Acórdão tcu 2746 2010 - susep-mf - avaliação de controles de ti
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Acórdão tcu 2746 2010 - susep-mf - avaliação de controles de ti

  • 1,273 views
Uploaded on

Entidade: Superintendência de Seguros Privados do Ministério da Fazenda - Susep/MF ...

Entidade: Superintendência de Seguros Privados do Ministério da Fazenda - Susep/MF
RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA
INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES DE
MELHORIA. IRREGULARIDADES JÁ TRATADAS EM OUTRO PROCESSO. DETERMINAÇÕES,
RECOMENDAÇÕES E ALERTAS

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,273
On Slideshare
1,249
From Embeds
24
Number of Embeds
2

Actions

Shares
Downloads
12
Comments
0
Likes
1

Embeds 24

http://fabiano-falcao.blogspot.com 12
http://fabiano-falcao.blogspot.com.br 12

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... Quarta-feira, 25 de Maio de 2011. Pesquisa número: 3 Pesquisa refinada: {tagRefQ} "AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA Expressão de Pesquisa: INFORMAÇÃO" Bases pesquisadas: Acórdãos; Decisões; Relações; Atas Documento da base: Acórdão Documentos recuperados: 11 Documento Mostrado: 1 Identificação Acórdão 2746/2010 - Plenário Número Interno do Documento AC-2746-38/10-P Grupo/Classe/Colegiado GRUPO I / CLASSE V / Plenário Processo 014.088/2010-0 Natureza Relatório de Auditoria Entidade Entidade: Superintendência de Seguros Privados do Ministério da Fazenda - Susep/MF Interessados Responsável: Paulo dos Santos, superintendente (CPF 757.618.908-87) Sumário RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES DE MELHORIA. IRREGULARIDADES JÁ TRATADAS EM OUTRO PROCESSO. DETERMINAÇÕES, RECOMENDAÇÕES E ALERTAS Assunto Relatório de Auditoria Ministro Relator AROLDO CEDRAZ Representante do Ministério Público não atuou Unidade Técnica 9ª Secretaria de Controle Externo - Secex/9 Advogado Constituído nos Autos não há Relatório do Ministro Relator A 9ª Secretaria de Controle Externo - Secex/9 realizou auditoria na Superintendência de1 de 31 25/5/2011 13:01
  • 2. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... Seguros Provados do Ministério da Fazenda - Susep/MF, no período de 20/5 a 9/7/2010, com o objetivo de avaliar controles gerais de tecnologia da informação - TI e verificar se estão de acordo com a legislação pertinente e com as boas práticas de governança de TI. 2. As ocorrências detectadas foram apresentadas pela equipe de auditoria nos seguintes termos (fls. 100/132): "3 - ACHADOS DE AUDITORIA 3.1 - Falhas no Plano Estratégico Institucional 3.1.1 - Situação encontrada: Por intermédio do item 1 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca do Plano Estratégico Institucional da SUSEP. Como resposta, foi enviado o Planejamento Estratégico 2005, com atualização aprovada em 2010 e projeto de novo Planejamento Estratégico para o período 2011-2015. Todavia , no plano enviado não constavam indicadores e metas definidos para o cumprimento dos objetivos estratégicos. 3.1.2 - Objetos nos quais o achado foi constatado: Plano Planejamento Estratégico Institucional 3.1.3 - Causas da ocorrência do achado: Deficiências de controles 3.1.4 - Efeitos/Conseqüências do achado: Ausência de referencial para verificar o alinhamento estratégico das ações da área de TI com o negócio da instituição. (efeito potencial) Risco de a instituição não conseguir atuar de forma eficiente no atingimento dos seus objetivos finalísticos. (efeito potencial) 3.1.5 - Critérios: Constituição Federal, art. 37, caput Decreto Lei 200/1967, art. 6º, inciso I; art. 7º 3.1.6 - Evidências: Resposta ao item 1.2 do Ofício nº 393/2010-Sefti, constante do Ofício SUSEP/SEGER nº 370/2010. (folhas 12/13 do Anexo 1 - Principal) Plano Estratégico de 2005 (folhas 36/73 do Anexo 1 - Principal) Alteração do Plano Estratégico de 2005 realizada em 2010 (folhas 74/79 do Anexo 1 - Principal) Aprovação da Alteracão do Plano Estratégico de 2005 (folhas 80/81 do Anexo 1 - Principal) Projeto de Planejamento Estratégico de 2011-2015 (folhas 81/92 do Anexo 1 - Principal) Resposta ao item 1.2 do Ofício nº 393/2010-Sefti, constante de DVD. (folha 93 do Volume Principal) 3.1.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.1.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.1.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), aperfeiçoe o Processo de Planejamento Estratégico Institucional, considerando o disposto no critério de avaliação nº 2 da Gespública. 3.2 - Falhas no processo de Planejamento Estratégico Institucional 3.2.1 - Situação encontrada: Por intermédio do item 1 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca do Processo de Planejamento Estratégico Institucional da SUSEP. A resposta da SUSEP não evidenciou as partes envolvidas na elaboração do Plano Estratégico. Tampouco houve divulgação satisfatória do referido plano, uma vez que apenas foi disponibilizado para o público interno por meio da intranet da entidade. Outrossim, constatou-se não haver o desdobramento do indigitado plano, inexistindo2 de 31 25/5/2011 13:01
  • 3. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... planos de ação para sua consecução. Não há, por fim, acompanhamento da execução do Plano Estratégico. 3.2.2 - Objetos nos quais o achado foi constatado: Plano Planejamento Estratégico Institucional 3.2.3 - Causas da ocorrência do achado: Deficiências de controles 3.2.4 - Efeitos/Conseqüências do achado: Risco de as ações de TI não estarem alinhadas ao negócio. (efeito potencial) 3.2.5 - Critérios: Constituição Federal, art. 37, caput Decreto Lei 200/1967, art. 6º, inciso I; art. 7º 3.2.6 - Evidências: Resposta ao item 1.2 do Ofício nº 393/2010-Sefti, constante do Ofício SUSEP/SEGER nº 370/2010. (folhas 12/13 do Anexo 1 - Principal) Plano Estratégico de 2005 (folhas 36/73 do Anexo 1 - Principal) Alteração do Plano Estratégico de 2005 realizada em 2010 (folhas 74/79 do Anexo 1 - Principal) Aprovação da Alteracão do Plano Estratégico de 2005 (folhas 80/81 do Anexo 1 - Principal) Projeto de Planejamento Estratégico de 2011-2015 (folhas 81/92 do Anexo 1 - Principal) Resposta ao item 1.2 do Ofício nº 393/2010-Sefti, constante de DVD. (folha 93 do Volume Principal) 3.2.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.2.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.2.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), aperfeiçoe o Processo de Planejamento Estratégico Institucional, considerando o disposto no critério de avaliação nº 2 da Gespública. 3.3 - Inexistência do PDTI 3.3.1 - Situação encontrada: Por intermédio do item 2 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca do Plano Diretor de Tecnologia da Informação (PDTI) da SUSEP. Como resposta, foi enviado o PDTI da entidade, de março de 2010. Todavia, o aludido plano não contempla as seguintes áreas: necessidades de informação alinhada à estratégia do órgão ou entidade, plano de investimentos, contratações de serviços, aquisição de equipamentos, quantitativo e capacitação de pessoal, gestão de risco, obrigatórias segundo a IN nº 4/2008 - SLTI. Como não foram atendidos os mencionados requisitos mínimos da norma em comento pelo documento apresentado, então este não pode ser considerado para todos os efeitos um PDTI. 3.3.2 - Objetos nos quais o achado foi constatado: Plano Plano Diretor de Tecnologia da Informação - PDTI 3.3.3 - Causas da ocorrência do achado: Deficiências de controles 3.3.4 - Efeitos/Conseqüências do achado: Ações de TI não alinhadas ao negócio. (efeito potencial) 3.3.5 - Critérios: Constituição Federal, art. 37, caput Decreto Lei 200/1967, art. 6º, inciso I; art. 7º Instrução Normativa 4/2008, SLTI/MPOG, art. 2º, inciso X; art. 3º; art. 4º, inciso III Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI 3.3.6 - Evidências: Documento apresentado como PDTI (folha 93 do Volume Principal)3 de 31 25/5/2011 13:01
  • 4. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... 3.3.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.3.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.3.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção ao previsto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 3º, elabore e aprove um Plano Diretor de Tecnologia da Informação - PDTI, observando as diretrizes constantes na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4, III, e as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI. 3.4 - Inexistência de comitê de TI 3.4.1 - Situação encontrada: Por intermédio do item 3 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca do comitê de TI da SUSEP. No próprio item 1.1 do "Questionário: Perfil GovTI 2010", o auditado informou a inexistência do referido comitê. 3.4.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.4.3 - Causas da ocorrência do achado: Deficiências de controles 3.4.4 - Efeitos/Conseqüências do achado: Sobreposição de ações de TI por parte das áreas de negócio que integrariam o comitê de TI. (efeito potencial) Definição das ações de TI sem garantia da participação das principais áreas de negócio da instituição. (efeito potencial) 3.4.5 - Critérios: Constituição Federal, art. 37, caput Instrução Normativa 4/2008, SLTI/MPOG, art. 4º, inciso IV Norma Técnica - ITGI - Cobit 4.1, PO4.3 - Comitê diretor de TI Norma Técnica - ITGI - Cobit 4.1, PO4.2 - Comitê estratégico de TI 3.4.6 - Evidências: Resposta da auditada ao item 1.1 do Questionário: Perfil GovTI 2010 (folhas 4/9 do Volume Principal) 3.4.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.4.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.4.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4º, IV, implante Comitê de Tecnologia da Informação que envolva as diversas áreas da Susep, e que se responsabilize por alinhar os investimentos de Tecnologia da Informação com os objetivos institucionais e por apoiar a priorização de projetos a serem implantados, considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.33 - Comitê diretor de TI . 3.5 - Inexistência de avaliação do quadro de pessoal de TI. 3.5.1 - Situação encontrada: Por intermédio do item 3 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca da avaliação do quadro de pessoal de TI da SUSEP. Como resposta, o gestor informou que não existem controles para avaliar periodicamente a adequação e suficiência do quadro de pessoal de TI, bem como as competências necessárias para os profissionais de TI.4 de 31 25/5/2011 13:01
  • 5. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... 3.5.2 - Objetos nos quais o achado foi constatado: Ofício SUSEP/SEGER nº 370/2010 3.5.3 - Causas da ocorrência do achado: Deficiências de controles 3.5.4 - Efeitos/Conseqüências do achado: Dependência do serviço de empresas terceirizadas (efeito potencial) Recursos humanos de TI insuficientes para atender às necessidades do negócio. (efeito potencial) Falta de competênicas apropriadas na área de TI. (efeito potencial) 3.5.5 - Critérios: ACÓRDÃO 71/2007, item 9.2.23, Tribunal de Contas da União, Plenário Decreto 5707/2006, art. 1º, inciso III; art. 3º, inciso III Norma Técnica - ITGI - Cobit 4.1, PO4.12 - Pessoal de TI 3.5.6 - Evidências: Resposta ao item 3 do Ofício TCU-Sefti nº 393/2010, constante do Ofício SUSEP/SEGER nº 370/2010 (folhas 14/17 do Anexo 1 - Principal) Resposta ao item 3 do Ofício TCU-Sefti nº 393/2010, constante de DVD (folha 93 do Volume Principal) 3.5.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.5.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.5.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, com fundamento no disposto na Constituição Federal, art. 37, caput (princípio da eficiência), em atenção ao Decreto nº 5.707/2006, art. 1º, inciso III, elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI. 3.6 - Inexistência de controle da execução do orçamento de TI. 3.6.1 - Situação encontrada: Por intermédio do item 4 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca do controle de execução de orçamento de TI da SUSEP. Na resposta apresentada, não há evidências de que o referido controle seja levado a efeito. Em reunião com a equipe, os gestores afirmaram não haver um controle institucionalizado de execução do orçamento, o qual é realizado por meio do SIAFI. 3.6.2 - Objetos nos quais o achado foi constatado: Ofício SUSEP/SEGER nº 370/2010 3.6.3 - Causas da ocorrência do achado: Deficiências de controles 3.6.4 - Efeitos/Conseqüências do achado: Desconhecimento da disponibilização orçamentária do setor de TI. (efeito potencial) 3.6.5 - Critérios: Lei 4320/1964, art. 75, inciso III Norma Técnica - MPOG - Gespública - Instrumento para Avaliação da Gestão Pública - Ciclo 2010 - critério de avaliação 7.3 Norma Técnica - ITGI - Cobit 4.1, PO5.4 - Gerência de custos 3.6.6 - Evidências: Resposta ao item 4 do Ofício TCU-Sefti nº 393/2010, constante do Ofício SUSEP/SEGER nº 370/2010 (folha 17 do Anexo 1 - Principal) Resposta ao item 4 do Ofício TCU-Sefti nº 393/2010, constante de DVD (folha 93 do Volume Principal) 3.6.7 - Esclarecimentos dos responsáveis:5 de 31 25/5/2011 13:01
