Your SlideShare is downloading. ×
Acórdão tcu 465 2011 - anatel - avaliação de controles de ti
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Acórdão tcu 465 2011 - anatel - avaliação de controles de ti

955
views

Published on

Entidade: Agência Nacional de Telecomunicações - Anatel …

Entidade: Agência Nacional de Telecomunicações - Anatel
RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA
DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES
DE MELHORIA. DETERMINAÇÕES, RECOMENDAÇÕES E ALERTAS

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
955
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... Pesquisa: Livre Em Formulário Quarta-feira, 25 de Maio de 2011. Pesquisa número: 3 Expressão de Pesquisa: "AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO" Bases pesquisadas: Acórdãos; Decisões; Relações; Atas Documento da base: Acórdão Documentos recuperados: 11 Documento mostrado: 6 Status na Coletânea: Não Selecionado Visualizar este documento no formato: Formato Padrão para Acórdãos Coletânea Status do Documento na Coletânea: [Não Selecionado] Voltar à lista de documentos Anterior | Próximo Identificação Acórdão 465/2011 - Plenário Número Interno do Documento AC-0465-06/11-P Grupo/Classe/Colegiado GRUPO I / CLASSE V / Plenário Processo 017.791/2010-3 Natureza Relatório de Auditoria Entidade Entidade: Agência Nacional de Telecomunicações - Anatel Interessados Responsável: Ronaldo Sardenberg, presidente Sumário RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES DE MELHORIA. DETERMINAÇÕES, RECOMENDAÇÕES E ALERTAS Assunto Relatório de Auditoria Ministro Relator AROLDO CEDRAZ Representante do Ministério Público não atuou Unidade Técnica 1ª Secretaria de Controle Externo - Secex-1 Advogado Constituído nos Autos1 de 27 25/5/2011 13:08
  • 2. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... não há Relatório do Ministro Relator A 1ª Secretaria de Controle Externo - Secex/1 realizou auditoria na Agência Nacional de Telecomunicações - Anatel, no período de 26/7 a 27/8/2010, com o objetivo de avaliar controles gerais de tecnologia da informação - TI e verificar se estão de acordo com a legislação pertinente e com as boas práticas de governança de TI. 2. As ocorrências detectadas foram apresentadas pela equipe de auditoria nos seguintes termos (fls. 49/79): "3 - ACHADOS DE AUDITORIA 3.1 - Falhas no Plano Estratégico Institucional 3.1.1 - Situação encontrada: Em resposta ao item 2.1 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel declarou que executa um processo periódico de planejamento institucional, embora este não esteja formalmente instituído (fls. 5 do Volume Principal). Mediante o item 1 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, foram solicitadas informações acerca do planejamento estratégico da Anatel, assim como evidências que comprovassem a resposta da Agência ao mencionado questionamento (fls. 14 do Volume Principal). Consta das evidências encaminhadas pelo Ofício nº 086/2010/AUD-Anatel, de 16/7/2010 (fls. 5/39 do Anexo 1 - Principal), que o planejamento estratégico da Agência está tratado no Plano Geral de Atualização da Regulamentação das Telecomunicações no Brasil (PGR), aprovado mediante a Resolução nº 516, de 30 de outubro de 2008. No entanto, após análise de tal documento, acostado às fls. 2/17 do Anexo 4 - Principal, foram verificadas as seguintes falhas: a) não foram tratados os pontos mencionados no critério 2 do Instrumento para Avaliação da Gestão Pública - Gespública, tais como a definição do negócio, missão, visão e avaliação do ambiente interno. O primeiro parágrafo da introdução contém um breve entendimento sobre o ambiente externo do negócio institucional da Anatel; b) há previsão apenas dos objetivos e iniciativas estratégicas associados à área finalística da Agência, principalmente no tocante ao seu papel regulamentador. As atividades de suporte à área finalística da Autarquia, tais como aquelas relacionadas à própria área de TI, não receberam tratamento estratégico de longo prazo, sendo inseridas somente em uma ação de curto prazo, denominada V.17 - Revisão dos procedimentos administrativos e organizacionais da Anatel, no sentido de torná-los aderentes ao novo cenário convergente das telecomunicações; e c) não foram estabelecidos indicadores de desempenho, de acordo com os objetivos estratégicos previstos no plano. 3.1.2 - Objetos nos quais o achado foi constatado: Planejamento estratégico institucional. 3.1.3 - Efeitos/Conseqüências do achado: Risco de a instituição não conseguir atuar de forma eficiente no atingimento dos seus objetivos finalísticos (efeito potencial). 3.1.4 - Critérios: Constituição Federal, art. 37, caput; Decreto Lei 200/1967, art. 6º, inciso I, e art. 7º; Norma Técnica - MPOG - Gespública - Instrumento para Avaliação da Gestão Pública - Ciclo 2010 - critério de avaliação 2. 3.1.5 - Evidências: Resposta ao item 2.1 do questionário Perfil GovTI 2010 (Volume Principal - folha 5); Resposta ao item 1 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 - Principal - folhas 5/39); Plano Geral de Atualização da Regulamentação das Telecomunicações no Brasil (PGR) (Anexo 4 - Principal - folhas 2/17). 3.1.6 - Esclarecimentos dos responsáveis:2 de 27 25/5/2011 13:08
  • 3. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... Durante a fiscalização, os gestores da Anatel apresentaram novas evidências, contendo a definição da missão institucional da entidade, bem como indicadores e metas para avaliar a sua gestão. Adicionalmente, foi apresentado o Plano de Trabalho da Anatel para o ano de 2010, no qual são reproduzidos os objetivos estratégicos da Agência relacionados no PGR, com a inclusão de dois novos objetivos estratégicos: 1) Promover a gestão organizacional segundo os princípios da qualidade, com vistas a atender às necessidades dos colaboradores internos, das prestadoras, fornecedores e especialmente dos usuários e consumidores dos serviços de telecomunicações, sempre voltada para a consecução de resultados e com aperfeiçoamento constante; e 2) Otimizar a fiscalização e o uso eficiente do espectro. Além disso, o referido plano demonstra a vinculação entre as ações de curto prazo (apenas para o ano de 2010) e os objetivos nele definidos (Anexo 4 - Principal - folhas 18/66). 3.1.7 - Conclusão da equipe: Tendo em vista as evidências apresentadas e os esclarecimentos obtidos dos gestores da Anatel, entende-se que a Agência possui um planejamento estratégico institucional, conforme demonstrado no Plano Geral de Atualização da Regulamentação das Telecomunicações no Brasil (PGR) e no Plano de Trabalho da Anatel para o ano de 2010. Entretanto, deve-se destacar que o referido planejamento não é consolidado em um documento único, com a definição dos objetivos estratégicos referentes às áreas finalísticas e de suporte da entidade, e com ferramentas que demonstrem a correlação entre tais objetivos e as ações de curto, médio e longo prazos necessárias ao seu atingimento. 3.1.8 - Proposta de encaminhamento: Recomendar à Anatel que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), e ao Decreto Lei nº 200/67, art. 6º, inciso I, e art. 7º, aperfeiçoe o Processo de Planejamento Estratégico Institucional, considerando o disposto no critério de avaliação nº 2 da Gespública. 3.2 - Falhas no processo de Planejamento Estratégico Institucional 3.2.1 - Situação encontrada: A Anatel declarou, em resposta ao item 2.1 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que executa um processo periódico de planejamento institucional, embora este não esteja formalmente instituído (fls. 5 do Volume Principal). Posteriormente, foram solicitadas, mediante o item 1 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, informações relacionadas ao planejamento estratégico da Anatel, assim como evidências que comprovassem a resposta da Agência ao mencionado questionamento (fls. 14 do Volume Principal). Após análise das evidências apresentadas mediante o Ofício nº 086/2010 /AUD-Anatel, de 16/7/2010 (fls. 5/39 do Anexo 1 - Principal), foi constatado que o Plano Geral de Atualização da Regulamentação das Telecomunicações no Brasil (PGR), acostado às fls. 2/17 do Anexo 4 - Principal, não estabelece vinculação entre as ações e os objetivos/iniciativas nele relacionados. Antes, tais ações estariam relacionadas a diretrizes instituídas pelo Ministério das Comunicações, mediante a Portaria nº 178, de 22 de abril de 2008. Além disso, embora tenham sido apresentados documentos que demonstram o acompanhamento das ações do PGR, não restou comprovada sua avaliação. Cabe salientar que, conforme o texto introdutório do documento, cuja aprovação ocorreu em outubro de 2008, essa revisão deve ocorrer a cada dois anos. 3.2.2 - Objetos nos quais o achado foi constatado: Planejamento estratégico institucional. 3.2.3 - Efeitos/Conseqüências do achado: Risco de a instituição não conseguir atuar de forma eficiente no atingimento de seus objetivos finalísticos (efeito potencial). 3.2.4 - Critérios: Constituição Federal, art. 37, caput; Decreto Lei 200/1967, art. 6º, inciso I, e art. 7º; Norma Técnica - MPOG - Gespública - Instrumento para Avaliação da Gestão Pública - Ciclo 2010 - critério de avaliação 2. 3.2.5 - Evidências: Resposta ao item 2.1 do questionário Perfil GovTI 2010 (Volume Principal - folha3 de 27 25/5/2011 13:08
  • 4. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... 5); Resposta ao item 1 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 - Principal - folhas 5/39); Plano Geral de Atualização da Regulamentação das Telecomunicações no Brasil (PGR) (Anexo 4 - Principal - folhas 2/17). 3.2.6 - Esclarecimentos dos responsáveis: Os gestores da Anatel afirmaram, durante a fiscalização, que, tendo em vista a necessidade de avaliação do PGR a cada dois anos, há previsão de que ela ocorra no primeiro semestre de 2011. 3.2.7 - Conclusão da equipe: Considerando as ocorrências verificadas, pode-se inferir que a Anatel possui um processo de planejamento estratégico não instituído formalmente. Ademais, considerando que o prazo para a avaliação do PGR ainda está em curso, conforme definido no próprio documento, não foi possível verificar evidências de sua revisão. Apesar disso, faz-se necessário salientar que, embora os gestores da Agência tenham afirmado que tal avaliação ocorrerá no primeiro semestre de 2011, não há controles implementados por meio da definição de cronogramas e tarefas processuais, necessários para o seu cumprimento. Não obstante tais constatações, abstemo-nos de propor novas medidas saneadoras, tendo em vista que no item 3.1.8 deste relatório já foram propostas recomendações que alcançam a presente ocorrência. 3.3 - Falhas no PDTI 3.3.1 - Situação encontrada: A Anatel informou, em resposta ao item 2.2 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que executa um processo periódico de planejamento de TI, embora este não esteja formalmente instituído. Além disso, no tocante ao item 2.3, alegou que o seu Plano Diretor de TI (PDTI): 1) vincula as ações de TI a indicadores e metas de negócio; 2) vincula os custos de TI a atividades e projetos de TI; e 3) não é publicado na internet para acesso livre (fls. 5 do Volume Principal). Por meio do item 2 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, foram solicitadas informações a respeito do planejamento de TI da Anatel e evidências que comprovassem a resposta da Agência ao questionário realizado (fls. 14 do Volume Principal). Em resposta encaminhada por meio do Ofício nº 086/2010/AUD-Anatel, de 16/7/2010, foram remetidas cópias do Plano de Trabalho de 2010 da Superintendência de Administração Geral - SAD (fls. 40/50 do Anexo 1 - Principal) e do Plano Diretor de TI/2010 da Anatel (fls. 51/82-A do Anexo 1 - Principal). Mediante análise da documentação apresentada, foram constatadas as seguintes falhas: a) o PDTI não prevê necessidades de informações alinhadas à estratégia da Anatel, tampouco plano de investimentos, gestão de riscos ou caracterização do ambiente externo da área de TI (há apenas um breve esclarecimento quanto ao ambiente interno, no tópico 3 do documento); b) embora haja previsão de algumas contratações de serviços e aquisições de equipamentos, não há correlação entre tais iniciativas e os objetivos e iniciativas estratégicas da Anatel; c) os objetivos de TI relacionados no tópico 4.2 do PDTI apresentam apenas diretrizes genéricas, sem qualquer relação com as estratégias institucionais da Anatel; e d) não há indicadores de desempenho, vinculados aos objetivos da área de TI, com vistas a avaliar a sua atuação. 3.3.2 - Objetos nos quais o achado foi constatado: Planejamento de TI. 3.3.3 - Efeitos/Conseqüências do achado: Ações de TI não alinhadas ao negócio (efeito potencial). 3.3.4 - Critérios: Instrução Normativa 4/2008, SLTI/MPOG, art. 4º, inciso III; Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI. 3.3.5 - Evidências: Resposta aos itens 2.2 e 2.3 do questionário Perfil GovTI 2010 (Volume Principal - folha 5);4 de 27 25/5/2011 13:08
