TCU - Portal de Pesquisa Textual                                         http://contas.tcu.gov.br/portaltextual/MostraDocu...
TCU - Portal de Pesquisa Textual                                        http://contas.tcu.gov.br/portaltextual/MostraDocum...
TCU - Portal de Pesquisa Textual                                       http://contas.tcu.gov.br/portaltextual/MostraDocume...
TCU - Portal de Pesquisa Textual                                       http://contas.tcu.gov.br/portaltextual/MostraDocume...
TCU - Portal de Pesquisa Textual                                       http://contas.tcu.gov.br/portaltextual/MostraDocume...
TCU - Portal de Pesquisa Textual                                       http://contas.tcu.gov.br/portaltextual/MostraDocume...
TCU - Portal de Pesquisa Textual                                        http://contas.tcu.gov.br/portaltextual/MostraDocum...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                        http://contas.tcu.gov.br/portaltextual/MostraDocum...
TCU - Portal de Pesquisa Textual                                        http://contas.tcu.gov.br/portaltextual/MostraDocum...
TCU - Portal de Pesquisa Textual                                           http://contas.tcu.gov.br/portaltextual/MostraDo...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
TCU - Portal de Pesquisa Textual                                       http://contas.tcu.gov.br/portaltextual/MostraDocume...
TCU - Portal de Pesquisa Textual                                         http://contas.tcu.gov.br/portaltextual/MostraDocu...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
Acórdão tcu 2746 2010 - susep-mf - avaliação de controles de ti
Acórdão tcu 2746 2010 - susep-mf - avaliação de controles de ti
Acórdão tcu 2746 2010 - susep-mf - avaliação de controles de ti
Acórdão tcu 2746 2010 - susep-mf - avaliação de controles de ti
Acórdão tcu 2746 2010 - susep-mf - avaliação de controles de ti
Acórdão tcu 2746 2010 - susep-mf - avaliação de controles de ti
Acórdão tcu 2746 2010 - susep-mf - avaliação de controles de ti
Acórdão tcu 2746 2010 - susep-mf - avaliação de controles de ti
Acórdão tcu 2746 2010 - susep-mf - avaliação de controles de ti
Acórdão tcu 2746 2010 - susep-mf - avaliação de controles de ti
Acórdão tcu 2746 2010 - susep-mf - avaliação de controles de ti
Acórdão tcu 2746 2010 - susep-mf - avaliação de controles de ti
Upcoming SlideShare
Loading in...5
×

Acórdão tcu 2746 2010 - susep-mf - avaliação de controles de ti

937

Published on

Entidade: Superintendência de Seguros Privados do Ministério da Fazenda - Susep/MF
RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA
INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES DE
MELHORIA. IRREGULARIDADES JÁ TRATADAS EM OUTRO PROCESSO. DETERMINAÇÕES,
RECOMENDAÇÕES E ALERTAS

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
937
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
13
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Acórdão tcu 2746 2010 - susep-mf - avaliação de controles de ti

  1. 1. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... Quarta-feira, 25 de Maio de 2011. Pesquisa número: 3 Pesquisa refinada: {tagRefQ} "AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA Expressão de Pesquisa: INFORMAÇÃO" Bases pesquisadas: Acórdãos; Decisões; Relações; Atas Documento da base: Acórdão Documentos recuperados: 11 Documento Mostrado: 1 Identificação Acórdão 2746/2010 - Plenário Número Interno do Documento AC-2746-38/10-P Grupo/Classe/Colegiado GRUPO I / CLASSE V / Plenário Processo 014.088/2010-0 Natureza Relatório de Auditoria Entidade Entidade: Superintendência de Seguros Privados do Ministério da Fazenda - Susep/MF Interessados Responsável: Paulo dos Santos, superintendente (CPF 757.618.908-87) Sumário RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES DE MELHORIA. IRREGULARIDADES JÁ TRATADAS EM OUTRO PROCESSO. DETERMINAÇÕES, RECOMENDAÇÕES E ALERTAS Assunto Relatório de Auditoria Ministro Relator AROLDO CEDRAZ Representante do Ministério Público não atuou Unidade Técnica 9ª Secretaria de Controle Externo - Secex/9 Advogado Constituído nos Autos não há Relatório do Ministro Relator A 9ª Secretaria de Controle Externo - Secex/9 realizou auditoria na Superintendência de1 de 31 25/5/2011 13:01
  2. 2. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... Seguros Provados do Ministério da Fazenda - Susep/MF, no período de 20/5 a 9/7/2010, com o objetivo de avaliar controles gerais de tecnologia da informação - TI e verificar se estão de acordo com a legislação pertinente e com as boas práticas de governança de TI. 2. As ocorrências detectadas foram apresentadas pela equipe de auditoria nos seguintes termos (fls. 100/132): "3 - ACHADOS DE AUDITORIA 3.1 - Falhas no Plano Estratégico Institucional 3.1.1 - Situação encontrada: Por intermédio do item 1 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca do Plano Estratégico Institucional da SUSEP. Como resposta, foi enviado o Planejamento Estratégico 2005, com atualização aprovada em 2010 e projeto de novo Planejamento Estratégico para o período 2011-2015. Todavia , no plano enviado não constavam indicadores e metas definidos para o cumprimento dos objetivos estratégicos. 3.1.2 - Objetos nos quais o achado foi constatado: Plano Planejamento Estratégico Institucional 3.1.3 - Causas da ocorrência do achado: Deficiências de controles 3.1.4 - Efeitos/Conseqüências do achado: Ausência de referencial para verificar o alinhamento estratégico das ações da área de TI com o negócio da instituição. (efeito potencial) Risco de a instituição não conseguir atuar de forma eficiente no atingimento dos seus objetivos finalísticos. (efeito potencial) 3.1.5 - Critérios: Constituição Federal, art. 37, caput Decreto Lei 200/1967, art. 6º, inciso I; art. 7º 3.1.6 - Evidências: Resposta ao item 1.2 do Ofício nº 393/2010-Sefti, constante do Ofício SUSEP/SEGER nº 370/2010. (folhas 12/13 do Anexo 1 - Principal) Plano Estratégico de 2005 (folhas 36/73 do Anexo 1 - Principal) Alteração do Plano Estratégico de 2005 realizada em 2010 (folhas 74/79 do Anexo 1 - Principal) Aprovação da Alteracão do Plano Estratégico de 2005 (folhas 80/81 do Anexo 1 - Principal) Projeto de Planejamento Estratégico de 2011-2015 (folhas 81/92 do Anexo 1 - Principal) Resposta ao item 1.2 do Ofício nº 393/2010-Sefti, constante de DVD. (folha 93 do Volume Principal) 3.1.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.1.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.1.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), aperfeiçoe o Processo de Planejamento Estratégico Institucional, considerando o disposto no critério de avaliação nº 2 da Gespública. 3.2 - Falhas no processo de Planejamento Estratégico Institucional 3.2.1 - Situação encontrada: Por intermédio do item 1 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca do Processo de Planejamento Estratégico Institucional da SUSEP. A resposta da SUSEP não evidenciou as partes envolvidas na elaboração do Plano Estratégico. Tampouco houve divulgação satisfatória do referido plano, uma vez que apenas foi disponibilizado para o público interno por meio da intranet da entidade. Outrossim, constatou-se não haver o desdobramento do indigitado plano, inexistindo2 de 31 25/5/2011 13:01
