausência de declaração de que as modificações propostas para a celebração doterceiro termo aditivo encontravam-se dentro do limite de 25%, em face do disposto no item 9.4.21do Acórdão 1.330/2008-TCU-Plenário, o que afronta o disposto no art. 65, §1º, da Lei 8.666/1993. Dar ciência à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãosobre as seguintes impropriedades identificadas na execução do Contrato 58/2009: a) não designação formal de um preposto aceito pela Administração para representar acontratada na execução do contrato, o que afronta o disposto no art. 68 da Lei 8.666/1993; b) falhas na mensuração dos serviços constantes das ordens de serviço, por ausência daestimativa prévia do volume de serviços demandados e por especificação genérica e idêntica dosserviços contínuos com produtos e quantitativos de homens-hora também idênticos para diversosmeses, o que afronta o disposto no art. 20, II, b, da IN – SLTI/MP 4/2008 e está emdesconformidade com a jurisprudência do TCU constante dos itens 9.4.3 e 9.4.4 do Acórdão786/2006-TCU-Plenário; c) adoção de elemento de despesa desconforme com o Plano de Contas Aplicado aoSetor Público – Administração Pública Federal, o que afronta o disposto nas orientações constantesda Seção 021100 – Outros Procedimentos da Macrofunção 021130 — DESPESAS COM TI, doManual Siafi Web; d) não realização de pesquisa de preços na prorrogação do contrato, o que afronta odisposto no art. 6º, IX, alínea f; art. 7º, §2º, II; art. 26, parágrafo único, III, todos da Lei 8.666/1993. 2.25 – Falhas no controle da execução do orçamento de TI 2.25.1 – Situação encontrada: 44 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 45. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 Por meio do item 3.3 do Anexo I do Ofício 1-849/2010-Sefti (fl. 20) e da pergunta 7.15 doQuestionário PerfilGovTI-2010, solicitaram-se informações acerca do controle periódico daexecução dos gastos da área de TI do ano corrente, em função da disponibilidade orçamentária. Como resposta, o Gestor declarou que a execução da despesa de TI é acompanhada pelaárea de TI e pela alta administração da instituição, e que a classificação das despesas de TI é deresponsabilidade da área contábil/orçamentária da instituição (Anexo 1, fl. 17). No entanto, as evidências encaminhadas pelo Gestor dão conta de que somente a SOF e oDSTI apresentam algum procedimento de controle da execução dos gastos de TI. Em relação àSOF, verificou-se procedimento de controle da disponibilidade orçamentária para despesas de TI de2010 (arquivo ‗4.1SOF – Item 4.1ACOMP EXECUÇÃO TI SOF 2010.xls‘ no CD, fl. 18) erelativo ao DSTI, procedimento de controle de gastos de TI no âmbito do Contrato 45/2005(arquivo ‗4.1Demonstrativo de faturamento DSTI – nov09 a out10.xls‘ no CD, fl. 18), ainda quenão seja em função da disponibilidade orçamentária. Não foram apresentadas evidências de que asdemais áreas de TI do MP ou a área contábil/orçamentária do MP ou a alta administração do órgãopossuem algum controle no que tange à execução dos gastos constantes do orçamento de TI doMinistério (arquivos da pasta ‗4.1‘ no CD, fl. 18). Outrossim, os controles apresentados não tratam o risco de alocação de despesas de TI emsubelementos de despesa que não estejam em conformidade com as orientações constantes da Seção021100 – Outros Procedimentos da Macrofunção 021130 — DESPESAS COM TI, do Manual SiafiWeb, à época definidos pela Portaria 467/2009 – STN, específicos para a prestação de serviços detecnologia da informação, uma vez que o controle do DSTI não se dá em função da disponibilidadeorçamentária e o controle da SOF não detalha as despesas em nível de subelementos. 2.25.2 – Causa da ocorrência do achado: a) Deficiências de controles. 2.25.3 – Efeito/Consequência do achado: a) Desconhecimento da disponibilidade orçamentária do setor de TI (efeito potencial). 2.25.4 – Critérios: a) Lei 4320/1964, art. 75, inciso III; b) Norma Técnica – MP – Gespública – Instrumento para Avaliação da Gestão Pública– Ciclo 2010 – critério de avaliação 7.3; c) Norma Técnica – ITGI – Cobit 4.1, PO5.4 – Gerência de custos. 2.25.5 – Evidências: a) resposta do MP ao item 7.15 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 3 do Anexo I ao Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.25.6 – Esclarecimentos dos responsáveis: Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a Coordenação-Geral de Planejamento,Orçamento e Finanças da SPOA/MP é a responsável pela gestão do orçamento do Ministério,inclusive, o de TI. Quanto à ausência de tratamento do risco de alocação de despesa de TI emsubelementos de despesa que não estejam em conformidade com aqueles definidos na Portaria467/2009 – STN, o Gestor da Secretaria-executiva do MP manifestou que acata a recomendação doTCU e que o Ministério estaria aprimorando seus controles para adequação ao disposto nas normaslegais (Anexo 1, v. 6, fl. 1008). 2.25.7 – Conclusão da equipe: 45 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 46. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 Constataram-se falhas no controle da execução do orçamento de TI do MP, porquanto: a) a menos dos controles da SOF e do DSTI, não foram apresentadas evidências decontrole da disponibilidade orçamentária para despesas de TI do MP; e b) os controles apresentados não tratam o risco de alocação de despesa de TI emsubelementos de despesa que não estejam em conformidade com as orientações constantes da Seção021100 – Outros Procedimentos da Macrofunção 021130 — DESPESAS COM TI, do Manual SiafiWeb, à época definidos pela Portaria 467/2009 – STN. 2.25.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque, em atenção às disposições contidas na Lei 4.320/1964, art. 75, inciso III, aperfeiçoe osprocedimentos de controle da execução orçamentária, a fim de se obter prontamente informaçõesacerca dos gastos e da disponibilidade de recursos de TI do Ministério como um todo. 3 – ACHADOS NÃO DECORRENTES DA INVESTIGAÇÃO DE QUESTÕES DEAUDITORIA 3.1 – TI descentralizada e sem coordenação 3.1.1 – Situação encontrada: Apesar de haver a participação das várias áreas de TI do MP nas reuniões do ComitêEstratégico de TI (Anexo 1, v. 3, fl. 633), foram verificadas evidências que configuram que aestrutura de TI do Ministério é descentralizada e sem coordenação efetiva: a) as respostas do MP a diversos questionamentos do Anexo I do Ofício 1-849/2010-Sefti foram organizadas por setor de TI, e abrangem somente setores específicos e não o Ministériocomo um todo (Anexo 1, fl. 18); b) o DSTI/SLTI/MP foi criado em 2009 (Anexo 1, v. 3, fl. 633v), com a missão decoordenar ações de TI no âmbito do MP (art. 33 do atual regimento interno contido no Decreto7.063/2010). No entanto, Relatório Executivo de Governança de TI do DSTI registra a necessidadede definição de novo organograma para o MP, prevendo a inclusão de processo de relacionamentoentre as unidades de TI e a incorporação das unidades de TI da SOF, SRH, SPU, COINF e Seges, àestrutura formal do DSTI (Anexo 1, v. 3, fl. 611v), tendo em vista que as áreas setoriais de TImantém seu foco principal nas demandas específicas de suas áreas de negócio, não estandototalmente alinhadas ao DSTI (Anexo 1, v. 3, fl. 614). Além disso, o diagnóstico do PDTI do Ministério apontou falhas relacionadas àdescentralização, associadas à falta de coordenação efetiva de TI no órgão (Anexo 1, fl. 918),registrando, entre outras, as seguintes conclusões quanto a governança de TI, gerenciamento dainformação, modelagem de processos de negócio e capacitação de recursos humanos: a) gestão de TI despadronizada entre as unidades do Ministério; b) gerenciamento de processos e projetos de TI feitos de maneira ad hoc; c) parcerias de soluções de TI formalizadas isoladamente; d) equipes de TI atuando isoladamente dentro de cada secretaria, sem uma visãocorporativa do Ministério. 