  • 5. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... Resposta ao item 2 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 - Principal - folhas 40/98). 3.3.6 - Esclarecimentos dos responsáveis: Os gestores da Anatel confirmaram as conclusões preliminares, obtidas mediante análise da resposta da Agência ao item 2 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010. 3.3.7 - Conclusão da equipe: Diante das evidências obtidas, entende-se que a Agência possui planejamento de TI, conforme demonstrado em seu Plano Diretor de TI para o ano de 2010. No entanto, as disposições contidas na Instrução Normativa 4/2008, SLTI/MPOG, art. 4º, inciso III, e em manuais de boas práticas não foram cumpridas, como se pode constatar pela falta de objetivos bem definidos da área de TI, assim como pela inexistência de plano de investimentos, gestão de riscos e indicadores de desempenho. 3.3.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Anatel que, em atenção às disposições contidas no Decreto-Lei nº 200/67, art. 6º, inciso I, e na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 3º, aperfeiçoe o processo de Planejamento Estratégico de TI, de maneira que o Plano Diretor de Tecnologia da Informação - PDTI esteja em conformidade com as diretrizes constantes na Instrução Normativa nº 04/2008-SLTI/MPOG, art. 4º, III, e as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI. 3.4 - Falhas no processo de planejamento de TI 3.4.1 - Situação encontrada: A Anatel informou, em resposta ao item 2.2 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que executa um processo periódico de planejamento de TI, embora este não esteja formalmente instituído (fls. 5 do Volume Principal). Por meio do item 2 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, foram solicitadas informações a respeito do planejamento de TI da Anatel, e evidências que comprovassem a resposta da Agência ao questionário realizado (fls. 14 do Volume Principal). Após a análise das evidências encaminhadas mediante o Ofício nº 086/2010 /AUD-Anatel, de 16/7/2010 (fls. 40/98 do Anexo 1 - Principal), foram verificadas as seguintes impropriedades: a) o PDTI foi elaborado apenas pela área de TI e aprovado por instâncias superiores da Anatel; b) as ações constantes do PDTI não foram desdobradas em curto e médio prazos. O Plano de Trabalho da Superintendência de Administração Geral (SAD) apresenta apenas as ações de curto prazo, para o ano de 2010, vinculadas aos objetivos estratégicos da Anatel nele definidos; e c) não há informações quanto à avaliação do plano, muito embora a sua vigência seja anual. 3.4.2 - Objetos nos quais o achado foi constatado: Planejamento de TI. 3.4.3 - Efeitos/Conseqüências do achado: Risco de as ações de TI não estarem alinhadas ao negócio (efeito potencial). 3.4.4 - Critérios: Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI. 3.4.5 - Evidências: Resposta ao item 2 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 - Principal - folhas 40/98); Resposta ao item 2.2 do questionário Perfil GovTI 2010 (Volume Principal - folha 5). 3.4.6 - Esclarecimentos dos responsáveis: Os gestores da Anatel afirmaram, durante a fiscalização, que a avaliação do PDTI seria realizada ainda no ano de 2010. 3.4.7 - Conclusão da equipe: Diante das evidências apresentadas, entende-se que a Anatel possui um processo de planejamento de TI informal, que não é realizado em estrito cumprimento às boas práticas,5 de 27 25/5/2011 13:08
  • 6. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... visto que elaborado apenas no âmbito da própria área de TI. Ademais, considerando que o ano de 2010 foi o primeiro exercício em que a Agência realizou, formalmente, um planejamento de TI, não foi identificada qualquer avaliação do PDTI. Apesar disso, cumpre ressaltar que, embora tal revisão ainda estivesse prevista para aquele ano, não há controles implementados, por meio da definição de cronogramas e tarefas processuais, necessários para assegurar o seu cumprimento. 3.4.8 - Proposta de encaminhamento: Recomendar à Anatel que, em atenção ao princípio constitucional da eficiência, aperfeiçoe o processo de Planejamento Estratégico de TI, observando as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI. 3.5 - Inexistência de comitê de TI 3.5.1 - Situação encontrada: A Anatel declarou, em resposta ao item 1.1 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que a sua Alta Administração: 1) designou um Comitê de TI para auxiliá-la nas decisões relativas à gestão e ao uso corporativo de TI; 2) designou representantes de todas as áreas relevantes para o negócio institucional para compor o Comitê de TI; e 3) monitora regularmente o funcionamento do Comitê de TI (fls. 4 do Volume Principal). Por meio do item 3 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, foram solicitadas informações quanto à organização e aos relacionamentos da área de TI da Anatel, bem como evidências que comprovassem as respostas da Agência ao questionamento supra (fls. 14/15 do Volume Principal). No entanto, a documentação apresentada por meio do Ofício nº 086/2010 /AUD-Anatel, de 16/7/2010, não demonstra a criação de um comitê, apenas a intenção de sua instauração (fls. 99/123 do Anexo 1 - Principal), o que indica desconformidade entre as respostas assinaladas pela Anatel aos itens 1.1 e 2.4 do Questionário Perfil GovTI 2010. 3.5.2 - Objetos nos quais o achado foi constatado: Organização e relacionamentos da área de TI. 3.5.3 - Efeitos/Conseqüências do achado: Sobreposição de ações de TI por parte das áreas de negócio que integrariam o comitê de TI (efeito potencial); Priorização inadequada das ações de TI devido à ausência da participação das áreas de negócio da instituição (efeito potencial). 3.5.4 - Critérios: Constituição Federal, art. 37, caput; Instrução Normativa 4/2008, SLTI/MPOG, art. 4º, inciso IV; Norma Técnica - ITGI - Cobit 4.1, PO4.3 - Comitê diretor de TI; Norma Técnica - ITGI - Cobit 4.1, PO4.2 - Comitê estratégico de TI. 3.5.5 - Evidências: Resposta ao item 3 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 - Principal - folhas 99/123); Resposta ao item 1.1 do questionário Perfil GovTI 2010 (Volume Principal - folha 4). 3.5.6 - Esclarecimentos dos responsáveis: Os gestores da Anatel informaram, durante a fiscalização, que assinalaram equivocadamente o questionário realizado, visto que a instauração do Comitê de TI da Agência ainda está em andamento. 3.5.7 - Conclusão da equipe: Pelas evidências apresentadas, confirmadas pelos gestores da Anatel, entende-se que não há Comitê de TI implantado na Agência. 3.5.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Anatel que, em atenção ao disposto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4º, IV, implante Comitê de Tecnologia da Informação que envolva as diversas áreas da Agência e que se responsabilize por alinhar os investimentos de Tecnologia da Informação com os objetivos institucionais e por apoiar a priorização de projetos a serem implantados, considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 -6 de 27 25/5/2011 13:08
  • 7. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... Comitê diretor de TI. 3.6 - Falhas na avaliação do quadro de pessoal de TI 3.6.1 - Situação encontrada: Com relação à organização e aos relacionamentos da área de TI da Anatel, foi solicitado à Agência, mediante o item 3.7 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, que informasse se a estrutura de recursos humanos do seu setor de informática (quantitativo e qualificação dos servidores) é suficiente para o desempenho das atribuições da área e para o atendimento das necessidades da entidade, anexando estudos que embasem tal informação (fls. 15 do Volume Principal). Como evidência, foi encaminhado pela Autarquia, por intermédio do Ofício nº 086/2010/AUD-Anatel, de 16/7/2010, um levantamento quantitativo acerca da adequabilidade da estrutura de recursos humanos da área de TI da Anatel (fls. 123 do Anexo 1 - Principal). Entretanto, tal estudo não apresenta memória de cálculo ou qualquer fundamentação com o fito de demonstrar como se chegou ao número apresentado. Ademais, não há informação quanto ao perfil dos profissionais necessários para atender às demandas da área de TI da Agência. 3.6.2 - Objetos nos quais o achado foi constatado: Organização e relacionamentos da área de TI. 3.6.3 - Efeitos/Conseqüências do achado: Dependência do serviço de empresas terceirizadas (efeito potencial); Recursos humanos de TI insuficientes para atender às necessidades do negócio (efeito potencial); Falta de competências apropriadas na área de TI (efeito potencial). 3.6.4 - Critérios: ACÓRDÃO 71/2007, item 9.2.23, Tribunal de Contas da União, Plenário; Decreto 5707/2006, art. 1º, inciso III; Norma Técnica - ITGI - Cobit 4.1, PO4.12 - Pessoal de TI. 3.6.5 - Evidências: Resposta ao item 3.7 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 - Principal - folha 123). 3.6.6 - Esclarecimentos dos responsáveis: Durante a fiscalização, os gestores da Anatel apresentaram nova evidência, contendo a memória de cálculo do levantamento apresentado em resposta ao item 3 do anexo I do Ofício nº 607/2010-TCU/Secex/1. Alegaram que a metodologia utilizada em tal estudo foi a estimativa, por parte da própria área de TI, da força de trabalho necessária para a conclusão de produtos associados a cada processo realizado naquele setor, com vistas a evidenciar o grau de adequabilidade da estrutura de recursos humanos de TI (Anexo 4 - Principal - folhas 67/70). 3.6.7 - Conclusão da equipe: Diante das evidências apresentadas e dos esclarecimentos obtidos, pode-se concluir que a Anatel realizou estudo quantitativo de adequabilidade da estrutura de recursos humanos da área de TI, o qual demonstra haver alto grau de dependência de empresas terceirizadas na Agência, visto que há apenas 32 servidores e 167 profissionais terceirizados alocados na área de TI. Ademais, não consta informação quanto ao perfil dos profissionais necessários para suprir as demandas da área de TI da entidade. 3.6.8 - Proposta de encaminhamento: Recomendar à Anatel que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), e no Decreto nº 5.707/2006, art. 1º, inciso III, aperfeiçoe o estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI. 3.7 - Falhas no processo de software 3.7.1 - Situação encontrada: Em resposta ao item 7.3 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel alegou que possui um processo de software em nível de capacidade/maturidade gerenciado, o qual, segundo os conceitos extraídos da ABNT NBR ISO/IEC 15.504, é caracterizado quando há um processo informal repetido várias vezes, com a implementação de conceitos de qualidade de processo7 de 27 25/5/2011 13:08