  3. 3. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... planos de ação para sua consecução. Não há, por fim, acompanhamento da execução do Plano Estratégico. 3.2.2 - Objetos nos quais o achado foi constatado: Plano Planejamento Estratégico Institucional 3.2.3 - Causas da ocorrência do achado: Deficiências de controles 3.2.4 - Efeitos/Conseqüências do achado: Risco de as ações de TI não estarem alinhadas ao negócio. (efeito potencial) 3.2.5 - Critérios: Constituição Federal, art. 37, caput Decreto Lei 200/1967, art. 6º, inciso I; art. 7º 3.2.6 - Evidências: Resposta ao item 1.2 do Ofício nº 393/2010-Sefti, constante do Ofício SUSEP/SEGER nº 370/2010. (folhas 12/13 do Anexo 1 - Principal) Plano Estratégico de 2005 (folhas 36/73 do Anexo 1 - Principal) Alteração do Plano Estratégico de 2005 realizada em 2010 (folhas 74/79 do Anexo 1 - Principal) Aprovação da Alteracão do Plano Estratégico de 2005 (folhas 80/81 do Anexo 1 - Principal) Projeto de Planejamento Estratégico de 2011-2015 (folhas 81/92 do Anexo 1 - Principal) Resposta ao item 1.2 do Ofício nº 393/2010-Sefti, constante de DVD. (folha 93 do Volume Principal) 3.2.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.2.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.2.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), aperfeiçoe o Processo de Planejamento Estratégico Institucional, considerando o disposto no critério de avaliação nº 2 da Gespública. 3.3 - Inexistência do PDTI 3.3.1 - Situação encontrada: Por intermédio do item 2 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca do Plano Diretor de Tecnologia da Informação (PDTI) da SUSEP. Como resposta, foi enviado o PDTI da entidade, de março de 2010. Todavia, o aludido plano não contempla as seguintes áreas: necessidades de informação alinhada à estratégia do órgão ou entidade, plano de investimentos, contratações de serviços, aquisição de equipamentos, quantitativo e capacitação de pessoal, gestão de risco, obrigatórias segundo a IN nº 4/2008 - SLTI. Como não foram atendidos os mencionados requisitos mínimos da norma em comento pelo documento apresentado, então este não pode ser considerado para todos os efeitos um PDTI. 3.3.2 - Objetos nos quais o achado foi constatado: Plano Plano Diretor de Tecnologia da Informação - PDTI 3.3.3 - Causas da ocorrência do achado: Deficiências de controles 3.3.4 - Efeitos/Conseqüências do achado: Ações de TI não alinhadas ao negócio. (efeito potencial) 3.3.5 - Critérios: Constituição Federal, art. 37, caput Decreto Lei 200/1967, art. 6º, inciso I; art. 7º Instrução Normativa 4/2008, SLTI/MPOG, art. 2º, inciso X; art. 3º; art. 4º, inciso III Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI 3.3.6 - Evidências: Documento apresentado como PDTI (folha 93 do Volume Principal)3 de 31 25/5/2011 13:01
  4. 4. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... 3.3.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.3.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.3.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção ao previsto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 3º, elabore e aprove um Plano Diretor de Tecnologia da Informação - PDTI, observando as diretrizes constantes na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4, III, e as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI. 3.4 - Inexistência de comitê de TI 3.4.1 - Situação encontrada: Por intermédio do item 3 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca do comitê de TI da SUSEP. No próprio item 1.1 do "Questionário: Perfil GovTI 2010", o auditado informou a inexistência do referido comitê. 3.4.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.4.3 - Causas da ocorrência do achado: Deficiências de controles 3.4.4 - Efeitos/Conseqüências do achado: Sobreposição de ações de TI por parte das áreas de negócio que integrariam o comitê de TI. (efeito potencial) Definição das ações de TI sem garantia da participação das principais áreas de negócio da instituição. (efeito potencial) 3.4.5 - Critérios: Constituição Federal, art. 37, caput Instrução Normativa 4/2008, SLTI/MPOG, art. 4º, inciso IV Norma Técnica - ITGI - Cobit 4.1, PO4.3 - Comitê diretor de TI Norma Técnica - ITGI - Cobit 4.1, PO4.2 - Comitê estratégico de TI 3.4.6 - Evidências: Resposta da auditada ao item 1.1 do Questionário: Perfil GovTI 2010 (folhas 4/9 do Volume Principal) 3.4.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.4.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.4.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4º, IV, implante Comitê de Tecnologia da Informação que envolva as diversas áreas da Susep, e que se responsabilize por alinhar os investimentos de Tecnologia da Informação com os objetivos institucionais e por apoiar a priorização de projetos a serem implantados, considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.33 - Comitê diretor de TI . 3.5 - Inexistência de avaliação do quadro de pessoal de TI. 3.5.1 - Situação encontrada: Por intermédio do item 3 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca da avaliação do quadro de pessoal de TI da SUSEP. Como resposta, o gestor informou que não existem controles para avaliar periodicamente a adequação e suficiência do quadro de pessoal de TI, bem como as competências necessárias para os profissionais de TI.4 de 31 25/5/2011 13:01
  5. 5. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... 3.5.2 - Objetos nos quais o achado foi constatado: Ofício SUSEP/SEGER nº 370/2010 3.5.3 - Causas da ocorrência do achado: Deficiências de controles 3.5.4 - Efeitos/Conseqüências do achado: Dependência do serviço de empresas terceirizadas (efeito potencial) Recursos humanos de TI insuficientes para atender às necessidades do negócio. (efeito potencial) Falta de competênicas apropriadas na área de TI. (efeito potencial) 3.5.5 - Critérios: ACÓRDÃO 71/2007, item 9.2.23, Tribunal de Contas da União, Plenário Decreto 5707/2006, art. 1º, inciso III; art. 3º, inciso III Norma Técnica - ITGI - Cobit 4.1, PO4.12 - Pessoal de TI 3.5.6 - Evidências: Resposta ao item 3 do Ofício TCU-Sefti nº 393/2010, constante do Ofício SUSEP/SEGER nº 370/2010 (folhas 14/17 do Anexo 1 - Principal) Resposta ao item 3 do Ofício TCU-Sefti nº 393/2010, constante de DVD (folha 93 do Volume Principal) 3.5.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.5.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.5.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, com fundamento no disposto na Constituição Federal, art. 37, caput (princípio da eficiência), em atenção ao Decreto nº 5.707/2006, art. 1º, inciso III, elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI. 3.6 - Inexistência de controle da execução do orçamento de TI. 3.6.1 - Situação encontrada: Por intermédio do item 4 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca do controle de execução de orçamento de TI da SUSEP. Na resposta apresentada, não há evidências de que o referido controle seja levado a efeito. Em reunião com a equipe, os gestores afirmaram não haver um controle institucionalizado de execução do orçamento, o qual é realizado por meio do SIAFI. 3.6.2 - Objetos nos quais o achado foi constatado: Ofício SUSEP/SEGER nº 370/2010 3.6.3 - Causas da ocorrência do achado: Deficiências de controles 3.6.4 - Efeitos/Conseqüências do achado: Desconhecimento da disponibilização orçamentária do setor de TI. (efeito potencial) 3.6.5 - Critérios: Lei 4320/1964, art. 75, inciso III Norma Técnica - MPOG - Gespública - Instrumento para Avaliação da Gestão Pública - Ciclo 2010 - critério de avaliação 7.3 Norma Técnica - ITGI - Cobit 4.1, PO5.4 - Gerência de custos 3.6.6 - Evidências: Resposta ao item 4 do Ofício TCU-Sefti nº 393/2010, constante do Ofício SUSEP/SEGER nº 370/2010 (folha 17 do Anexo 1 - Principal) Resposta ao item 4 do Ofício TCU-Sefti nº 393/2010, constante de DVD (folha 93 do Volume Principal) 3.6.7 - Esclarecimentos dos responsáveis:5 de 31 25/5/2011 13:01