3.1.2 – Causa da ocorrência do achado: a) deficiências de controles. 3.1.3 – Efeitos/Consequências do achado: a) ausência de referencial para estabelecer diretrizes de ações das áreas de TI nainstituição (efeito real); b) despadronização e descoordenação de ações nas áreas de TI (efeito real); c) ineficiência no suporte ao alcance dos objetivos finalísticos do órgão (efeitopotencial). 3.1.4 – Critérios: a) Decreto 7.063/2010, art. 33; b) Norma Técnica – ITGI – Cobit 4.1 – PO4.10 – Supervisão. 3.1.5 – Evidências: 46 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 47. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 a) PDTI-MP, Anexo I da Nota Técnica – DSTI/SLTI/MP 173/2010 (Anexo 1 –Principal – fls. 89-91); b) relatório executivo de governança de TI – estrutura organizacional DSTI (Anexo 1 –Volume 3 – fls. 603-625); c) ata da 16ª reunião do Comitê Estratégico de Tecnologia da Informação (Anexo 1, v.3, fls. 633-635); d) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 3.1.6 – Esclarecimentos dos responsáveis: Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que com a conclusão do projeto degovernança de TI do DSTI/SLTI/MP e com a posse de novos analistas de TI, simultaneamente emdezembro de 2010, o departamento iniciou a atuação de equipes especializadas com vistas aoexercício de atribuições de coordenação e supervisão das atividades de TI do MP. Acrescentou queas referidas equipes do DSTI e suas atribuições seriam oficializadas em novo regimento interno doMinistério (Anexo 1, v. 6, fl. 1008). 3.1.7 – Conclusão da equipe: O Ministério do Planejamento, Orçamento e Gestão tem ações de TI executadas de formadescentralizada e sem possuir coordenação das mesmas, ante a ausência de diretrizes para osdiferentes setores de TI do Ministério. Ratificam esse entendimento as medidas em cursoapresentadas pelo Gestor. A descentralização é uma opção válida e não contraria as boas práticas de governança deTI, para atender aos objetivos de negócio. Dessa forma, a TI adequa-se às necessidades daorganização sem perder eficiência nas ações e sem prejuízos à governança de TI. No entanto, emque pese o fato de que a estrutura de TI deva refletir as necessidades do negócio, não é razoável quea estrutura praticada pela organização privilegie ações descoordenadas, sob risco de ineficiência deações dos seus setores de TI. A ausência de coordenação de TI pode gerar impacto negativo sobre todas as atividades deTI do Ministério, o que inclui prejuízos à eficiência e à economicidade, com a falta de padronizaçãode contratos, de modelos de desenvolvimento e de aquisição de soluções, bem como com a ausênciade coordenação das atividades de: capacitação, segurança da informação, tratamento de incidentes,planejamento de contratações de TI, organização e orçamento de TI, gestão de projetos e deserviços e monitoração de desempenho da gestão e do uso da TI. Por oportuno, registra-se que há previsão normativa para que o DSTI/SLTI/MP executeessa função de coordenação, o que não ocorria na prática. A atuação de equipes especializadas, ainda não formalizadas, com vistas ao exercício deatribuições de coordenação e supervisão das atividades de TI, conforme manifestado pelo Gestor,iniciou-se posteriormente ao período do presente trabalho e, dessa forma, seus resultados nãopuderam ser comprovados pela equipe de auditoria, o que poderá ser realizado em futuromonitoramento das deliberações do acórdão que vier a ser proferido. 3.1.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque, em atenção ao disposto no Decreto 7.063/2010, art. 33, adote medidas para que oDSTI/SLTI/MP exerça efetivamente suas atribuições de coordenação e supervisão das atividades deTecnologia da Informação no âmbito de todo o Ministério. 4 – CONCLUSÃO As seguintes constatações foram identificadas neste trabalho:Questão 1 Inexistência do plano estratégico institucional (item 2.1) 47 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 48. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4Questão 2 Falhas no PDTI (item 2.2)Questão 3 Falhas relativas ao comitê de TI (item 2.3) Inexistência de avaliação do quadro de pessoal de TI (item 2.4)Questão 4 Falhas no controle da execução do orçamento de TI (item 2.25)Questão 5 Inexistência de processo de software (item 2.5)Questão 6 Inexistência de processo de gerenciamento de projetos (item 2.6)Questão 7 Inexistência do processo de gestão de mudanças (item 2.7) Inexistência do processo de gestão de incidentes (item 2.8) Inexistência do processo de gestão de configuração (item 2.9)Questão 8 Inexistência de gestor de segurança da informação e comunicações (item 2.10) Falhas na política de segurança da informação e comunicações (Posic) (item 2.11) Inexistência de classificação da informação (item 2.12) Inexistência de inventário dos ativos de informação (item 2.13) Inexistência de processo de gestão de riscos de segurança da informação (GRSIC) (item 2.14) Falhas na equipe de tratamento e resposta a incidentes em redes computacionais (ETRI) (item 2.15)Questão 9 Inexistência de plano anual de capacitação (item 2.16)Questão 10 Auditoria interna não apoia avaliação da TI (item 2.17) Falhas na avaliação da gestão de TI (item 2.18)Questão 11 Falhas nos controles que promovam o cumprimento da IN4 (item 2.19) Inexistência dos estudos técnicos preliminares (item 2.20) Falhas no cumprimento do processo de planejamento de acordo com a IN4 (item 2.21) Impropriedades na contratação (item 2.22)Questão 12 Falhas nos controles que promovam a regular gestão contratual (item 2.23) Impropriedades na gestão contratual (item 2.24) Foi identificado ainda o seguinte achado não vinculado a questão de auditoria: TI descentralizada e sem coordenação (item 3.1) Entre os benefícios estimados desta fiscalização pode-se mencionar, principalmente, aindução à melhoria nos controles internos do órgão e da governança de TI, cujas deficiências foramevidenciadas pelas falhas e impropriedades identificadas e relatadas neste processo. A presente fiscalização constituiu uma das catorze auditorias de avaliação de controlesgerais, as quais foram sendo realizadas no âmbito de um dos Temas de Maior Significânciadefinidos pelo TCU (TMS 6 – gestão e uso de TI) no ano de 2010, e teve como objetivo avaliar oscontroles gerais de TI na Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestão. Constatou-se que não há um processo de planejamento estratégico institucional que abranjatodo o MP, o que provoca falta de visão unificada e afeta, sobremaneira, o planejamento estratégicode TI do Ministério, o qual não tem como alinhar as necessidades de informação à estratégia doórgão. Como consequência, podem-se gerar prejuízos à economicidade e à eficiência, com gastosdesnecessários e a redução da efetividade dos recursos