  • 8. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... (fls. 7 do Volume Principal). Com a finalidade de comprovar a resposta da Agência a tal questionamento e para obter informações com relação ao seu processo de desenvolvimento de software, foi realizada a requisição constante do item 5 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010 (fls. 15 do Volume Principal). Mediante análise das evidências apresentadas pelo Ofício nº 086/2010 /AUD-Anatel, de 16/7/2010 (fls. 138/200 do Anexo 1 - Principal), pode-se confirmar a resposta apresentada, haja vista que o processo de software utilizado na Anatel possui os elementos essenciais definidos para esta auditoria, embora ainda não tenha sido aprovado e publicado. 3.7.2 - Objetos nos quais o achado foi constatado: Processo de desenvolvimento de software. 3.7.3 - Efeitos/Conseqüências do achado: Inexistência de parâmetros formais de aferição de qualidade para contratação de desenvolvimento de sistemas; Deficiência no processo de contratação, decorrente da inexistência de metodologia que assegure boa contratação de desenvolvimento de sistemas (efeito potencial). 3.7.4 - Critérios: Instrução Normativa 4/2008, SLTI/MPOG, art. 12, inciso II; Lei 8666/1993, art. 6º, inciso IX; Norma Técnica - ITGI - Cobit 4.1, PO8.3 - Padrões de desenvolvimento e de aquisições. 3.7.5 - Evidências: Resposta ao item 7.3 do questionário Perfil GovTI 2010 (Volume Principal - folha 7); Resposta ao item 5 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 - Principal - folhas 138/200). 3.7.6 - Esclarecimentos dos responsáveis: Os gestores da Anatel confirmaram as evidências apresentadas e informaram que a aprovação e publicação do processo de software da Agência já está prevista. 3.7.7 - Conclusão da equipe: Diante das evidências apresentadas, restou demonstrado que a Anatel possui um nível de capacidade/maturidade de processo de desenvolvimento de software gerenciado, vez que, embora este possua os elementos essenciais definidos na matriz de planejamento desta fiscalização, ainda carece de aprovação e publicação, com vistas a assegurar a aderência das rotinas de trabalho da área de TI da Agência ao processo por ela definido. 3.7.8 - Proposta de encaminhamento: Recomendar à Anatel que, em observância aos níveis de capacidade/maturidade definidos na ABNT NBR ISO/IEC 15.504, aprove e publique o seu processo de desenvolvimento de software, com vistas a assegurar a aderência das rotinas de trabalho da área de TI ao processo definido pela própria Agência. 3.8 - Inexistência de processo de gerenciamento de projetos 3.8.1 - Situação encontrada: A Anatel declarou, em resposta ao item 7.4 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que pratica o gerenciamento de projetos, mas não adota qualquer padrão interno ou de mercado (fls. 7 do Volume Principal). Mediante o item 6 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, solicitaram-se informações quanto ao processo de gerenciamento de projetos, bem como evidências que comprovassem a resposta da Agência ao questionário realizado (fls. 15 do Volume Principal). Em sua resposta, encaminhada pelo Ofício nº 086/2010/AUD-Anatel, de 16/7/2010, a Agência apresentou cópia de uma tela do SCOP (Sistema de Controle de Projetos da Anatel), com a função de acompanhamento de projetos (fls. 201/202 do Anexo 1 - Principal). 3.8.2 - Objetos nos quais o achado foi constatado: Processo de gerenciamento de projetos de TI. 3.8.3 - Efeitos/Conseqüências do achado: Risco de insucesso de projetos relevantes, pela falta de estrutura de gestão de8 de 27 25/5/2011 13:08
  • 9. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... projetos (efeito potencial). 3.8.4 - Critérios: Norma Técnica - ITGI - Cobit 4.1, PO10.2 - Estrutura de gerência de projetos. 3.8.5 -Evidências: Resposta ao item 7.4 do questionário Perfil GovTI 2010 (Volume Principal - folha 7); Resposta ao item 6 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 - Principal - folhas 201/202). 3.8.6 - Esclarecimentos dos responsáveis: Durante a fiscalização, os gestores da Anatel confirmaram que a única tarefa executada, no tocante ao processo de gerenciamento de projetos, é o acompanhamento mediante o Sistema SCOP. 3.8.7 - Conclusão da equipe: Tendo em vista as evidências apresentadas, entende-se que, embora a Anatel realize um acompanhamento de projetos por meio do Sistema SCOP, não há um processo de gerenciamento de projetos instaurado sob os preceitos do Cobit 4.1. 3.8.8 - Proposta de encaminhamento: Recomendar à Anatel que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implante uma estrutura formal de gerência de projetos, observando as orientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos, e no PMBOK, dentre outras boas práticas de mercado. 3.9 - Inexistência do processo de gestão de incidentes 3.9.1 - Situação encontrada: Em resposta ao item 7.6 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel alegou que não implantou corporativamente o processo de gestão de incidentes, previsto entre os processos de gestão de serviços de TI da biblioteca ITIL (Information Technology Infraestructure Library), versão 3 (fls. 8 do Volume Principal). Posteriormente, foram solicitadas, por meio do item 7 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, informações com relação ao processo de gestão de serviços de TI da Anatel, bem como evidências que comprovassem a resposta assinalada ao questionário realizado (fls. 15/16 do Volume Principal). No entanto, tendo em vista a resposta da Agência ao questionário, não foi apresentada qualquer documentação. 3.9.2 - Objetos nos quais o achado foi constatado: Processo de gestão de serviços de TI. 3.9.3 - Efeitos/Conseqüências do achado: Ocorrência de incidentes sem o devido gerenciamento (efeito potencial); Paralisação dos serviços de TI (efeito potencial); Paralisação das atividades da organização (efeito potencial). 3.9.4 - Critérios: Constituição Federal, art. 37, caput; Norma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar a Central de Serviço e os Incidentes; Norma Técnica - NBR - ISO/IEC 27002, item 13 - Gestão de incidentes de segurança da informação; Norma Técnica - NBR - ISO/IEC 20000, item 8.2 - Gerenciamento de incidentes. 3.9.5 - Evidências: Resposta ao item 7.6 do questionário Perfil GovTI 2010 (Volume Principal - folha 8). 3.9.6 - Esclarecimentos dos responsáveis: Durante a fiscalização, os gestores da Anatel apresentaram dois relatórios de consultoria realizada pelo Serviço Federal de Processamento de Dados (SERPRO), entre os meses de dezembro de 2008 e maio de 2009, contendo a avaliação do nível de maturidade da Agência com relação a processos de gerenciamento de serviços de TI, com vistas à adequação de tais processos às melhores práticas preconizadas pela biblioteca ITIL, versão 2, bem como uma proposta de melhoria da sua central de serviços (Anexo 4 - Principal - folhas 71/112). 3.9.7 - Conclusão da equipe:9 de 27 25/5/2011 13:08
  • 10. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... Embora a Agência atenda aos pré-requisitos mínimos para a execução do processo e demonstre intenção de aperfeiçoar seu gerenciamento, os elementos obtidos durante a fiscalização informam que o seu nível de maturidade, com base no modelo proposto pela IT Service Management Forum - United Kingdom (itSMF/UK), ainda está distante do desejável. Desse modo, entende-se que a Anatel não possui ainda processo de gestão de incidentes, conforme preconizado nos critérios utilizados. 3.9.8 - Proposta de encaminhamento: Recomendar à Anatel que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente processo de gestão de incidentes de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a central de serviços e incidentes, e de outras boas práticas de mercado (como as mencionadas na NBR ISO/IEC 20000 e na NBR 27002). 3.10 - Inexistência do processo de gestão de mudanças 3.10.1 - Situação encontrada: Em resposta ao item 7.6 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel alegou que não implantou corporativamente o processo de gestão de mudanças, previsto entre os processos de gestão de serviços de TI da biblioteca ITIL (Information Technology Infraestructure Library), versão 3 (fls. 8 do Volume Principal). Por meio do item 7 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, foram solicitadas informações acerca do processo de gestão de serviços de TI da Anatel, bem como evidências que comprovassem a resposta assinalada ao questionário realizado (fls. 15/16 do Volume Principal). No entanto, tendo em vista a resposta da Agência ao referido questionário, não foi apresentada qualquer documentação. 3.10.2 - Objetos nos quais o achado foi constatado: Processo de gestão de serviços de TI. 3.10.3 - Efeitos/Conseqüências do achado: Não avaliação do impacto de eventuais mudanças (efeito potencial); Solicitações de mudanças não controladas (efeito potencial). 3.10.4 - Critérios: Constituição Federal, art. 37, caput; Norma Técnica - ITGI - Cobit 4.1, AI6 - Gerenciar mudanças; Norma Técnica - NBR - ISO/IEC 27002, 12.5.1 - Procedimentos para controle de mudanças. 3.10.5 - Evidências: Resposta ao item 7.6 do questionário Perfil GovTI 2010 (Volume Principal - folha 8). 3.10.6 - Esclarecimentos dos responsáveis: À exceção dos relatórios mencionados no item 3.9.6 deste Relatório, não foram apresentados outros documentos. 3.10.7 - Conclusão da equipe: Diante das evidências obtidas, conclui-se que a Anatel não possui processo de gestão de mudanças, conforme preconizam os critérios utilizados nesta auditoria, o que corrobora o entendimento de que o seu nível de maturidade, com base no modelo proposto pela IT Service Management Forum - United Kingdom (itSMF/UK), ainda está distante do desejável. 3.10.8 - Proposta de encaminhamento: Recomendar à Anatel que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 17799:2005, à semelhança das orientações contidas no Cobit 4.1, processo AI6 - Gerenciar mudanças, e de outras boas práticas de mercado (como as mencionadas na NBR ISO/IEC 20000). 3.11 - Inexistência do processo de gestão de configuração 3.11.1 - Situação encontrada: Em resposta ao item 7.6 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel alegou que não implantou corporativamente o processo de gestão de configuração, previsto entre os processos de gestão10 de 27 25/5/2011 13:08