  6. 6. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.6.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.6.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção às disposições contidas na Lei nº 4.320/64, art. 75, inciso III, implante controle da execução orçamentária, a fim de se obter prontamente informações acerca dos gastos e da disponibilidade de recursos de TI. 3.7 - Inexistência de processo de software. 3.7.1 - Situação encontrada: Por intermédio do item 5 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca do processo de software da SUSEP. Como resposta, foi remetida uma tabela que estabele a documentação mínima necessária para o desenvolvimento de sistemas de informação e módulos. Todavia, o documento enviado não apresenta os elementos essenciais para ser considerado um processo de software normatizado, aprovado e publicado pela entidade e, assim, considerado obrigatório no âmbito da SUSEP. 3.7.2 - Objetos nos quais o achado foi constatado: Ofício SUSEP/SEGER nº 370/2010 3.7.3 - Causas da ocorrência do achado: Deficiências de controles 3.7.4 - Efeitos/Conseqüências do achado: Deficiência no processo de contratação, decorrente da inexistência de metodologia que assegure boa contratação de desenvolvimento de sistemas. (efeito potencial) Inexistência de parâmetros de aferição de qualidade para contratação de desenvolvimento de sistemas. (efeito potencial) 3.7.5 - Critérios: Instrução Normativa 4/2008, SLTI/MPOG, art. 12, inciso II Lei 8666/1993, art. 6º, inciso IX Norma Técnica - ITGI - Cobit 4.1, PO8.3 - Padrões de desenvolvimento e de aquisições. 3.7.6 - Evidências: CEDEN - Documentaçao mínima necessária para os sistemas de informação e módulos desenvolvidos pela equipe. (folha 93 do Volume Principal) 3.7.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.7.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.7.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Lei nº 8.666/93, art. 6º, inc. IX, e às disposições contidas na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 12, II, defina um processo de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de software, vinculando o contrato com o processo de software, sem o qual o objeto não estará precisamente definido. Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), quando do estabelecimento de seu processo de software, considere as Normas NBR ISO/IEC 12.207 e 15.504. 3.8 - Inexistência de processo de gerenciamento de projetos. 3.8.1 - Situação encontrada: Por intermédio do item 6 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca do processo de gerencimento de projetos da SUSEP. Em resposta ao aludido item, o qual faz referência à pergunta 7.4 do Questionário PerfilGovTI 2010, o gestor informou a inexistência de processo de gerenciamento de projetos no âmbito6 de 31 25/5/2011 13:01
  7. 7. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... da entidade. 3.8.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.8.3 - Causas da ocorrência do achado: Deficiências de controles 3.8.4 - Efeitos/Conseqüências do achado: Risco de insucesso de projetos/processos relevantes, pela falta de estrutura de gestão de projetos. (efeito potencial) 3.8.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, PO10.2 - Estrutura de gerência de projetos 3.8.6 - Evidências: Resposta ao item 7.4 do Questionário PerfilGovTI 2010. (folhas 4/9 do Volume Principal) 3.8.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.8.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.8.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implante uma estrutura formal de gerência de projetos, observando as orientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos e do PMBOK, dentre outras boas práticas de mercado. 3.9 - Inexistência do processo de gestão de incidentes. 3.9.1 - Situação encontrada: Por intermédio do item 7 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca do processo de gestão de incidentes da SUSEP. Em resposta ao aludido intem, o qual faz referência à pergunta 7.6 do Questionário PerfilGovTI 2010, o gestor informou não haver processo de gestão de incidentes no âmbito da entidade. 3.9.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.9.3 - Causas da ocorrência do achado: Deficiências de controles 3.9.4 - Efeitos/Conseqüências do achado: Ocorrência de incidentes sem o devido gerenciamento. (efeito potencial) 3.9.5 - Critérios: Constituição Federal, art. 37, caput Norma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar incidentes e service desk. Norma Técnica - NBR - ISO/IEC 27002, item 10.1.2 - Gestão de mudanças. 3.9.6 - Evidências: Resposta ao item 7.6 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal) 3.9.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.9.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.9.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente processo de gestão de incidentes de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a central de serviços e incidentes e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000 e a NBR 27.002). 3.10 - Inexistência do processo de gestão de configuração 3.10.1 - Situação encontrada: Por intermédio do item 7 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se7 de 31 25/5/2011 13:01