investidos. Quanto à estrutura organizacional, merece destaque o fato de a estrutura de TI do MP serdescentralizada e não possuir uma coordenação e supervisão efetiva, como referência para oestabelecimento de diretrizes para os diferentes setores de TI do Ministério. Em que pese as boaspráticas de governança de TI afirmarem que a estrutura de TI deva refletir as necessidades donegócio, não é razoável que a estrutura praticada pela organização privilegie ações descoordenadas,sob risco de ineficiência de ações dos seus setores de TI. A ausência de coordenação de TI podegerar impacto negativo sobre todas as atividades de TI do Ministério, o que inclui prejuízos àeficiência e à economicidade, decorrentes da falta de padronização de contratos, de modelos dedesenvolvimento e de processo de aquisição de soluções, bem como da ausência de coordenaçãodas atividades de: capacitação, segurança da informação, tratamento de incidentes, planejamento decontratações de TI, organização e orçamento de TI, gestão de projetos e de serviços e monitoração 48 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 49. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4de desempenho da gestão e do uso da TI. Registre-se que há previsão normativa de setor dentro doMP para executar essas atividades de coordenação e supervisão, o que de fato não ocorria. Outro aspecto relevante da organização de TI do MP diz respeito ao aspecto quantitativo equalitativo de seus profissionais. Não obstante algumas das áreas de TI apontarem a necessidade deservidores, constatou-se a inexistência de uma avaliação do quadro de pessoal de TI no âmbito detodo o Ministério. Sem esse estudo, não há como o MP justificar a necessidade de pessoal comperfil adequado para executar as atividades próprias de TI. Sobre o aspecto de formação deprofissionais de TI, os trabalhos identificaram ainda a ausência de um plano de capacitação dosservidores do órgão para o ano de 2010 e, em decorrência disso, a inexistência de ações decapacitação para a área de gestão de TI da instituição. O MP não possui processo de software estabelecido e nem processo de gerenciamento deprojetos, o que causa deficiências ou vulnerabilidades nos processos de contratação, nos projetoscorporativos do órgão e nos serviços de TI fornecidos para os usuários finais. A ausência dessesprocessos, adaptados às necessidades do órgão e aplicados aos projetos de construção de software,configura fator de risco para a definição, a gestão e o acompanhamento dos resultados obtidos. Não foram definidos processos de gestão de mudanças, gestão de configuração e gestão deincidentes, o que pode acarretar falha na entrega e gestão dos serviços de TI. Considerando osdiversos sistemas estruturantes geridos pelo Ministério, a ausência de gestão dos serviços de TIeleva o risco de interrupção ou mau funcionamento desses sistemas. Situação como essa podeconfigurar prejuízo à eficácia e eficiência na execução das ações do MP. No caso, registra-se queainda que a produção, manutenção e evolução dos serviços estratégicos de TI do MP sejamintegralmente prestadas pelo Serpro, o controle e a responsabilidade pelos processos de gestão egovernança de TI são dos gestores do MP e não da contratada. A contratada até pode executar boaparte desses processos, mas ainda assim o contratante é quem deve manter seu controle esupervisão, atividades indelegáveis à luz do Decreto-Lei 200/1967, art. 10, §7º Quanto à segurança da informação, o MP vem adotando medidas com vistas à adequação àlegislação vigente, uma vez que aprovou e publicou política de segurança da informação ecomunicações (Posic), instituiu comitê de segurança da informação e comunicações (CSIC),nomeou gestor de segurança da informação e comunicações, e instituiu equipe de tratamento eresposta a incidentes em redes computacionais (ETRI). No entanto, há falhas na Posic; não háprocessos de segurança da informação destinados a classificar e a inventariar os ativos deinformação; e não há procedimentos de gestão de riscos de segurança da informação. Tais lacunasconfiguram exigências previstas em normas técnicas elaboradas pelo Gabinete de SegurançaInstitucional da Presidência da República, que fornece diretrizes sobre segurança da informação aórgãos e entidades da Administração Pública Federal. Em face da relevância do tema, a ausência deelementos que permitam a boa gestão de segurança da informação configura situação incompatívelcom uma razoável governança de TI. Como parte do escopo do trabalho, foram fiscalizados dois contratos de TI do MP, sob osaspectos da conformidade do processo de contratação e da gestão contratual. Dessa análise, foramconstatadas várias impropriedades, algumas consideradas estruturais (ausência de estudos técnicospreliminares e falhas no cumprimento do processo de planejamento de acordo com a InstruçãoNormativa – SLTI/MP 4/2008) e outras pontuais (falhas na execução dos contratos). Em virtude dagravidade dos indícios e da potencialidade de efeitos negativos, as seguintes impropriedadesverificadas na análise do Contrato 45/2005 e não constantes deste relatório serão tratadas no TC022.241/2010-8, auditoria específica do TMS 6 – gestão e uso de TI, que avalia contratos do Serprocom a Administração Pública Federal, quais sejam: falhas nos critérios de mensuração dos serviços,modelo de pagamento não vinculado a resultados, falhas na justificativa de preço, desconformidadena aplicação dos critérios de medição, dificuldade de rastrear serviços executados, entre outros. Foi evidenciada boa prática dos gestores do MP, que realizaram avaliação por iniciativaprópria, prática conhecida como controle de auto-avaliação. 49 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 50. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 Ao final dos trabalhos de campo, para fins de estabelecimento de correlação entre asituação de governança de TI declarada pelo MP em resposta ao Questionário PerfilGovTI-2010, noâmbito do TC 009.329/2010-2 (Anexo 1, fls. 3-8), e a situação evidenciada in loco no presentetrabalho, esta equipe de auditoria respondeu o citado questionário com base na avaliação decontroles gerais realizada. Foram constatadas divergências nas questões 1.3, 2.3, 6.3 e 7.11, em quea opinião da equipe sobre a resposta é diferente da do auditado e reflete uma situação de governançapior que a declarada pelo gestor no âmbito do TC 012.538/2009-1 que subsidiou o Acórdão2.308/2010-TCU-Plenário. Cabe ressaltar que foi pressuposta boa-fé nos itens que refletem umasituação de governança pior que a declarada pelo gestor. Também foram constatadas divergênciasnas questões 2.2, 2.4 e 7.15, em que a opinião da equipe reflete uma situação de governança melhorque a declarada pelo gestor no âmbito do citado acórdão. É papel vital da governança de TI atuar de modo a atingir os resultados esperados da áreade TI por parte da alta administração do órgão. Isso se dá a partir da criação e do acompanhamentode processos e controles que têm como objetivo, entre outros, diminuir os riscos das operações,visando fazer com que a área de TI cumpra tempestiva e eficientemente sua missão. Quanto menosinstrumentos de controle houver para a gestão da TI, maiores são as chances do surgimento desituações que afetem negativamente o funcionamento da TI e, por conseguinte, do próprio