Your SlideShare is downloading. ×
  • Like
Acórdão tcu 592 2011 - dnocs - avaliação de controles de ti
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Acórdão tcu 592 2011 - dnocs - avaliação de controles de ti

  • 429 views
Published

Entidade: Departamento Nacional de Obras Contra as Secas - Dnocs …

Entidade: Departamento Nacional de Obras Contra as Secas - Dnocs

RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA
DA INFORMAÇÃO. CONSTATAÇÃO DE PRECARIEDADES E OPORTUNIDADES DE MELHORIA.
DETERMINAÇÕES E RECOMENDAÇÕES

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
429
On SlideShare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
1
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... Pesquisa: Livre Em Formulário Quarta-feira, 25 de Maio de 2011. Pesquisa número: 3 Expressão de Pesquisa: "AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO" Bases pesquisadas: Acórdãos; Decisões; Relações; Atas Documento da base: Acórdão Documentos recuperados: 11 Documento mostrado: 8 Status na Coletânea: Não Selecionado Visualizar este documento no formato: Formato Padrão para Acórdãos Coletânea Status do Documento na Coletânea: [Não Selecionado] Voltar à lista de documentos Anterior | Próximo Identificação Acórdão 592/2011 - Plenário Número Interno do Documento AC-0592-08/11-P Grupo/Classe/Colegiado GRUPO I / CLASSE V / Plenário Processo 019.052/2010-3 Natureza Relatório de Auditoria Entidade Entidade: Departamento Nacional de Obras Contra as Secas - Dnocs Interessados Responsável: Elias Fernandes Neto, diretor-geral (CPF 019.792.054-34) Sumário RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO. CONSTATAÇÃO DE PRECARIEDADES E OPORTUNIDADES DE MELHORIA. DETERMINAÇÕES E RECOMENDAÇÕES Assunto Relatório de Auditoria Ministro Relator AROLDO CEDRAZ Representante do Ministério Público não atuou Unidade Técnica Secretaria de Controle Externo no Estado do Ceará - Secex/CE Advogado Constituído nos Autos1 de 26 25/5/2011 13:11
  • 2. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... não há Relatório do Ministro Relator A Secretaria de Controle Externo no Estado do Ceará - Secex/CE realizou auditoria no Departamento Nacional de Obras Contra as Secas - Dnocs, no período de 26/7 a 22/10/2010, com o objetivo de avaliar controles gerais de tecnologia da informação - TI e verificar se estão de acordo com a legislação pertinente e com as boas práticas de governança de TI. 2. As ocorrências detectadas foram apresentadas pela equipe de auditoria nos seguintes termos (fls. 7/26): "2 - ACHADOS DE AUDITORIA 2.1 - Auditoria interna não apoia avaliação da TI. 2.1.1 - Situação encontrada: O DNOCS informou, por meio de resposta ao item 1.4 do questionário Perfil GovTI 2010 (Anexo I, fl. 22), que foi realizada, por iniciativa própria da instituição, auditoria no uso de softwares. Porém, verificou-se que tal auditoria tratou-se na verdade de levantamento dos softwares em uso em todo o DNOCS, por ocasião da edição de portaria que regulamentava o uso de software livre naquela instituição. Dessa forma, não se tratou de participação da auditoria interna nem foi formalmente uma auditoria de TI. 2.1.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.1.3 - Causas da ocorrência do achado: Deficiências de controles 2.1.4 - Efeitos/Consequências do achado: Deficiências na governança de TI, gestão de riscos e controles internos. (efeito potencial) 2.1.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, ME2.1 - Monitorar e avaliar os controles internos. 2.1.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 1.4 (Anexo 1 - Principal - folha 22) Resposta ao item 10.2 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16) 2.1.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.1.8 - Conclusão da equipe: A equipe evidenciou que não foram realizadas auditorias de TI no órgão. 2.1.9 - Proposta de encaminhamento: Recomendar ao DNOCS que, em atenção ao princípio constitucional da eficiência, promova ações para que a auditoria interna apoie a avaliação da TI, observando as orientações contidas no Cobit 4.1, ME2 - Monitorar e avaliar os controles internos. 2.2 - Inexistência de avaliação da gestão de TI. 2.2.1 - Situação encontrada: O DNOCS informou, por meio de resposta ao item 1.2 do questionário Perfil GovTI 2010 (Anexo I, fl. 21) que a Alta Administração da instituição acompanha os indicadores de benefício dos principais sistemas de informação e toma decisões a respeito quando as metas de benefício não são atingidas. Porém, quando chamado a apresentar evidências, o DNOCS informou que este acompanhamento é realizado de forma informal (OF 471 OF 471/2010-01- Secex/Ce). Ademais, em reunião realizada em 10/08/2010, que teve participação da Alta Administração do DNOCS, evidenciou-se o desconhecimento desta em relação a real situação de TI do órgão. Acrescenta-se que a instituição não implementou formalmente indicadores e metas para a gestão de TI, razão pela qual se torna improvável a ocorrência do acompanhamento pela Alta Administração.2 de 26 25/5/2011 13:11
  • 3. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... 2.2.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.2.3 - Causas da ocorrência do achado: Deficiências de controles 2.2.4 - Efeitos/Consequências do achado: Impossibilidade de verificação de possibilidades de melhoria na gestão de TI. (efeito potencial) 2.2.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, ME1.5 - Relatórios gerenciais Norma Técnica - ITGI - Cobit 4.1, ME1.4 - Avaliar o desempenho Norma Técnica - ITGI - Cobit 4.1, ME1.6 - Ações corretivas Norma Técnica - ITGI - Cobit 4.1, ME2 - Monitorar e avaliar os controles internos 2.2.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal - folha 24) Resposta ao item 1.2 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16) 2.2.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.2.8 - Conclusão da equipe: A equipe evidenciou que a Alta Administração do DNOCS não avalia a gestão da TI daquele órgão. 2.2.9 - Proposta de encaminhamento: Recomendar ao DNOCS que, em atenção ao princípio constitucional da eficiência, estabeleça um processo de avaliação da gestão de TI, observando as orientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 - Relatórios gerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controles internos. 