  8. 8. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... informações acerca do processo de gestão de configuração da SUSEP. Em resposta ao aludido item, o qual faz referência à pergunta 7.6 do Questionário PerfilGovTI 2010, o gestor informou não haver processo de gestão de configuração no âmbito da entidade. 3.10.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.10.3 - Causas da ocorrência do achado: Deficiências de controles 3.10.4 - Efeitos/Conseqüências do achado: Desatualização ou deficiência da configuração de TI. (efeito potencial) 3.10.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, DS9 - Gerenciar Configurações. 3.10.6 - Evidências: Resposta ao item 7.6 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal) 3.10.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.10.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.10.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente processo de gestão de configuração de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000). 3.11 - Inexistência do processo de gestão de mudanças. 3.11.1 - Situação encontrada: Por intermédio do item 7 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca do processo de gestão de mudanças da SUSEP. Em resposta ao aludido item, o qual faz referência à pergunta 7.6 do Questionário PerfilGovTI 2010, o gestor informou não haver processo de gestão de mudanças no âmbito da SUSEP. 3.11.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.11.3 - Causas da ocorrência do achado: Deficiências de controles 3.11.4 - Efeitos/Conseqüências do achado: Não avaliação do impacto de eventuais mudanças. (efeito potencial) Solicitações de mudanças não controladas. (efeito potencial) 3.11.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, AI6 - Gerenciar mudanças. Norma Técnica - NBR - ISO/IEC 27002, 12.5.1 - Procedimentos para controle de mudanças 3.11.6 - Evidências: Resposta ao item 7.6 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal) 3.11.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.11.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.11.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 17.799:2005, à semelhança das orientações contidas no Cobit 4.1, processo AI6 - Gerenciar mudanças8 de 31 25/5/2011 13:01
  9. 9. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000). 3.12 - Inexistência de Gestor de Segurança da Informação e Comunicações. 3.12.1 - Situação encontrada: Por intermédio do Ofício de Requisição nº 623/2010-2, de 14/06/2010, solicitaram-se informações acerca do Gestor de Segurança da Informação e Comunicações da SUSEP. Em resposta, enviada por meio da Comunicação Interna nº 34, da CGETI para a AUDIT, datada de 17/06/2010, a entidade informou não ter designado até aquela data o referido gestor. 3.12.2 - Objetos nos quais o achado foi constatado: Comunicação Interna nº 34/2010 - SUSEP 3.12.3 - Causas da ocorrência do achado: Deficiências de controles 3.12.4 - Efeitos/Conseqüências do achado: Não otimização das ações de segurança da informação. (efeito potencial) 3.12.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso IV; art. 7º Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2 Norma Técnica - NBR - ISO/IEC 27002, 6.1.3 - Atribuição de responsabilidade para segurança da informação. 3.12.6 - Evidências: Comunicação Interna nº 34, de CGETI para AUDIT, de 17/06/2010 (folhas 25/26 do Anexo 1 - Principal) 3.12.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.12.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.12.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, IV e art. 7º, c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie Gestor de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27.002, item 6.1.3 - Atribuição de responsabilidade para segurança da informação. 3.13 - Inexistência de Comitê de Segurança da Informação e Comunicações. 3.13.1 - Situação encontrada: Por intermédio do Ofício de Requisição nº 623/2010-2, de 14/06/2010, solicitaram-se informações acerca do Comitê de Segurança da Informação e Comunicações da SUSEP. Em resposta, enviada por meio da Comunicação Interna nº 34, da CGETI para a AUDIT, datada de 17/06/2010, a entidade informou não ter instituído até aquela data o referido comitê. 3.13.2 - Objetos nos quais o achado foi constatado: Comunicação Interna nº 34/2010 - SUSEP 3.13.3 - Causas da ocorrência do achado: Deficiências de controles 3.13.4 - Efeitos/Conseqüências do achado: Não otimização das ações de segurança da informação. (efeito potencial) 3.13.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VI Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3 Norma Técnica - NBR - ISO/IEC 27002, item 6.1.2 - Coordenação de segurança da informação 3.13.6 - Evidências: Comunicação Interna nº 34, de CGETI para AUDIT, de 17/06/2010 (folhas 25/26 do Anexo9 de 31 25/5/2011 13:01
  10. 10. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... 1 - Principal) 3.13.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.13.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.13.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VI c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27.002, item 6.1.2 - Coordenação de segurança da informação. 3.14 - Inexistência de Política de Segurança da Informação e Comunicações (POSIC). 3.14.1 - Situação encontrada: Por intermédio do item 8 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca da Política de Segurança da Informação e Comunicações (POSIC) da SUSEP. Em resposta ao aludido item, o qual faz referência à pergunta 7.2 do Questionário PerfilGovTI 2010, o gestor informou não haver POSIC no âmbito da entidade. 3.14.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.14.3 - Causas da ocorrência do achado: Deficiências de controles 3.14.4 - Efeitos/Conseqüências do achado: Falhas nos procedimentos de segurança. (efeito potencial) 3.14.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VII Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR Norma Técnica - NBR - ISO/IEC 27002, item 5.1 - Política de segurança da informação 3.14.6 - Evidências: Resposta ao item 7.2 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal) 3.14.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.14.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.14.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII, implante Política de Segurança da Informação e Comunicações, observando as práticas contidas na Norma Complementar 03/IN01/DSIC/GSIPR. 3.15 - Inexistência de equipe de tratamento e resposta a incidentes em redes computacionais (ETRI). 3.15.1 - Situação encontrada: Por intermédio do Ofício de Requisição nº 623/2010-2, de 14/06/2010, solicitaram-se informações acerca da equipe de tratamento e resposta a incidentes em redes computacionais (ETRI) da SUSEP. Em resposta, enviada por meio da Comunicação Interna nº 34, da CGETI para a AUDIT, datada de 17/06/2010, a entidade informou não ter instituído até aquela data a referida equipe. 3.15.2 - Objetos nos quais o achado foi constatado: Comunicação Interna nº 34/2010 - SUSEP 3.15.3 - Causas da ocorrência do achado: Deficiências de controles10 de 31 25/5/2011 13:01