  • 6. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.6.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.6.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção às disposições contidas na Lei nº 4.320/64, art. 75, inciso III, implante controle da execução orçamentária, a fim de se obter prontamente informações acerca dos gastos e da disponibilidade de recursos de TI. 3.7 - Inexistência de processo de software. 3.7.1 - Situação encontrada: Por intermédio do item 5 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca do processo de software da SUSEP. Como resposta, foi remetida uma tabela que estabele a documentação mínima necessária para o desenvolvimento de sistemas de informação e módulos. Todavia, o documento enviado não apresenta os elementos essenciais para ser considerado um processo de software normatizado, aprovado e publicado pela entidade e, assim, considerado obrigatório no âmbito da SUSEP. 3.7.2 - Objetos nos quais o achado foi constatado: Ofício SUSEP/SEGER nº 370/2010 3.7.3 - Causas da ocorrência do achado: Deficiências de controles 3.7.4 - Efeitos/Conseqüências do achado: Deficiência no processo de contratação, decorrente da inexistência de metodologia que assegure boa contratação de desenvolvimento de sistemas. (efeito potencial) Inexistência de parâmetros de aferição de qualidade para contratação de desenvolvimento de sistemas. (efeito potencial) 3.7.5 - Critérios: Instrução Normativa 4/2008, SLTI/MPOG, art. 12, inciso II Lei 8666/1993, art. 6º, inciso IX Norma Técnica - ITGI - Cobit 4.1, PO8.3 - Padrões de desenvolvimento e de aquisições. 3.7.6 - Evidências: CEDEN - Documentaçao mínima necessária para os sistemas de informação e módulos desenvolvidos pela equipe. (folha 93 do Volume Principal) 3.7.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.7.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.7.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Lei nº 8.666/93, art. 6º, inc. IX, e às disposições contidas na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 12, II, defina um processo de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de software, vinculando o contrato com o processo de software, sem o qual o objeto não estará precisamente definido. Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), quando do estabelecimento de seu processo de software, considere as Normas NBR ISO/IEC 12.207 e 15.504. 3.8 - Inexistência de processo de gerenciamento de projetos. 3.8.1 - Situação encontrada: Por intermédio do item 6 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca do processo de gerencimento de projetos da SUSEP. Em resposta ao aludido item, o qual faz referência à pergunta 7.4 do Questionário PerfilGovTI 2010, o gestor informou a inexistência de processo de gerenciamento de projetos no âmbito6 de 31 25/5/2011 13:01
  • 7. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... da entidade. 3.8.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.8.3 - Causas da ocorrência do achado: Deficiências de controles 3.8.4 - Efeitos/Conseqüências do achado: Risco de insucesso de projetos/processos relevantes, pela falta de estrutura de gestão de projetos. (efeito potencial) 3.8.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, PO10.2 - Estrutura de gerência de projetos 3.8.6 - Evidências: Resposta ao item 7.4 do Questionário PerfilGovTI 2010. (folhas 4/9 do Volume Principal) 3.8.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.8.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.8.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implante uma estrutura formal de gerência de projetos, observando as orientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos e do PMBOK, dentre outras boas práticas de mercado. 3.9 - Inexistência do processo de gestão de incidentes. 3.9.1 - Situação encontrada: Por intermédio do item 7 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca do processo de gestão de incidentes da SUSEP. Em resposta ao aludido intem, o qual faz referência à pergunta 7.6 do Questionário PerfilGovTI 2010, o gestor informou não haver processo de gestão de incidentes no âmbito da entidade. 3.9.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.9.3 - Causas da ocorrência do achado: Deficiências de controles 3.9.4 - Efeitos/Conseqüências do achado: Ocorrência de incidentes sem o devido gerenciamento. (efeito potencial) 3.9.5 - Critérios: Constituição Federal, art. 37, caput Norma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar incidentes e service desk. Norma Técnica - NBR - ISO/IEC 27002, item 10.1.2 - Gestão de mudanças. 3.9.6 - Evidências: Resposta ao item 7.6 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal) 3.9.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.9.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.9.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente processo de gestão de incidentes de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a central de serviços e incidentes e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000 e a NBR 27.002). 3.10 - Inexistência do processo de gestão de configuração 3.10.1 - Situação encontrada: Por intermédio do item 7 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se7 de 31 25/5/2011 13:01
  • 8. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... informações acerca do processo de gestão de configuração da SUSEP. Em resposta ao aludido item, o qual faz referência à pergunta 7.6 do Questionário PerfilGovTI 2010, o gestor informou não haver processo de gestão de configuração no âmbito da entidade. 3.10.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.10.3 - Causas da ocorrência do achado: Deficiências de controles 3.10.4 - Efeitos/Conseqüências do achado: Desatualização ou deficiência da configuração de TI. (efeito potencial) 3.10.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, DS9 - Gerenciar Configurações. 3.10.6 - Evidências: Resposta ao item 7.6 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal) 3.10.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.10.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.10.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente processo de gestão de configuração de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000). 3.11 - Inexistência do processo de gestão de mudanças. 3.11.1 - Situação encontrada: Por intermédio do item 7 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca do processo de gestão de mudanças da SUSEP. Em resposta ao aludido item, o qual faz referência à pergunta 7.6 do Questionário PerfilGovTI 2010, o gestor informou não haver processo de gestão de mudanças no âmbito da SUSEP. 3.11.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.11.3 - Causas da ocorrência do achado: Deficiências de controles 3.11.4 - Efeitos/Conseqüências do achado: Não avaliação do impacto de eventuais mudanças. (efeito potencial) Solicitações de mudanças não controladas. (efeito potencial) 3.11.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, AI6 - Gerenciar mudanças. Norma Técnica - NBR - ISO/IEC 27002, 12.5.1 - Procedimentos para controle de mudanças 3.11.6 - Evidências: Resposta ao item 7.6 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal) 3.11.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.11.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.11.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 17.799:2005, à semelhança das orientações contidas no Cobit 4.1, processo AI6 - Gerenciar mudanças8 de 31 25/5/2011 13:01
  • 9. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000). 3.12 - Inexistência de Gestor de Segurança da Informação e Comunicações. 3.12.1 - Situação encontrada: Por intermédio do Ofício de Requisição nº 623/2010-2, de 14/06/2010, solicitaram-se informações acerca do Gestor de Segurança da Informação e Comunicações da SUSEP. Em resposta, enviada por meio da Comunicação Interna nº 34, da CGETI para a AUDIT, datada de 17/06/2010, a entidade informou não ter designado até aquela data o referido gestor. 3.12.2 - Objetos nos quais o achado foi constatado: Comunicação Interna nº 34/2010 - SUSEP 3.12.3 - Causas da ocorrência do achado: Deficiências de controles 3.12.4 - Efeitos/Conseqüências do achado: Não otimização das ações de segurança da informação. (efeito potencial) 3.12.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso IV; art. 7º Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2 Norma Técnica - NBR - ISO/IEC 27002, 6.1.3 - Atribuição de responsabilidade para segurança da informação. 3.12.6 - Evidências: Comunicação Interna nº 34, de CGETI para AUDIT, de 17/06/2010 (folhas 25/26 do Anexo 1 - Principal) 3.12.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.12.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.12.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, IV e art. 7º, c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie Gestor de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27.002, item 6.1.3 - Atribuição de responsabilidade para segurança da informação. 3.13 - Inexistência de Comitê de Segurança da Informação e Comunicações. 3.13.1 - Situação encontrada: Por intermédio do Ofício de Requisição nº 623/2010-2, de 14/06/2010, solicitaram-se informações acerca do Comitê de Segurança da Informação e Comunicações da SUSEP. Em resposta, enviada por meio da Comunicação Interna nº 34, da CGETI para a AUDIT, datada de 17/06/2010, a entidade informou não ter instituído até aquela data o referido comitê. 3.13.2 - Objetos nos quais o achado foi constatado: Comunicação Interna nº 34/2010 - SUSEP 3.13.3 - Causas da ocorrência do achado: Deficiências de controles 3.13.4 - Efeitos/Conseqüências do achado: Não otimização das ações de segurança da informação. (efeito potencial) 3.13.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VI Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3 Norma Técnica - NBR - ISO/IEC 27002, item 6.1.2 - Coordenação de segurança da informação 3.13.6 - Evidências: Comunicação Interna nº 34, de CGETI para AUDIT, de 17/06/2010 (folhas 25/26 do Anexo9 de 31 25/5/2011 13:01
  • 10. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... 1 - Principal) 3.13.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.13.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.13.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VI c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27.002, item 6.1.2 - Coordenação de segurança da informação. 3.14 - Inexistência de Política de Segurança da Informação e Comunicações (POSIC). 3.14.1 - Situação encontrada: Por intermédio do item 8 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca da Política de Segurança da Informação e Comunicações (POSIC) da SUSEP. Em resposta ao aludido item, o qual faz referência à pergunta 7.2 do Questionário PerfilGovTI 2010, o gestor informou não haver POSIC no âmbito da entidade. 3.14.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.14.3 - Causas da ocorrência do achado: Deficiências de controles 3.14.4 - Efeitos/Conseqüências do achado: Falhas nos procedimentos de segurança. (efeito potencial) 3.14.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VII Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR Norma Técnica - NBR - ISO/IEC 27002, item 5.1 - Política de segurança da informação 3.14.6 - Evidências: Resposta ao item 7.2 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal) 3.14.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.14.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.14.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII, implante Política de Segurança da Informação e Comunicações, observando as práticas contidas na Norma Complementar 03/IN01/DSIC/GSIPR. 3.15 - Inexistência de equipe de tratamento e resposta a incidentes em redes computacionais (ETRI). 3.15.1 - Situação encontrada: Por intermédio do Ofício de Requisição nº 623/2010-2, de 14/06/2010, solicitaram-se informações acerca da equipe de tratamento e resposta a incidentes em redes computacionais (ETRI) da SUSEP. Em resposta, enviada por meio da Comunicação Interna nº 34, da CGETI para a AUDIT, datada de 17/06/2010, a entidade informou não ter instituído até aquela data a referida equipe. 3.15.2 - Objetos nos quais o achado foi constatado: Comunicação Interna nº 34/2010 - SUSEP 3.15.3 - Causas da ocorrência do achado: Deficiências de controles10 de 31 25/5/2011 13:01