2.3 - Inexistência de avaliação do quadro de pessoal de TI. 2.3.1 - Situação encontrada: Conforme resposta ao item 6.1 do questionário Perfil GovTI 2010 (Anexo I, fl. 23), a força de trabalho da área de TI do DNOCS era composta, em 10/05/2010, por 4 servidores e 4 estagiários, sendo que 2 dos servidores eram detentores de funções de confiança, respectivamente Coordenador de Gestão Estratégica e Chefe de Serviço de Informática. Todavia, quando da execução da auditoria, constatou-se que um dos servidores elencados na resposta ao questionário já havia deixado os quadros da instituição, restando assim apenas três servidores, sendo que dois deles ocupam função gerencial. O DNOCS afirmou, em resposta ao item 3.7 do Ofício 471/2010-01-Secex/Ce que "Em relação a Recursos Humanos na área de TI nosso setor encontra-se totalmente deficitário, como descrito no item 3.4, item 2.2.3 e nas páginas 19 a 22 do PDTI, salientamos que no momento não existe contrato para a prestação de serviços na área de TI. Necessitamos com urgência recompor nossa equipe . Em relação ao item 3.6 do referido Ofício, o DNOCS argumentou ainda que com o término do contrato de terceirização (vide item 2.2.3 deste questionário) as áreas de Banco de Dados, Segurança da Informação entre outras se encontram carentes de especialistas". A auditoria confirmou a grave precariedade em que se encontra a área de TI do DNOCS, que tem equipe insuficiente para atender às demandas. O quadro agrava-se ainda mais em virtude de não haver prepostos da área de TI nas Coordenações Estaduais. Nesses casos, segundo informado pelo Coordenador de Gestão Estratégica, as demandas de TI nas unidades fora da Sede acumulam-se até que, pelo menos uma vez por ano, em visita da equipe de TI, são solucionados os problemas. A situação da área de TI também é sentida nos sistemas de informação daquele órgão. Conforme evidenciado às folhas 28/31, poucas são as unidades organizacionais que dispões de solução corporativa de TI que atenda às suas necessidades de negócio. São muitos os casos em que o controle das atividades cruciais do negócio é feito de forma não automatizada, com o auxílio de planilhas eletrônicas e até com relatórios em papel, os quais apresentam sério risco de comprometimento da integridade, disponibilidade e confidencialidade3 de 26 25/5/2011 13:11
  • 4. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... das informações tratadas naquela autarquia. No documento apresentado pelo DNOCS como Plano Diretor de Tecnologia da Informação (Arquivo PDTI.pdf, Anexo I, fl. 19), consta, à página 22, a tabela 5 que indica, para a área de TI, a quantidade existente de pessoal e a desejável. Conforme se observa, à época da elaboração do PDTI, no 1º semestre de 2009, o DNOCS apontou na coluna Desejável a quantidade de técnicos necessários para o desenvolvimento das atividades da área de TI. Todavia, não são apresentados os critérios ou métodos utilizados pelo órgão para chegar a tais números. Além disso, o órgão apresenta apenas a demanda de cargos técnicos, não fazendo referência à necessidade de servidores efetivos para as atividades de gestão (planejamento, organização, supervisão e controle). Ressalta-se ainda que a situação exposta na tabela acima reflete momento anterior do DNOCS que contava com a prestação de serviços terceirizados. Dessa forma, não há evidências de que o quantitativo de técnicos solicitado pelo DNOCS de fato seja o adequado para o pleno funcionamento da área de TI daquela instituição, nem de que, caso sejam providos os técnicos solicitados, haverá estrutura de pessoal suficiente para as atividades de gestão. 2.3.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce Arquivo eletrônico PDTI.pdf 2.3.3 - Causas da ocorrência do achado: Deficiências de controles 2.3.4 - Efeitos/Consequências do achado: Recursos humanos de TI insuficientes para atender às necessidades do negócio. (efeito real) Falta de competências apropriadas na área de TI. (efeito real) 2.3.5 - Critérios: ACÓRDÃO 71/2007, item 9.2.23, Tribunal de Contas da União, Plenário Constituição Federal, art. 37, caput Decreto 5707/2006, art. 1º, inciso III Norma Técnica - ITGI - Cobit 4.1, PO4.12 - Pessoal de TI 2.3.6 - Evidências: Arquivo PDTI.PDF no CD (Anexo 1 - Principal - folha 19) Resposta ao questionário Perfil GovTI 2010 - Item 6 (Anexo 1 - Principal - folhas 23/24) Resposta ao item 3.7 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 13) 2.3.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.3.8 - Conclusão da equipe: Com base nas respostas do DNOCS, em reuniões realizadas no curso da auditoria e na observação direta, a equipe constatou a inexistência de avaliação do atual quadro de TI que aponte a real necessidade de pessoal naquele órgão. 2.3.9 - Proposta de encaminhamento: Recomendar ao DNOCS que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência) e ao Decreto 5707/2006, art. 1º, inciso III, elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI. 2.4 - Inexistência de classificação da informação. 2.4.1 - Situação encontrada: Conforme resposta ao questionário Perfil GovTI 2010 (Anexo I, fl. 24), item 7.1, O DNOCS informou que a instituição não realiza classificação das informações produzidas ou manuseadas pela instituição. 2.4.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce4 de 26 25/5/2011 13:11
  • 5. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... 2.4.3 - Causas da ocorrência do achado: Deficiências de controles 2.4.4 - Efeitos/Consequências do achado: Risco de divulgação indevida de informação restrita. (efeito potencial) 2.4.5 - Critérios: ACÓRDÃO 2023/2005, item 9.1.4, Tribunal de Contas da União, Plenário Decreto 4553/2002, art. 6º, § 2º, inciso I; art. 6º, § 2º, inciso II; art. 67 Norma Técnica - NBR - ISO/IEC 27002, item 7.2 - Classificação da informação. 2.4.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal - folha 24) Resposta ao item 8 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16) 2.4.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.4.8 - Conclusão da equipe: A equipe evidenciou que o DNOCS não dispõe de norma institucional de classificação da informação. 2.4.9 - Proposta de encaminhamento: Determinar, com fulcro no art. 43, I, da Lei nº 8.443/1992, ao DNOCS que, em atenção ao disposto no Decreto nº 4553/2002, art. 6º, § 2º, inciso II e art. 67, crie critérios de classificação das informações a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observando o disposto pelo item 7.2 da NBR ISO/IEC 27002. 2.5 - Inexistência de Comitê de Segurança da Informação e Comunicações. 2.5.1 - Situação encontrada: A Instrução Normativa nº 1/2008, do GSI/PR, norma que aprova orientações para a Gestão da Segurança da Informação e Comunicações para órgãos e entidades da Administração Pública Federal, direta e indireta, conceitua a Gestão de Segurança da Informação e Comunicações como ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à tecnologia da informação e comunicações. A norma define ainda a necessidade de que os órgãos e entidades constituam Comitê de Segurança da Informação, que deve ter entre suas atribuições assessorar na implementação das ações de segurança da informação e comunicações e propor normas relativas à segurança da informação e comunicações. Conforme resposta ao OF 471/2010-01-Secex/Ce (Anexo I, fl. 13), item 8.3, o DNOCS não apresentou evidências de existência de Comitê de Segurança da Informação naquele órgão, situação comprovada quando da realização da auditoria por meio de entrevista aos gestores. 2.5.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.5.3 - Causas da ocorrência do achado: Deficiências de controles 2.5.4 - Efeitos/Consequências do achado: Não otimização das ações de segurança da informação. (efeito potencial) 2.5.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VI Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3 Norma Técnica - NBR - ISO/IEC 27002, item 6.1.2 - Coordenação de segurança da informação 2.5.6 - Evidências:5 de 26 25/5/2011 13:11