  11. 11. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... 3.15.4 - Efeitos/Conseqüências do achado: Falhas relativas às notificações e às atividades relacionadas a incidentes de segurança em redes de computadores. (efeito potencial) 3.15.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso V Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 05/IN01/DSIC/GSIPR 3.15.6 - Evidências: Comunicação Interna nº 34, de CGETI para AUDIT, de 17/06/2010 (folhas 25/26 do Anexo 1 - Principal) 3.15.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.15.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.15.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais, observando as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR. 3.16 - Inexistência de classificação da informação. 3.16.1 - Situação encontrada: Por intermédio do item 8 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca da classificação da informação no âmbito da SUSEP. Em resposta ao aludido item, o qual faz referência à pergunta 7.1 do Questionário PerfilGovTI 2010, o gestor informou não haver na entidade procedimento de classificação de informação para o negócio. 3.16.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.16.3 - Causas da ocorrência do achado: Deficiências de controles 3.16.4 - Efeitos/Conseqüências do achado: Risco de divulgação indevida de informação restrita. (efeito potencial) 3.16.5 - Critérios: ACÓRDÃO 2023/2005, item 9.1.4, Tribunal de Contas da União, Plenário Decreto 4553/2002, art. 6º, § 2º, inciso I; art. 6º, § 2º, inciso II; art. 67 Norma Técnica - NBR - ISO/IEC 27002, item 7.2 - Classificação da informação. 3.16.6 - Evidências: Resposta ao item 7.1 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal) 3.16.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.16.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.16.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção ao disposto no Decreto nº 4553/2002, art. 6º, § 2º, inciso II e art. 67, crie critérios de classificação das informações a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observando as práticas contidas no item 7.2 da NBR ISO/IEC 27.002. 3.17 - Inexistência de inventário dos ativos de informação. 3.17.1 - Situação encontrada: Por intermédio do item 8 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se11 de 31 25/5/2011 13:01
  12. 12. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... informações acerca do inventário dos ativos de informação da SUSEP. Em resposta ao aludido item, o qual faz referência à pergunta 7.1 do Questionário PerfilGovTI 2010, o gestor informou ainda não ter sido levado a efeito aquele inventário. 3.17.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.17.3 - Causas da ocorrência do achado: Deficiências de controles 3.17.4 - Efeitos/Conseqüências do achado: Dificuldade de recuperação de ativo de informação. (efeito potencial) 3.17.5 - Critérios: Norma Técnica - NBR - ISO/IEC 27002, item 7.1.1 - inventário de ativos. Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1 3.17.6 - Evidências: Resposta ao item 7.1 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal) 3.17.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.17.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.17.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII c/c Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando as práticas contidas no item 7.1 da NBR ISO/IEC 27.002. 3.18 - Inexistência de processo de gestão de riscos de segurança da informação (GRSIC). 3.18.1 - Situação encontrada: Por intermédio do item 8 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca do processo de gestão de riscos de segurança da informação (GRSIC) da SUSEP. Em resposta ao aludido item, o qual faz referência à pergunta 7.1 do Questionário PerfilGovTI 2010, o gestor informou não haver, no âmbito da entidade, análise de riscos aos quais a informação crítica para o negócio está submetida, considerando-se, pelo menos, confidencialidade, integridade e disponibilidade. 3.18.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.18.3 - Causas da ocorrência do achado: Deficiências de controles 3.18.4 - Efeitos/Conseqüências do achado: Desconhecimento das ameaças e respectivos impactos relacionados à segurança da informação. (efeito potencial) 3.18.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VII Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 04/IN01/DSIC/GSIPR Norma Técnica - ITGI - Cobit 4.1, PO9.4 - Avaliação de riscos. Norma Técnica - NBR - 27005 - Gestão de riscos de segurança da informação 3.18.6 - Evidências: Resposta ao item 7.1 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal) 3.18.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível.12 de 31 25/5/2011 13:01
  13. 13. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... 3.18.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.18.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII c/c Norma Complementar 04/IN01/DSIC/GSIPR, implemente processo de gestão de riscos de segurança da informação. 3.19 - Plano anual de capacitação não contempla a área de gestão de TI. 3.19.1 - Situação encontrada: Por intermédio do Ofício de Requisição nº 623/2010-2, de 14/06/2010, solicitaram-se informações acerca do Plano Anual de Capacitação de 2010 da SUSEP. Em resposta, enviada por meio de documentação retirada do Processo Administrativo nº 15414.004240/2009-35, que trata do programa anual de capacitação de pessoal para o exercício de 2010, pode-se constatar que a entidade elaborou o indigitado plano. Todavia, o plano não contempla a contento treinamentos específicos para a área de gestão de TI. 3.19.2 - Objetos nos quais o achado foi constatado: Plano Anual de Capacitação para 2010 3.19.3 - Causas da ocorrência do achado: Deficiências de controles 3.19.4 - Efeitos/Conseqüências do achado: Desatualização do quadro de pessoal da área de tecnologia da informação. (efeito potencial) 3.19.5 - Critérios: Decreto 5707/2006, art. 5º, § 2º Norma Técnica - ITGI - Cobit 4.1, PO7.2-Competências Pessoais Norma Técnica - ITGI - Cobit 4.1, PO7.4 - Treinamento do Pessoal 3.19.6 - Evidências: Extrato do Processo Administrativo nº 15414.004240/2009-35 (folhas 51/76 do Anexo 1 - Principal) 3.19.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.19.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.19.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), quando elaborar o próximo Plano Anual de Capacitação, contemple ações de capacitação voltadas para a gestão de tecnologia da informação, observando as práticas contidas no Cobit 4.1, processos PO7.2 - Competências Pessoais e PO7.4 - Treinamento do Pessoal. 3.20 - Inexistência de avaliação da gestão de TI. 3.20.1 - Situação encontrada: Por intermédio do item 9 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca da avaliação da gestão de TI pela Alta Administração da SUSEP. Em resposta ao aludido item, o qual faz referência à pergunta 1.2 do Questionário PerfilGovTI 2010, o gestor informou não existir no âmbito da entidade a referida avaliação. 3.20.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.20.3 - Causas da ocorrência do achado: Deficiências de controles 3.20.4 - Efeitos/Conseqüências do achado: Impossiblidade de verificação de possibilidades de melhoria. (efeito potencial) Decisões gerenciais baseadas em informações incompletas ou errôneas. (efeito potencial) Problemas não identificados nos serviços de TI. (efeito potencial)13 de 31 25/5/2011 13:01