  • 11. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... de serviços de TI da biblioteca ITIL (Information Technology Infraestructure Library), versão 3 (fls. 8 do Volume Principal). Posteriormente, por intermédio do item 7 do anexo I do Ofício nº 607/2010- TCU/Secex/1, de 29/6/2010, foram solicitadas informações a respeito do processo de gestão de serviços de TI da Anatel, bem como evidências que comprovassem a resposta assinalada ao questionário realizado (fls. 15/16 do Volume Principal). No entanto, tendo em vista a resposta da Agência ao questionário, não foi apresentada qualquer documentação. 3.11.2 - Objetos nos quais o achado foi constatado: Processo de gestão de serviços de TI. 3.11.3 - Efeitos/Conseqüências do achado: Desatualização ou deficiência da configuração de TI (efeito potencial). 3.11.4 - Critérios: Constituição Federal, art. 37, caput; Norma Técnica - ITGI - Cobit 4.1, DS9 - Gerenciar Configurações; Norma Técnica - NBR - ISO/IEC 20000, item 9.1 - Gerenciamento de configuração. 3.11.5 - Evidências: Resposta ao item 7.6 do questionário Perfil GovTI 2010 (Volume Principal - folha 8). 3.11.6 - Esclarecimentos dos responsáveis: À exceção dos relatórios mencionados no item 3.9.6 deste Relatório, não foram apresentados outros documentos. 3.11.7 - Conclusão da equipe: Diante dos documentos apresentados, conclui-se que a Anatel não possui processo de gestão de configuração, conforme definido nos critérios utilizados nesta auditoria. 3.11.8 - Proposta de encaminhamento: Recomendar à Anatel que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente processo de gestão de configuração de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração, e de outras boas práticas de mercado (como as indicadas na NBR ISO/IEC 20000). 3.12 - Inexistência de Política de Segurança da Informação e Comunicações (POSIC) 3.12.1 - Situação encontrada: A Anatel declarou que não formalizou a sua política corporativa de segurança da informação, tratada no item 7.2 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010 (fls. 7 do Volume Principal). Por meio do item 8 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, foram solicitadas informações relacionadas ao processo de gestão da segurança da informação da Anatel, assim como evidências que comprovassem a resposta da Agência ao questionário realizado (fls. 16/17 do Volume Principal). Pela análise das evidências apresentadas mediante o Ofício nº 086/2010 /AUD-Anatel, de 16/7/2010 (fls. 204/206 do Anexo 1 - Principal), verificou-se que, em 30/4/2010, foi realizada a primeira reunião da Comissão de Segurança da Informação da Anatel (CSI), a qual foi instituída em 7/1/2010. De acordo com a Ata da referida reunião, o primeiro assunto a ser tratado pela dita comissão seria a elaboração da POSIC da Agência. 3.12.2 - Objetos nos quais o achado foi constatado: Processos corporativos de segurança da informação. 3.12.3 - Efeitos/Conseqüências do achado: Falhas nos procedimentos de segurança (efeito potencial). 3.12.4 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VII; Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR; Norma Técnica - NBR - ISO/IEC 27002, item 5.1 - Política de segurança da informação. 3.12.5 - Evidências:11 de 27 25/5/2011 13:08
  • 12. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... Resposta ao item 7.2 do questionário Perfil GovTI 2010 (Volume Principal - folha 7); Resposta ao item 8 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 - Principal - folhas 204/206). 3.12.6 - Esclarecimentos dos responsáveis: Foi confirmado, pelos gestores da Anatel, que a POSIC da Agência ainda está em processo de elaboração, conforme demonstrado nos registros de reuniões realizadas pela CSI (Anexo 4 - Principal - folhas 113/123). 3.12.7 - Conclusão da equipe: Diante das evidências apresentadas, verifica-se que a Anatel ainda não possui uma POSIC formalizada. 3.12.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Anatel que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII, implante Política de Segurança da Informação e Comunicações, observando as práticas contidas na Norma Complementar 03/IN01/DSIC/GSIPR. 3.13 - Inexistência de classificação da informação 3.13.1 - Situação encontrada: Em resposta ao item 7.1 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel declarou que não implementou formalmente o processo de classificação da informação para o negócio (fls. 7 do Volume Principal). Por meio dos itens 8.4 e 8.6 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010 (fls. 16 do Volume Principal), foram solicitadas evidências que comprovassem as respostas da Agência ao questionamento supra. No entanto, tendo em vista a resposta da Autarquia ao questionário, não foi apresentada qualquer documentação. 3.13.2 - Objetos nos quais o achado foi constatado: Processos corporativos de segurança da informação. 3.13.3 - Efeitos/Conseqüências do achado: Risco de divulgação indevida de informação restrita (efeito potencial). 3.13.4 - Critérios: ACÓRDÃO 2023/2005, item 9.1.4, Tribunal de Contas da União, Plenário; Decreto 4553/2002, art. 6º, § 2º, inciso I, art. 6º, § 2º, inciso II, e art. 67; Norma Técnica - NBR - ISO/IEC 27002, item 7.2 - Classificação da informação. 3.13.5 - Evidências: Resposta ao item 7.1 do questionário Perfil GovTI 2010 (Volume Principal - folha 7). 3.13.6 - Esclarecimentos dos responsáveis: Embora não tenham apresentado evidências, os gestores da Anatel afirmaram que as informações sob responsabilidade da Agência são classificadas, de forma automática, nos sistemas por ela utilizados, conforme as diretrizes instituídas no art. 64 do Regulamento da Anatel, aprovado pelo Decreto nº 2.338/97. 3.13.7 - Conclusão da equipe: Considerando que o art. 64 do Regulamento da Anatel institui apenas diretrizes para a classificação das informações sob responsabilidade da Agência, entende-se que não há formalização de critérios que relacionem os tipos de informação aos respectivos graus de sigilo. 3.13.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Anatel que, em atenção ao disposto no Decreto nº 4553/2002, art. 6º, § 2º, inciso II, e art. 67, crie critérios de classificação das informações a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observando as práticas contidas no item 7.2 da NBR ISO/IEC 27.002. 3.14 - Inexistência de inventário dos ativos de informação 3.14.1 - Situação encontrada: Em resposta ao item 7.1 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel declarou que não implementou formalmente um inventário de ativos da informação sob sua responsabilidade (fls.12 de 27 25/5/2011 13:08
  • 13. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... 7 do Volume Principal). Por meio dos itens 8.4 e 8.5 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010 (fls. 16 do Volume Principal), foram solicitadas evidências que comprovassem as respostas da Agência ao questionamento supra. No entanto, tendo em vista a resposta da Autarquia ao questionário, não foi apresentada qualquer documentação. 3.14.2 - Objetos nos quais o achado foi constatado: Processos corporativos de segurança da informação. 3.14.3 - Efeitos/Conseqüências do achado: Dificuldade de recuperação de ativo de informação (efeito potencial). 3.14.4 - Critérios: Norma Técnica - NBR - ISO/IEC 27002, item 7.1.1 - inventário de ativos; Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1; Resolução 90/2009, CNJ, art. 9º, § 2º 3.14.5 - Evidências: Resposta ao item 7.1 do questionário Perfil GovTI 2010 (Volume Principal - folha 7). 3.14.6 - Conclusão da equipe: Tendo em vista a resposta da Agência ao questionário Perfil GovTI 2010, corroborada por informações coletadas durante a fiscalização, verifica-se que a Anatel não possui um inventário de ativos de informação, contendo sua base de dados e arquivos, contratos e acordos, documentação de sistemas, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negocio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas, conforme definido no item 7.1.1 da Norma Técnica - NBR - ISO/IEC 27002. 3.14.7 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Anatel que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII, c/c a Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando as práticas contidas no item 7.1 da NBR ISO/IEC 27.002. 3.15 - Inexistência de equipe de tratamento e resposta a incidentes em redes computacionais (ETRI) 3.15.1 - Situação encontrada: Em resposta ao item 7.1 do Questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel declarou que não implementou formalmente o gerenciamento dos incidentes de segurança da informação (fls. 7 do Volume Principal). Por meio do item 8.8 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010 (fls. 17 do Volume Principal), foram solicitadas evidências que comprovassem a resposta assinalada ao questionário realizado. No entanto, tendo em vista a resposta da Agência ao questionário, não foi apresentada qualquer documentação. 3.15.2 - Objetos nos quais o achado foi constatado: Processos corporativos de segurança da informação. 3.15.3 - Efeitos/Conseqüências do achado: Falhas relativas às notificações e às atividades relacionadas a incidentes de segurança em redes de computadores (efeito potencial). 3.15.4 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso V; Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 05/IN01/DSIC/GSIPR. 3.15.5 - Evidências: Resposta ao item 7.1 do questionário Perfil GovTI 2010 (Volume Principal - folha 7). 3.15.6 - Esclarecimentos dos responsáveis:13 de 27 25/5/2011 13:08
  • 14. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... A inexistência de ETRI foi confirmada pelos gestores da Anatel, durante a fiscalização. 3.15.7 - Conclusão da equipe: Tendo em vista a resposta da Anatel ao questionário Perfil GovTI 2010 e a confirmação de tal informação durante a execução desta auditoria, conclui-se que a Agência não possui uma ETRI. 3.15.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Anatel que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais, observando as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR. 3.16 - Inexistência de processo de gestão de riscos de segurança da informação (GRSIC) 3.16.1 - Situação encontrada: A Anatel declarou, em resposta ao item 7.1 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que não implementou formalmente o processo de análise dos riscos aos quais a informação crítica para o negócio está submetida, considerando, pelo menos, confidencialidade, integridade e disponiblidade (fls. 7 do Volume Principal). Por intermédio do item 8.7 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010 (fls. 16/17 do Volume Principal), foram solicitadas evidências que comprovassem a resposta assinalada ao questionário realizado. No entanto, tendo em vista a resposta da Agência ao questionário, não foi apresentada qualquer documentação. 3.16.2 - Objetos nos quais o achado foi constatado: Processos corporativos de segurança da informação. 3.16.3 - Efeitos/Conseqüências do achado: Desconhecimento das ameaças e respectivos impactos relacionados à segurança da informação (efeito potencial). 3.16.4 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VII; Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 04/IN01/DSIC/GSIPR; Norma Técnica - ITGI - Cobit 4.1, PO9.4 - Avaliação de riscos; Norma Técnica - NBR - 27005 - Gestão de riscos de segurança da informação. 3.16.5 - Evidências: Resposta ao item 7.1 do questionário Perfil GovTI 2010 (Volume Principal - folha 7). 3.16.6 - Esclarecimentos dos responsáveis: Os gestores da Anatel confirmaram, durante a fiscalização, que a Agência não executa um GRSIC. 3.16.7 - Conclusão da equipe: Diante das ocorrências verificadas, pode-se concluir que a Anatel não implementou formalmente e não executa um GRSIC. 3.16.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Anatel que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII, c/c a Norma Complementar 04/IN01/DSIC/GSIPR, implemente processo de gestão de riscos de segurança da informação. 3.17 - Ausência da área de gestão TI no plano anual de capacitação 3.17.1 - Situação encontrada: Em resposta ao item 6.3 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel declarou que elabora e executa um plano de capacitação para atender às necessidades de capacitação em gestão de TI (fls. 7 do Volume Principal). Por meio do item 9.2 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, foram solicitadas evidências que comprovassem a resposta da Agência a tal14 de 27 25/5/2011 13:08