  • 6. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal - folha 24) Resposta ao item 8 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16) 2.5.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.5.8 - Conclusão da equipe: O DNOCS não constituiu formalmente Comitê Segurança da Informação e Comunicações, conforme evidências apresentadas. 2.5.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VI c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item 6.1.2 - Coordenação de segurança da informação. 2.6 - Inexistência de comitê de TI 2.6.1 - Situação encontrada: Conforme resposta à questão 1.1 do questionário PerfilGovTI 2010 (Anexo I, fl. 21), a Administração do DNOCS não constituiu um Comitê de TI para auxiliá-la nas decisões relativas à gestão e ao uso corporativos de TI 2.6.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.6.3 - Causas da ocorrência do achado: Deficiências de controles 2.6.4 - Efeitos/Consequências do achado: Sobreposição de ações de TI por parte das áreas de negócio que integrariam o comitê de TI. (efeito potencial) Priorização inadequada das ações de TI devido à ausência da participação das áreas de negócio da instituição. (efeito potencial) 2.6.5 - Critérios: Constituição Federal, art. 37, caput Instrução Normativa 4/2008, SLTI/MPOG, art. 4º, inciso IV Norma Técnica - ITGI - Cobit 4.1, PO4.3 - Comitê diretor de TI Norma Técnica - ITGI - Cobit 4.1, PO4.2 - Comitê estratégico de TI 2.6.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 1.1 (Anexo 1 - Principal - folha 21) Resposta ao item 3.2 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 13) 2.6.7 - Esclarecimentos dos responsáveis: O DNOCS informou que após a reunião realizada dia 10/08/2010, na qual foi confirmada à equipe de auditoria que não havia Comitê de TI no DNOCS, a Coordenação de Gestão Estratégica em conjunto com a Direção Geral e demais Diretorias elaborou a Portaria de criação do Comitê de Tecnologia da Informação, que foi assinada pelo Sr. Diretor Geral em 25 de Agosto de 2010 (Anexo I - Fls. 83/86). No momento, a Coordenação de Gestão Estratégica está aguardando a indicação dos membros para efetiva atuação do comitê. Dessa forma, entende-se que, apesar de formalmente constituído, não houve nenhuma reunião do Comitê, razão pela qual se mantêm o teor do achado. (Anexo 1 - Principal - folha 82) 2.6.8 - Conclusão da equipe: Diante do exposto, a equipe concluiu que a alta administração do DNOCS não constituiu plenamente um Comitê de TI na organização. 2.6.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em atenção ao disposto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4º, IV, implante Comitê de Tecnologia da Informação que envolva as diversas áreas do DNOCS, que se responsabilize por alinhar os investimentos de Tecnologia da Informação com os objetivos6 de 26 25/5/2011 13:11
  • 7. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... institucionais e apoiar a priorização de projetos a serem implantados, considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor de TI. 2.7 - Inexistência de controles que promovam a regular gestão contratual 2.7.1 - Situação encontrada: O DNOCS, em resposta ao item 12 do OF nº 471/2010-01-Secex/Ce, informou apenas que não houve contratação de TI nos anos de 2009/2010 . Informou ainda, no item 7.11 do questionário Perfil GovTI 2010 que, na fase de gestão dos contratos de TI, as diretrizes legais são observadas, mas há grande variação nos procedimentos adotados. Dessa forma, constatou-se que inexiste um procedimento uniforme normatizado pela entidade, o que evidencia a ausência daqueles controles de gestão de contratos. 2.7.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.7.3 - Causas da ocorrência do achado: Deficiências de controles 2.7.4 - Efeitos/Consequências do achado: Risco de ineficiência no acompanhamento da execução contratual, podendo resultar na qualidade/prazo insatisfatórios de serviços e produtos entregues. (efeito potencial) 2.7.5 - Critérios: ACÓRDÃO 669/2008, item 9.4.15, Tribunal de Contas da União, Plenário Instrução Normativa 4/2008, SLTI/MPOG, art. 20 Norma Técnica - ITGI - Cobit 4.1, ME3.3 - Avaliar a conformidade com requisitos externos Norma Técnica - ITGI - Cobit 4.1, DS2.4 - Monitorar o desempenho do fornecedor Norma Técnica - ITGI - Cobit 4.1, AI5.2 - Gerir contratos com fornecedores 2.7.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.11 (Anexo 1 - Principal - folha 26) Resposta ao item 12 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 17) 2.7.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.7.8 - Conclusão da equipe: A equipe evidenciou o Dnocs não implementa controles que promovam a regular gestão do contrato. 2.7.9 - Proposta de encaminhamento: Recomendar ao DNOCS que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente controles que promovam a regular gestão contratual e que permitam identificar se todas as obrigações do contratado foram cumpridas antes do ateste do serviço. 2.8 - Inexistência de controles que promovam o cumprimento da IN4 2.8.1 - Situação encontrada: O DNOCS informou que, visto que não houve contratações na área de TI nos anos de 2009/2010, não foram implementados controles que promovessem o cumprimento da IN nº 4/2008 - SLTI. Atualmente, os controles resumem-se à análise jurídica das solicitações para publicação de editais. 2.8.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.8.3 - Causas da ocorrência do achado: Deficiências de controles 2.8.4 - Efeitos/Consequências do achado: Descumprimento do processo de planejamento previsto na IN4/2008 - SLTI/MPOG. (efeito potencial) 2.8.5 - Critérios: Constituição Federal, art. 37, caput 2.8.6 - Evidências:7 de 26 25/5/2011 13:11