  • 11. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... 3.15.4 - Efeitos/Conseqüências do achado: Falhas relativas às notificações e às atividades relacionadas a incidentes de segurança em redes de computadores. (efeito potencial) 3.15.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso V Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 05/IN01/DSIC/GSIPR 3.15.6 - Evidências: Comunicação Interna nº 34, de CGETI para AUDIT, de 17/06/2010 (folhas 25/26 do Anexo 1 - Principal) 3.15.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.15.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.15.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais, observando as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR. 3.16 - Inexistência de classificação da informação. 3.16.1 - Situação encontrada: Por intermédio do item 8 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca da classificação da informação no âmbito da SUSEP. Em resposta ao aludido item, o qual faz referência à pergunta 7.1 do Questionário PerfilGovTI 2010, o gestor informou não haver na entidade procedimento de classificação de informação para o negócio. 3.16.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.16.3 - Causas da ocorrência do achado: Deficiências de controles 3.16.4 - Efeitos/Conseqüências do achado: Risco de divulgação indevida de informação restrita. (efeito potencial) 3.16.5 - Critérios: ACÓRDÃO 2023/2005, item 9.1.4, Tribunal de Contas da União, Plenário Decreto 4553/2002, art. 6º, § 2º, inciso I; art. 6º, § 2º, inciso II; art. 67 Norma Técnica - NBR - ISO/IEC 27002, item 7.2 - Classificação da informação. 3.16.6 - Evidências: Resposta ao item 7.1 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal) 3.16.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.16.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.16.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção ao disposto no Decreto nº 4553/2002, art. 6º, § 2º, inciso II e art. 67, crie critérios de classificação das informações a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observando as práticas contidas no item 7.2 da NBR ISO/IEC 27.002. 3.17 - Inexistência de inventário dos ativos de informação. 3.17.1 - Situação encontrada: Por intermédio do item 8 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se11 de 31 25/5/2011 13:01
  • 12. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... informações acerca do inventário dos ativos de informação da SUSEP. Em resposta ao aludido item, o qual faz referência à pergunta 7.1 do Questionário PerfilGovTI 2010, o gestor informou ainda não ter sido levado a efeito aquele inventário. 3.17.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.17.3 - Causas da ocorrência do achado: Deficiências de controles 3.17.4 - Efeitos/Conseqüências do achado: Dificuldade de recuperação de ativo de informação. (efeito potencial) 3.17.5 - Critérios: Norma Técnica - NBR - ISO/IEC 27002, item 7.1.1 - inventário de ativos. Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1 3.17.6 - Evidências: Resposta ao item 7.1 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal) 3.17.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.17.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.17.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII c/c Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando as práticas contidas no item 7.1 da NBR ISO/IEC 27.002. 3.18 - Inexistência de processo de gestão de riscos de segurança da informação (GRSIC). 3.18.1 - Situação encontrada: Por intermédio do item 8 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca do processo de gestão de riscos de segurança da informação (GRSIC) da SUSEP. Em resposta ao aludido item, o qual faz referência à pergunta 7.1 do Questionário PerfilGovTI 2010, o gestor informou não haver, no âmbito da entidade, análise de riscos aos quais a informação crítica para o negócio está submetida, considerando-se, pelo menos, confidencialidade, integridade e disponibilidade. 3.18.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.18.3 - Causas da ocorrência do achado: Deficiências de controles 3.18.4 - Efeitos/Conseqüências do achado: Desconhecimento das ameaças e respectivos impactos relacionados à segurança da informação. (efeito potencial) 3.18.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VII Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 04/IN01/DSIC/GSIPR Norma Técnica - ITGI - Cobit 4.1, PO9.4 - Avaliação de riscos. Norma Técnica - NBR - 27005 - Gestão de riscos de segurança da informação 3.18.6 - Evidências: Resposta ao item 7.1 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal) 3.18.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível.12 de 31 25/5/2011 13:01
  • 13. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... 3.18.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.18.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII c/c Norma Complementar 04/IN01/DSIC/GSIPR, implemente processo de gestão de riscos de segurança da informação. 3.19 - Plano anual de capacitação não contempla a área de gestão de TI. 3.19.1 - Situação encontrada: Por intermédio do Ofício de Requisição nº 623/2010-2, de 14/06/2010, solicitaram-se informações acerca do Plano Anual de Capacitação de 2010 da SUSEP. Em resposta, enviada por meio de documentação retirada do Processo Administrativo nº 15414.004240/2009-35, que trata do programa anual de capacitação de pessoal para o exercício de 2010, pode-se constatar que a entidade elaborou o indigitado plano. Todavia, o plano não contempla a contento treinamentos específicos para a área de gestão de TI. 3.19.2 - Objetos nos quais o achado foi constatado: Plano Anual de Capacitação para 2010 3.19.3 - Causas da ocorrência do achado: Deficiências de controles 3.19.4 - Efeitos/Conseqüências do achado: Desatualização do quadro de pessoal da área de tecnologia da informação. (efeito potencial) 3.19.5 - Critérios: Decreto 5707/2006, art. 5º, § 2º Norma Técnica - ITGI - Cobit 4.1, PO7.2-Competências Pessoais Norma Técnica - ITGI - Cobit 4.1, PO7.4 - Treinamento do Pessoal 3.19.6 - Evidências: Extrato do Processo Administrativo nº 15414.004240/2009-35 (folhas 51/76 do Anexo 1 - Principal) 3.19.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.19.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.19.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), quando elaborar o próximo Plano Anual de Capacitação, contemple ações de capacitação voltadas para a gestão de tecnologia da informação, observando as práticas contidas no Cobit 4.1, processos PO7.2 - Competências Pessoais e PO7.4 - Treinamento do Pessoal. 3.20 - Inexistência de avaliação da gestão de TI. 3.20.1 - Situação encontrada: Por intermédio do item 9 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca da avaliação da gestão de TI pela Alta Administração da SUSEP. Em resposta ao aludido item, o qual faz referência à pergunta 1.2 do Questionário PerfilGovTI 2010, o gestor informou não existir no âmbito da entidade a referida avaliação. 3.20.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.20.3 - Causas da ocorrência do achado: Deficiências de controles 3.20.4 - Efeitos/Conseqüências do achado: Impossiblidade de verificação de possibilidades de melhoria. (efeito potencial) Decisões gerenciais baseadas em informações incompletas ou errôneas. (efeito potencial) Problemas não identificados nos serviços de TI. (efeito potencial)13 de 31 25/5/2011 13:01
  • 14. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... 3.20.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, ME1.5 - Relatórios gerenciais Norma Técnica - ITGI - Cobit 4.1, ME1.4 - Avaliar o desempenho Norma Técnica - ITGI - Cobit 4.1, ME1.6 - Ações corretivas 3.20.6 - Evidências: Resposta ao item 1.2 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal) 3.20.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.20.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.20.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), estabeleça um processo de avaliação da gestão de TI, observando as orientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 Relatórios gerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controles internos. 3.21 - Auditoria interna não apóia avaliação da TI. 3.21.1 - Situação encontrada: Por intermédio do item 9 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações para aferir se a auditoria interna apóia a avaliação da TI da SUSEP. Em resposta ao aludido item, o qual faz referência à pergunta 1.4 do Questionário PerfilGovTI 2010, o gestor informou não ter sido realizada auditoria de TI por iniciativa própria da instituição nos últimos três anos, o que evidencia ausência de avaliação desta área por parte da Auditoria Interna. 3.21.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.21.3 - Causas da ocorrência do achado: Deficiências de controles 3.21.4 - Efeitos/Conseqüências do achado: Deficiências na governança de TI, gestão de riscos e controles internos. (efeito potencial) 3.21.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, E2 - Monitorar e avaliar os controles internos. 3.21.6 - Evidências: Resposta ao item 1.4 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal) 3.21.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.21.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.21.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), promova ações para que a auditoria interna apoie a avaliação da TI, observando as orientações contidas no Cobit 4.1, ME2 - Monitorar e avaliar os controles internos. 3.22 - Inexistência de controles que promovam o cumprimento da IN4 3.22.1 - Situação encontrada: Por intermédio do item 10 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca dos controles que promovam o cumprimento da Instrução Normativa nº 4/2008 - SLTI/MPOG no âmbito da SUSEP. Como resposta, a entidade enviou check list de caráter genérico a ser observado com vistas à aferição dos procedimentos prescritos na Lei nº 8.666/93. Contudo, aquele instrumento de verificação não se presta à averiguação do cumprimento da instrução normativa supramencionada, não havendo, na entidade, qualquer outro documento14 de 31 25/5/2011 13:01
  • 15. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... destinado a tal fim. 3.22.2 - Objetos nos quais o achado foi constatado: Ofício SUSEP/SEGER nº 370/2010 3.22.3 - Causas da ocorrência do achado: Deficiências de controles 3.22.4 - Efeitos/Conseqüências do achado: Descumprimento de requisitos exigidos pela IN4/2008 - SLTI/MPOG. (efeito potencial) 3.22.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, ME3.3 - Avaliar a conformidade com requisitos externos Norma Técnica - ITGI - Cobit 4.1, AI5.4 - Adquirir recursos de TI. Norma Técnica - ITGI - Cobit 4.1, AI5.3 - Selecionar fornecedor Norma Técnica - ITGI - Cobit 4.1, AI1 - Identificar soluções automatizadas 3.22.6 - Evidências: check list para contratação pela Lei nº 8.666/93 (folha 93 do Volume Principal) 3.22.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.22.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.22.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente controles que promovam o cumprimento do processo de planejamento previsto na Instrução Normativa nº 4/2008- SLTI/MPOG. 3.23 - Descumprimento do processo de planejamento de acordo com a IN4 3.23.1 - Situação encontrada: A contratação do SERPRO, realizada por intermédio do Contrato nº 18/2009, no valor de R$ 5.241.736,00, cujo objeto é a prestação de serviços continuados e especializados em Tecnologia da Informação, foi levada a efeito sem que tenha sido elaborado estudo que contemplasse os quatro artefatos estabelecidos na IN nº 04/2008-SLTI/MPOG, que são: I - Análise de Viabilidade da Contratação; II - Plano de Sustentação; III - Estratégia de Contratação; e IV - Análise de Riscos. 3.23.2 - Objetos nos quais o achado foi constatado: Processo de dispensa 15414.002777/2009 - Contratação do SERPRO para prestação de serviços de informática 3.23.3 - Causas da ocorrência do achado: Deficiências de controles 3.23.4 - Efeitos/Conseqüências do achado: Risco da ocorrência de aquisições ou contratações que não atendam à necessidade do órgão (efeito potencial) Falhas no Termo de Referência ou Projeto Básico. (efeito potencial) 3.23.5 - Critérios: Instrução Normativa 4/2008, SLTI/MPOG, art. 9º; art. 11; art. 12; art. 13; art. 14; art. 15; art. 16 3.23.6 - Evidências: Processo de dispensa de licitação nº 15414.002777/2009-61 (folhas 1/56 do Anexo 3 - Principal) 3.23.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.23.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.23.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que planeje as contratações de serviços de tecnologia15 de 31 25/5/2011 13:01