  • 15. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... questionamento (fls. 17 do Volume Principal). Na documentação encaminhada, consta cópia do Plano Anual de Capacitação da Anatel 2010, bem como planilha avulsa, contendo o quantitativo de servidores por capacitação prevista (fls. 207/250 do Anexo 1 - Volume 1). Após análise de tais informações, verificou-se que, embora estejam previstas capacitações voltadas para a área de gestão de TI, tais eventos não foram contemplados efetivamente no plano de capacitação. 3.17.2 - Objetos nos quais o achado foi constatado: Capacitação de profissionais de TI. 3.17.3 - Efeitos/Conseqüências do achado: Desatualização do quadro de pessoal da área de tecnologia da informação (efeito potencial). 3.17.4 - Critérios: Decreto 5707/2006, art. 5º, § 2º; Norma Técnica - ITGI - Cobit 4.1, PO7.2-Competências Pessoais; Norma Técnica - ITGI - Cobit 4.1, PO7.4 - Treinamento do Pessoal; Resolução 90/2009, CNJ, art. 3º 3.17.5 - Evidências: Resposta ao item 6.3 do questionário Perfil GovTI 2010 (Volume Principal - folha 7); Resposta ao item 9.2 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 - Volume 1 - folhas 207/250). 3.17.6 - Esclarecimentos dos responsáveis: Os gestores da Anatel informaram, durante a fiscalização, que os cursos e eventos envolvendo gestão de TI foram previstos fora do plano anual de capacitação, em virtude da pouca demanda por tais conhecimentos, e apresentaram, ainda, nova documentação referente à capacitação dos gestores de TI (Anexo 4 - Principal - folhas 124/128). 3.17.7 - Conclusão da equipe: Diante das evidências apresentadas pela Anatel, verificou-se que a Agência envida esforços para a capacitação de seus servidores da área de TI. No entanto, os cursos e eventos previstos não foram devidamente formalizados no Plano Anual de Capacitação 2010. 3.17.8 - Proposta de encaminhamento: Recomendar à Anatel que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), quando elaborar o próximo Plano Anual de Capacitação, contemple ações de capacitação voltadas para a gestão de tecnologia da informação, observando as práticas contidas no Cobit 4.1, processos PO7.2 - Competências Pessoais e PO7.4 - Treinamento do Pessoal. 3.18 - Ausência de avaliação da gestão de TI 3.18.1 - Situação encontrada: Foi declarado pela Anatel, em resposta ao item 1.2 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que a sua Alta Administração: 1) estabeleceu objetivos (diretrizes) de desempenho de gestão e de uso corporativos de TI; 2) estabeleceu indicadores de desempenho de gestão e de uso corporativos de TI; 3) não recebe e avalia regularmente informações sobre o desempenho relativo à gestão e ao uso corporativos de TI; e 4) não acompanha os indicadores de benefício dos principais sistemas de informação e não toma decisões a respeito quando as metas de benefício não são atingidas (fls. 4 do Volume Principal). Por meio do item 10 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, foram solicitadas informações sobre o processo de monitoração do desempenho na gestão e uso da TI, bem como evidências que comprovassem a resposta ao questionamento supra (fls. 17 do Volume Principal). Todavia, a Anatel não apresentou resposta versando sobre o assunto. 3.18.2 - Objetos nos quais o achado foi constatado: Monitoração do desempenho da gestão e uso de TI. 3.18.3 - Efeitos/Conseqüências do achado: Perda de importante instância de controle do desempenho da área de TI, a saber, a alta administração da Agência; Demora na identificação de desconformidades na área de TI e na adoção de15 de 27 25/5/2011 13:08
  • 16. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... medidas saneadoras (efeito potencial). 3.18.4 - Critérios: Norma Técnica - ITGI - Cobit 4.1, ME1.5 - Relatórios gerenciais; Norma Técnica - ITGI - Cobit 4.1, ME1.4 - Avaliar o desempenho; Norma Técnica - ITGI - Cobit 4.1, ME1.6 - Ações corretivas; Norma Técnica - ITGI - Cobit 4.1, ME2 - Monitorar e avaliar os controles internos. 3.18.5 - Evidências: Resposta ao item 1.2 do questionário Perfil GovTI 2010 (Volume Principal - folha 4). 3.18.6 - Esclarecimentos dos responsáveis: Durante a fase de execução desta auditoria, os gestores da Anatel apresentaram os Relatórios de Gestão da Agência para os anos de 2008 e 2009, contendo apenas um indicador e meta para avaliar o atendimento de solicitações de serviços de manutenção de sistemas da informação (Anexo 4 - Principal - folhas 35/57). 3.18.7 - Conclusão da equipe: Diante das ocorrências verificadas, entende-se que, embora a área de TI da Anatel possua um indicador e meta para avaliar os serviços de manutenção dos seus sistemas de informação, não há suficiente avaliação da gestão de TI da Agência, vez que, afora a ausência de acompanhamento pela alta administração, não foram definidos objetivos de desempenho nem indicadores e metas suficientes para avaliar a atuação da área de TI de forma mais abrangente, incluindo suas diversas atribuições. 3.18.8 - Proposta de encaminhamento: Recomendar à Anatel que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), estabeleça um processo de avaliação da gestão de TI, observando as orientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 Relatórios gerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controles internos. 3.19 - Irregularidades na contratação 3.19.1 - Situação encontrada: Foram realizados testes substantivos de conformidade das contratações objeto do Processo nº 53500.018861/2009, o qual originou os Termos de Registro de Preços nº 65/2009 (fls. 615/638 do Anexo 2 - Volume 3) e 68/2009 (fls. 644/667 do Anexo 2 - Volume 3), do Processo nº 53500.005360/2010, que originou o Termo de Registro de Preços nº 2/2010 (fls. 760/775 do Anexo 2 - Volume 3), e do Processo nº 53500.018770/2009, nos quais foram constatadas as seguintes impropriedades: I - com relação aos Processos nº 53500.018861/2009 (aquisição de servidores, incluindo licenças de sistemas operacionais e de banco de dados necessários para a sua operacionalização, bem como instalação, configuração, suporte, garantia de funcionamento por 36 meses e assistência técnica "on-site") e 53500.005360/2010 (aquisição do Lote IV remanescente do Pregão Amplo nº 36/2009 - Processo nº 53500.018861/2009 -, correspondente a 55 novos servidores e 23 licenças de software SQL Server): a) falha na estimativa dos custos globais: Para realizar a pesquisa de preços de mercado, a Anatel encaminhou correspondências a diversos fornecedores, tendo obtido como resposta os resultados consolidados no Informe nº 130/2009/ADADF/ADAD (fls. 426/434 do Anexo 2 - Volume 2). Para os lotes I, II e IV, por terem sido apresentadas mais de 3 propostas, optou a Unidade por desconsiderar o maior e o menor valor ofertado para fins de cálculo da média aritmética. Com essa metodologia, foram obtidos os seguintes valores para cada um dos quatro lotes em que foi dividida a licitação: Lote I - Valor inicialmente estimado: R$ 1.857.770,48 Lote II - Valor inicialmente estimado: R$ 1.861.135,85 Lote III - Valor inicialmente estimado: R$ 1.759.019,74 Lote IV - Valor inicialmente estimado: R$ 705.152,93 Entretanto, para os lotes I e II, a autarquia promoveu a redução dos valores inicialmente estimados, alegando que os mesmos apresentavam um sobrepreço de aproximadamente 40% em relação ao que se pratica no mercado, e que, em outras licitações para aquisição de equipamentos de informática, existiram grandes diferenças entre os preços16 de 27 25/5/2011 13:08
  • 17. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... estimados para a licitação e os efetivamente apresentados no ato da sessão pública. Aduziu, ainda, que tal redução tornou mais precisa a estimativa de preços, que passou a ser de R$ 1.114.662,29 para o Lote I e de R$ 1.116.681,51 para o Lote II. Apesar de a referida redução de preços ter se revelado de todo pertinente, visto que foram apresentados pelas concorrentes valores inferiores a essa nova estimativa da Administração, tendo sido o Lote I adquirido por R$ 669.000,00 e o Lote II por R$ 565.000,00 (Informe nº 141/2009/ADADF - fls. 576/577 do Anexo 2 - Volume 2), consideramos que faltaram nos autos as evidências necessárias para justificar os valores de referência efetivamente utilizados no certame, em inobservância ao princípio da motivação, pois deveria a Anatel ter feito constar do processo as fontes de pesquisa que demonstrariam o mencionado sobrepreço de 40% nas cotações originalmente apresentadas. Tal providência, vale dizer, é mesmo uma obrigação legal, ante a necessidade de ser realizada uma ampla pesquisa de mercado para se proceder ao registro de preços (art. 15, § 1º, da Lei nº 8.666/93), o que naturalmente inclui contratações anteriores da própria Administração Pública. b) falhas decorrentes da não submissão da Anatel à Lei nº 10.520/2002 e ao Decreto nº 5.450/2005: Com base no disposto no art. 22, inc. II, da Lei nº 9.472/1997, que atribuiu competência ao Conselho Diretor da Anatel para aprovar normas próprias de licitação e contratação, a Agência elaborou seu Regulamento de Contratações, aprovado por meio da Resolução nº 5/1998. Como efeito da aplicação desse Regulamento próprio e da não submissão da Agência à Lei nº 10.520/2002 e ao Decreto nº 5.450/2005, pode-se mencionar, no presente certame, a ocorrência das seguintes impropriedades/irregularidades: ausência de justificativa para a não realização de Pregão Eletrônico e ilegalidade na adesão, por outros órgãos/entidades, a Registro de Preços promovido pela Anatel. Em virtude da complexidade do assunto e de o mesmo afetar todas as contratações da Anatel, e não somente a ora em análise, optou-se por tratá-lo separadamente, tendo sido, para este fim, autuado o TC 025.251/2010-4, que trata de representação desta equipe de auditoria acerca de possíveis irregularidades no Regulamento de Contratações da Anatel, razão pela qual abstemo-nos de tecer comentários adicionais nestes autos. II - com relação ao Processo nº 53500.018770/2009 (aquisição de 765 microcomputadores desktop, incluindo instalação, configuração, suporte e garantia de funcionamento por 36 meses): a) falha na estimativa dos custos unitários: Para proceder à contratação em apreço, a Anatel realizou: 1) pesquisa de mercado, em maio de 2009, com as empresas Datagraphics, Itautec, Positivo e LTA-RH; 2) consulta ao Comprasnet, entre 29 de junho e 2 de julho de 2009, na qual foram identificadas três Atas de Registro de Preços; e 3) consulta dos preços contidos em mais cinco Atas de Registro de Preços, entre as quais foi selecionada, para adesão, a ata registrada, em 13/11/2008, mediante o pregão eletrônico nº 72/2008, promovido pelo Centro Federal de Educação Tecnológica do Rio Grande do Norte (CEFET/RN), pelo valor unitário de R$ 1.712,81 (fls. 941/1007 do Anexo 2 - Volume 4). O contrato foi assinado em novembro de 2009. No entanto, em relação à pesquisa de mercado realizada, ao se comparar as características dos produtos cotados pelas empresas Datagraphics, Positivo e LTA-RH com os requisitos do objeto da contratação, constantes do Termo de Referência nº 34/2009 (fls. 915/938 do Anexo 2 - Volume 4), foram constatadas diversas incongruências, tais como: 1) caso os equipamentos apresentassem 1 slot tipo PCI Express x16 ocupado pela controladora de vídeo, o Termo de Referência exigia apenas 1 slot livre tipo PCI adicional (item 3.3.2.2, fls. 919 do Anexo 2 -Volume 4). Todavia, os produtos cotados junto às empresas Positivo e LTA-RH apresentavam 2 slots livres tipo PCI adicionais (itens 3, fls. 951 e 961 do Anexo 2 - Volume 4); 2) o Termo de Referência exigia que os equipamentos possuíssem uma interface controladora de vídeo com memória compartilhada e com suporte à resolução de 1024x768 (item 3.3.4.3, fls. 920 do Anexo 2 - Volume 4). Não obstante, nos produtos cotados junto às empresas Positivo e LTA-RH, não foram especificados requisitos quanto à possibilidade de compartilhamento da memória da interface controladora de vídeo, havendo previsão somente17 de 27 25/5/2011 13:08