  • 8. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... Resposta ao questionário Perfil GovTI 2010 - Item 7.10 (Anexo 1 - Principal - folha 25) Resposta ao item 11 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 17) 2.8.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.8.8 - Conclusão da equipe: A equipe evidenciou o Dnocs não implementa controles que promovam o cumprimento da IN nº 4/2008 - SLTI. 2.8.9 - Proposta de encaminhamento: Recomendar ao DNOCS que, em atenção ao princípio constitucional da eficiência, implemente controles que promovam o cumprimento do processo de planejamento previsto na Instrução Normativa nº 4/2008 - SLTI/MPOG. 2.9 - Inexistência de equipe de tratamento e resposta a incidentes em redes computacionais (ETRI). 2.9.1 - Situação encontrada: Conforme resposta ao questionário Perfil GovTI 2010 (Anexo I, fl. 24), item 7.2, O DNOCS informou que a instituição não tem uma equipe específica de gestão de tratamento e resposta a incidentes em redes computacionais. 2.9.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.9.3 - Causas da ocorrência do achado: Deficiências de controles 2.9.4 - Efeitos/Consequências do achado: Falhas relativas às notificações e às atividades relacionadas a incidentes de segurança em redes de computadores. (efeito potencial) 2.9.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso V Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 05/IN01/DSIC/GSIPR 2.9.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal - folha 24) Resposta ao item 8 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16) 2.9.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.9.8 - Conclusão da equipe: A equipe evidenciou que o DNOCS não dispõe de equipe de tratamento e resposta a incidentes em redes computacionais. 2.9.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais, observando as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR. 2.10 - Inexistência de Gestor de Segurança da Informação e Comunicações. 2.10.1 - Situação encontrada: Conforme informado pelo DNOCS, em resposta ao OF 471/2010-01-Secex/Ce (Anexo I, fl. 16), Item 8, não há no órgão gestor de segurança da informação por falta de pessoal especializado. Conforme constatado, a atual equipe não dispõe de servidor com os conhecimentos necessários à atuação no papel de gestor de segurança da informação. 2.10.2 - Objetos nos quais o achado foi constatado: Arquivo eletrônico PEI.pdf Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce8 de 26 25/5/2011 13:11
  • 9. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... 2.10.3 - Causas da ocorrência do achado: Deficiências de controles 2.10.4 - Efeitos/Consequências do achado: Não otimização das ações de segurança da informação. (efeito potencial) 2.10.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso IV; art. 7º Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2 Norma Técnica - NBR - ISO/IEC 27002, 6.1.3 - Atribuição de responsabilidade para segurança da informação. 2.10.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal - folha 24) Resposta ao item 8 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16) 2.10.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.10.8 - Conclusão da equipe: O DNOCS não tem designação formal de gestor de segurança da informação, situação que faz com que eventuais atividades de segurança da informação, quando feitas, não ocorrem de forma coordenada. 2.10.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, IV e art. 7º, c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie Gestor de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item 6.1.3 - Atribuição de responsabilidade para segurança da informação. 2.11 - Inexistência de inventário dos ativos de informação. 2.11.1 - Situação encontrada: Com relação ao inventário dos ativos de informação, o DNOCS informou, em resposta ao item 7.1 do questionário Perfil GovTI 2010 (Anexo I, fl. 24) que implementou formalmente o processo de inventariar todos os ativos de informação, aí incluindo dados, hardware, software e instalações. Todavia, apresentou como evidência um inventário dos bens patrimoniais da área de TI relativo apenas a equipamentos, evidenciado por meio do arquivo relação de ativos de TI (CD-ROM, Anexo I, fl. 19). O documento apresentado é um relatório extraído do Sistema de Controle Patrimonial do DNOCS que traz apenas informações referentes a equipamentos de TI do DNOCS, mas não se trata de um inventário de ativos de informação. Conforme dispõe a Norma Técnica NBR-ISSO/IEC 27002, no item 7.1.2, convém que todos os ativos sejam claramente identificados e um inventário de todos os ativos importantes seja estruturado e mantido. Segundo a norma 27002-2 (item 7.1), o inventário de ativos deve incluir todas as informações necessárias que permitam recuperar de um desastre, não se tratando apenas de bens constantes no patrimônio. Ainda segundo a referida norma, por Ativo entende-se qualquer componente (seja humano, tecnológico, software ou etc,) que sustenta um ou mais processos de negócio de uma unidade ou área de negócio. Dessa forma, os ativos englobam, além dos itens de hardware, os programas aplicativos, os sistemas operacionais, as instalações físicas e as pessoas, entre outros. São considerados elementos essenciais de inventário de ativos: a) lista de ativos; b) tipo do ativo: c) formato; d) localização; e) informações sobre cópia de segurança; f) importância do ativo para o negócio; g) proprietário do ativo. Dessa forma, verifica-se que o DNOCS, ao contrário do apresentado, não dispõe de um inventário de ativos de informação, conforme prevê a norma.9 de 26 25/5/2011 13:11
  • 10. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... 2.11.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce Arquivo eletrônico "relação de ativos de TI" 2.11.3 - Causas da ocorrência do achado: Deficiências de controles 2.11.4 - Efeitos/Consequências do achado: Dificuldade de recuperação de ativo de informação. (efeito potencial) 2.11.5 - Critérios: Norma Técnica - NBR - ISO/IEC 27002, item 7.1.1 - inventário de ativos. Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1. 2.11.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal - folha 24) Resposta ao item 8 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16) Arquivo eletrônico "relação de ativos de informação.pdf" (Anexo 1 - Principal - folha 19) 2.11.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.11.8 - Conclusão da equipe: A equipe evidenciou que o DNOCS não implementou formalmente processo corporativo de inventário de ativos de informação. 2.11.9 - Proposta de encaminhamento: Determinar ao DNOCS que, em atenção ao disposto na Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando as práticas contidas no item 7.1 da NBR ISO/IEC 27002. 2.12 - Inexistência de plano anual de capacitação. 2.12.1 - Situação encontrada: O DNOCS informou, por meio de resposta ao item 9 do OF 471/2010-01-Secex/Ce (Anexo I, fl. 17) que está elaborando um plano para capacitação em governança de TI. Todavia, não apresentou evidências deste processo de elaboração. Esclarece-se que o Plano de capacitação é documento oficial que deve ser publicado até 31/12 do ano anterior (Portaria 208/2006, Ministério do Planejamento, art. 4º), contendo todas as capacitações previstas para a entidade. A equipe constatou durante os trabalhos de execução de auditoria que existe efetivamente uma servidora do quadro efetivo do órgão que está sendo treinada em governança de TI. O DNOCS informou também que apesar de haver no órgão uma comissão de capacitação, esta não cuida das questões de TI nas devidas especificidades. 2.12.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.12.3 - Causas da ocorrência do achado: Deficiências de controles 2.12.4 - Efeitos/Consequências do achado: Não otimização do potencial dos recursos humanos. (efeito potencial) Desatualização do quadro de pessoal em termos de conhecimento/capacitação. (efeito potencial) 2.12.5 - Critérios: Decreto 5707/2006, art. 5º, § 2º Norma Técnica - ITGI - Cobit 4.1, PO7.2-Competências Pessoais Norma Técnica - ITGI - Cobit 4.1, PO7.4 - Treinamento do Pessoal Portaria 208/2006, Ministério do Planejamento, art. 2º, inciso I; art. 4º 2.12.6 - Evidências: Resposta ao item 9 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16)10 de 26 25/5/2011 13:11