  • 16. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... da informação executando o processo previsto na IN nº 04/2008-SLTI/MPOG, observando a sequência lógico-temporal entre as tarefas e os ritos de aprovação dos artefatos produzidos ao longo do processo. 3.24 - Irregularidades na contratação 3.24.1 - Situação encontrada: Com o objetivo de avaliar a aderência do procedimento licitatório adotado com a legislação vigente, foram realizados testes substantivos nos Contratos nº 17/2006, de valor mensal R$ 67.711,85, cujo objeto é a contratação de empresa especializada na manutenção de serviços de informática para a execução de consultoria, desenvolvimento e manutenção de sistemas relacionados ao Formulário de Informações Periódicas para o Mercado Segurador (FIPSUSEP) e ao Sistema de Armazenamento e Processamento de Informações e Estatísticas do Mercado Segurador (SAPIEMS), e nº 18/2009, no valor total de R$ 5.241.736,00, cujo objeto é a prestação de serviços continuados e especializados em Tecnologia da Informação, tendo sido constatadas as seguintes impropriedades: I - Com relação ao Contrato nº 17/2006: a) interposição de mão-de-obra e conseqüente pagamento não vinculado a resultados O ajuste foi formalizado visando ao fornecimento exclusivo de mão-de-obra interposta, em vez de prestação de serviços específicos, em desacordo com os arts. 3º e 4º, II, do Decreto nº 2.271/97; art. 6º da IN nº 04/2008- SLTI; Enunciado nº 331 do TST; art. 37, II, da Constituição Federal; item 9.3.1 do Acórdão/TCU nº 1.329/07 - Plenário e itens 9.3.3 e 9.3.7 do Acórdão/TCU nº 1.558/03 - Plenário. b) ausência de elementos básicos na fundamentação do objetivo da contratação Não há indicação precisa de com quais elementos (objetivos, iniciativas e ações) das estratégias institucionais e de Tecnologia da Informação a contratação pretendida está alinhada (Decreto-Lei nº 200/1967, art. 6º, inciso I c/c itens 9.1.1 do Acórdão nº 1.558/2003, 9.3.11 do Acórdão nº 2.094/2004 e 9.1.9 do Acórdão nº 2.023/2005, todos do Plenário). c) insuficiência de cláusulas contratuais O contrato não contém cláusula de segurança da informação, conforme prevê o item 6.2.3 - "identificando segurança da informação nos acordos com terceiros" da NBR 27002. Não há vinculação da contratação, que trata de desenvolvimento e manutenção de software, a um Processo de Desenvolvimento de Software, em desconformidade com o art. 12, II, da IN nº 04/2008 - SLTI. d) ausência das áreas de negócio e administrativa na gestão do contrato Apenas a área de TI atua na gestão do contrato, infringindo os arts. 20, III, e 23 da IN nº 04/2008 - SLTI e o princípio da eficiência insculpido no art. 37 da Constituição Federal. e) opção indevida por outra modalidade de licitação em detrimento do pregão Foi adotada a modalidade de licitação concorrência do tipo técnica e preço, quando deveria ter sido empregado o pregão. A licitação de bens e serviços de tecnologia da informação considerados comuns, ou seja, aqueles que possuam padrões de desempenho e de qualidade objetivamente definidos pelo edital, com base em especificações usuais no mercado, deve ser obrigatoriamente realizada pela modalidade Pregão, preferencialmente na forma eletrônica. Quando, eventualmente, não for viável utilizar essa forma, deverá ser anexada a justificativa correspondente (Lei nº 10.520/2002, art. 1º; Lei nº 8.248/1991, art. 3º, § 3º; Decreto nº 3.555/2000, anexo II; Decreto nº 5.450/2005, art. 4º, e Acórdão nº 1.547/2004 - Primeira Câmara). f) desconformidades nos pareceres jurídicos Todas as irregularidades apontadas na presente contratação poderiam ter sido evitadas se verificadas por ocasião da elaboração dos pareceres jurídicos pertinentes. g) exigências editalícias restritivas ao caráter competitivo da licitação A licitação exigia a comprovação de que o profissional já mantivesse vínculo com a licitante, seja como empregado contratado ou sócio da empresa. Tal imposição exclui da licitação empresas com profissionais ainda não contratados, mas à disposição para levar a efeito o serviço. Esta última situação, inclusive, acaba por abarcar a maioria das empresas, afinal estas não vão contratar novos empregados sem a garantia de aumento da demanda de seus serviços, o que somente se concretiza com a vitória no certame. Sendo assim, a exigência em comento pode acarretar redução considerável do número de empresas habilitadas, além de beneficiar a atual contratada, que já conta nos seus quadros de pessoal com profissionais executando o serviço licitado. A equipe também verificou que houve alteração de peso das propostas técnica e de preço16 de 31 25/5/2011 13:01
  • 17. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... de uma licitação para a outra. Na licitação anterior do mesmo serviço, os pesos eram iguais - 50% para cada, enquanto que no presente certame o peso da proposta técnica aumentou para 70% e o da de preço diminuiu para 30%. Tal modificação vem beneficiar a empresa que já havia ganhado a licitação anterior e se encontrava prestando o serviço na SUSEP, pois essa contratada à época da nova licitação, em virtude da execução do contrato anterior, acabava por apresentar todos os requisitos para obter a pontuação técnica máxima, fato que prejudica a competitividade de outras licitantes que nunca foram contratadas pela SUSEP para realizar os serviços licitados, já que teriam que comprovar preço bem mais baixo para se sagrarem vencedoras. II - Com relação ao Contrato nº 18/2009: a) ausência de elementos básicos na fundamentação do objetivo da contratação Não há indicação precisa de com quais elementos (objetivos, iniciativas e ações) das estratégias institucionais e de Tecnologia da Informação a contratação pretendida está alinhada (Decreto-Lei nº 200/1967, art. 6º, inciso I c/c itens 9.1.1 do Acórdão nº 1.558/2003, 9.3.11 do Acórdão nº 2.094/2004 e 9.1.9 do Acórdão nº 2.023/2005, todos do Plenário). b)impertinência de cláusulas contratuais A cláusula décima terceira - "do reajuste de preços" estabelece que o reajustamento será realizado considerando a Política de Preços da Contratada e não índice que reproduza a variação anual de preços do setor, infringindo o art. 40, XI, da Lei nº 8.666/93. A cláusula décima nona - "sanções administrativas" não estabelece as sanções de suspensão temporária de participação em licitação e impedimento de contratar com a Administração, por prazo não superior a 2 (dois) anos, e de declaração de inidoneidade para licitar ou contratar com a Administração Pública, conforme determina o art. 87, III e IV, da Lei nº 8.666/93. O parágrafo segundo da cláusula vigésima primeira - "da propriedade intelectual" prevê que "os programas de computador, soluções em tecnologia da informação e comunicação e componentes que venham a ser desenvolvidos pela contratada, para realizar integração entre os serviços objeto deste contrato, constituirão propriedade intelectual da contratada", quando deveriam pertencer exclusivamente à contratante, uma vez que o não fornecimento dos códigos-fonte dos programas desenvolvidos acarreta total dependência da contratada. c) insuficiência de cláusulas contratuais A cláusula sétima - "da segurança dos serviços" não contempla os requisitos previstos no item 6.2.3 - "identificando segurança da informação nos acordos com terceiros" da NBR 27002. d) não divisibilidade do objeto, estando presentes a viabilidade técnica e econômica. O objeto do contrato inclui serviços de consultoria em tecnologia da informação, de produção de sistemas, de administração de rede local, de administração de rede de longa distância, de administração de correio eletrônico e de emissão de certificado digital, os quais são tecnicamente divisíveis. A não divisibilidade do objeto afronta o art. 23, § 1º, da Lei nº 8.666/1993, e já foi objeto de pronunciamento do Tribunal, conforme Acórdãos nº 1.331/2003 e nº 2.471/2008, ambos do Plenário. e) ausência das áreas de negócio e administrativa na gestão do contrato Apenas a área de TI atua na gestão do contrato, infringindo o art. 20, III, e 23 da IN nº 04/2008 - SLTI e o princípio da eficiência insculpido no art. 37 da Constituição Federal. f) ausência de cláusula de garantia contratual Não consta do contrato qualquer cláusula referente a garantia contratual, o que viola o estabelecido no art. 55, VI, da Lei nº 8.666/93. g) ausência de estimativa de custos globais e unitários Não foi efetuada pesquisa de preços preliminar ao certame, tendo sido utilizada como referência contratação anterior com o SERPRO, o que vai de encontro à jurisprudência pacífica desta Casa de Contas no sentido da obrigatoriedade de tal pesquisa em momento anterior ao procedimento licitatório. h) falhas na contratação direta Não foram especificadas, no processo de dispensa de licitação, a razão da escolha do fornecedor ou executante e a justificativa do preço, em dissonância com o art. 26, II e III, da Lei nº 8.666/93. i) desconformidades nos pareceres jurídicos Todas as irregularidades apontadas na presente contratação poderiam ter sido evitadas se verificadas por ocasião da elaboração dos pareceres jurídicos pertinentes.17 de 31 25/5/2011 13:01
  • 18. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... j) irregularidades no DFP da licitante Há serviços que estão sendo executados em razão da presente contratação sem que haja detalhamento dos custos unitários de cada serviço, o que afronta o art. 7º, § 2º, II, da Lei nº 8.666/93. 3.24.2 - Objetos nos quais o achado foi constatado: Contrato 17/2006 - Contrato para desenvolvimento e manutenção dos Sistemas FIPSUSEP e SAPIEMS Contrato 18/2009 - Contratação do SERPRO para prestação de serviços de informática Processo de dispensa 15414.002777/2009 - Contratação do SERPRO para prestação de serviços de informática Processo licitatório 15414.004138/2005 - Concorrência para contratação de serviços referentes ao desenvolvimento e manutenção dos sistemas FIPSUSEP e SAPIEMS 3.24.3 - Causas da ocorrência do achado: Deficiências de controles Imperícia Inexistência ou insuficiência de segregação de funções Inexistência de controles 3.24.4 - Efeitos/Conseqüências do achado: Risco da ocorrência de aquisições ou contratações que não atendam à necessidade do órgão (efeito potencial) 3.24.5 - Critérios: ACÓRDÃO 2471/2008, item 9.1, Tribunal de Contas da União, Plenário ACÓRDÃO 2471/2008, item 9.2, Tribunal de Contas da União, Plenário Instrução Normativa 4/2008, SLTI/MPOG, art. 9º; art. 17 São também considerados critérios para este achado, de maneira geral, a Lei nº 8.666/1993 e a IN 04/2008 - SLTI/MPOG. 3.24.6 - Evidências: Comunicação Interna 29/2009 (folha 2 do Anexo 3 - Principal) Clausula décima à clausula vigésima primeira do Contrato 18/2009 (folhas 65/69 do Anexo 3 - Principal) Clausula sétima à clausula nona do Contrato 18/2009 (folha 62 do Anexo 3 - Principal) Clausulas primeira e segunda do Contrato 18/2009 (folhas 57/59 do Anexo 3 - Principal) Ato de designação nº 71/2009 (folha 70 do Anexo 3 - Principal) Clausula décima nona à clausula vigésima do Contrato 18/2009 (folhas 66/67 do Anexo 3 - Principal) Informação do Processo Nº 15414.002777/2009-61 (folha 3 do Anexo 3 - Principal) Edital de licitação da Concorrência nº 1/2006 (folhas 58/118 do Anexo 2 - Principal) Contrato nº 17/2006 (folhas 247/256 do Anexo 2 - Volume 1) Pagamentos realizados no âmbito do Contrato nº 17/2006 (folhas 439/1155 do Anexo 2 - Volume 2) Projeto básico da Concorrência nº 1/2006 (folhas 76/93 do Anexo 2 - Principal) Ato de designação nº 072/2007 (folha 323 do Anexo 2 - Volume 1) Ato de designação nº 042/2008 (folha 391 do Anexo 2 - Volume 1) Ato de designação nº 98/2010 (folha 438 do Anexo 2 - Volume 2) Parecer/PRGER/Assuntos Administrativos nº 23.952/2006 (folhas 33/34 do Anexo 2 - Principal) Parecer/PRGER/Assuntos Administrativos nº 24.261/2006 (folhas 49/50 do Anexo 2 - Principal) Edital de licitação da Concorrência Técnica e Preço nº 01/2002 (folhas 1167/1223 do Anexo 2 - Volume 5) Ato de designação nº 044/2006 (folha 443 do Anexo 2 - Volume 2) Ato de designação nº 063/2009 (folha 431 do Anexo 2 - Volume 2) 3.24.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.24.8 - Conclusão da equipe:18 de 31 25/5/2011 13:01