  • 18. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... de suporte à resolução de 1280x1024 (itens 11, fls. 951-V e 961 do Anexo 2 - Volume 4); 3) os equipamentos oferecidos, nas cotações realizadas com as empresas Positivo e LTA-RH, possuíam 1 saída com conector DVI para monitor SVGA (itens 15, fls. 951-V e 961-V do Anexo 2 - Volume 4). Nas especificações do Termo de Referência, tal interface não era necessária (item 3.3.4.9, fls. 921 do Anexo 2 - Volume 4); 4) os monitores exigidos no Termo de Referência deveriam ter 17 (item 3.3.10.1, fls. 922 do Anexo 2 - Volume 4). Os equipamentos oferecidos pelas empresas Datagraphics, Positivo e LTA-RH possuíam monitores de 19 (fls. 944-V do Anexo 2 - Volume 4 e itens 31 e 29, fls. 952 e 962 do Anexo 2 - Volume 4, respectivamente). Adicionalmente, deve-se mencionar que: a) não constam dos autos as características dos produtos cotados pela empresa Itautec; e b) os equipamentos registrados em sete das oito atas consultadas, que fundamentaram a pesquisa de preços, também não guardavam estrita semelhança com as especificações do Termo de Referência nº 34/2009. Constata-se que apenas a Ata de Registro de Preços decorrente do Pregão Eletrônico nº 72/2008 do CEFET/RN, à qual a Anatel aderiu, era compatível com os requisitos constantes daquele documento. Portanto, considerando as diferenças identificadas entre os produtos constantes da pesquisa de mercado e as especificações do Termo de Referência, entende-se que não restou demonstrada, adequadamente, a vantagem da contratação, em descumprimento ao art. 8º, caput, do Decreto nº 3.931/2001, não obstante os preços praticados estejam dentro dos valores de mercado. 3.19.2 - Objetos nos quais o achado foi constatado: Processo (Autos) 53500.005360/2010 - Aquisição do Lote IV do Processo nº 53500.018861/2009, referente a 55 novos servidores e 23 licenças de software SQL Server remanescentes do Pregão Amplo nº 36/2009; Processo (Autos) 53500.018770/2009 - Aquisição de 765 microcomputadores desktop, incluindo instalação, configuração, suporte e garantia de funcionamento por 36 meses; Processo (Autos) 53500.018861/2009 - Aquisição de servidores, incluindo licenças de sistemas operacionais e de banco de dados necessários para a sua operacionalização, bem como instalação, configuração, suporte, garantia de funcionamento por 36 meses e assistência técnica "on-site". 3.19.3 - Critérios: Decreto 3931/2001, art. 8º, caput; Instrução Normativa 4/2008, SLTI/MPOG, art. 14, caput, e art. 15; Lei 8666/1993, art. 15, inciso V e § 1º, art. 38, inciso XII, e art. 40, § 2º, inciso II. 3.19.4 - Evidências: Termo de Registro de Preços nº 65/2009 (Anexo 2 - Volume 3 - folhas 615/638); Termo de Registro de Preços nº 68/2009 (Anexo 2 - Volume 3 - folhas 644/667); Termo de Registro de Preços nº 2/2010 (Anexo 2 - Volume 3 - folhas 760/775); Informe nº 130/2009/ADADF/ADAD (Anexo 2 - Volume 2 - folhas 426/434); Informe nº 141/2009/ADADF (Anexo 2 - Volume 2 - folhas 576/577); Termo de Referência nº 34/2009 (Anexo 2 - Volume 4 - folhas 915/938); Pesquisa de preços do Processo nº 53500.018770/2009 (Anexo 2 - Volume 4 - folhas 941/1007). 3.19.5 - Conclusão da equipe: A partir dos testes substantivos de conformidade de contratações realizados nos Processos nº 53500.018861/2009, 53500.005360/2010 e 53500.018770/2009, entende-se que não foi demonstrado, no âmbito dos processos analisados, que a fase antecedente à contratação tenha sido devidamente realizada. Especificamente quanto aos Processos nº 53500.018861/2009 e 53500.005360/2010, a equipe concluiu que não restaram evidenciados nos autos documentos que justificassem adequadamente a estimativa de preços adotada para os Lotes I e II, em inobservância ao princípio da motivação e ao art. 15, inc. V e § 1º, c/c os arts. 38, inc. XII, e 40, § 2º, inc. II, todos da Lei nº 8.666/1993. Cabe ressaltar, entretanto, que é prática salutar de órgãos e entidades públicos a elaboração de orçamentos precisos, por meio da ampliação das suas fontes de pesquisa de preços e avaliação de propostas de eventuais fornecedores e prestadores de serviço, bastando, para tanto, a sua evidenciação nos autos.18 de 27 25/5/2011 13:08
  • 19. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... Por fim, com relação ao Processo nº 53500.018770/2009, verificou-se que, embora o preço praticado aparentemente esteja dentro do valor de mercado, não houve compatibilidade entre os produtos constantes da pesquisa de preços realizada e os equipamentos adquiridos, não sendo possível demonstrar a vantagem na contratação, em descumprimento ao art. 8º, caput, do Decreto nº 3.931/2001. Cumpre enfatizar que, por se tratar de bens de informática, sujeitos a expressiva depreciação ao longo do tempo, seria ainda mais relevante a realização de precisa e ampla pesquisa de preços, haja vista que a ata à qual aderiu a agência havia sido registrada quase um ano antes. 3.19.6 - Proposta de encaminhamento: Alertar a Anatel que: a) no âmbito dos Processos nº 53500.018861/2009 e 53500.005360/2010, não há evidências suficientes que embasem o orçamento estimado pela Administração, em afronta ao princípio da motivação e ao art. 15, inc. V e § 1º, c/c os artigos 38, inc. XII, e 40, § 2º, inc. II, todos da Lei nº 8.666/1993; b) no âmbito do Processo nº 53500.018770/2009, a pesquisa de preços realizada não comprova devidamente a vantagem da contratação efetuada, visto que realizada com equipamentos de configuração diversa dos adquiridos, em inobservância ao art. 8º, caput, do Decreto nº 3.931/2001. 3.20 - Irregularidades na gestão contratual 3.20.1 - Situação encontrada: Foram realizados testes substantivos no processo de execução e pagamento relativo ao Contrato nº 52/2008 (fls. 2/29 do Anexo 3 - Principal), com o objetivo de avaliar sua aderência à legislação, tendo sido constatadas as seguintes impropriedades: a) descumprimento das regras previstas no contrato: O Anexo I ao Contrato nº 52/2008 estabeleceu um Modelo de Ordem de Serviço - OS, o qual deveria ser preenchido com o objetivo de solicitar o início da execução de todo e qualquer serviço a ser entregue pela Contratada, conforme previsto no item 9.1 do aludido Contrato. Entretanto, cotejando-se as Ordens de Serviço emitidas, observa-se que não há padronização, visto que diversas delas diferem do Modelo proposto pelo Anexo I do Contrato, em descumprimento ao art. 66 da Lei nº 8.666/93. Em algumas dessas OS, foi omitido o campo onde deveria constar a data do Início Real e do Término Real do projeto. Em outras, tal campo existe, mas não está preenchido. Tais informações são de fundamental importância para o acompanhamento da execução dos projetos e para a certificação do cumprimento dos prazos estabelecidos. b) falha na prorrogação: A cláusula quarta do primeiro aditivo ao Contrato nº 52/2008 alterou, indevidamente, o item 24.5 do instrumento, ao invés do 22.5. Tais dispositivos, inicialmente, estabeleciam: "22.5. O número deste Contrato deverá estar especificado em todos os documentos de cobrança ou em algum anexo a estes. (...) 24.5. A sanção estabelecida na alínea d do subitem 24.1 é de competência exclusiva do Ministro de Estado, facultada a defesa do interessado no respectivo processo, no prazo de 10 (dez) dias da abertura de vista, podendo a reabilitação ser requerida após 2 (dois) anos de sua aplicação". Com a alteração, passou o item 24.5 a dispor: "24.5. Na nota fiscal ou fatura mensal, ou em algum dos seus anexos, deverá constar o número do presente contrato, bem como deverá ser acompanhada pelos documentos discriminados no Anexo I deste instrumento contratual". Pelo exposto, resta assente que a intenção das partes era promover a alteração do item 22.5, tendo havido erro formal, que prejudica a clareza do ajuste, em descumprimento ao art. 54, § 1º, da Lei nº 8.666/93. 3.20.2 - Objetos nos quais o achado foi constatado: Contrato 52/2008 - Prestação de serviços técnicos especializados de tecnologia da informação (Fábrica de Projetos). 3.20.3 - Critérios:19 de 27 25/5/2011 13:08
  • 20. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... Lei 8666/1993, art. 54, § 1º, e art. 66. 3.20.4 - Evidências: Contrato nº 52/2008 (Anexo 3 - Principal - folhas 2/29). 3.20.5 - Conclusão da equipe: A partir dos testes substantivos realizados no processo de execução e pagamento referente ao Contrato nº 52/2008, entende-se que as Ordens de Serviço emitidas não apresentavam todas as informações constantes do modelo previsto no Anexo I do Contrato, em inobservância ao art. 66 da Lei nº 8.666/93, prejudicando a sua execução e controle. Além disso, na cláusula quarta do primeiro termo aditivo à avença, houve referência indevida ao item 24.5, interferindo na clareza e precisão do ajuste, em descumprimento ao art. 54, § 1º, da Lei nº 8.666/93. 3.20.6 - Proposta de encaminhamento: Alertar a Anatel quanto à: a) falta de padronização no preenchimento das Ordens de Serviço do Contrato nº 52/2008, que não apresentam todas as informações contidas no Modelo proposto no Anexo I do aludido instrumento, prejudicando o efetivo controle da execução dos projetos e afrontando o art. 66 da Lei nº 8.666/93; b) referência indevida ao item 24.5 do Contrato nº 52/2008 na cláusula quarta do Primeiro Termo Aditivo ao referido instrumento, em inobservância ao art. 54, § 1º, da Lei nº 8.666/93. 4 - CONCLUSÃO Não foram constatadas impropriedades ou irregularidades para a questão de auditoria nº 4 formulada para esta fiscalização. As seguintes constatações foram identificadas neste trabalho: Questão 1 Falhas no Plano Estratégico Institucional (item 3.1) Falhas no processo de Planejamento Estratégico Institucional (item 3.2) Questão 2 Falhas no PDTI (item 3.3) Falhas no processo de planejamento de TI (item 3.4) Questão 3 Inexistência de comitê de TI (item 3.5) Falhas na avaliação do quadro de pessoal de TI (item 3.6) Questão 5 Falhas no processo de software (item 3.7) Questão 6 Inexistência de processo de gerenciamento de projetos (item 3.8) Questão 7 Inexistência do processo de gestão de incidentes (item 3.9) Inexistência do processo de gestão de mudanças (item 3.10) Inexistência do processo de gestão de configuração (item 3.11) Questão 8 Inexistência de Política de Segurança da Informação e Comunicações (POSIC) (item 3.12) Inexistência de classificação da informação (item 3.13) Inexistência de inventário dos ativos de informação (item 3.14) Inexistência de equipe de tratamento e resposta a incidentes em redes computacionais (ETRI) (item 3.15) Inexistência de processo de gestão de riscos de segurança da informação (GRSIC) (item 3.16) Questão 9 Ausência da área de gestão de TI no plano anual de capacitação (item 3.17) Questão 10 Inexistência de avaliação da gestão de TI (item 3.18) Questão 11 Irregularidades na contratação (item 3.19) Questão 12 Irregularidades na gestão contratual (item 3.20) Entre os benefícios estimados desta fiscalização, pode-se mencionar, principalmente, a indução à melhoria dos controles internos e da governança de TI na Anatel, cujas deficiências foram evidenciadas pelas falhas e impropriedades identificadas e relatadas neste processo. No tocante à governança e controles gerais de tecnologia da informação, merecem destaque as falhas relacionadas ao planejamento estratégico de TI e à organização desse setor, bem como à inexistência de elementos básicos relacionados a processos de TI, tais como o gerenciamento de projetos e a gestão de serviços e de segurança da informação. Com relação ao planejamento estratégico de TI, houve desconformidades entre a resposta da Anatel ao item 2.3 do Questionário Perfil GovTI 2010 e a situação verificada pela20 de 27 25/5/2011 13:08