  • 11. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... 2.12.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.12.8 - Conclusão da equipe: A equipe evidenciou que o DNOCS não implementou formalmente processo para elaboração e acompanhamento de plano anual de capacitação. 2.12.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em atenção às disposições contidas no Decreto nº 5.707/2006, art. 5º, 2º, c/c Portaria MP nº 208/2006, art. 2º, I e art. 4º, elabore Plano Anual de Capacitação, o qual compreenderá as definições dos temas, as metodologias de capacitação a serem implementadas, bem como as ações de capacitação voltadas à habilitação de seus servidores. 2.13 - Inexistência de Política de Segurança da Informação e Comunicações (POSIC). 2.13.1 - Situação encontrada: Conforme resposta ao questionário Perfil GovTI 2010 (Anexo I, fl. 24), item 7.2, o DNOCS informou que a instituição não formalizou uma POSIC. Já na resposta ao OF 471/2010-01-Secex/Ce (Anexo I, fl. 16), o órgão informou que está aguardando a recomposição do quadro de pessoal para implementar todas essas políticas. Durante a execução da auditoria, a equipe constatou que não há nenhuma atividade em andamento para elaboração de uma POSIC no DNOCS. 2.13.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.13.3 - Causas da ocorrência do achado: Deficiências de controles 2.13.4 - Efeitos/Consequências do achado: Falhas nos procedimentos de segurança. (efeito potencial) 2.13.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VII Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR Norma Técnica - NBR - ISO/IEC 27002, item 5.1 - Política de segurança da informação 2.13.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal - folha 24) Resposta ao item 8 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16) 2.13.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.13.8 - Conclusão da equipe: A equipe evidenciou que o DNOCS não dispõe de uma Política de Segurança da Informação e Comunicações formalizada. 2.13.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII, implante Política de Segurança da Informação e Comunicações, observando as práticas contidas na Norma Complementar 03/IN01/DSIC/GSIPR. 2.14 - Inexistência de processo de gerenciamento de projetos. 2.14.1 - Situação encontrada: Conforme resposta ao questionário Perfil GovTI 2010 (Anexo I, fl. 24), item 7.4, o DNOCS informou que a instituição não pratica o gerenciamento de projetos. Acrescenta ainda que formalmente a instituição ainda não elaborou, por falta de pessoal, um estudo para que fosse avaliado qual processo seria o mais adequado à realidade do órgão. De fato, verificou-se em reunião junto à área de TI da instituição que o atual11 de 26 25/5/2011 13:11
  • 12. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... quadro de pessoal, além de insuficiente, não tem nenhum profissional com conhecimentos necessários em gestão 2.14.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.14.3 - Causas da ocorrência do achado: Deficiências de controles 2.14.4 - Efeitos/Consequências do achado: Risco de insucesso de projetos relevantes, pela falta de estrutura de gestão de projetos. (efeito potencial) 2.14.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, PO10.2 - Estrutura de gerência de projetos 2.14.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.4 (Anexo 1 - Principal - folha 24) Resposta ao item 6 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 15) 2.14.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.14.8 - Conclusão da equipe: Conforme evidenciado, constatou-se que o DNOCS não dispõe de processo para gerenciamento de projetos de TI. 2.14.9 - Proposta de encaminhamento: Recomendar ao DNOCS que implante uma estrutura formal de gerência de projetos, observando as orientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos e do PmBok, dentre outras boas práticas de mercado. 2.15 - Inexistência de processo de gestão de riscos de segurança da informação (GRSIC). 2.15.1 - Situação encontrada: O DNOCS informou, por meio de resposta ao questionário Perfil GovTI 2010, item 7, que não implementou processo para análise dos riscos aos quais a informação crítica para o negócio está submetida. Complementou ainda que aguarda recomposição do quadro de pessoal para implementar todas este e outros processos de segurança da informação. 2.15.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.15.3 - Causas da ocorrência do achado: Deficiências de controles 2.15.4 - Efeitos/Consequências do achado: Desconhecimento das ameaças e respectivos impactos relacionados à segurança da informação. (efeito potencial) 2.15.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VII Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 04/IN01/DSIC/GSIPR Norma Técnica - ITGI - Cobit 4.1, PO9.4 - Avaliação de riscos. Norma Técnica - NBR - 27005 - Gestão de riscos de segurança da informação 2.15.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal - folha 24) Resposta ao item 8 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16) 2.15.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.15.8 - Conclusão da equipe: A equipe evidenciou que o DNOCS não implementou formalmente processo12 de 26 25/5/2011 13:11
  • 13. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... corporativo de gestão de riscos de segurança da informação e comunicações. 2.15.9 - Proposta de encaminhamento: Determinar ao DNOCS que, em atenção ao disposto na Norma Complementar 04/IN01/DSIC/GSIPR, implemente processo de gestão de riscos de segurança da informação a fim de, entre outros objetivos, avaliar regularmente a probabilidade e o impacto dos riscos identificados, utilizando métodos qualitativos e quantitativos, observando as práticas contidas no Cobit 4.1, processo PO9 - Avaliar e gerenciar riscos de TI e na NBR 27005 - Gestão de Riscos de Segurança da Informação. 2.16 - Inexistência de processo de software. 