  14. 14. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... 3.20.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, ME1.5 - Relatórios gerenciais Norma Técnica - ITGI - Cobit 4.1, ME1.4 - Avaliar o desempenho Norma Técnica - ITGI - Cobit 4.1, ME1.6 - Ações corretivas 3.20.6 - Evidências: Resposta ao item 1.2 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal) 3.20.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.20.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.20.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), estabeleça um processo de avaliação da gestão de TI, observando as orientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 Relatórios gerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controles internos. 3.21 - Auditoria interna não apóia avaliação da TI. 3.21.1 - Situação encontrada: Por intermédio do item 9 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações para aferir se a auditoria interna apóia a avaliação da TI da SUSEP. Em resposta ao aludido item, o qual faz referência à pergunta 1.4 do Questionário PerfilGovTI 2010, o gestor informou não ter sido realizada auditoria de TI por iniciativa própria da instituição nos últimos três anos, o que evidencia ausência de avaliação desta área por parte da Auditoria Interna. 3.21.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 3.21.3 - Causas da ocorrência do achado: Deficiências de controles 3.21.4 - Efeitos/Conseqüências do achado: Deficiências na governança de TI, gestão de riscos e controles internos. (efeito potencial) 3.21.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, E2 - Monitorar e avaliar os controles internos. 3.21.6 - Evidências: Resposta ao item 1.4 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal) 3.21.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.21.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.21.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), promova ações para que a auditoria interna apoie a avaliação da TI, observando as orientações contidas no Cobit 4.1, ME2 - Monitorar e avaliar os controles internos. 3.22 - Inexistência de controles que promovam o cumprimento da IN4 3.22.1 - Situação encontrada: Por intermédio do item 10 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se informações acerca dos controles que promovam o cumprimento da Instrução Normativa nº 4/2008 - SLTI/MPOG no âmbito da SUSEP. Como resposta, a entidade enviou check list de caráter genérico a ser observado com vistas à aferição dos procedimentos prescritos na Lei nº 8.666/93. Contudo, aquele instrumento de verificação não se presta à averiguação do cumprimento da instrução normativa supramencionada, não havendo, na entidade, qualquer outro documento14 de 31 25/5/2011 13:01
  15. 15. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... destinado a tal fim. 3.22.2 - Objetos nos quais o achado foi constatado: Ofício SUSEP/SEGER nº 370/2010 3.22.3 - Causas da ocorrência do achado: Deficiências de controles 3.22.4 - Efeitos/Conseqüências do achado: Descumprimento de requisitos exigidos pela IN4/2008 - SLTI/MPOG. (efeito potencial) 3.22.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, ME3.3 - Avaliar a conformidade com requisitos externos Norma Técnica - ITGI - Cobit 4.1, AI5.4 - Adquirir recursos de TI. Norma Técnica - ITGI - Cobit 4.1, AI5.3 - Selecionar fornecedor Norma Técnica - ITGI - Cobit 4.1, AI1 - Identificar soluções automatizadas 3.22.6 - Evidências: check list para contratação pela Lei nº 8.666/93 (folha 93 do Volume Principal) 3.22.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.22.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.22.9 - Proposta de encaminhamento: Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente controles que promovam o cumprimento do processo de planejamento previsto na Instrução Normativa nº 4/2008- SLTI/MPOG. 3.23 - Descumprimento do processo de planejamento de acordo com a IN4 3.23.1 - Situação encontrada: A contratação do SERPRO, realizada por intermédio do Contrato nº 18/2009, no valor de R$ 5.241.736,00, cujo objeto é a prestação de serviços continuados e especializados em Tecnologia da Informação, foi levada a efeito sem que tenha sido elaborado estudo que contemplasse os quatro artefatos estabelecidos na IN nº 04/2008-SLTI/MPOG, que são: I - Análise de Viabilidade da Contratação; II - Plano de Sustentação; III - Estratégia de Contratação; e IV - Análise de Riscos. 3.23.2 - Objetos nos quais o achado foi constatado: Processo de dispensa 15414.002777/2009 - Contratação do SERPRO para prestação de serviços de informática 3.23.3 - Causas da ocorrência do achado: Deficiências de controles 3.23.4 - Efeitos/Conseqüências do achado: Risco da ocorrência de aquisições ou contratações que não atendam à necessidade do órgão (efeito potencial) Falhas no Termo de Referência ou Projeto Básico. (efeito potencial) 3.23.5 - Critérios: Instrução Normativa 4/2008, SLTI/MPOG, art. 9º; art. 11; art. 12; art. 13; art. 14; art. 15; art. 16 3.23.6 - Evidências: Processo de dispensa de licitação nº 15414.002777/2009-61 (folhas 1/56 do Anexo 3 - Principal) 3.23.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.23.8 - Conclusão da equipe: Diante do exposto, evidencia-se a existência da irregularidade retratada. 3.23.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Superintendência de Seguros Privados (Susep), que planeje as contratações de serviços de tecnologia15 de 31 25/5/2011 13:01
  16. 16. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... da informação executando o processo previsto na IN nº 04/2008-SLTI/MPOG, observando a sequência lógico-temporal entre as tarefas e os ritos de aprovação dos artefatos produzidos ao longo do processo. 3.24 - Irregularidades na contratação 3.24.1 - Situação encontrada: Com o objetivo de avaliar a aderência do procedimento licitatório adotado com a legislação vigente, foram realizados testes substantivos nos Contratos nº 17/2006, de valor mensal R$ 67.711,85, cujo objeto é a contratação de empresa especializada na manutenção de serviços de informática para a execução de consultoria, desenvolvimento e manutenção de sistemas relacionados ao Formulário de Informações Periódicas para o Mercado Segurador (FIPSUSEP) e ao Sistema de Armazenamento e Processamento de Informações e Estatísticas do Mercado Segurador (SAPIEMS), e nº 18/2009, no valor total de R$ 5.241.736,00, cujo objeto é a prestação de serviços continuados e especializados em Tecnologia da Informação, tendo sido constatadas as seguintes impropriedades: I - Com relação ao Contrato nº 17/2006: a) interposição de mão-de-obra e conseqüente pagamento não vinculado a resultados O ajuste foi formalizado visando ao fornecimento exclusivo de mão-de-obra interposta, em vez de prestação de serviços específicos, em desacordo com os arts. 3º e 4º, II, do Decreto nº 2.271/97; art. 6º da IN nº 04/2008- SLTI; Enunciado nº 331 do TST; art. 37, II, da Constituição Federal; item 9.3.1 do Acórdão/TCU nº 1.329/07 - Plenário e itens 9.3.3 e 9.3.7 do Acórdão/TCU nº 1.558/03 - Plenário. b) ausência de elementos básicos na fundamentação do objetivo da contratação Não há indicação precisa de com quais elementos (objetivos, iniciativas e ações) das estratégias institucionais e de Tecnologia da Informação a contratação pretendida está alinhada (Decreto-Lei nº 200/1967, art. 6º, inciso I c/c itens 9.1.1 do Acórdão nº 1.558/2003, 9.3.11 do Acórdão nº 2.094/2004 e 9.1.9 do Acórdão nº 2.023/2005, todos do Plenário). c) insuficiência de cláusulas contratuais O contrato não contém cláusula de segurança da informação, conforme prevê o item 6.2.3 - "identificando segurança da informação nos acordos com terceiros" da NBR 27002. Não há vinculação da contratação, que trata de desenvolvimento e manutenção de software, a um Processo de Desenvolvimento de Software, em desconformidade com o art. 12, II, da IN nº 04/2008 - SLTI. d) ausência