órgão aoqual ela dá suporte. Sob essa premissa e considerando os achados relatados na fiscalização, entende-se que háforte correlação entre as falhas associadas à Governança de TI e as impropriedades encontradas noscontratos analisados. Quando se analisa algumas das impropriedades nos contratos, o que se identifica são osefeitos de processos mal executados. Uma das causas dos problemas reside, por certo, na ausênciaou falha em controles dos procedimentos internos de contratação de serviços de TI. Essa relação decausa e efeito pode ser evidenciada, no sentido de que é difícil estabelecer controles em processosde contratação sem que: a) haja justificativa para a contratação do objeto pretendido alinhada com os objetivosestratégicos e de TI do órgão – impossível em virtude da inexistência de plano estratégicoinstitucional e plano diretor de tecnologia da informação à época dos processos de contrataçãoanalisados; b) haja padronização do rol e da qualidade esperada dos produtos de software a serementregues pelas contratadas e padronização das atividades de gestão a serem desempenhadas peloórgão, com vistas a especificar adequadamente as suas necessidades nas contratações de serviços demanutenção e desenvolvimento de sistemas – objetivo impossível de ser alcançado sem a utilizaçãode processos de software e de gerenciamento de projetos; c) haja definição de cláusulas relativas a aspectos de segurança da informação nascontratações de serviços de TI – prejudicado em razão da não instituição de processos declassificação da informação e de gestão de riscos de segurança da informação. Portanto, a melhoria de processos de governança de TI no MP é essencial para que osriscos de ocorrências específicas na operação da TI que possam ocasionar falhas (inclusive asrelacionadas aos processos de contratação e gestão contratual) sejam tratados antecipadamente. Issoé possível por meio do apoio da alta administração, da criação e revisão periódica de controlesinternos e do aumento quantitativo e qualitativo de recursos humanos. Cabe destacar que após a reunião de encerramento realizada no MP, com a presença dacoordenação do TMS 6, da equipe de fiscalização, do Gestor da Secretaria-executiva do MP eprincipais gestores das demais das áreas envolvidas, em que foram discutidos os resultadospreliminares e apresentados os critérios utilizados, o Ministério foi instado a manifestar-se, porintermédio do Ofício 7-849/2010-Sefti (fl. 45), no prazo de cinco dias, sobre a avaliação dasrespostas enviadas pelo órgão ao Questionário PerfilGovTI-2010 após análise das evidências, esobre a avaliação de seus controles gerais de TI. Assim, os gestores ficaram cientes das falhas eimpropriedades encontradas, sua manifestação sobre os achados foi incorporada nas seções 50 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 51. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 esclarecimentos dos responsáveis, e sua análise foi considerada nas conclusões dos achados do relatório preliminar desta auditoria. Posteriormente, as conclusões e propostas do relatório preliminar foram consideradas pela SE/MP, a qual teceu comentários pontuais a cada um dos 26 achados, incorporados e analisados neste relatório final. A esse respeito, cabe salientar que as conclusões e propostas contidas no presente relatório, que foram referenciadas pela SE/MP nos itens da Nota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, consistem, de fato, na opinião da Sefti, que poderá ou não ser acolhida pelo Relator do processo, Ministro Aroldo Cedraz, sendo que, somente após o julgamento do processo pelo colegiado do Tribunal, é que se poderá falar em deliberação do TCU. Registrem-se as iniciativas que já vêm sendo adotadas pelo MP, posteriormente à ação de controle, no sentido de melhorar alguns processos de governança de TI e de adequá-los à legislação vigente, a exemplo daquelas comprovadas pela equipe quanto aos achados 2.10 e 2.15. Além dessas, o Gestor citou medidas, iniciadas após a ação de controle ou não concluídas até o término da fiscalização, referentes aos achados 2.2, 2.5, 2.6, 2.11, 2.18, 2.19, 2.23 e 3.1, cujos resultados não puderam ser comprovados pela equipe no presente trabalho, o que poderá ser realizado em futuro monitoramento das deliberações do acórdão que vier a ser proferido. Tais iniciativas reforçam a necessidade de serem implantados ou revisados processos e controles visando a induzir o alcance, pela área de TI, dos resultados esperados por parte da alta administração do órgão. Registre-se, ainda, que o presente trabalho faz parte de um diagnóstico da gestão e do uso de TI dos entes públicos e que os fatos aqui relatados serão considerados em conjunto com as conclusões das demais fiscalizações de avaliação de controles gerais de TI, no âmbito do processo referente à fiscalização consolidadora do TMS 6 – gestão e uso de TI (Fiscalis 471/2010). Por fim, tendo em vista as competências definidas para a CGU, órgão responsável pela auditoria interna do MP, e o fato de o escopo do presente trabalho ser a avaliação de controles gerais de TI, sustenta-se a proposta de encaminhar cópia do Acórdão que vier a ser proferido, bem como do Relatório e Voto que o fundamentarem à CGU.‖3. Por tais motivos, a Sefti, em pareceres uniformes (fls. 149/153), sugeriu a esta Corte: ―I. recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestão que: I.1. em atenção ao Decreto-Lei 200/1967, art. 6º, I, e art. 7º, elabore um plano estratégico institucional, considerando o previsto no critério de avaliação 2 do Gespública; (2.1) I.2. em atenção às disposições contidas no Decreto-Lei 200/1967, art. 6º, I, e na Instrução Normativa – SLTI/MP 4/2010, art. 4º, aperfeiçoe o processo de planejamento estratégico de TI, observando as diretrizes constantes da Estratégia Geral de Tecnologia da Informação (EGTI) em vigor, e à semelhança das orientações previstas no Cobit 4.1, processo PO1 – Planejamento Estratégico de TI; (2.2) I.3. aperfeiçoe a atuação do comitê de tecnologia da informação, à semelhança das diretrizes do Cobit 4.1, PO4.2 – Comitê estratégico de TI e PO4.3 – Comitê diretor de TI, prevendo as seguintes atribuições para o comitê de TI: a) acompanhar o estado dos projetos; b) resolver conflitos por recursos; e c) monitorar os níveis de serviço e as melhorias implantadas; (2.3) I.4. em atenção ao Decreto 5.707/2006, art. 1º, III, elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI no âmbito de todo o Ministério, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, à semelhança das práticas contidas no Cobit 4.1, PO4.12 – Pessoal de TI; (2.4) I.5. quando do estabelecimento de seu processo de software, considere as Normas NBR ISO/IEC 12.207 e 15.504; (2.5) 51 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 52. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 I.6. implante uma estrutura formal de gerência de projetos, à semelhança das orientaçõescontidas no Cobit 4.1, processo PO10.2 – Estruturas de Gerência de Projetos e no PMBOK, dentreoutras boas práticas de mercado; (2.6) I.7. estabeleça procedimentos formais de gestão de mudanças, de acordo com o previstono item 12.5.1 da NBR ISO/IEC 27002, à semelhança das orientações contidas no Cobit 4.1,processo AI6 – Gerenciar mudanças, e em outras boas práticas de mercado (tais como ITIL e NBRISO/IEC 20000); (2.7) I.8. implemente processo de gestão de incidentes de serviços de tecnologia dainformação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 – Gerenciar acentral de serviços e incidentes, e de outras boas práticas de mercado (tais como NBR ISO/IEC20000, ITIL e NBR 27002); (2.8) I.9. implemente processo de gestão de configuração de serviços de tecnologia dainformação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 – Gerenciarconfiguração e em outras boas práticas de mercado (como ITIL e NBR ISO/IEC 20000); (2.9) I.10. quando elaborar o plano anual de capacitação, contemple ações de capacitaçãovoltadas para a gestão de tecnologia da informação, à semelhança das práticas contidas no Cobit4.1, processos PO7.2 – Competências Pessoais e PO7.4 – Treinamento do Pessoal; (2.16) I.11. promova ações para que a auditoria interna apoie a avaliação da TI, à semelhança dasorientações contidas no Cobit 4.1, ME2 – Monitorar e avaliar os controles internos; (2.17) I.12. aperfeiçoe o processo de avaliação da gestão de TI, à semelhança das orientaçõescontidas no Cobit 4.1, itens ME1.4 – Avaliação de desempenho, ME1.5 – Relatórios gerenciais,ME1.6 – Ações corretivas e ME2 – Monitorar e avaliar os controles internos; (2.18) I.13. aperfeiçoe os controles destinados a promover o cumprimento do processo deplanejamento previsto na Instrução Normativa – SLTI/MP 4/2010; (2.19) I.14. planeje as contratações de serviços de tecnologia da informação executando oprocesso previsto na Instrução Normativa – SLTI/MP 4/2010, observando a sequência lógico-temporal entre as tarefas e os ritos de aprovação dos artefatos produzidos ao longo do processo;(2.21) I.15. aperfeiçoe os controles que promovam a regular gestão contratual e que permitamidentificar se todas as obrigações do contratado foram cumpridas antes do ateste do serviço; (2.23) I.16. em atenção às disposições contidas na Lei 4.320/1964, art. 75, inciso III, aperfeiçoeos procedimentos de controle da execução orçamentária, a fim de se obter prontamente informaçõesacerca dos gastos e da disponibilidade de recursos de TI do Ministério como um todo; (2.25) I.17. em atenção ao disposto no Decreto 7.063/2010, art. 33, adote medidas para que oDSTI/SLTI/MP exerça efetivamente suas atribuições de coordenação e supervisão das atividades deTecnologia da Informação no âmbito de todo o Ministério; (3.1) II. determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-executiva doMinistério do Planejamento, Orçamento e Gestão que: II.1. em atenção ao disposto na Lei 8.666/1993, art. 6º, IX, e às disposições contidas naInstrução Normativa – SLTI/MP 4/2010, art. 13, II, defina um processo de software previamente àsfuturas contratações de serviços de desenvolvimento ou manutenção de software, vinculando ocontrato com o processo de software, sem o qual o objeto não estará precisamente definido; (2.5) II.2. em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, VII, adequea política de segurança da informação e comunicações às práticas contidas na NormaComplementar 3/IN01/DSIC/GSIPR; (2.11) II.3. em atenção ao disposto no Decreto 4.553/2002, art. 6º, §2º, II, e art. 67, estabeleçacritérios de classificação das informações a fim de que possam ter tratamento diferenciadoconforme seu grau de importância, criticidade e sensibilidade, observando as práticas contidas noitem 7.2 da NBR ISO/IEC 27.002; (2.12) II.4. em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, VII, c/cNorma Complementar 4/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de 52 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 53. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4ativos de informação, de maneira que todos os ativos de informação sejam inventariados e tenhamum proprietário responsável, observando as práticas contidas no item 7.1 da NBR ISO/IEC 27.002;(2.13) II.5. em atenção ao disposto na Instrução Normativa GSI/PR 1/2008, art. 5º, VII, c/cNorma Complementar 4/IN01/DSIC/GSIPR, implemente processo de gestão de riscos de segurançada informação; (2.14) II.6. em atenção às disposições contidas no Decreto 5.707/2006, art. 5º, § 2º, c/c Portaria –MP 208/2006, art. 2º, I, e art. 4º, elabore plano anual de capacitação; (2.16) II.7. no prazo de trinta dias, a contar da ciência do acórdão que vier a ser proferido,encaminhe plano de ação para a implementação das medidas contidas no Decisum, contendo: i. para cada determinação, o prazo e o responsável (nome, cargo e CPF) pelodesenvolvimento das ações; ii. para cada recomendação, cuja implementação seja considerada conveniente eoportuna, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações; iii. para cada recomendação cuja implementação não seja considerada conveniente ouoportuna, justificativa da decisão; III. dar ciência à Secretaria-executiva do Ministério do Planejamento, Orçamento eGestão sobre: III.1. a ausência de estudos técnicos preliminares à elaboração do projeto básico referenteao Contrato 45/2005, o que afronta o disposto na Lei 8.666/1993, art. 6º, IX; (2.20); III.2. as seguintes impropriedades identificadas no processo de contratação do Contrato45/2005 (2.22): i. não divisibilidade do objeto, estando presentes a viabilidade técnica e econômica, oque afronta o disposto no art. 23, §1º, da Lei 8.666/1993; ii. ausência de elementos básicos na fundamentação do objetivo da contratação, o queafronta o disposto no Decreto-Lei 200/1967, art. 6º, I, c/c itens 9.3.11 do Acórdão 1.558/2003, 9.1.1do Acórdão 2.094/2004 e 9.1.9 do Acórdão 2.023/2005, todos do Plenário; iii. desconformidades nos pareceres jurídicos, o que afronta o disposto no art. 38, VI, eparágrafo único, c/c o art. 26, III, todos da Lei 8.666/1993, por não ter sido apontada a necessidadede realização de pesquisa de preços no mercado no que tange às minutas do Contrato 45/2005 e deseus dois primeiros termos aditivos; iv. insuficiência de cláusulas contratuais, pela ausência de vinculação a processo desoftware para serviços de desenvolvimento e manutenção de sistemas e pela ausência de vinculaçãoa um processo de gerenciamento para os projetos executados no contrato, o que afronta o dispostonaLei 8.666/1993, art. 6º, IX, letra d; III.3. as seguintes impropriedades identificadas no processo de contratação do Contrato58/2009 (2.22): i. ausência de elementos básicos na fundamentação do objetivo da contratação, o queafronta o disposto no Decreto-Lei 200/1967, art. 6º, I, c/c itens 9.3.11 do Acórdão 1.558/2003, 9.1.1do Acórdão 2.094/2004 e 9.1.9 do Acórdão 2.023/2005, todos do Plenário; ii. falhas no método de mensuração dos serviços, tendo em vista que não foi definido noprojeto básico ou no contrato um modelo de ordem de serviço (OS) para mensuração dos serviçosprestados, o que afronta o disposto na Lei 8.666/1993, art. 6º, IX, e está em desconformidade com ajurisprudência desta Corte, constante dos itens 9.4.3 e 9.4.4 do Acórdão 786/2006-TCU-Plenário; iii. insuficiência de cláusulas contratuais, no tocante à segurança da informação, à gestãode projetos, a processo de software e ao valor do contrato, o que afronta o disposto naLei 8.666/1993, art. 6º, IX, letra d; iv. não definição objetiva das penalidades e da fórmula de cálculo dos valorescorrespondentes a serem aplicados a cada caso de descumprimento contratual, o que afronta odisposto no art. 55, VII, da Lei 8.666/1993; 53 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 54. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 III.4. as seguintes impropriedades identificadas na execução do Contrato 45/2005 (2.24): i. não designação formal de um preposto aceito pela Administração para representar acontratada durante os períodos de vigência da celebração inicial do contrato, de seus dois primeirostermos aditivos e de parte do terceiro termo aditivo, o que afronta o disposto no art. 68 da Lei8.666/1993; ii. falha na designação formal do fiscal do contrato, tendo em vista a intempestividadedos atos de designação para os períodos de vigência da celebração inicial do contrato e dos trêsprimeiros termos aditivos, o que afronta o disposto no art. 58, III, c/c o art. 67 da Lei 8.666/1993; iii. ateste de serviços do primeiro termo aditivo por servidor não designado formalmentecomo fiscal do contrato, o que afronta o disposto no art. 67 da Lei 8.666/1993; iv. adoção de elemento de despesa desconforme com o Plano de Contas Aplicado aoSetor Público – Administração Pública Federal, o que afronta o disposto nas orientações constantesda Seção 021100 – Outros Procedimentos da Macrofunção 021130 — DESPESAS COM TI, doManual Siafi Web; v. ausência de declaração de que as modificações propostas para a celebração doterceiro termo aditivo encontravam-se dentro do limite de 25%, em face do disposto no item 9.4.21do Acórdão 1.330/2008-TCU-Plenário, o que afronta o disposto no art. 65, §1º, da Lei 8.666/1993; III.5. as seguintes impropriedades identificadas na execução do Contrato 58/2009 (2.24): i. não designação formal de um preposto aceito pela Administração para representar acontratada na execução do contrato, o que afronta o disposto no art. 68 da Lei 8.666/1993; ii. falhas na mensuração dos serviços constantes das ordens de serviço, por ausência daestimativa prévia do volume de serviços demandados e por especificação genérica e idêntica dosserviços contínuos com produtos e quantitativos de homens-hora também idênticos para diversosmeses, o que afronta o disposto no art. 20, II, b, da IN – SLTI/MP 4/2008 e está emdesconformidade com a jurisprudência do TCU constante dos itens 9.4.3 e 9.4.4 do Acórdão786/2006-TCU-Plenário; iii. adoção de elemento de despesa desconforme com o Plano de Contas Aplicado aoSetor Público – Administração Pública Federal, o que afronta o disposto nas orientações constantesda Seção 021100 – Outros Procedimentos da Macrofunção 021130 — DESPESAS COM TI, doManual Siafi Web; iv. não realização de pesquisa de preços na prorrogação do contrato, o que afronta odisposto no art. 6º, IX, alínea f; art. 7º, §2º, II; art. 26, parágrafo único, III, todos da Lei 8.666/1993; IV. Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria de Fiscalização deTecnologia da Informação – Sefti que, por ocasião do monitoramento das deliberações do acórdãoque vier a ser proferido, avalie a conformidade: IV.1. da atuação do gestor de segurança da informação e comunicações do MP com odisposto na Instrução Normativa – GSI/PR 1/2008, art. 7º; (2.10) IV.2. da atuação da equipe de tratamento e resposta a incidentes em redes computacionaisdo MP com o disposto na Norma Complementar 05/IN01/DSIC/GSIPR; (2.15) V. apor chancela de sigilo aos Volumes 4 e 5 do Anexo 1 dos presentes autos; (2.1) VI. Encaminhar cópia do Acórdão que vier a ser proferido, bem como do Relatório eVoto que o fundamentarem à Secretaria-executiva do Ministério do Planejamento, Orçamento eGestão; VII. Encaminhar cópia do Acórdão que vier a ser proferido, bem como do Relatório eVoto que o fundamentarem à Controladoria Geral da União; VIII. arquivar o presente processo.‖ É o Relatório. 54 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  • 55. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 VOTO Na sessão de 8/9/2010 (acórdão 2.308/2010 – Plenário), apresentei a este colegiado oresultado consolidado do levantamento efetuado pela Secretaria de Fiscalização de Tecnologia daInformação – Sefti, em 2010, para avaliar a governança de tecnologia da informação em 315 órgãos eentidades das administrações direta e indireta dos três poderes da União.2. Destaquei, naquela oportunidade, a importância da atuação desta Corte com relação àmatéria, eis que, a partir da identificação de pontos vulneráveis, será possível ao Tribunal, em primeirolugar, atuar como indutor do aperfeiçoamento da governança de TI no setor público e, em segundo lugar,identificar e disseminar entre as unidades jurisdicionadas os bons exemplos e modelos identificados.3. Apontei, ainda, as conclusões mais significativas do levantamento, que permitiu constatar,em síntese, que: a) mais de 60% das organizações não possuem planejamento estratégico de TI; b) algumas organizações continuam a ter sua TI totalmente controlada por pessoasestranhas a seus quadros de pessoal; c) são graves os problemas de segurança da informação, já que informações críticas nãosão protegidas adequadamente; d) metade das organizações não possui método ou processo para desenvolvimento desoftwares e para aquisição de bens e serviços de informática, o que gera riscos de irregularidades emcontratações; e) a atuação sistemática da alta administração com respeito à TI ainda é incipiente; f) mais da metade das organizações está no estágio inicial de governança de TI, e apenas5% encontram-se em estágio aprimorado.4. Neste momento, trago à consideração deste Plenário mais um trabalho concernente àmatéria: a auditoria realizada pela Sefti no Ministério do Planejamento, Orçamento e Gestão – MPOG,com o intuito de avaliar controles gerais de governança de TI naquela entidade.5. As principais ocorrências detectadas no presente trabalho assemelham-se às verificadas nolevantamento consolidado e confirmam a precisão daquele estudo. Basicamente, constatou-se no MPOG: a) inexistência de Plano Estratégico Institucional; b) falhas no Plano Diretor de Tecnologia da Informação; c) falhas relativas ao Comitê de TI; d) inexistência de avaliação do quadro de pessoal de TI; e) inexistência de processo de desenvolvimento de software; f) inexistência de processo de gerenciamento de projetos; g) inexistência de processo de gestão de mudanças; h) inexistência de processo de gestão de incidentes; i) inexistência de processo de gestão de configuração de serviços de TI; j) inexistência de gestor de segurança de informação e comunicações; k) falhas na política de segurança de informação e comunicações; l) inexistência de classificação de informação; m) inexistência de inventário de ativos de informação; n) inexistência de processo de gestão de riscos de segurança da informação; o) falhas na equipe de tratamento e resposta a incidentes em redes computacionais; p) inexistência de plano anual de capacitação; q) inexistência de apoio da auditoria interna à avaliação da TI; r) falhas na avaliação da gestão de TI; s) falhas nos controles destinados a promover o cumprimento da IN SLTI/MPOG4/2010; t) inexistência de estudos técnicos preliminares; u) falhas no cumprimento do processo de planejamento definido na IN SLTI/MPOG4/2010; 1 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199459.