2.16.1 - Situação encontrada: O DNOCS informou que não há na instituição um processo formal de desenvolvimento e de garantia de qualidade do software, conforme resposta ao item 7.3 do questionário Perfil GovTI 2010 (Anexo I, fl. 24). Além disso, em complemento à resposta do questionário, informou no item 5 do OF 471/2010-01-Secex/Ce (Anexo I, fl. 14) que "a metodologia de desenvolvimento necessita ser mais bem definida. Hoje não é utilizado nenhum processo de qualidade de software. A área de desenvolvimento de sistemas está resumida hoje a uma única pessoa" O DNOCS dispõe de uma solução de sistema de informação denominada SISTEMA APOENA, o qual é composto por vários módulos e subsistemas que deveriam atender todas as áreas de negócio da organização. Conforme documentação apresentada referente a julho de 2010 (Fls. 27/36), o Apoena é composto de 34 módulos que abrangem tanto áreas fins do órgão, como gestão de obras e de recursos hídricos, quanto áreas meio como folha de pagamento e contabilidade. Segundo informou o Coordenador de Gestão Estratégica, os módulos do sistema Apoena estão em diferentes estágios de desenvolvimento, sendo que alguns estão finalizados mas não são utilizados pelos respectivos gestores, outros ainda em fase inicial de desenvolvimento e os demais já têm desenvolvimento avançado. O Coordenador de Gestão Estratégica afirmou ainda em reunião realizada em 10/08/2010, da qual também participou a Diretoria do DNOCS, de que nenhum dos módulos do Apoena estava efetivamente sendo utilizado pelas áreas de negócio da instituição. Todavia, em reuniões posteriores com as áreas de negócio do DNOCS, evidenciou-se que alguns dos módulos do Apoena são efetivamente utilizados pelos gestores, até sem o conhecimento da Coordenação de Gestão Estratégica. Observou-se ainda que existe no DNOCS solução de TI, no caso o Sistema de Monitoramento Eletrônico de Reservatórios, no qual a solução foi implementada pela área fim, sem participação da Coordenação de Gestão Estratégica, unidade esta que, de acordo com o Regimento Interno do órgão, deveria ser responsável pela mesma. Apenas após a implementação a área de TI do DNOCS passou a participar do projeto. Um dos argumentos apresentados pela Coordenação de Gestão Estratégica para a ausência de um processo de software foi a existência de apenas um servidor do DNOCS na equipe destinado, entre outras funções, ao desenvolvimento de software. Conforme observação direta realizada, a equipe constatou a situação de extrema gravidade em que se encontra a área de desenvolvimento de sistemas, entendendo ser urgente para o órgão a estruturação de uma equipe de TI com as competências necessárias para a implementação de um processo de software que atenda à instituição. Acrescenta-se ainda que a definição e implementação de um processo de software, com a previsão dos artefatos a serem produzidos neste processo, é indispensável para que se possa realizar uma contratação de empresa prestadora de serviços de desenvolvimento de software (Lei 8.666/93, art, 6º, inciso IX). 2.16.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce Sistema Apoena - Relação de Módulos e Subsistemas 2.16.3 - Causas da ocorrência do achado: Deficiências de controles 2.16.4 - Efeitos/Consequências do achado: Deficiência no processo de contratação, decorrente da inexistência de metodologia que assegure boa contratação de desenvolvimento de sistemas. (efeito potencial)13 de 26 25/5/2011 13:11
  • 14. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... Inexistência de parâmetros de aferição de qualidade para contratação de desenvolvimento de sistemas. (efeito potencial) 2.16.5 - Critérios: Instrução Normativa 4/2008, SLTI/MPOG, art. 12, inciso II Lei 8666/1993, art. 6º, inciso IX Norma Técnica - ITGI - Cobit 4.1, PO8.3 - Padrões de desenvolvimento e de aquisições. 2.16.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.3 (Anexo 1 - Principal - folha 24) Resposta ao item 5 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 14) 2.16.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado, contudo esclareceu que o que havia informado inicialmente à equipe de auditoria era que alguns módulos do alguns módulos do APOENA foram desenvolvidos, mas estão sendo utilizados apenas na Administração Central, como por exemplo, o Sistema de Controle Patrimonial, outros foram desenvolvidos, mas nunca foram utilizados como o Sistema de Veículos e alguns foram desenvolvidos parcialmente como o Sistema de Acompanhamento de Obras, Sistema de Acompanhamento de Produção dos Perímetros Irrigados, dentre outros, que foram interrompidos após o término do contrato de serviços executivos para a área de TI. Não procede assim a informação apresentada pela equipe de que a área de TI havia informado que não havia nenhum sistema em produção. (Anexo 1 - Principal - folha 82) 2.16.8 - Conclusão da equipe: Diante do exposto, concluiu-se da inexistência de qualquer processo formal para o processo de produção de software, evidenciando a irregularidade apontada. 2.16.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em atenção ao disposto na Lei nº 8.666/1993, art. 6º, inc. IX, e às disposições contidas na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 12, II, defina um processo de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de software, vinculando o contrato com o processo de software, sem o qual o objeto não estará precisamente definido. Recomendar ao DNOCS que, quando do estabelecimento de seu processo de software, considere as Normas NBR ISO/IEC 12207 e 15504. 2.17 - Inexistência do PDTI 2.17.1 - Situação encontrada: Na resposta no item 2.2 do questionário Perfil GovTI 2010 (Anexo I - Fl. 22), o DNOCS informou que a instituição desenvolve alguns planos estratégicos de TI, mas não de maneira periódica. Como evidência, o DNOCS respondeu no item 2.1 da resposta ao OF 471/2010-01-Secex/CE (Anexo I, Fl. 12) que "dentro do PEI existe o planejamento da Coordenação de Gestão Estratégica que contempla os Serviços de Informática". O referido PEI (Arquivo PEI.pdf), tratado no item 2.1, é na verdade uma Proposta de Plano de Ação para o biênio 2009/2010, elaborada pela administração do DNOCS, que todavia não foi aprovada formalmente. Na referida Proposta, a Coordenação de Gestão Estratégica incluiu as seguintes ações referentes à área de TI: 1.1 Plano Diretor de Tecnologia da Informação; 1.2 - Contratação de empresa para a área de informática; 1.3 - Aquisição de equipamentos de informática e 1.4 - Novo acesso a internet (tecnologia MPLS). Não há no documento referências do alinhamento dessas ações de TI com as diretrizes traçadas pelas demais diretorias do DNOCS. Além do disposto do arquivo PEI.pdf, o DNOCS apresentou como evidência da realização de Planejamento de TI pelo DNOCS o documento Plano Diretor de Tecnologia da Informação (Arquivo PDTI.pdf), elaborado para o exercício de 2009 e aprovado pela direção do DNOCS por meio da Portaria nº 330 DG/CRH de 16 de julho de 2009, e publicado no Boletim Administrativo edição extra de 16 de julho de 2009. Todavia a análise do Plano Diretor de Tecnologia apresentado evidenciou que o mesmo carece de itens essenciais para que possa ser considerado um plano propriamente dito (IN 2/2008-art. 4º, III), entre os quais se destacam:14 de 26 25/5/2011 13:11