  • 19. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... Diante do exposto, evidencia-se a existência das irregularidades retratadas. 3.24.9 - Proposta de encaminhamento: Alertar a Superintendência de Seguros Privados (Susep) quanto à: Interposição de mão-de-obra e conseqüente pagamento não vinculado a resultados, decorrentes do descumprimento dos arts. 3º e 4º, II, do Decreto nº 2.271/97; art. 6º da IN nº 04/2008- SLTI; Enunciado nº 331 do TST; art. 37, II, da Constituição Federal; item 9.3.1 do Acórdão/TCU nº 1.329/07 - Plenário e itens 9.3.3 e 9.3.7 do Acórdão/TCU nº 1.558/03 - Plenário, conforme tratado no item I, alínea a, do tópico "situação encontrada" do achado "Irregularidades na contratação"; Ausência de elementos básicos na fundamentação do objetivo da contratação, decorrente do descumprimento do Decreto-Lei nº 200/1967, art. 6º, inciso I c/c itens 9.1.1 do Acórdão nº 1.558/2003, 9.3.11 do Acórdão nº 2.094/2004 e 9.1.9 do Acórdão nº 2.023/2005, todos do Plenário, conforme tratado no item I, alínea b, e no item II, alínea a do tópico "situação encontrada" do achado "Irregularidades na contratação"; Insuficiência de cláusulas contratuais, decorrente do descumprimento do item 6.2.3 - "identificando segurança da informação nos acordos com terceiros" da NBR 27002 e do art. 12, II, da IN nº 04/2008 - SLTI, conforme tratado no item I, alínea c, e no item II, alínea c do tópico "situação encontrada" do achado "Irregularidades na contratação"; Ausência das áreas de negócio e administrativa na gestão do contrato, decorrente do descumprimento dos arts. 20, III, e 23 da IN nº 04/2008 - SLTI e do princípio da eficiência insculpido no art. 37 da Constituição Federal, conforme tratado no item I, alínea d, e no item II, alínea e do tópico "situação encontrada" do achado "Irregularidades na contratação"; Opção indevida por outra modalidade de licitação em detrimento do pregão, decorrente do descumprimento da Lei nº 10.520/2002, art. 1º; Lei nº 8.248/1991, art. 3º, § 3º; Decreto nº 3.555/2000, anexo II; Decreto nº 5.450/2005, art. 4º, e Acórdão nº 1.547/2004 - Primeira Câmara, conforme tratado no item I, alínea e, do tópico "situação encontrada" do achado "Irregularidades na contratação"; Desconformidades nos pareceres jurídicos, decorrentes do descumprimento do art. 38, VI, e parágrafo único da Lei nº 8.666/93, conforme tratado no item I, alínea f, e item II, alínea i do tópico "situação encontrada" do achado "Irregularidades na contratação"; Exigências editalícias restritivas ao caráter competitivo da licitação, decorrentes do descumprimento do art. 3º, § 1º, I, da Lei nº 8.666/93, conforme tratado no item I, alínea g, do tópico "situação encontrada" do achado "Irregularidades na contratação"; Impertinência de cláusulas contratuais, decorrente do descumprimento do art. 40, XI, e do art. 87, III e IV, c/c o art. 55, VII, da Lei nº 8.666/93, conforme tratado no item II, alínea b, do tópico "situação encontrada" do achado "Irregularidades na contratação"; Não divisibilidade do objeto, estando presentes a viabilidade técnica e econômica, decorrente do descumprimento do art. 23, § 1º, da Lei nº 8.666/1993 e dos Acórdãos nº 1.331/2003 e nº 2.471/2008, ambos do Plenário, conforme tratado no item II, alínea d, do tópico "situação encontrada" do achado "Irregularidades na contratação"; Ausência de cláusula de garantia contratual, decorrente do descumprimento do art. 55, VI, da Lei nº 8.666/93, conforme tratado no item II, alínea f, do tópico "situação encontrada" do achado "Irregularidades na contratação"; Ausência de estimativa de custos globais e unitários, decorrente do descumprimento do art. 40, § 2º, inciso II, c/c o art. 43, inciso IV da Lei nº 8.666/93 e do item 9.1.14 do Acórdão/TCU nº 1.382/2009 - Plenário, conforme tratado no item II, alínea g, do tópico "situação encontrada" do achado "Irregularidades na contratação"; Falhas na contratação direta, decorrentes do descumprimento do art. 26, II e III, da Lei nº 8.666/93, conforme tratado no item II, alínea h, do tópico "situação encontrada" do achado "Irregularidades na contratação"; e Ausência de detalhamento dos custos unitários de cada serviço constante do Demonstrativo de Formação de Preços da contratada, decorrente do descumprimento do art. 7º, § 2º, II, da Lei nº 8.666/93, conforme tratado no item II, alínea j, do tópico "situação encontrada" do achado "Irregularidades na contratação". 3.25 - Inexistência de controles que promovam a regular gestão contratual19 de 31 25/5/2011 13:01
  • 20. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... 3.25.1 - Situação encontrada: Por intermédio do item 11 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca dos controles que promovam a regular gestão dos contratos de TI da SUSEP. Como resposta, a entidade informou, no Ofício SUSEP/SEGER nº 370/2010, que "existem procedimentos mínimos adotados, porém não existe um documento formal". Sendo assim, inexiste um procedimento uniforme normatizado pela entidade, o que evidencia a ausência daqueles controles de gestão. 3.25.2 - Objetos nos quais o achado foi constatado: Ofício SUSEP/SEGER nº 370/2010 3.25.3 - Causas da ocorrência do achado: Deficiências de controles 3.25.4 - Efeitos/Conseqüências do achado: Risco de inificiência no acompanhamento da execução contratual, podendo resultar na qualidade/prazo insatisfatórios de serviços e produtos entregues. (efeito potencial) 3.25.5 - Critérios: ACÓRDÃO 669/2008, item 9.1.15, Tribunal de Contas da União, Plenário Instrução Normativa 4/2008, SLTI/MPOG, art. 20 Norma Técnica - ITGI - Cobit 4.1, ME3.3 - Avaliar a conformidade com requisitos externos Norma Técnica - ITGI - Cobit 4.1, DS2.4 - Monitorar o desempenho do fornecedor Norma Técnica - ITGI - Cobit 4.1, AI5.2 - Gerir contratos com fornecedores 3.25.6 - Evidências: Resposta ao item 11.1 do Ofício TCU-Sefti nº 393/2010 (folhas 4/9 do Volume Principal) 3.25.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.25.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.25.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, no prazo de 30 (trinta) dias a contar da ciência do Acórdão que vier a ser proferido, encaminhe plano de ação para a implementação das medidas contidas no Decisum, indicando, para cada determinação ou recomendação, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações. Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente controles que promovam a regular gestão contratual e que permitam identificar se todas as obrigações do contratado foram cumpridas antes do ateste do serviço. 3.26 - Irregularidades na gestão contratual 3.26.1 - Situação encontrada: Com o objetivo de avaliar a aderência da gestão do contrato com a legislação vigente, foram realizados testes substantivos nos Contratos nº 17/2006, de valor mensal R$ 67.711,85, cujo objeto é a contratação de empresa especializada na manutenção de serviços de informática para a execução de consultoria, desenvolvimento e manutenção de sistemas relacionados ao Formulário de Informações Periódicas para o Mercado Segurador (FIPSUSEP) e ao Sistema de Armazenamento e Processamento de Informações e Estatísticas do Mercado Segurador (SAPIEMS), e nº 18/2009, no valor total de R$ 5.241.736,00, cujo objeto é a prestação de serviços continuados e especializados em Tecnologia da Informação, tendo sido constatadas as seguintes impropriedades: I - Com relação ao Contrato nº 17/2006: a) impossibilidade de rastrear serviços executados e desconformidade na aplicação dos critérios de medição Como a contratação se caracteriza por fornecimento de mão-de-obra, não existe controle mais específico sobre os serviços que estão sendo realizados no âmbito da contratação, sendo pago o mesmo valor todos os meses. b) falha na designação formal do fiscal do contrato O fiscal foi formalmente designado, mas de maneira intempestiva, pois o próprio ato de20 de 31 25/5/2011 13:01
  • 21. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... designação previa que este tinha efeitos retroativos. c) adoção de elemento de despesa desconforme com o Plano de Contas Aplicado ao Setor Público - Administração Pública Federal A SUSEP vem empregando o elemento de despesa 3.3.3.9.0.37.01 - Apoio Administrativo, Técnico e Operacional no âmbito do presente contrato, mesmo após alteração no Plano de Contas, que passou a abarcar elementos específicos para a prestação de serviços de tecnologia da informação. d) não manutenção, durante a execução do contrato, de todas as condições de habilitação e qualificação exigidas na licitação O Desenvolvedor b, segundo o item 6.3 do Projeto Básico, deveria apresentar a comprovação de conclusão do ensino médio com formação técnica em programação de carga horária mínima de 360 horas ou de conclusão do ensino superior em Informática/Ciências da Computação/Tecnólogo em Processamento de Dados ou de conclusão do ensino superior em qualquer área, desde que também demonstrasse estar realizando Especialização em Análise de Sistemas com carga horária mínima de 360 horas ou Pós-Graduação, "Lato Sensu" ou Mestrado, em Informática. No entanto, o Desenvolvedor b Sandro Reis Antônio apresentou certificado de conclusão do ensino médio, mas não há comprovação de formação técnica em programação com carga horária mínima de 360 horas. Tampouco há comprovação de conclusão de qualquer curso de nível superior, constando apenas que o referido curso estava em andamento. O Desenvolvedor b Anderson Belmont Souza dos Reis também não atendeu às exigências do edital, pois não há qualquer comprovação de conclusão de curso técnico, constando apenas declaração da universidade de que o terceirizado está cursando graduação em Ciência da Computação, além de não restar comprovada a experiência mínima de dois anos em informática exigida pelo item 6.3 do Projeto Básico, pois as declarações existentes de experiência profissional abarcam o período de 18/05/2007 a 31/03/2009. O Desenvolvedor a Raphael Batista da Fonseca não comprovou ter a experiência mínima de três anos exigida no item 6.2 do Projeto Básico, constando apenas uma declaração de experiência profissional referente ao período de 11/2006 a 06/2008. e) indícios de superfaturamento Em consulta ao Cadastro Nacional de Informações Sociais - Consulta de Remunerações - GFIP, observou-se que os vencimentos realmente percebidos pelos prestadores de serviços que atuaram na Susep por intermédio da referida contratação eram inferiores àqueles os quais seriam devidos em razão do contrato. Todavia, não se apreciará, nos presentes autos, a irregularidade em comento, tendo em vista que ela foi objeto de representação da equipe. II - Com relação ao Contrato nº 18/2009: a) qualidade dos serviços incompatível com o contrato avençado A presente contratação é objeto de reclamações da SUSEP. Em relação ao serviço de elaboração do Plano Diretor de Tecnologia da Informação da entidade, a equipe verificou que o referido plano não atendeu aos requisitos previstos no art. 4º, parágrafo único, III, da IN nº 04/2008 - SLTI. b) indícios de superfaturamento A equipe verificou que o SERPRO discriminou o custo unitário de hora de consultoria ao valor de R$ 295,13. Para a realização do PDTI, foi estimada a necessidade de 800 horas, perfazendo um custo total de R$ 236.104,00 . Constatou-se que as estimativas para a contratação visando à confecção do PDTI em diversos órgãos foi bem inferior ao cobrado pelo SERPRO. Em consulta ao SIAPE, verificou-se que o maior salário pago pelo SERPRO é de R$ 10.056,09, o que daria um custo de Hora-Homem (HH) de R$ 58,01. Utilizando-se este valor como referência, observa-se que o item de maior custo da consultoria (mão-de-obra) seria de R$ 46.808,00 (800 x R$ 58,01). A presente irregularidade, no entanto, não será objeto de representação da equipe devido à existência do TC 022.241/2010-8, que trata de auditoria específica do TMS 6 - Gestão e uso de TI, a qual avaliará contratos do Serpro com a Administração Pública Federal. 3.26.2 - Objetos nos quais o achado foi constatado: Contrato 17/2006 - Contrato para desenvolvimento e manutenção dos Sistemas FIPSUSEP e SAPIEMS Contrato 18/2009 - Contratação do SERPRO para prestação de serviços de informática 3.26.3 - Causas da ocorrência do achado:21 de 31 25/5/2011 13:01