  • 56. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 v) impropriedades em contratações; w) falhas em controles destinados a promover regular gestão contratual; x) impropriedades na gestão contratual; y) falhas no controle da execução do orçamento de TI; z) TI descentralizada e sem coordenação.6. Em razão das ocorrências acima apontadas, a unidade técnica apresentou uma série dedeterminações, recomendações e notificações que contribuirão para saneamento das ocorrências e paraaperfeiçoamento da governança de TI do MPOG.7. Assim, por considerar papel deste Tribunal a constante indução de melhoria da gestãoestatal e por estar integralmente de acordo com as medidas aventadas pela Sefti – especialmente notocante ao crucial tema da segurança da informação, que reputo essencial para adequado funcionamentodas organizações públicas e para defesa da intimidade dos cidadãos que com elas interagem – acolho asmanifestações daquela Secretaria e voto pela adoção da minuta de acórdão que trago ao escrutínio destecolegiado. Sala das Sessões, em 28 de setembro de 2011. AROLDO CEDRAZ Relator 2 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199459.
  • 57. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 ACÓRDÃO Nº 2613/2011 – TCU – Plenário1. Processo TC 024.956/2010-42. Grupo I – Classe V – Relatório de Auditoria.3. Responsável: João Bernardo de Azevedo Bringel, secretário executivo.4. Unidade: Ministério do Planejamento, Orçamento e Gestão – MPOG.5. Relator: Ministro Aroldo Cedraz.6. Representante do Ministério Público: não atuou.7. Unidade Técnica: Secretaria de Fiscalização de Desestatização – Sefti.8. Advogado constituído nos autos: não há.9. Acórdão: VISTOS, relatados e discutidos estes autos de relatório de auditoria realizada para avaliarcontroles gerais de tecnologia da informação no Ministério do Planejamento, Orçamento e Gestão –MPOG. ACORDAM os Ministros do Tribunal de Contas da União, reunidos em sessão doPlenário, ante as razões expostas pelo relator e com base nos arts. 42, §1º, e 43, I, da Lei 8.443/1992, enos arts. 245, §1º, e 250, inciso III, do Regimento Interno, em: 9.1. recomendar à Secretaria Executiva do Ministério do Planejamento, Orçamento eGestão que: 9.1.1 em atenção ao Decreto-Lei 200/1967, art. 6º, I, e art. 7º, elabore plano estratégicoinstitucional, considerando o critério de avaliação 2 do Gespública; 9.1.2. em atenção ao Decreto-Lei 200/1967, art. 6º, I, e à Instrução Normativa – SLTI/MP4/2010, art. 4º, aperfeiçoe o processo de planejamento estratégico de TI, observando as diretrizes daEstratégia Geral de Tecnologia da Informação em vigor e à semelhança das orientações do Cobit 4.1,processo PO1 – Planejamento Estratégico de TI; 9.1.3. aperfeiçoe a atuação do comitê de tecnologia da informação, à semelhança dasdiretrizes do Cobit 4.1, PO4.2 – Comitê estratégico de TI e PO4.3 – Comitê diretor de TI, prevendo asseguintes atribuições para aquele comitê: a) acompanhar o estado dos projetos; b) resolver conflitos porrecursos; e c) monitorar os níveis de serviço e as melhorias implantadas; 9.1.4. em atenção ao Decreto 5.707/2006, art. 1º, III, elabore estudo técnico de avaliaçãoqualitativa e quantitativa do quadro da área de TI de todo o Ministério, com vistas a fundamentar futurospleitos de ampliação e preenchimento de vagas de servidores efetivos qualificados, objetivando melhoratendimento de necessidades institucionais, à semelhança das práticas do Cobit 4.1, PO4.12 – Pessoal deTI; 9.1.5. ao estabelecer seu processo de software, considere as Normas NBR ISO/IEC 12.207e 15.504; 9.1.6. implante estrutura formal de gerência de projetos, à semelhança das orientações doCobit 4.1, processo PO10.2 – Estruturas de Gerência de Projetos e no PMBOK, entre outras boas práticasde mercado; 9.1.7. estabeleça procedimentos formais de gestão de mudanças, de acordo com o item12.5.1 da NBR ISO/IEC 27002, à semelhança das orientações do Cobit 4.1, processo AI6 – Gerenciarmudanças, e de outras boas práticas de mercado, como ITIL e NBR ISO/IEC 20000; 9.1.8. implemente processo de gestão de incidentes de serviços de tecnologia dainformação, à semelhança do Cobit 4.1, processo DS8 – Gerenciar a central de serviços e incidentes, e deoutras boas práticas de mercado, como NBR ISO/IEC 20000, ITIL e NBR 27002; 9.1.9. implemente processo de gestão de configuração de serviços de tecnologia dainformação, à semelhança do Cobit 4.1, processo DS9 – Gerenciar configuração, e de outras boas práticasde mercado, como ITIL e NBR ISO/IEC 20000; 1 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199619.
  • 58. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 9.1.10. ao elaborar o plano anual de capacitação, contemple ações de capacitação paragestão de tecnologia da informação, à semelhança do Cobit 4.1, processos PO7.2 – CompetênciasPessoais e PO7.4 – Treinamento do Pessoal; 9.1.11. promova ações para que a auditoria interna apoie a avaliação da TI, à semelhançado Cobit 4.1, ME2 – Monitorar e avaliar os controles internos; 9.1.12. aperfeiçoe o processo de avaliação da gestão de TI, à semelhança do Cobit 4.1,itens ME1.4 – Avaliação de desempenho, ME1.5 – Relatórios gerenciais, ME1.6 – Ações corretivas eME2 – Monitorar e avaliar os controles internos; 9.1.13. aperfeiçoe controles destinados a promover o cumprimento do processo deplanejamento previsto na Instrução Normativa SLTI/MPOG 4/2010; 9.1.14. planeje contratações de serviços de TI com uso do processo previsto na INSLTI/MPOG 4/2010, observando a sequência lógico-temporal entre tarefas e ritos de aprovação dosartefatos produzidos ao longo do processo; 9.1.15. aperfeiçoe controles que promovam regular gestão contratual e que permitamidentificar se todas as obrigações do contratado foram cumpridas antes da atestação do serviço; 9.1.16. em atenção à Lei 4.320/1964, art. 75, III, aperfeiçoe procedimentos de controle daexecução orçamentária, a fim de obter prontamente informações acerca de gastos e disponibilidade derecursos de TI do Ministério como um todo; 9.1.17. em atenção ao Decreto 7.063/2010, art. 33, adote medidas para que oDSTI/SLTI/MPOG exerça efetivamente suas atribuições de coordenação e supervisão das atividades deTI de todo Ministério; 9.2. determinar à Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestãoque: 9.2.1. em atenção à Lei 8.666/1993, art. 6º, IX, e à IN SLTI/MPOG 4/2010, art. 13, II,defina processo de software previamente a futuras contratações de serviços de desenvolvimento oumanutenção de software, vinculando o contrato com o processo de software, sem o qual o objeto nãoestará precisamente definido; 9.2.2. em atenção à IN GSI/PR 1/2008, art. 5º, VII, ajuste a política de segurança dainformação e comunicações à Norma Complementar 3/IN01/DSIC/GSIPR; 9.2.3. em atenção ao Decreto 4.553/2002, art. 6º, §2º, II, e art. 67, estabeleça critérios declassificação de informações, a fim de que possam ter tratamento diferenciado conforme seu grau deimportância, criticidade e sensibilidade, observando o item 7.2 da NBR ISO/IEC 27.002; 9.2.4. em atenção à IN GSI/PR 1/2008, art. 5º, VII, c/c a Norma Complementar4/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, demaneira a que todos os ativos de informação sejam inventariados e tenham proprietário responsável,observando o item 7.1 da NBR ISO/IEC 27.002; 9.2.5. em atenção à IN GSI/PR 1/2008, art. 5º, VII, c/c a Norma Complementar4/IN01/DSIC/ GSIPR, implemente processo de gestão de riscos de segurança da informação; 9.2.6. em atenção ao Decreto 5.707/2006, art. 5º, § 2º, c/c a Portaria MPOG 208/2006, art.2º, I, e art. 4º, elabore plano anual de capacitação; 9.2.7. no prazo de 30 (trinta) dias a contar da ciência deste acórdão, encaminhe à Seftiplano de ação para implementação das medidas contidas nesta decisão, com indicação: 9.2.7.1. para cada determinação, do prazo e do responsável (nome, cargo e CPF) pelodesenvolvimento das ações; 9.2.7.2. para cada recomendação cuja implementação seja considerada conveniente eoportuna, do prazo e do responsável (nome, cargo e CPF) pelo desenvolvimento das ações; 9.2.7.3. para cada recomendação cuja implementação não seja considerada conveniente ouoportuna, da justificativa da decisão; 9.3. dar ciência à Secretaria Executiva do Ministério do Planejamento, Orçamento eGestão: 2 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199619.