  • 15. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... - alinhamento das ações propostas à estratégia do órgão; - estabelecimento de indicadores de desempenho, de acordo com os objetivos estratégicos, com vistas a avaliar a atuação da área de TI; - plano de investimentos, com o detalhamento financeiro das ações; - necessidade de contratação de serviços, uma vez que o plano apresentado apresenta a demanda de pessoal técnico, e não de serviços necessários, em desconformidade com o disposto na IN 2/2008-art. 4º Finalmente, vale ressaltar que o plano apresentado refere-se ao exercício de 2009, e, conforme as respostas do DNOCS ao OF 471/2010-Secex/Ce, itens 2.2.3, 2.2.4 e 2.2.5, o plano proposto para 2009 não foi executado em virtude de: "À época da elaboração do Plano estratégico de TI e do Plano Diretor de Tecnologia da Informação - PDTI existia um contrato com uma empresa de terceirização de mão de obra que supria parcialmente as necessidades da Instituição na área de TI (vide PDTI, págs. 19 a 22). Em Abril de 2009 foi formalizado o documento em anexo (Mem. 12/CGPE/CGE) com a avaliação de riscos em TI por insuficiência de recursos humanos na área. Em julho de 2009 o contrato com a empresa citada foi encerrado por decisão judicial. Desde então a área de TI passou a contar apenas com o quadro de pessoal permanente existente (vide item 3.4 deste questionário). Na tentativa de dar continuidade ao Plano, e suprir minimamente as necessidades da área, foi solicitada a contratação de uma nova empresa para prestação de serviços seguindo as orientações da IN04/2008-SLTI através de processo licitatório (processo 59400.5705/2009-08). Com a anulação do referido procedimento, nova solicitação foi realizada através do processo 59400.545/2010-36 iniciado em 26/01/2010. Enquanto o processo citado tramitava, foram pesquisados alguns registros de preços no sentido de resolver de maneira emergencial as carências registradas. Dessa forma foram solicitadas adesões a atas de registro de preços processo 59400.2524/2010-55, nenhuma das solicitações aqui referenciadas foi concretizadas até esta data." (Anexo I, Fl. 12). 2.17.2 - Objetos nos quais o achado foi constatado: Arquivo eletrônico PEI.pdf Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce Plano Diretor de Tecnologia da Informação 2.17.3 - Causas da ocorrência do achado: Deficiências de controles 2.17.4 - Efeitos/Consequências do achado: Ações de TI não alinhadas ao negócio. (efeito potencial) 2.17.5 - Critérios: Constituição Federal, art. 37, caput Decreto Lei 200/1967, art. 6º, inciso I; art. 7º Instrução Normativa 4/2008, SLTI/MPOG, art. 2º, inciso X; art. 3º; art. 4º, inciso III Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI 2.17.6 - Evidências: Arquivo PDTI.PDF no CD (Anexo 1 - Principal - folha 19) Resposta ao item 2 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 12) 2.17.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.17.8 - Conclusão da equipe: Apesar de ter apresentado um documento intitulado Plano Diretor de Tecnologia da Informação para o exercício de 2009, tal documento carece de elementos básicos para que o mesmo possa ser considerado efetivamente um PDTI, além de não haver versão do documento válida para o exercício de 2010. Ressalta-se aqui que este achado relaciona-se diretamente ao achado "Inexistência do Plano Estratégico Institucional". 2.17.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em atenção ao princípio constitucional da eficiência e às disposições contidas no Decreto-Lei nº 200/67, art. 6º, inciso I, e na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 3º, implante,15 de 26 25/5/2011 13:11
  • 16. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... na área de tecnologia da informação do DNOCS, um processo de planejamento de Planejamento Estratégico de TI que organize as estratégias, as ações, os prazos, os recursos financeiros, humanos e materiais, tendo como produto a elaboração e aprovação de um Plano Diretor de Tecnologia da Informação - PDTI, observando as diretrizes constantes na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4, III, e as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI. 2.18 - Inexistência do Plano Estratégico Institucional 2.18.1 - Situação encontrada: Em resposta ao OF nº 471/2010-01-Secex/Ce (Anexo I, fls. 01/08), o DNOCS encaminhou o arquivo eletrônico "PEI.PDF" - CD Anexo I, Fl. 19, afirmando que o mesmo tratava-se do Plano Estratégico Institucional (PEI) daquela autarquia. Conforme consta na resposta ao item 1.2.1 do OF nº 471/2010-01-Secex/Ce, o DNOCS assim declarou: "Existe um plano estratégico institucional (PEI), o qual foi dado conhecimento à Diretoria Colegiada, não tendo sido entretanto objeto de nenhum ato de formalização. O PEI se constitui em um instrumento de trabalho para o encaminhamento das diversas demandas da Instituição junto ao Ministério da Integração Nacional e outros parceiros." Todavia, a equipe de auditoria verificou que o referido documento eletrônico, que tem, na folha 01 o título "DNOCS - PROPOSTA DE PLANO DE AÇÃO 2009/2010" não se tratava de um PEI, visto que não apresenta itens essenciais como: definição de negócio, missão e visão; declaração e objetivos e as iniciativas estratégicas do ente e estabelecimento de indicadores de desempenho, de acordo com os objetivos estratégicos (Norma Técnica - MPOG - Gespública - Instrumento para Avaliação da Gestão Pública - Ciclo 2010 - critério de avaliação 2). Além do exposto, com relação ao envolvimento das áreas de negócio no planejamento estratégico institucional, o DNOCS informou em resposta ao item 1.2.2 do OF nº 471/2010-01-Secex/Ce que "Foi solicitado a cada Diretoria que elaborasse o seu planejamento institucional. Posteriormente o mesmo foi consolidado em um único documento e encaminhado à Diretoria Colegiada.". A avaliação do documento apresentado evidencia que houve a elaboração de propostas de cada uma das três Diretorias do DNOCS, contudo não há indícios de que houve interação entre essas áreas organizacionais na elaboração da Proposta. Cada Diretoria elaborou, individualmente, sua proposta as quais foram consolidadas num único documento. Com relação à divulgação do alegado Plano Estratégico Institucional, o DNOCS informou que "A divulgação ocorreu de maneira informal tendo sido dado conhecimento aos servidores do conteúdo do mesmo por meio das diversas Diretorias.", porém não apresentou nenhuma evidência da forma informal como se deu a divulgação. 2.18.2 - Objetos nos quais o achado foi constatado: Arquivo eletrônico PEI.pdf Questionário: Perfil GovTI 2010 2.18.3 - Causas da ocorrência do achado: Deficiências de controles 2.18.4 - Efeitos/Consequências do achado: Ausência de referencial para verificar o alinhamento estratégico das ações da área de TI com o negócio da instituição. (efeito real) Risco de a instituição não conseguir atuar de forma eficiente no atingimento dos seus objetivos finalísticos. (efeito potencial) 2.18.5 - Critérios: Constituição Federal, art. 37, caput Decreto Lei 200/1967, art. 6º, inciso I; art. 7º Norma Técnica - MPOG - Gespública - Instrumento para Avaliação da Gestão Pública - Ciclo 2010 - critério de avaliação 2 2.18.6 - Evidências: Arquivo eletrônico - DNOCS - PROPOSTA DE PLANO DE AÇÃO 2009/2010 - Resposta ao item 1.2.1 do OF nº 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 19) 2.18.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82)16 de 26 25/5/2011 13:11