  • 22. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... Deficiências de controles 3.26.4 - Efeitos/Conseqüências do achado: Serviços em desacordo com o contratado (efeito potencial) Pagamentos sem que tenham sido produzidos os resultados esperados (efeito potencial) 3.26.5 - Critérios: ACÓRDÃO 669/2008, item 9.4.15, Tribunal de Contas da União, Plenário Instrução Normativa 4/2008, SLTI/MPOG, art. 20 3.26.6 - Evidências: Comunicicação Interna nº 37 da SUSEP, datada de 21/06/2010, em resposta a Requisição Fiscalis Nº 623/2010-4 (folhas 89/91 do Anexo 1 - Principal) Comunicicação Interna nº 38 da SUSEP, datada de 22/06/2010, em resposta a Requisição Fiscalis Nº 623/2010-6 (folha 92 do Anexo 1 - Principal) Pagamentos realizados no âmbito do Contrato nº 17/2006 (folhas 439/1155 do Anexo 2 - Volume 2) Projeto básico da Concorrência nº 1/2006 (folhas 76/93 do Anexo 2 - Principal) Ato de designação nº 072/2007 (folha 323 do Anexo 2 - Volume 1) Ato de designação nº 98/2010 (folha 438 do Anexo 2 - Volume 2) Ato de designação nº 044/2006 (folha 443 do Anexo 2 - Volume 2) Documentação do Desenvolvedor b Sandro Reis Antônio (folhas 1291/1302 do Anexo 2 - Volume 6) Documentação do Desenvolvedor a Raphael Batista da Fonseca (folhas 166/173 do Anexo 1 - Principal) Documentação do Desenvolvedor b Anderson Belmont Souza dos Reis (folhas 210/219 do Anexo 1 - Principal) 3.26.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.26.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência das irregularidades retratadas. 3.26.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em razão das diversas irregularidades constatadas: a) prorrogue o Contrato nº 17/2006 apenas pelo prazo necessário à realização de licitação para nova contratação do respectivo objeto, tendo em vista a relevância dos serviços prestados no ajuste, cuja solução de continuidade pode gerar graves prejuízos à atuação da entidade, atentando para o fato de que o futuro contrato deve eliminar todos os itens de alerta consignados no presente processo; e b) prorrogue o Contrato nº 18/2009 apenas pelo prazo necessário à realização de licitação para nova contratação do respectivo objeto, tendo em vista a relevância dos serviços prestados no ajuste, cuja solução de continuidade pode gerar graves prejuízos à atuação da entidade, atentando para o fato de que eventual contratação do SERPRO somente seja realizada desde que seus custos unitários sejam justificados por meio de pesquisas de preços de mercado, visando a assegurar que a contratação direta seja mais vantajosa para a Administração, sem prejuízo de que sejam corrigidos, no futuro contrato, todos os itens de alerta estabelecidos no presente processo. Alertar a Superintendência de Seguros Privados (Susep) quanto à (Achado "Irregularidades na gestão contratual"): Impossibilidade de rastrear serviços executados e desconformidade na aplicação dos critérios de medição, decorrente do descumprimento do art. 3º, § 1º, do Decreto nº 2.271/1997 e dos Acórdãos/TCU nº 786/2006, 1.330/2008 e 2.619/2008, conforme tratado no item I, alínea a, do tópico "situação encontrada" do Achado "Irregularidades na gestão contratual"; Falha na designação formal do fiscal do contrato, decorrente do descumprimento do art. 58, III, c/c o art. 67 da Lei nº 8.666/93, conforme tratado no item I, alínea b, do tópico "situação encontrada" do Achado "Irregularidades na gestão contratual"; Adoção de elemento de despesa desconforme com o Plano de Contas Aplicado ao Setor22 de 31 25/5/2011 13:01
  • 23. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... Público - Administração Pública Federal, decorrente do descumprimento da Portaria nº 467/2009 - STN, conforme tratado no item I, alínea c, do tópico "situação encontrada" do Achado "Irregularidades na gestão contratual"; Não manutenção, durante a execução do contrato, de todas as condições de habilitação e qualificação exigidas na licitação, decorrente do descumprimento do art. 55, XIII, da Lei nº 8.666/93, conforme tratado no item I, alínea d, do tópico "situação encontrada" do Achado "Irregularidades na gestão contratual"; e Qualidade dos serviços incompatível com o contrato avençado, decorrente do descumprimento do art. 66 c/c o art. 69 da Lei nº 8.666/93, conforme tratado no item II, alínea a, do tópico "situação encontrada" do Achado "Irregularidades na gestão contratual"." 3. Por tais motivos, a Secex/9, em pareceres uniformes (fls. 133/141), sugeriu a esta Corte formular à Susep/MF as seguintes determinações, recomendações e alertas: "Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que: Em atenção ao previsto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 3º, elabore e aprove um Plano Diretor de Tecnologia da Informação - PDTI, observando as diretrizes constantes na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4, III, e as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI (Achado "Inexistência do PDTI"). Em atenção ao disposto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4º, IV, implante Comitê de Tecnologia da Informação que envolva as diversas áreas da Susep, e que se responsabilize por alinhar os investimentos de Tecnologia da Informação com os objetivos institucionais e por apoiar a priorização de projetos a serem implantados, considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor de TI (Achado "Inexistência de comitê de TI"). Em atenção às disposições contidas na Lei nº 4.320/64, art. 75, inciso III, implante controle da execução orçamentária, a fim de se obter prontamente informações acerca dos gastos e da disponibilidade de recursos de TI (Achado "Inexistência de controle da execução do orçamento de TI"). Em atenção ao disposto na Lei nº 8.666/93, art. 6º, inc. IX, e às disposições contidas na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 12, II, defina um processo de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de software, vinculando o contrato com o processo de software, sem o qual o objeto não estará precisamente definido (Achado "Inexistência de processo de software"). Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VI c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27.002, item 6.1.2 - Coordenação de segurança da informação (Achado "Inexistência de Comitê de Segurança da Informação e Comunicações"). Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, IV e art. 7º, c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie Gestor de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27.002, item 6.1.3 - Atribuição de responsabilidade para segurança da informação (Achado "Inexistência de Gestor de Segurança da Informação e Comunicações"). Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII, implante Política de Segurança da Informação e Comunicações, observando as práticas contidas na Norma Complementar 03/IN01/DSIC/GSIPR (Achado "Inexistência de Política de Segurança da Informação e Comunicações - POSIC"). Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais, observando as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR (Achado "Inexistência de equipe de tratamento e resposta a incidentes em redes computacionais - ETRI"). Em atenção ao disposto no Decreto nº 4553/2002, art. 6º, § 2º, inciso II e art. 67, crie critérios de classificação das informações a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observando as práticas contidas no item 7.2 da NBR ISO/IEC 27.002 (Achado "Inexistência de classificação da informação"). Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII c/c Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de23 de 31 25/5/2011 13:01
  • 24. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... ativos de informação, de maneira que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando as práticas contidas no item 7.1 da NBR ISO/IEC 27.002 (Achado "Inexistência de inventário dos ativos de informação"). Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII c/c Norma Complementar 04/IN01/DSIC/GSIPR, implemente processo de gestão de riscos de segurança da informação (Achado "Inexistência de processo de gestão de riscos de segurança da informação - GRSIC"). Planeje as contratações de serviços de tecnologia da informação executando o processo previsto na IN nº 04/2008-SLTI/MPOG, observando a sequência lógico-temporal entre as tarefas e os ritos de aprovação dos artefatos produzidos ao longo do processo (Achado "Descumprimento do processo de planejamento de acordo com a IN4"). Em razão das diversas irregularidades constatadas, prorrogue o Contrato nº 17/2006 apenas pelo prazo necessário à realização de licitação para nova contratação do respectivo objeto, tendo em vista a relevância dos serviços prestados no ajuste, cuja solução de continuidade pode gerar graves prejuízos à atuação da entidade, atentando para o fato de que o futuro contrato deve eliminar todos os itens de alerta consignados no presente processo (Achados "Irregularidades na contratação" e "Irregularidades na gestão do contrato"). Em razão das diversas irregularidades constatadas, prorrogue o Contrato nº 18/2009 apenas pelo prazo necessário à realização de licitação para nova contratação do respectivo objeto, tendo em vista a relevância dos serviços prestados no ajuste, cuja solução de continuidade pode gerar graves prejuízos à atuação da entidade, atentando para o fato de que eventual contratação do SERPRO somente seja realizada desde que seus custos unitários sejam justificados por meio de pesquisas de preços de mercado, visando a assegurar que a contratação direta seja mais vantajosa para a Administração, sem prejuízo de que sejam corrigidos, no futuro contrato, todos os itens de alerta estabelecidos no presente processo (Achados "Irregularidades na contratação" e "Irregularidades na gestão do contrato"). No prazo de 30 (trinta) dias a contar da ciência do Acórdão que vier a ser proferido, encaminhe plano de ação para a implementação das medidas contidas no Decisum, indicando, para cada determinação ou recomendação, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações. Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência): Aperfeiçoe o Processo de Planejamento Estratégico Institucional, considerando o disposto no critério de avaliação nº 2 da Gespública (Achados "Falhas no Plano Estratégico Institucional" e "Falhas no processo de Planejamento Estratégico Institucional"). Em atenção ao Decreto nº 5.707/2006, art. 1º, inciso III, elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI (Achado "Inexistência de avaliação do quadro de pessoal de TI"). Quando do estabelecimento de seu processo de software, considere as Normas NBR ISO/IEC 12.207 e 15.504 (Achado "Inexistência de processo de software"). Implante uma estrutura formal de gerência de projetos, observando as orientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos e do PMBOK, dentre outras boas práticas de mercado (Achado "Inexistência de processo de gerenciamento de projetos"). Implemente processo de gestão de incidentes de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a central de serviços e incidentes e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000 e a NBR 27.002) (Achado "Inexistência do processo de gestão de incidentes"). Implemente processo de gestão de configuração de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000) (Achado "Inexistência do processo de gestão de configuração"). Estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 17.799:2005, à semelhança das orientações contidas no Cobit 4.1, processo AI6 - Gerenciar mudanças e de outras boas práticas de mercado (como a NBR ISO/IEC24 de 31 25/5/2011 13:01