  • 21. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... equipe de auditoria. Além disso, verificou-se risco potencial de que as ações desse setor não estejam alinhadas com os objetivos gerais da entidade, definidos em seu planejamento estratégico institucional, vez que sua elaboração ocorreu dentro da própria área de TI, não havendo participação, em grau de igualdade, das principais áreas de negócio da Anatel, na definição de diretrizes e prioridades na utilização dos recursos de tecnologia da informação. Quanto à organização envolvendo TI na Anatel, ponto fundamental é a inexistência de um comitê de tecnologia da informação, formado por membros das principais áreas de negócio da Agência e por representantes da área de TI, com a finalidade de tomar decisões acerca da gestão e uso dos recursos de tecnologia da informação no âmbito da mesma, bem como de elaborar o PDTI da entidade. Tal fato demonstra a desconformidade entre as respostas assinaladas pela Agência aos itens 1.1 e 2.4 do Questionário Perfil GovTI 2010 e a situação verificada pela equipe de auditoria. Ademais, os riscos inerentes a tal falha estão associados à possibilidade da ocorrência de sobreposição de ações de TI e de priorização inadequada destas, em virtude da ausência de participação das principais áreas de negócio da instituição. Também ficaram caracterizados, com base em estudos quantitativos de recursos humanos realizados pela própria Anatel, a patente dependência de serviços de TI prestados por empresas terceirizadas e o risco da indisponibilidade dos perfis profissionais de TI necessários, ante a inexistência de levantamento qualitativo, capaz de informar, entre os cargos e especialidades pertencentes aos servidores da Agência, quais deveriam ser demandados para o suprimento do déficit quantitativo de pessoal. Em relação aos processos de tecnologia da informação, a inexistência de gerenciamento de projetos de TI aponta uma desconformidade entre a resposta da Agência ao item 7.4 do Questionário Perfil GovTI 2010 e a situação encontrada pela equipe de auditoria. Tal falha, juntamente à ausência de gestão de serviços, configura fator de risco para a eficácia, eficiência e efetividade na utilização dos recursos de tecnologia da informação na Anatel, em virtude da probabilidade de ocorrência de uma série de fatores negativos associados a tais falhas, tais como: 1) falta de estrutura na gestão de projetos, com definição de papéis, responsabilidades e tarefas processuais necessárias para a sua conclusão; 2) incidentes sem o devido gerenciamento, bem como o risco de paralisação dos serviços de TI e, consequentemente, das atividades da Agência dependentes de tais serviços; 3) ausência de avaliação do impacto de eventuais mudanças nos recursos de TI, assim como solicitações de mudanças não controladas; e 4) desatualização ou deficiência da configuração de TI. Outrossim, a gestão da segurança da informação é praticamente ausente na Anatel, vez que, embora haja uma recém-criada comissão de segurança da informação, suas tarefas se encontram, ainda, em estágio inicial, com a elaboração de uma política de segurança da informação (POSIC). Assim, tendo em vista a atual inexistência desta, bem como de outros elementos essenciais para a efetiva implementação de uma gestão de segurança da informação na Agência, tais como critérios de classificação das informações sob responsabilidade da Autarquia, inventário de seus ativos da informação, equipe de tratamento e resposta a incidentes em redes computacionais (ETRI) e gestão de riscos de segurança da informação (GRSIC), restaram configuradas deficiências relativas: 1) aos procedimentos de segurança da informação na entidade; 2) aos critérios de divulgação das informações; 3) à recuperação dos ativos de informação; 4) às notificações e atividades relacionadas a incidentes de segurança em redes computacionais; e 5) ao tratamento das ameaças à segurança da informação e seus respectivos impactos. Adicionalmente, quanto à capacitação dos profissionais de TI da Anatel, foram verificadas desconformidades na resposta da Agência ao item 6.3 do Questionário Perfil GovTI 2010 e a situação constatada pela equipe de auditoria, em virtude da ausência de cursos e eventos de gestão em TI no plano anual de capacitação da entidade. Quanto à monitoração do desempenho da gestão e uso da TI, houve desconformidade na resposta da Anatel ao item 1.2 do Questionário Perfil GovTI 2010 e a situação verificada pela equipe de auditoria, visto não haver suficiente avaliação da gestão de TI na Agência, vez que não foram definidos objetivos de desempenho, nem indicadores e metas capazes de avaliar a atuação da área de TI de forma mais abrangente, que incluam suas diversas atribuições. Como forma de se apurar, concomitantemente à fase de execução da auditoria, os21 de 27 25/5/2011 13:08
  • 22. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... efeitos decorrentes das falhas verificadas nos controles da Anatel, fez parte do escopo deste trabalho a fiscalização de contratos da Agência, sob os aspectos de conformidade do processo de contratação e da gestão contratual. Merecem destaque as falhas referentes à pesquisa de preços. Além disso, cabe mencionar que, diante da controvérsia instaurada acerca da possibilidade de a Agência adotar, ou não, normas próprias de licitação para a modalidade pregão, entendeu-se necessária a análise de tal assunto em processo de representação apartado, com vistas à apuração dos fatos. Por fim, registra-se que o presente trabalho fez parte de um diagnóstico da gestão e uso de TI nos entes públicos e que os fatos aqui relatados serão considerados em conjunto com as conclusões das demais fiscalizações de controles gerais de TI, realizadas no âmbito da fiscalização consolidadora desta FOC (Fiscalis nº 471/2010)." 3. Dessa forma, a Secex-1, em pareceres uniformes (fls. 79/83), sugeriu a esta Corte: "I - Determinar, com fulcro no art. 43, inc. I, da Lei nº 8.443/1992, à Agência Nacional de Telecomunicações (ANATEL) que: 1) em atenção às disposições contidas no Decreto-Lei nº 200/67, art. 6º, inciso I, e na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 3º, aperfeiçoe o processo de Planejamento Estratégico de TI, de maneira que o Plano Diretor de Tecnologia da Informação - PDTI esteja em conformidade com as diretrizes constantes na Instrução Normativa nº 04/2008- SLTI/MPOG, art. 4º, III, e as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI (item 3.3); 2) em atenção ao disposto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4º, IV, implante Comitê de Tecnologia da Informação que envolva as diversas áreas da Agência e que se responsabilize por alinhar os investimentos de Tecnologia da Informação com os objetivos institucionais e por apoiar a priorização de projetos a serem implantados, considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor de TI (item 3.5); 3) em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII, implante Política de Segurança da Informação e Comunicações, observando as práticas contidas na Norma Complementar 03/IN01/DSIC/GSIPR (item 3.12); 4) em atenção ao disposto no Decreto nº 4553/2002, art. 6º, § 2º, inciso II, e art. 67, crie critérios de classificação das informações a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observando as práticas contidas no item 7.2 da NBR ISO/IEC 27.002 (item 3.13); 5) em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII, c/c a Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando as práticas contidas no item 7.1 da NBR ISO/IEC 27.002 (item 3.14); 6) em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais, observando as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR (item 3.15); 7) em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII, c/c a Norma Complementar 04/IN01/DSIC/GSIPR, implemente processo de gestão de riscos de segurança da informação (item 3.16); 8) no prazo de 30 (trinta) dias a contar da ciência do Acórdão que vier a ser proferido nestes autos, encaminhe plano de ação para a implementação das medidas contidas no Decisum, contendo: a) para cada determinação, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações; b) para cada recomendação, cuja implementação seja considerada conveniente e oportuna, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações; c) para cada recomendação cuja implementação não seja considerada conveniente ou oportuna, justificativa da decisão; II - Recomendar à Agência Nacional de Telecomunicações (ANATEL) que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência): 1) aperfeiçoe, em consonância com o art. 6º, inc. I, e o art. 7º do Decreto Lei nº22 de 27 25/5/2011 13:08
  • 23. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... 200/67, seu Processo de Planejamento Estratégico Institucional, considerando o disposto no critério de avaliação nº 2 da Gespública (itens 3.1 e 3.2); 2) aperfeiçoe seu processo de Planejamento Estratégico de TI, observando as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI (item 3.4); 3) aperfeiçoe, em consonância com o art. 1º, inc. III, do Decreto nº 5.707/2006, o estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, em observância às práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI (item 3.6); 4) aprove e publique o seu processo de desenvolvimento de software, com vistas a assegurar a aderência das rotinas de trabalho da área de TI ao processo definido pela própria Agência, em observância aos níveis de capacidade/maturidade definidos na ABNT NBR ISO/IEC 15.504 (item 3.7); 5) implante uma estrutura formal de gerência de projetos, observando as orientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos, e no PMBOK, dentre outras boas práticas de mercado (item 3.8); 6) implemente processo de gestão de incidentes de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a central de serviços e incidentes, e de outras boas práticas de mercado, como aquelas indicadas na NBR ISO/IEC 20000 e na NBR 27002 (item 3.9); 7) estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 17799:2005, à semelhança das orientações contidas no Cobit 4.1, processo AI6 - Gerenciar mudanças, e de outras boas práticas de mercado, como aquelas indicadas na NBR ISO/IEC 20000 (item 3.10); 8) implemente processo de gestão de configuração de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração, e de outras boas práticas de mercado, como aquelas indicadas na NBR ISO/IEC 20000 (item 3.11); 9) quando elaborar o próximo Plano Anual de Capacitação, contemple ações de capacitação voltadas para a gestão de tecnologia da informação, observando as práticas contidas no Cobit 4.1, processos PO7.2 - Competências Pessoais e PO7.4 - Treinamento do Pessoal (item 3.17); 10) estabeleça um processo de avaliação da gestão de TI, observando as orientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 Relatórios gerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controles internos (item 3.18); III - Alertar a Agência Nacional de Telecomunicações (ANATEL) quanto às seguintes impropriedades constatadas na presente fiscalização: 1) no âmbito dos Processos nº 53500.018861/2009 e 53500.005360/2010, não há evidências suficientes que embasem o orçamento estimado pela Administração, em afronta ao princípio da motivação e ao art. 15, inc. V e § 1º, c/c os arts, 38, inc. XII, e 40, § 2º, inc. II, todos da Lei nº 8.666/1993 (item 3.19); 2) no âmbito do Processo nº 53500.018770/2009, a pesquisa de preços realizada não comprova devidamente a vantagem da contratação efetuada, visto que realizada com equipamentos de configuração diversa dos adquiridos, em inobservância ao art. 8º, caput, do Decreto nº 3.931/2001 (item 3.19); 3) foi constatada falta de padronização no preenchimento das Ordens de Serviço do Contrato nº 52/2008, as quais não apresentam todas as informações contidas no Modelo proposto no Anexo I do aludido instrumento, prejudicando o efetivo controle da execução dos projetos e afrontando o art. 66 da Lei nº 8.666/93 (item 3.20); 4) houve referência indevida ao item 24.5 do Contrato nº 52/2008 na cláusula quarta do Primeiro Termo Aditivo ao referido instrumento, em inobservância ao art. 54, § 1º, da Lei nº 8.666/93 (item 3.20)." É o Relatório Voto do Ministro Relator VOTO23 de 27 25/5/2011 13:08