das áreas de negócio e administrativa na gestão do contrato Apenas a área de TI atua na gestão do contrato, infringindo os arts. 20, III, e 23 da IN nº 04/2008 - SLTI e o princípio da eficiência insculpido no art. 37 da Constituição Federal. e) opção indevida por outra modalidade de licitação em detrimento do pregão Foi adotada a modalidade de licitação concorrência do tipo técnica e preço, quando deveria ter sido empregado o pregão. A licitação de bens e serviços de tecnologia da informação considerados comuns, ou seja, aqueles que possuam padrões de desempenho e de qualidade objetivamente definidos pelo edital, com base em especificações usuais no mercado, deve ser obrigatoriamente realizada pela modalidade Pregão, preferencialmente na forma eletrônica. Quando, eventualmente, não for viável utilizar essa forma, deverá ser anexada a justificativa correspondente (Lei nº 10.520/2002, art. 1º; Lei nº 8.248/1991, art. 3º, § 3º; Decreto nº 3.555/2000, anexo II; Decreto nº 5.450/2005, art. 4º, e Acórdão nº 1.547/2004 - Primeira Câmara). f) desconformidades nos pareceres jurídicos Todas as irregularidades apontadas na presente contratação poderiam ter sido evitadas se verificadas por ocasião da elaboração dos pareceres jurídicos pertinentes. g) exigências editalícias restritivas ao caráter competitivo da licitação A licitação exigia a comprovação de que o profissional já mantivesse vínculo com a licitante, seja como empregado contratado ou sócio da empresa. Tal imposição exclui da licitação empresas com profissionais ainda não contratados, mas à disposição para levar a efeito o serviço. Esta última situação, inclusive, acaba por abarcar a maioria das empresas, afinal estas não vão contratar novos empregados sem a garantia de aumento da demanda de seus serviços, o que somente se concretiza com a vitória no certame. Sendo assim, a exigência em comento pode acarretar redução considerável do número de empresas habilitadas, além de beneficiar a atual contratada, que já conta nos seus quadros de pessoal com profissionais executando o serviço licitado. A equipe também verificou que houve alteração de peso das propostas técnica e de preço16 de 31 25/5/2011 13:01
  17. 17. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... de uma licitação para a outra. Na licitação anterior do mesmo serviço, os pesos eram iguais - 50% para cada, enquanto que no presente certame o peso da proposta técnica aumentou para 70% e o da de preço diminuiu para 30%. Tal modificação vem beneficiar a empresa que já havia ganhado a licitação anterior e se encontrava prestando o serviço na SUSEP, pois essa contratada à época da nova licitação, em virtude da execução do contrato anterior, acabava por apresentar todos os requisitos para obter a pontuação técnica máxima, fato que prejudica a competitividade de outras licitantes que nunca foram contratadas pela SUSEP para realizar os serviços licitados, já que teriam que comprovar preço bem mais baixo para se sagrarem vencedoras. II - Com relação ao Contrato nº 18/2009: a) ausência de elementos básicos na fundamentação do objetivo da contratação Não há indicação precisa de com quais elementos (objetivos, iniciativas e ações) das estratégias institucionais e de Tecnologia da Informação a contratação pretendida está alinhada (Decreto-Lei nº 200/1967, art. 6º, inciso I c/c itens 9.1.1 do Acórdão nº 1.558/2003, 9.3.11 do Acórdão nº 2.094/2004 e 9.1.9 do Acórdão nº 2.023/2005, todos do Plenário). b)impertinência de cláusulas contratuais A cláusula décima terceira - "do reajuste de preços" estabelece que o reajustamento será realizado considerando a Política de Preços da Contratada e não índice que reproduza a variação anual de preços do setor, infringindo o art. 40, XI, da Lei nº 8.666/93. A cláusula décima nona - "sanções administrativas" não estabelece as sanções de suspensão temporária de participação em licitação e impedimento de contratar com a Administração, por prazo não superior a 2 (dois) anos, e de declaração de inidoneidade para licitar ou contratar com a Administração Pública, conforme determina o art. 87, III e IV, da Lei nº 8.666/93. O parágrafo segundo da cláusula vigésima primeira - "da propriedade intelectual" prevê que "os programas de computador, soluções em tecnologia da informação e comunicação e componentes que venham a ser desenvolvidos pela contratada, para realizar integração entre os serviços objeto deste contrato, constituirão propriedade intelectual da contratada", quando deveriam pertencer exclusivamente à contratante, uma vez que o não fornecimento dos códigos-fonte dos programas desenvolvidos acarreta total dependência da contratada. c) insuficiência de cláusulas contratuais A cláusula sétima - "da segurança dos serviços" não contempla os requisitos previstos no item 6.2.3 - "identificando segurança da informação nos acordos com terceiros" da NBR 27002. d) não divisibilidade do objeto, estando presentes a viabilidade técnica e econômica. O objeto do contrato inclui serviços de consultoria em tecnologia da informação, de produção de sistemas, de administração de rede local, de administração de rede de longa distância, de administração de correio eletrônico e de emissão de certificado digital, os quais são tecnicamente divisíveis. A não divisibilidade do objeto afronta o art. 23, § 1º, da Lei nº 8.666/1993, e já foi objeto de pronunciamento do Tribunal, conforme Acórdãos nº 1.331/2003 e nº 2.471/2008, ambos do Plenário. e) ausência das áreas de negócio e administrativa na gestão do contrato Apenas a área de TI atua na gestão do contrato, infringindo o art. 20, III, e 23 da IN nº 04/2008 - SLTI e o princípio da eficiência insculpido no art. 37 da Constituição Federal. f) ausência de cláusula de garantia contratual Não consta do contrato qualquer cláusula referente a garantia contratual, o que viola o estabelecido no art. 55, VI, da Lei nº 8.666/93. g) ausência de estimativa de custos globais e unitários Não foi efetuada pesquisa de preços preliminar ao certame, tendo sido utilizada como referência contratação anterior com o SERPRO, o que vai de encontro à jurisprudência pacífica desta Casa de Contas no sentido da obrigatoriedade de tal pesquisa em momento anterior ao procedimento licitatório. h) falhas na contratação direta Não foram especificadas, no processo de dispensa de licitação, a razão da escolha do fornecedor ou executante e a justificativa do preço, em dissonância com o art. 26, II e III, da Lei nº 8.666/93. i) desconformidades nos pareceres jurídicos Todas as irregularidades apontadas na presente contratação poderiam ter sido evitadas se verificadas por ocasião da elaboração dos pareceres jurídicos pertinentes.17 de 31 25/5/2011 13:01