  • 25. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... 20.000) (Achado "Inexistência do processo de gestão de mudanças"). Quando elaborar o próximo Plano Anual de Capacitação, contemple ações de capacitação voltadas para a gestão de tecnologia da informação, observando as práticas contidas no Cobit 4.1, processos PO7.2 - Competências Pessoais e PO7.4 - Treinamento do Pessoal (Achado "Plano anual de capacitação não contempla a área de gestão de TI"). Estabeleça um processo de avaliação da gestão de TI, observando as orientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 Relatórios gerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controles internos (Achado "Inexistência de avaliação da gestão de TI"). Promova ações para que a auditoria interna apoie a avaliação da TI, observando as orientações contidas no Cobit 4.1, ME2 - Monitorar e avaliar os controles internos (Achado "Auditoria interna não apoia avaliação da TI"). Implemente controles que promovam o cumprimento do processo de planejamento previsto na Instrução Normativa nº 4/2008-SLTI/MPOG (Achado "Inexistência de controles que promovam o cumprimento da IN4"). Implemente controles que promovam a regular gestão contratual e que permitam identificar se todas as obrigações do contratado foram cumpridas antes do ateste do serviço (Achado "Inexistência de controles que promovam a regular gestão contratual"). Alertar a Superintendência de Seguros Privados (Susep) quanto à (Achado "Irregularidades na contratação"): Interposição de mão-de-obra e conseqüente pagamento não vinculado a resultados, decorrentes do descumprimento dos arts. 3º e 4º, II, do Decreto nº 2.271/97; art. 6º da IN nº 04/2008- SLTI; Enunciado nº 331 do TST; art. 37, II, da Constituição Federal; item 9.3.1 do Acórdão/TCU nº 1.329/07 - Plenário e itens 9.3.3 e 9.3.7 do Acórdão/TCU nº 1.558/03 - Plenário, conforme tratado no item I, alínea a, do tópico "situação encontrada" do achado "Irregularidades na contratação". Ausência de elementos básicos na fundamentação do objetivo da contratação, decorrente do descumprimento do Decreto-Lei nº 200/1967, art. 6º, inciso I c/c itens 9.1.1 do Acórdão nº 1.558/2003, 9.3.11 do Acórdão nº 2.094/2004 e 9.1.9 do Acórdão nº 2.023/2005, todos do Plenário, conforme tratado no item I, alínea b, e no item II, alínea a do tópico "situação encontrada" do achado "Irregularidades na contratação". Insuficiência de cláusulas contratuais, decorrente do descumprimento do item 6.2.3 - "identificando segurança da informação nos acordos com terceiros" da NBR 27002 e do art. 12, II, da IN nº 04/2008 - SLTI, conforme tratado no item I, alínea c, e no item II, alínea c do tópico "situação encontrada" do achado "Irregularidades na contratação". Ausência das áreas de negócio e administrativa na gestão do contrato, decorrente do descumprimento dos arts. 20, III, e 23 da IN nº 04/2008 - SLTI e do princípio da eficiência insculpido no art. 37 da Constituição Federal, conforme tratado no item I, alínea d, e no item II, alínea e do tópico "situação encontrada" do achado "Irregularidades na contratação". Opção indevida por outra modalidade de licitação em detrimento do pregão, decorrente do descumprimento da Lei nº 10.520/2002, art. 1º; Lei nº 8.248/1991, art. 3º, § 3º; Decreto nº 3.555/2000, anexo II; Decreto nº 5.450/2005, art. 4º, e Acórdão nº 1.547/2004 - Primeira Câmara, conforme tratado no item I, alínea e, do tópico "situação encontrada" do achado "Irregularidades na contratação". Desconformidades nos pareceres jurídicos, decorrentes do descumprimento do art. 38, VI, e parágrafo único da Lei nº 8.666/93, conforme tratado no item I, alínea f, e item II, alínea i do tópico "situação encontrada" do achado "Irregularidades na contratação". Exigências editalícias restritivas ao caráter competitivo da licitação, decorrentes do descumprimento do art. 3º, § 1º, I, da Lei nº 8.666/93, conforme tratado no item I, alínea g, do tópico "situação encontrada" do achado "Irregularidades na contratação". Impertinência de cláusulas contratuais, decorrente do descumprimento do art. 40, XI, e do art. 87, III e IV, c/c o art. 55, VII, da Lei nº 8.666/93, conforme tratado no item II, alínea b, do tópico "situação encontrada" do achado "Irregularidades na contratação". Não divisibilidade do objeto, estando presentes a viabilidade técnica e econômica, decorrente do descumprimento do art. 23, § 1º, da Lei nº 8.666/1993 e dos Acórdãos nº 1.331/2003 e nº 2.471/2008, ambos do Plenário, conforme tratado no item II, alínea d, do tópico "situação25 de 31 25/5/2011 13:01
  • 26. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... encontrada" do achado "Irregularidades na contratação". Ausência de cláusula de garantia contratual, decorrente do descumprimento do art. 55, VI, da Lei nº 8.666/93, conforme tratado no item II, alínea f, do tópico "situação encontrada" do achado "Irregularidades na contratação". Ausência de estimativa de custos globais e unitários, decorrente do descumprimento do art. 40, § 2º, inciso II, c/c o art. 43, inciso IV da Lei nº 8.666/93 e do item 9.1.14 do Acórdão/TCU nº 1.382/2009 - Plenário, conforme tratado no item II, alínea g, do tópico "situação encontrada" do achado "Irregularidades na contratação". Falhas na contratação direta, decorrentes do descumprimento do art. 26, II e III, da Lei nº 8.666/93, conforme tratado no item II, alínea h, do tópico "situação encontrada" do achado "Irregularidades na contratação". Ausência de detalhamento dos custos unitários de cada serviço constante do Demonstrativo de Formação de Preços da contratada, decorrente do descumprimento do art. 7º, § 2º, II, da Lei nº 8.666/93, conforme tratado no item II, alínea j, do tópico "situação encontrada" do achado "Irregularidades na contratação". Alertar a Superintendência de Seguros Privados (Susep) quanto à (Achado "Irregularidades na gestão contratual"): Impossibilidade de rastrear serviços executados e desconformidade na aplicação dos critérios de medição, decorrente do descumprimento do art. 3º, § 1º, do Decreto nº 2.271/1997 e dos Acórdãos/TCU nº 786/2006, 1.330/2008 e 2.619/2008, conforme tratado no item I, alínea a, do tópico "situação encontrada" do Achado "Irregularidades na gestão contratual"; Falha na designação formal do fiscal do contrato, decorrente do descumprimento do art. 58, III, c/c o art. 67 da Lei nº 8.666/93, conforme tratado no item I, alínea b, do tópico "situação encontrada" do Achado "Irregularidades na gestão contratual"; Adoção de elemento de despesa desconforme com o Plano de Contas Aplicado ao Setor Público - Administração Pública Federal, decorrente do descumprimento da Portaria nº 467/2009 - STN, conforme tratado no item I, alínea c, do tópico "situação encontrada" do Achado "Irregularidades na gestão contratual"; Não manutenção, durante a execução do contrato, de todas as condições de habilitação e qualificação exigidas na licitação, decorrente do descumprimento do art. 55, XIII, da Lei nº 8.666/93, conforme tratado no item I, alínea d, do tópico "situação encontrada" do Achado "Irregularidades na gestão contratual"; e Qualidade dos serviços incompatível com o contrato avençado, decorrente do descumprimento do art. 66 c/c o art. 69 da Lei nº 8.666/93, conforme tratado no item II, alínea a, do tópico "situação encontrada" do Achado "Irregularidades na gestão contratual". É o Relatório Voto do Ministro Relator VOTO Na sessão de 8/9/2010 (acórdão 2.308/2010 - Plenário), apresentei a este colegiado o resultado consolidado do levantamento efetuado pela Secretaria de Fiscalização de Tecnologia da Informação - Sefti, em 2010, para avaliar a governança de tecnologia da informação em 315 órgãos e entidades das administrações direta e indireta dos três poderes da União. 2. Destaquei, naquela oportunidade, a importância da atuação desta Corte com relação à matéria, que, a partir da identificação de pontos vulneráveis, será possível ao Tribunal, em primeiro lugar, atuar como indutor do aperfeiçoamento da governança de TI no setor público e, em segundo lugar, identificar e disseminar entre as unidades jurisdicionadas os bons exemplos e modelos identificados. 3. Apontei, ainda, as conclusões mais significativas do levantamento, que permitiu constatar, em síntese, que: a) mais de 60% das organizações não possui planejamento estratégico de TI; b) algumas organizações continuam a ter sua TI totalmente controlada por pessoas estranhas a seus quadros de pessoal; c) são graves os problemas de segurança da informação, já que informações críticas não são protegidas adequadamente; d) metade das organizações não possui método ou processo para desenvolvimento de softwares e para aquisição de bens e serviços de informática, o que gera riscos de irregularidades em26 de 31 25/5/2011 13:01
  • 27. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... contratações; e) a atuação sistemática da alta administração com respeito à TI ainda é incipiente; f) mais da metade das organizações está no estágio inicial de governança de TI, e apenas 5% encontram-se em estágio aprimorado. 4. Neste momento, trago à consideração deste Plenário mais um trabalho concernente à matéria: a auditoria realizada pela Secex/9 na Susep/MF com o intuito de avaliar controles gerais de governança de TI naquela entidade. 5. As principais ocorrências detectadas no presente trabalho assemelham-se às verificadas no levantamento consolidada e confirmam a precisão daquele estudo. Basicamente, constatou-se na Susep: a) plano estratégico institucional sem metas e indicadores; b) processo de planejamento estratégico sem definição clara de partes envolvidas e sem divulgação adequada; c) ausência de plano diretor de TI com requisitos mínimos de consistência; d) inexistência de comitê gestor de TI; e) inexistência de avaliação de adequação de quadro de pessoal de TI; f) inexistência de controle de execução do orçamento de TI; g) inexistência de processo adequado de desenvolvimento de software; h) inexistência de processo de gerenciamento de projetos de TI; i) inexistência de processo de gestão de incidentes de TI; j) inexistência de processo de gestão de configuração de serviços de TI; k) inexistência de processo de gestão de mudanças; l) inexistência de gestor de segurança da informação; m) inexistência de comitê de segurança da informação; n) inexistência de política de segurança da informação; o) inexistência de equipe de tratamento e resposta a incidentes em redes computacionais; p) inexistência de classificação da informação; q) inexistência de inventário de ativos de informação; r) inexistência de processo de gestão de riscos de segurança da informação; s) ausência da área de gestão de TI no plano de capacitação; t) inexistência de avaliação de gestão de TI; u) ausência de apoio da auditoria interna na avaliação de TI; v) inexistência de controles que promovam o cumprimento da IN SLTI/MPOG 4/2008; w) descumprimento do processo de planejamento previsto na IN SLTI/MPOG 4/2008 na celebração com o Serviço Federal de Processamento de Dados - Serpro do contrato 18/2009, destinado à prestação de serviços continuados e especializados de TI; x) falhas no contrato 17/2006, destinado à contratação de empresa especializada na manutenção de serviços de informática para execução de consultoria, desenvolvimento e manutenção de sistemas relacionados ao Formulário de Informações Periódicas para o Mercado Segurador e ao Sistema de Armazenamento e Processamento de Informações e Estatísticas do Mercado Segurador: interposição de mão de obra e consequente pagamento não vinculado a resultado, ausência de elementos básicos na fundamentação dos objetivos da contratação, ausência de clausulas contratuais relativas à segurança da informação, ausência das áreas de negócio e administrativa na gestão do contrato, opção indevida por concorrência do tipo técnica e preço em detrimento do pregão, pareceres jurídicos deficientes e clausulas editalícias restritivas; y) falhas no acima mencionado contrato 18/2009: ausência de elementos básicos de fundamentação dos objetivos da contratação, clausulas contratuais insuficientes ou impróprias, não divisão do objeto apesar da viabilidade técnica e econômica, ausência das áreas de negócio e administrativa na gestão do contrato, ausência de clausula de garantia contratual, ausência de estimativas de custos globais e unitários e pareceres jurídicos deficientes; z) inexistência de controles que promovam regular gestão contratual. 6. Além disso, foram detectadas irregularidades na gestão dos seguintes contratos: a) contrato 17/2006: impossibilidade de rastreamento de serviços executados e desconformidade na aplicação de critérios de medição, designação intempestiva de fiscal, adoção de elemento de despesa em desacordo com o plano de contas da administração pública federal, não manutenção de todas as condições de habilitação e qualificação exigidas na licitação durante a27 de 31 25/5/2011 13:01