  • 59. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 9.3.1. da ausência de estudos técnicos preliminares à elaboração do projeto básico referenteao contrato 45/2005, o que afronta a Lei 8.666/1993, art. 6º, IX; 9.3.2. das seguintes impropriedades no processo de celebração do contrato 45/2005: 9.3.2.1. não divisão do objeto, apesar da viabilidade técnica e econômica, o que afronta oart. 23, §1º, da Lei 8.666/1993; 9.3.2.2. ausência de elementos básicos na fundamentação do objetivo da contratação, o queafronta o Decreto-Lei 200/1967, art. 6º, I, c/c os itens 9.3.11 do acórdão 1.558/2003, 9.1.1 do acórdão2.094/2004 e 9.1.9 do acórdão 2.023/2005, todos do Plenário; 9.3.2.3. desconformidades nos pareceres jurídicos, o que afronta os arts. 38, VI, eparágrafo único, e 26, III, da Lei 8.666/1993, por não ter sido apontada a necessidade de realização depesquisa de preços no mercado no que tange às minutas do contrato 45/2005 e de seus dois primeirostermos aditivos; 9.3.2.4. insuficiência de cláusulas contratuais, pela ausência de vinculação a processo desoftware para serviços de desenvolvimento e manutenção de sistemas e pela ausência de vinculação a umprocesso de gerenciamento para os projetos executados no contrato, o que afronta a Lei 8.666/1993, art.6º, IX, letra d; 9.3.3. das seguintes impropriedades no processo de celebração do contrato 58/2009: 9.3.3.1. ausência de elementos básicos na fundamentação do objetivo da contratação, o queafronta o Decreto-Lei 200/1967, art. 6º, I, c/c os itens 9.3.11 do acórdão 1.558/2003, 9.1.1 do acórdão2.094/2004 e 9.1.9 do acórdão 2.023/2005, todos do Plenário; 9.3.3.2. falhas no método de mensuração dos serviços, tendo em vista que não foi definido,no projeto básico ou no contrato, um modelo de ordem de serviço para mensuração dos serviçosprestados, o que afronta a Lei 8.666/1993, art. 6º, IX, e está em desconformidade com a jurisprudênciadesta Corte, nos termos dos itens 9.4.3 e 9.4.4 do acórdão 786/2006 – Plenário; 9.3.3.3. insuficiência de cláusulas contratuais no tocante à segurança da informação, àgestão de projetos, a processo de software e ao valor do contrato, o que afronta a Lei 8.666/1993, art. 6º,IX, letra d; 9.3.3.4. ausência de definição objetiva das penalidades e da fórmula de cálculo dos valorescorrespondentes a serem aplicados a cada caso de descumprimento contratual, o que afronta o art. 55, VII,da Lei 8.666/1993; 9.3.4. das seguintes impropriedades na execução do contrato 45/2005: 9.3.4.1. ausência de designação formal de preposto, aceito pela Administração, pararepresentar a contratada durante os períodos de vigência da celebração inicial do contrato, de seus doisprimeiros termos aditivos e de parte do terceiro termo aditivo, o que afronta o art. 68 da Lei 8.666/1993; 9.3.4.2. falha na designação formal do fiscal do contrato, tendo em vista a intempestividadedos atos de designação para os períodos de vigência da celebração inicial do contrato e dos três primeirostermos aditivos, o que afronta os arts. 58, III, e art. 67 da Lei 8.666/1993; 9.3.4.3. atestação de serviços do primeiro termo aditivo por servidor não designadoformalmente como fiscal do contrato, o que afronta o art. 67 da Lei 8.666/1993; 9.3.4.4. adoção de elemento de despesa desconforme com o Plano de Contas Aplicado aoSetor Público – Administração Pública Federal, o que afronta a Seção 021100 – Outros Procedimentos daMacrofunção 021130 — DESPESAS COM TI, do Manual Siafi Web; 9.3.4.5. ausência de declaração de que as modificações propostas para a celebração doterceiro termo aditivo encontravam-se dentro do limite de 25%, em face do item 9.4.21 do acórdão1.330/2008 – Plenário, o que afronta o art. 65, §1º, da Lei 8.666/1993; 9.3.5. das seguintes impropriedades na execução do contrato 58/2009: 9.3.5.1. ausência de designação formal de preposto, aceito pela Administração, pararepresentar a contratada na execução do contrato, o que afronta o art. 68 da Lei 8.666/1993; 9.3.5.2. falhas na mensuração dos serviços constantes das ordens de serviço, por ausênciada estimativa prévia do volume de serviços demandados e por especificação genérica e idêntica dosserviços contínuos com produtos e quantitativos de homens-hora também idênticos para diversos meses, o 3 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199619.
  • 60. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4que afronta o art. 20, II, b, da IN SLTI/MPOP 4/2008 e está em desconformidade com a jurisprudência doTCU, nos termos dos itens 9.4.3 e 9.4.4 do acórdão 786/2006 – Plenário; 9.3.5.3. adoção de elemento de despesa desconforme com o Plano de Contas Aplicado aoSetor Público – Administração Pública Federal, o que afronta a Seção 021100 – Outros Procedimentos daMacrofunção 021130 — DESPESAS COM TI, do Manual Siafi Web; 9.3.5.4. ausência de realização de pesquisa de preços na prorrogação do contrato, o queafronta o art. 6º, IX, f, o art. 7º, §2º, II, e o art. 26, parágrafo único, III, da Lei 8.666/1993; 9.4. determinar à Secretaria de Fiscalização de Tecnologia da Informação que, por ocasiãodo monitoramento das deliberações contidas neste acórdão, avalie a conformidade: 9.4.1. da atuação do gestor de segurança da informação e comunicações do MPOG com aIN GSI/PR 1/2008, art. 7º; 9.4.2. da atuação da equipe de tratamento e resposta a incidentes em redes computacionaisdo MPOG com a Norma Complementar 05/IN01/DSIC/GSIPR; 9.5. apor chancela de sigilo aos volumes 4 e 5 do anexo 1 destes autos; 9.6. encaminhar cópia deste acórdão e do relatório e do voto que o fundamentaram àSecretaria Executiva do Ministério do Planejamento, Orçamento e Gestão e à Controladoria Geral daUnião; 9.7. arquivar o presente processo.10. Ata n° 40/2011 – Plenário.11. Data da Sessão: 28/9/2011 – Ordinária.12. Código eletrônico para localização na página do TCU na Internet: AC-2613-40/11-P.13. Especificação do quorum:13.1. Ministros presentes: Augusto Nardes (na Presidência), Valmir Campelo, Walton Alencar Rodrigues,Aroldo Cedraz (Relator), Raimundo Carreiro, José Jorge e José Múcio Monteiro.13.2. Ministro-Substituto convocado: Augusto Sherman Cavalcanti.13.3. Ministro-Substituto presente: André Luís de Carvalho. (Assinado Eletronicamente) (Assinado Eletronicamente) AUGUSTO NARDES AROLDO CEDRAZ Vice-Presidente, no exercício da Presidência Relator Fui presente: (Assinado Eletronicamente) LUCAS ROCHA FURTADO Procurador-Geral 4 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199619.