  18. 18. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... j) irregularidades no DFP da licitante Há serviços que estão sendo executados em razão da presente contratação sem que haja detalhamento dos custos unitários de cada serviço, o que afronta o art. 7º, § 2º, II, da Lei nº 8.666/93. 3.24.2 - Objetos nos quais o achado foi constatado: Contrato 17/2006 - Contrato para desenvolvimento e manutenção dos Sistemas FIPSUSEP e SAPIEMS Contrato 18/2009 - Contratação do SERPRO para prestação de serviços de informática Processo de dispensa 15414.002777/2009 - Contratação do SERPRO para prestação de serviços de informática Processo licitatório 15414.004138/2005 - Concorrência para contratação de serviços referentes ao desenvolvimento e manutenção dos sistemas FIPSUSEP e SAPIEMS 3.24.3 - Causas da ocorrência do achado: Deficiências de controles Imperícia Inexistência ou insuficiência de segregação de funções Inexistência de controles 3.24.4 - Efeitos/Conseqüências do achado: Risco da ocorrência de aquisições ou contratações que não atendam à necessidade do órgão (efeito potencial) 3.24.5 - Critérios: ACÓRDÃO 2471/2008, item 9.1, Tribunal de Contas da União, Plenário ACÓRDÃO 2471/2008, item 9.2, Tribunal de Contas da União, Plenário Instrução Normativa 4/2008, SLTI/MPOG, art. 9º; art. 17 São também considerados critérios para este achado, de maneira geral, a Lei nº 8.666/1993 e a IN 04/2008 - SLTI/MPOG. 3.24.6 - Evidências: Comunicação Interna 29/2009 (folha 2 do Anexo 3 - Principal) Clausula décima à clausula vigésima primeira do Contrato 18/2009 (folhas 65/69 do Anexo 3 - Principal) Clausula sétima à clausula nona do Contrato 18/2009 (folha 62 do Anexo 3 - Principal) Clausulas primeira e segunda do Contrato 18/2009 (folhas 57/59 do Anexo 3 - Principal) Ato de designação nº 71/2009 (folha 70 do Anexo 3 - Principal) Clausula décima nona à clausula vigésima do Contrato 18/2009 (folhas 66/67 do Anexo 3 - Principal) Informação do Processo Nº 15414.002777/2009-61 (folha 3 do Anexo 3 - Principal) Edital de licitação da Concorrência nº 1/2006 (folhas 58/118 do Anexo 2 - Principal) Contrato nº 17/2006 (folhas 247/256 do Anexo 2 - Volume 1) Pagamentos realizados no âmbito do Contrato nº 17/2006 (folhas 439/1155 do Anexo 2 - Volume 2) Projeto básico da Concorrência nº 1/2006 (folhas 76/93 do Anexo 2 - Principal) Ato de designação nº 072/2007 (folha 323 do Anexo 2 - Volume 1) Ato de designação nº 042/2008 (folha 391 do Anexo 2 - Volume 1) Ato de designação nº 98/2010 (folha 438 do Anexo 2 - Volume 2) Parecer/PRGER/Assuntos Administrativos nº 23.952/2006 (folhas 33/34 do Anexo 2 - Principal) Parecer/PRGER/Assuntos Administrativos nº 24.261/2006 (folhas 49/50 do Anexo 2 - Principal) Edital de licitação da Concorrência Técnica e Preço nº 01/2002 (folhas 1167/1223 do Anexo 2 - Volume 5) Ato de designação nº 044/2006 (folha 443 do Anexo 2 - Volume 2) Ato de designação nº 063/2009 (folha 431 do Anexo 2 - Volume 2) 3.24.7 - Esclarecimentos dos responsáveis: Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-la o mais prontamente possível. 3.24.8 - Conclusão da equipe:18 de 31 25/5/2011 13:01
  19. 19. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t... Diante do exposto, evidencia-se a existência das irregularidades retratadas. 3.24.9 - Proposta de encaminhamento: Alertar a Superintendência de Seguros Privados (Susep) quanto à: Interposição de mão-de-obra e conseqüente pagamento não vinculado a resultados, decorrentes do descumprimento dos arts. 3º e 4º, II, do Decreto nº 2.271/97; art. 6º da IN nº 04/2008- SLTI; Enunciado nº 331 do TST; art. 37, II, da Constituição Federal; item 9.3.1 do Acórdão/TCU nº 1.329/07 - Plenário e itens 9.3.3 e 9.3.7 do Acórdão/TCU nº 1.558/03 - Plenário, conforme tratado no item I, alínea a, do tópico "situação encontrada" do achado "Irregularidades na contratação"; Ausência de elementos básicos na fundamentação do objetivo da contratação, decorrente do descumprimento do Decreto-Lei nº 200/1967, art. 6º, inciso I c/c itens 9.1.1 do Acórdão nº 1.558/2003, 9.3.11 do Acórdão nº 2.094/2004 e 9.1.9 do Acórdão nº 2.023/2005, todos do Plenário, conforme tratado no item I, alínea b, e no item II, alínea a do tópico "situação encontrada" do achado "Irregularidades na contratação"; Insuficiência de cláusulas contratuais, decorrente do descumprimento do item 6.2.3 - "identificando segurança da informação nos acordos com terceiros" da NBR 27002 e do art. 12, II, da IN nº 04/2008 - SLTI, conforme tratado no item I, alínea c, e no item II, alínea c do tópico "situação encontrada" do achado "Irregularidades na contratação"; Ausência das áreas de negócio e administrativa na gestão do contrato, decorrente do descumprimento dos arts. 20, III, e 23 da IN nº 04/2008 - SLTI e do princípio da eficiência insculpido no art. 37 da Constituição Federal, conforme tratado no item I, alínea d, e no item II, alínea e do tópico "situação encontrada" do achado "Irregularidades na contratação"; Opção indevida por outra modalidade de licitação em detrimento do pregão, decorrente do descumprimento da Lei nº 10.520/2002, art. 1º; Lei nº 8.248/1991, art. 3º, § 3º; Decreto nº 3.555/2000, anexo II; Decreto nº 5.450/2005, art. 4º, e Acórdão nº 1.547/2004 - Primeira Câmara, conforme tratado no item I, alínea e, do tópico "situação encontrada" do achado "Irregularidades na contratação"; Desconformidades nos pareceres jurídicos, decorrentes do descumprimento do art. 38, VI, e parágrafo único da Lei nº 8.666/93, conforme tratado no item I, alínea f, e item II, alínea i do tópico "situação encontrada" do achado "Irregularidades na contratação"; Exigências editalícias restritivas ao caráter competitivo da licitação, decorrentes do descumprimento do art. 3º, § 1º, I, da Lei nº 8.666/93, conforme tratado no item I, alínea g, do tópico "situação encontrada" do achado "Irregularidades na contratação"; Impertinência de cláusulas contratuais, decorrente do descumprimento do art. 40, XI, e do art. 87, III e IV, c/c o art. 55, VII, da Lei nº 8.666/93, conforme tratado no item II, alínea b, do tópico "situação encontrada" do achado "Irregularidades na contratação"; Não divisibilidade do objeto, estando presentes a viabilidade técnica e econômica, decorrente do descumprimento do art. 23, § 1º, da Lei nº 8.666/1993 e dos Acórdãos nº 1.331/2003 e nº 2.471/2008, ambos do Plenário, conforme tratado no item II, alínea d, do tópico "situação encontrada" do achado "Irregularidades na contratação"; Ausência de cláusula de garantia contratual, decorrente do descumprimento do art. 55, VI, da Lei nº 8.666/93, conforme tratado no item II, alínea f, do tópico "situação encontrada" do achado "Irregularidades na contratação"; Ausência de estimativa de custos globais e unitários, decorrente do descumprimento do art. 40, § 2º, inciso II, c/c o art. 43, inciso IV da Lei nº 8.666/93 e do item 9.1.14 do Acórdão/TCU nº 1.382/2009 - Plenário, conforme tratado no item II, alínea g, do tópico "situação encontrada" do achado "Irregularidades na contratação"; Falhas na contratação direta, decorrentes do descumprimento do art. 26, II e III, da Lei nº 8.666/93, conforme tratado no item II, alínea h, do tópico "situação encontrada" do achado "Irregularidades na contratação"; e Ausência de detalhamento dos custos unitários de cada serviço constante do Demonstrativo de Formação de Preços da contratada, decorrente do descumprimento do art. 7º, § 2º, II, da Lei nº 8.666/93, conforme tratado no item II, alínea j, do tópico "situação encontrada" do achado "Irregularidades na contratação". 3.25 - Inexistência de controles que promovam a regular gestão contratual19 de 31 25/5/2011 13:01

×