  • 24. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... Na sessão de 8/9/2010 (acórdão 2.308/2010 - Plenário), apresentei a este colegiado o resultado consolidado do levantamento efetuado pela Secretaria de Fiscalização de Tecnologia da Informação - Sefti, em 2010, para avaliar a governança de tecnologia da informação em 315 órgãos e entidades das administrações direta e indireta dos três poderes da União. 2. Destaquei, naquela oportunidade, a importância da atuação desta Corte com relação à matéria, que, a partir da identificação de pontos vulneráveis, será possível ao Tribunal, em primeiro lugar, atuar como indutor do aperfeiçoamento da governança de TI no setor público e, em segundo lugar, identificar e disseminar entre as unidades jurisdicionadas os bons exemplos e modelos identificados. 3. Apontei, ainda, as conclusões mais significativas do levantamento, que permitiu constatar, em síntese, que: a) mais de 60% das organizações não possui planejamento estratégico de TI; b) algumas organizações continuam a ter sua TI totalmente controlada por pessoas estranhas a seus quadros de pessoal; c) são graves os problemas de segurança da informação, já que informações críticas não são protegidas adequadamente; d) metade das organizações não possui método ou processo para desenvolvimento de softwares e para aquisição de bens e serviços de informática, o que gera riscos de irregularidades em contratações; e) a atuação sistemática da alta administração com respeito à TI ainda é incipiente; f) mais da metade das organizações está no estágio inicial de governança de TI, e apenas 5% encontram-se em estágio aprimorado. 4. Neste momento, trago à consideração deste Plenário mais um trabalho concernente à matéria: a auditoria realizada pela Secex/1 na Anatel com o intuito de avaliar controles gerais de governança de TI naquela agência. 5. As principais ocorrências detectadas no presente trabalho assemelham-se às verificadas no levantamento consolidada e confirmam a precisão daquele estudo. Basicamente, constatou-se na Agência: a) falhas no Plano Estratégico Institucional; b) falhas no processo de Planejamento Estratégico Institucional; c) falhas no Plano Diretor de Tecnologia da Informação (PDTI); d) falhas no processo de planejamento de TI; e) falhas na avaliação do quadro de pessoal de TI; f) inexistência de comitê de TI; g) falhas no processo de desenvolvimento de software; h) inexistência de processo de gerenciamento de projetos de TI; i) inexistência do processo de gestão de configuração de serviços de TI; j) inexistência do processo de gestão de incidentes de TI; k) inexistência do processo de gestão de mudanças; l) inexistência de equipe de tratamento e resposta a incidentes em redes computacionais; m) inexistência de Política de Segurança da Informação e Comunicações; n) inexistência de processo de gestão de riscos de segurança da informação; o) inexistência de avaliação da gestão de TI pela alta administração; p) irregularidades em contratações; q) irregularidades na gestão contratual. 6. Constatou-se, assim, que a tecnologia da informação na Anatel apresenta grandes deficiências, que terminam por acarretar prejuízos às atividades típicas, às atividades administrativas e às aquisições de TI daquela entidade. 7. Dessa forma, a Secex-1 apresentou uma série de determinações, recomendações e alertas que contribuirão para saneamento das ocorrências detectadas e para aperfeiçoamento da governança de TI da Agência. 8. Assim, por considerar papel deste Tribunal a constante indução de melhoria da gestão estatal e por estar integralmente de acordo com as medidas aventadas pela Secex-1 - especialmente no tocante ao crucial tema da segurança da informação, que reputo essencial24 de 27 25/5/2011 13:08
  • 25. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... para adequado funcionamento das organizações públicas e para defesa da intimidade dos cidadãos que com elas interagem - acolho as manifestações daquela Secretaria e voto pela adoção da minuta de acórdão que trago ao escrutínio deste colegiado. Sala das Sessões, em 23 de fevereiro de 2011. AROLDO CEDRAZ Relator Acórdão VISTOS, relatados e discutidos estes autos de relatório de auditoria realizada para avaliar controles gerais de tecnologia da informação na Agência Nacional de Telecomunicações - Anatel. ACORDAM os Ministros do Tribunal de Contas da União, reunidos em sessão do Plenário, ante as razões expostas pelo relator e com base nos arts. 42, §1º, e 43, I, da Lei 8.443/1992, e nos arts. 245, §1º, e 250, inciso III, do Regimento Interno, em: 9.1. determinar à Anatel que: 9.1.1. em atenção ao Decreto-Lei 200/1967, art. 6º, inciso I, e à Instrução Normativa SLTI/MPOG 04/2008, art. 3º, aperfeiçoe o processo de Planejamento Estratégico de TI, de maneira a que o Plano Diretor de Tecnologia da Informação - PDTI esteja em conformidade com as diretrizes da Instrução Normativa SLTI/MPOG 04/2008, art. 4º, III, e com as práticas do Cobit 4.1, processo PO1 - Planejamento Estratégico de TI; 9.1.2. em atenção à Instrução Normativa SLTI/MPOG 04/2008, art. 4º, IV, implante Comitê de Tecnologia da Informação que envolva as diversas áreas da Agência e que se responsabilize por alinhar os investimentos de Tecnologia da Informação com os objetivos institucionais e por apoiar a priorização de projetos a serem implantados, considerando, ainda, as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor de TI; 9.1.3. em atenção à Instrução Normativa GSI/PR 01/2008, art. 5º, VII, implante Política de Segurança da Informação e Comunicações, observando as práticas da Norma Complementar 03/IN01/DSIC/GSIPR; 9.1.4. em atenção ao Decreto 4.553/2002, art. 6º, § 2º, II, e art. 67, crie critérios de classificação de informações, a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, com observância das práticas contidas no item 7.2 da NBR ISO/IEC 27.002; 9.1.5. em atenção à Instrução Normativa GSI/PR 01/2008, art. 5º, VII, c/c a Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira a que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, com observância das práticas contidas no item 7.1 da NBR ISO/IEC 27.002; 9.1.6. em atenção à Instrução Normativa GSI/PR 01/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais, com observância das práticas da Norma Complementar 05/IN01/DSIC/GSIPR; 9.1.7. em atenção à Instrução Normativa GSI/PR 01/2008, art. 5º, VII, c/c a Norma Complementar 04/IN01/DSIC/GSIPR, implemente processo de gestão de riscos de segurança da informação; 9.1.8. no prazo de 30 (trinta) dias a contar da ciência deste acórdão, encaminhe plano de ação para a implementação das medidas aqui contidas, com: a) para cada determinação, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações; b) para cada recomendação cuja implementação seja considerada conveniente e oportuna, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações; c) para cada recomendação cuja implementação não seja considerada conveniente ou oportuna, justificativa da decisão; 9.2. recomendar à Anatel que, em atenção ao princípio da eficiência: 9.2.1. aperfeiçoe, em consonância com os arts. 6º, I, e 7º do Decreto Lei 200/1967, seu processo de Planejamento Estratégico Institucional, considerando o critério de avaliação 2 da Gespública; 9.2.2. aprimore seu processo de Planejamento Estratégico de TI, com observância das práticas do Cobit 4.1, processo PO1 - Planejamento Estratégico de TI;25 de 27 25/5/2011 13:08
  • 26. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... 9.2.3. aperfeiçoe, em consonância com o art. 1º, III, do Decreto 5.707/2006, o estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, de forma a melhor atender às necessidades institucionais, em observância às práticas do Cobit 4.1, PO4.12 - Pessoal de TI; 9.2.4. aprove e publique seu processo de desenvolvimento de software, com vistas a assegurar a aderência das rotinas de trabalho da área de TI ao processo definido pela própria Agência, em observância aos níveis de capacidade/maturidade definidos na ABNT NBR ISO/IEC 15.504; 9.2.5. implante estrutura formal de gerência de projetos, com observância do Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos, e no PMBOK, entre outras boas práticas de mercado; 9.2.6. implemente processo de gestão de incidentes de serviços de tecnologia da informação, à semelhança do Cobit 4.1, processo DS8 - Gerenciar a central de serviços e incidentes, e de outras boas práticas de mercado, como aquelas indicadas na NBR ISO/IEC 20000 e na NBR 27002; 9.2.7. estabeleça procedimentos formais de gestão de mudanças, de acordo com o item 12.5.1 da NBR ISO/IEC 17799:2005, à semelhança do Cobit 4.1, processo AI6 - Gerenciar mudanças, e de outras boas práticas de mercado, como aquelas indicadas na NBR ISO/IEC 20000; 9.2.8. implemente processo de gestão de configuração de serviços de tecnologia da informação, à semelhança do Cobit 4.1, processo DS9 - Gerenciar configuração, e de outras boas práticas de mercado, como aquelas indicadas na NBR ISO/IEC 20000; 9.2.9. quando elaborar o próximo Plano Anual de Capacitação, contemple ações de capacitação voltadas para gestão de tecnologia da informação, com observância do Cobit 4.1, processos PO7.2 - Competências Pessoais e PO7.4 - Treinamento do Pessoal; 9.2.10. estabeleça processo de avaliação da gestão de TI, com observância do Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 Relatórios gerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controles internos; 9.3. alertar a Anatel acerca das seguintes impropriedades: 9.3.1. nos processos 53500.018861/2009 e 53500.005360/2010, não há evidências suficientes que embasem o orçamento estimado pela Administração, em afronta ao princípio da motivação e ao art. 15, V e § 1º, c/c os arts, 38, XII, e 40, § 2º, II, da Lei 8.666/1993; 9.3.2. no processo 53500.018770/2009, a pesquisa de preços realizada não comprova devidamente a vantagem da contratação efetuada, visto que foi realizada com equipamentos de configuração diversa dos adquiridos, em inobservância ao art. 8º, caput, do Decreto 3.931/2001; 9.3.3. foi constatada falta de padronização no preenchimento das ordens de serviço do contrato 52/2008, que não apresentam todas as informações contidas no modelo proposto no anexo I do aludido instrumento, o que prejudica o efetivo controle da execução dos projetos e afronta o art. 66 da Lei 8.666/1993; 9.3.4. houve referência indevida ao item 24.5 do contrato 52/2008 na cláusula quarta do Primeiro Termo Aditivo ao referido instrumento, em inobservância ao art. 54, § 1º, da Lei 8.666/1993 Quorum 13.1. Ministros presentes: Benjamin Zymler (Presidente), Valmir Campelo, Walton Alencar Rodrigues, Ubiratan Aguiar, Augusto Nardes, Aroldo Cedraz (Relator), Raimundo Carreiro, José Jorge e José Múcio Monteiro. 13.2. Ministros-Substitutos presentes: Augusto Sherman Cavalcanti, Marcos Bemquerer Costa e André Luís de Carvalho Publicação Ata 06/2011 - Plenário Sessão 23/02/2011 Dou 17/03/201126 de 27 25/5/2011 13:08
  • 27. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... Referências (HTML) Documento(s):judoc/Acord/20110321/AC_0465_06_11_P.doc Anterior | Próximo Coletânea Status do Documento na Coletânea: [Não Selecionado] Voltar à lista de documentos Em caso de dúvidas, críticas e sugestões, favor entrar em contato: Jurisprudência Requisição atendida em 0.617 segundo(s).27 de 27 25/5/2011 13:08