  • 28. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... execução do contrato e indícios de superfaturamento, ante o pagamento de salários inferiores aos contratualmente previstos; b) contrato 18/2009: qualidade de serviços incompatível com o contrato e indícios de superfaturamento no valor do custo unitário da hora de consultoria. 7. No tocante às irregularidades há pouco descritas, a Secex/9, dada a imprescindibilidade dos serviços envolvidos, sugeriu a esta Corte determinar à Susep/MF a manutenção dos respectivos contratos apenas até a conclusão de nova licitação. Além disso, formulou representação específica acerca das ocorrência no contrato 17/2006 e deixou de fazer o mesmo com respeito ao contrato 18/2009, ante a existência do processo TC 022.241/2010-8, no qual serão avaliados os contratos firmados pelo Serpro com a administração pública federal. Desse modo, não há necessidade de outras providências nesta oportunidade. 8. Com respeito às demais falhas acima apontadas, a unidade técnica apresentou uma série de determinações, recomendações e alertas que contribuirão para o saneamento das ocorrências e para o aperfeiçoamento da governança de TI da Susep/MF. 9. Assim, por considerar papel deste Tribunal a constante indução de melhoria da gestão estatal e por estar integralmente de acordo com as medidas aventadas pela Secex/9 - especialmente no tocante ao crucial tema da segurança da informação, que reputo essencial para adequado funcionamento das organizações públicas e para defesa da intimidade dos cidadãos que com elas interagem - acolho as manifestações daquela Secretaria e voto pela adoção da minuta de acórdão que trago ao escrutínio deste colegiado. Sala das Sessões, em 13 de outubro de 2010. AROLDO CEDRAZ Relator Acórdão VISTOS, relatados e discutidos estes autos de relatório de auditoria realizada para avaliar controles gerais de tecnologia da informação na Susep/MF. ACORDAM os Ministros do Tribunal de Contas da União, reunidos em sessão do Plenário, ante as razões expostas pelo relator e com base nos arts. 42, §1º, e 43, I, da Lei 8.443/1992, e nos arts. 245, §1º, e 250, inciso III, do Regimento Interno, em: 9.1. determinar à Susep que: 9.1.1. elabore e aprove um Plano Diretor de Tecnologia da Informação - PDTI, com observância das diretrizes constantes da IN SLTI/MPOG 04/2008, art. 4, III, e das práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI; 9.1.2. implante Comitê de Tecnologia da Informação que envolva as diversas áreas da Susep e que se responsabilize por alinhar os investimentos de tecnologia da informação com os objetivos institucionais e por apoiar a priorização de projetos a serem implantados, em atenção à IN SLTI/MPOG 04/2008, art. 4º, IV, e considerando diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor de TI; 9.1.3. implante controle da execução orçamentária, a fim de obter prontamente informações acerca de gastos e da disponibilidade de recursos de TI, em atenção à Lei 4.320/1964, art. 75, inciso III; 9.1.4. defina processo de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de software, com vinculação do contrato com o processo de software, sem o qual o objeto não estará precisamente definido, em atenção à Lei 8.666/1993, art. 6º, inc. IX, e à IN SLTI/MPOG 04/2008, art. 12, II; 9.1.5. institua Comitê de Segurança da Informação e Comunicações, com observância da NBR ISO/IEC 27.002, item 6.1.2 - Coordenação de segurança da informação, em atenção à IN GSI/PR 01/2008, art. 5º, VI, e à Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3; 9.1.6. nomeie gestor de segurança da informação e comunicações, com observância da NBR ISO/IEC 27.002, item 6.1.3 - Atribuição de responsabilidade para segurança da informação, em atenção à IN GSI/PR 01/2008, art. 5º, IV, e art. 7º e à Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2; 9.1.7. implante Política de Segurança da Informação e Comunicações, com observância da Norma Complementar 03/IN01/DSIC/GSIPR, em atenção à IN GSI/PR 01/2008, art. 5º, VII; 9.1.8 institua equipe de tratamento e resposta a incidentes em redes computacionais, com observância da Norma Complementar 05/IN01/DSIC/GSIPR, em atenção à IN GSI/PR 01/2008, art. 5º,28 de 31 25/5/2011 13:01
  • 29. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... V; 9.1.9. crie critérios de classificação das informações, a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, com observância do item 7.2 da NBR ISO/IEC 27.002, em atenção ao Decreto 4.553/2002, art. 6º, § 2º, inciso II, e art. 67; 9.1.10. estabeleça procedimento de inventário de ativos de informação, de maneira a que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, com observância do item 7.1 da NBR ISO/IEC 27.002, em atenção à IN GSI/PR 01/2008, art. 5º, VII, e à Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1; 9.1.11. implemente processo de gestão de riscos de segurança da informação, em atenção à IN GSI/PR 01/2008, art. 5º, VII, e à Norma Complementar 04/IN01/DSIC/GSIPR; 9.1.12. planeje contratações de serviços de tecnologia da informação com uso do processo previsto na IN SLTI/MPOG 04/2008, com observância da sequência lógico-temporal entre tarefas e ritos de aprovação dos artefatos produzidos ao longo do processo; 9.1.13. em razão das diversas irregularidades constatadas, prorrogue o contrato 17/2006 apenas pelo prazo necessário à realização de licitação para nova contratação do respectivo objeto, com atenção para o fato de que o futuro contrato deve eliminar todos os itens de alerta consignados no presente acórdão; 9.1.14. em razão das diversas irregularidades constatadas, prorrogue o contrato 18/2009 apenas pelo prazo necessário à realização de licitação para nova contratação do respectivo objeto, com atenção para o fato de que eventual contratação do Serpro somente deve ser realizada desde que seus custos unitários sejam justificados por meio de pesquisas de preços de mercado, de modo a assegurar que a contratação direta seja mais vantajosa para a administração, sem prejuízo de serem corrigidos, no futuro contrato, todos os itens de alerta estabelecidos no presente acórdão; 9.1.15. no prazo de 30 (trinta) dias, encaminhe plano de ação para implementação das medidas determinadas neste acórdão, com indicação, para cada determinação ou recomendação, do prazo e do responsável (nome, cargo e CPF) pelo desenvolvimento das ações; 9.2. recomendar à Susep/MF que: 9.2.1. aperfeiçoe o processo de planejamento estratégico institucional, considerando o critério de avaliação 2 da Gespública; 9.2.2. elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, com observância do Cobit 4.1, PO4.12 - Pessoal de TI, em atenção ao Decreto 5.707/2006, art. 1º, III; 9.2.3. considere as Normas NBR ISO/IEC 12.207 e 15.504 atuando do estabelecimento de seu processo de software; 9.2.4. implante estrutura formal de gerência de projetos, com observância do Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos e do PMBOK, dentre outras boas práticas de mercado; 9.2.5. implante processo de gestão de incidentes de serviços de tecnologia da informação, à semelhança do Cobit 4.1, processo DS8 - Gerenciar a central de serviços e incidentes, e de outras boas práticas de mercado, como a NBR ISO/IEC 20.000 e a NBR 27.002; 9.2.6. implante processo de gestão de configuração de serviços de tecnologia da informação, à semelhança do Cobit 4.1, processo DS9 - Gerenciar configuração, e de outras boas práticas de mercado, como a NBR ISO/IEC 20.000; 9.2.7. estabeleça procedimentos formais de gestão de mudanças, de acordo com o item 12.5.1 da NBR ISO/IEC 17.799:2005, à semelhança das orientações contidas no Cobit 4.1, processo AI6 - Gerenciar mudanças, e de outras boas práticas de mercado, como a NBR ISO/IEC 20.000; 9.2.8. contemple ações de capacitação em gestão de tecnologia da informação na elaboração do próximo plano anual de capacitação, com observância do Cobit 4.1, processos PO7.2 - Competências Pessoais e PO7.4 - Treinamento do Pessoal; 9.2.9. estabeleça processo de avaliação da gestão de TI, com observância do Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 Relatórios gerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controles internos; 9.2.10. promova ações para que a auditoria interna apoie a avaliação da TI, com observância do Cobit 4.1, ME2 - Monitorar e avaliar os controles internos; 9.2.11. implante controles que promovam cumprimento do processo de planejamento29 de 31 25/5/2011 13:01
  • 30. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... previsto na IN SLTI/MPOG 04/2008; 9.2.12. implemente controles que promovam regular gestão contratual e permitam identificar se todas as obrigações do contratado foram cumpridas antes da atestação do serviço; 9.3. alertar a Susep/MF quanto à: 9.3.1. interposição de mão de obra e consequente pagamento não vinculado a resultados, decorrentes do descumprimento dos arts. 3º e 4º, II, do Decreto 2.271/97; do art. 6º da IN SLTI/MPOG 04/2008; do enunciado 331 do TST; do art. 37, II, da Constituição Federal; do item 9.3.1 do acórdão 1.329/2007 - Plenário e dos itens 9.3.3 e 9.3.7 do acórdão 1.558/2003 - Plenário; 9.3.2. ausência de elementos básicos na fundamentação do objetivo da contratação, decorrente do descumprimento do Decreto-Lei 200/1967, art. 6º, I, do item 9.1.1 do acórdão 1.558/2003 - Plenário, do item 9.3.11 do acórdão 2.094/2004 - Plenário e do item 9.1.9 do acórdão 2.023/2005; 9.3.3. insuficiência de cláusulas contratuais, decorrente do descumprimento do item 6.2.3 - "identificando segurança da informação nos acordos com terceiros" da NBR 27002 e do art. 12, II, da IN SLTI/MPOG 04/2008; 9.3.4. ausência das áreas de negócio e administrativa na gestão do contrato, decorrente do descumprimento dos arts. 20, III, e 23 da IN SLTI/MPOG 04/2008 e do princípio da eficiência insculpido no art. 37 da Constituição Federal; 9.3.5. opção indevida por outra modalidade de licitação em detrimento do pregão, decorrente do descumprimento da Lei 10.520/2002, art. 1º; da Lei 8.248/1991, art. 3º, § 3º; do Decreto 3.555/2000, anexo II; do Decreto 5.450/2005, art. 4º, da acórdão 1.547/2004 - 1ª Câmara; 9.3.6. deficiências em pareceres jurídicos, decorrentes do descumprimento do art. 38, VI, e do parágrafo único da Lei 8.666/1993; 9.3.7. exigências editalícias restritivas ao caráter competitivo da licitação, decorrentes do descumprimento do art. 3º, § 1º, I, da Lei 8.666/1993; 9.3.8. impertinência de cláusulas contratuais, decorrente do descumprimento do art. 40, XI, e do art. 87, III e IV, c/c o art. 55, VII, da Lei 8.666/1993; 9.3.9. não divisão de objeto licitado, apesar de presente viabilidade técnica e econômica, decorrente do descumprimento do art. 23, § 1º, da Lei 8.666/1993 e dos acórdãos do Plenário 1.331/2003 e 2.471/2008; 9.3.10. ausência de cláusula de garantia contratual, decorrente do descumprimento do art. 55, VI, da Lei 8.666/1993; 9.3.11. ausência de estimativa de custos globais e unitários, decorrente do descumprimento do art. 40, § 2º, inciso II, e do art. 43, inciso IV, da Lei 8.666/1993 e do item 9.1.14 do acórdão1.382/2009 - Plenário; 9.3.12. falhas na contratação direta, decorrentes do descumprimento do art. 26, II e III, da Lei 8.666/1993; 9.3.13. ausência de detalhamento dos custos unitários de cada serviço constante do Demonstrativo de Formação de Preços da contratada, decorrente do descumprimento do art. 7º, § 2º, II, da Lei 8.666/1993; 9.3.14. impossibilidade de rastreamento de serviços executados e desconformidade na aplicação de critérios de medição, decorrente do descumprimento do art. 3º, § 1º, do Decreto 2.271/1997 e dos acórdãos 786/2006, 1.330/2008 e 2.619/2008; 9.3.15. falha na designação formal de fiscal de contrato, decorrente do descumprimento do art. 58, III, c/c o art. 67 da Lei 8.666/1993; 9.3.16. adoção de elemento de despesa desconforme com o Plano de Contas Aplicado ao Setor Público - Administração Pública Federal, decorrente do descumprimento da Portaria STN 467/2009; 9.3.17. não manutenção, durante a execução do contrato, de todas as condições de habilitação e qualificação exigidas na licitação, decorrente do descumprimento do art. 55, XIII, da Lei 8.666/1993; 9.3.18. qualidade de serviços incompatível com o contrato avençado, decorrente do descumprimento dos arts. 66 e 69 da Lei 8.666/1993; 9.4. encaminhar à Susep/MF cópia deste acórdão e do relatório e do voto que o fundamentaram Quorum30 de 31 25/5/2011 13:01
  • 31. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... 13.1. Ministros presentes: Benjamin Zymler (na Presidência), Valmir Campelo, Augusto Nardes, Aroldo Cedraz (Relator), Raimundo Carreiro, José Jorge e José Múcio Monteiro. 13.2. Auditores presentes: Augusto Sherman Cavalcanti, Marcos Bemquerer Costa e André Luís de Carvalho Publicação Ata 38/2010 - Plenário Sessão 13/10/2010 Dou 15/10/2010 Referências (HTML) Documento(s):AC_2746_38_10_P.doc31 de 31 25/5/2011 13:01