  • 17. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... 2.18.8 - Conclusão da equipe: Embora o DNOCS afirme que existe um plano estratégico institucional (PEI), o qual foi dado conhecimento à Diretoria Colegiada, não tendo sido entretanto objeto de nenhum ato de formalização, a evidência apresentada é um plano de ação que não contempla nenhum dos elementos essenciais previstos no Gespública. Além disso, o DNOCS não apresentou evidências de que existe um processo formal de planejamento estratégico implementado na instituição. Frente ao exposto, a equipe de auditoria concluiu que o DNOCS não executa um processo de planejamento estratégico institucional. 2.18.9 - Proposta de encaminhamento: Recomendar ao Dnocs que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência) e no Decreto Lei nº 200/1967, art. 6º, inciso I, e art. 7º, elabore um Plano Estratégico Institucional, considerando o previsto no critério de avaliação nº 2 do Gespública. 2.19 - Inexistência do processo de gestão de configuração 2.19.1 - Situação encontrada: O DNOCS não realiza atividades relativas ao processo de gestão de configuração, conforme demonstrado na resposta ao item 7.6 do questionário Perfil GovTI 2010 (anexo I, fl. 25). 2.19.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.19.3 - Causas da ocorrência do achado: Deficiências de controles 2.19.4 - Efeitos/Consequências do achado: Desatualização ou deficiência da configuração de TI. (efeito potencial) 2.19.5 - Critérios: Constituição Federal, art. 37, caput Norma Técnica - ITGI - Cobit 4.1, DS9 - Gerenciar Configurações. 2.19.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.6 (Anexo 1 - Principal - folha 25) Resposta ao item 7 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 15) 2.19.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.19.8 - Conclusão da equipe: A equipe evidenciou que o DNOCS não implementa processo de Gestão de Configuração. 2.19.9 - Proposta de encaminhamento: Recomendar ao DNOCS que, em atenção ao princípio constitucional da eficiência, implemente processo de gestão de configuração de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração. 2.20 - Inexistência do processo de gestão de incidentes. 2.20.1 - Situação encontrada: O DNOCS não realiza atividades relativas ao processo de gestão de incidentes conforme demonstrado na resposta ao item 7.6 do questionário PerfilGovTI 2010 (Anexo I, fl. 25). Conforme já abordado anteriormente,a atual equipe de TI é composta de três servidores, dos quais dois ocupam cargo gerencial. Dessa forma, há uma carência de recursos humanos, efetivos ou terceirizados, em número e em especialização. A situação atual do órgão faz com que a maioria dos incidentes seja tratados à medida que ocorrem, não havendo um processo preventivo de atuação. Como exemplo das dificuldades encontradas pela atual equipe de TI, cita-se o fato de indisponibilidade total da rede do DNOCS por três dias, de 24 a 28 de setembro, devido a problemas de refrigeração na sala onde estão localizados os diversos equipamentos servidores da instituição, o que só não comprometeu mais as atividades da organização em virtude do baixo uso de sistemas de informação corporativos que hoje se faz no DNOCS.17 de 26 25/5/2011 13:11
  • 18. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... 2.20.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.20.3 - Causas da ocorrência do achado: Deficiências de controles 2.20.4 - Efeitos/Consequências do achado: Ocorrência de incidentes sem o devido gerenciamento. (efeito potencial) Paralisação dos serviços de TI. (efeito potencial) Paralisação das atividades da organização. (efeito potencial) 2.20.5 - Critérios: Constituição Federal, art. 37, caput Norma Técnica - NBR - ISO/IEC 27002, item 10.1.2 - Gestão de mudanças. Norma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar a central de serviços e incidentes. 2.20.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.6 (Anexo 1 - Principal - folha 25) Resposta ao item 7 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 15) 2.20.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.20.8 - Conclusão da equipe: A equipe evidenciou que o DNOCS não implementa processo de gestão de incidentes. 2.20.9 - Proposta de encaminhamento: Recomendar ao DNOCS que, em atenção ao princípio constitucional da eficiência, implemente processo de gestão de incidentes de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a central de serviços e incidentes e de outras boas práticas de mercado (como a NBR 26.000 e a NBR 27.002). 2.21 - Inexistência do processo de gestão de mudanças. 2.21.1 - Situação encontrada: O DNOCS não realiza atividades relativas ao processo de gestão de mudanças, conforme demonstrado na resposta ao item 7.6 do questionário Perfil GovTI 2010. 2.21.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.21.3 - Causas da ocorrência do achado: Deficiências de controles 2.21.4 - Efeitos/Consequências do achado: Não avaliação do impacto de eventuais mudanças. (efeito potencial) Solicitações de mudanças não controladas. (efeito potencial) 2.21.5 - Critérios: Constituição Federal, art. 37, caput Norma Técnica - ITGI - Cobit 4.1, AI6 - Gerenciar mudanças. Norma Técnica - NBR - ISO/IEC 27002, 12.5.1 - Procedimentos para controle de mudanças 2.21.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.6 (Anexo 1 - Principal - folha 25) Resposta ao item 7 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 15) 2.21.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.21.8 - Conclusão da equipe: A equipe de auditoria evidenciou que o DNOVS não implementa processo de gestão de mudanças.18 de 26 25/5/2011 13:11
  • 19. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... 2.21.9 - Proposta de encaminhamento: Recomendar ao DNOCS que, em atenção ao princípio constitucional da eficiência, estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 17799:2005, à semelhança das orientações contidas no Cobit 4.1, processo AI6 - Gerenciar mudanças. 4 - OUTROS FATOS RELEVANTES A equipe de auditoria, por meio de análise das respostas ao questionário Perfil GovTI 2010 e ao OF 471/2010-01-Secex/Ce (Anexo I, Fl. 13), identificou no DNOCS a inexistência ou inadequação dos sistemas de informação que dão suporte às atividades das áreas-fim daquele órgão. Esta situação foi confirmada pelo Coordenador de Gestão Estratégica. Em virtude desta constatação, buscou-se verificar como as áreas de negócio do DNOCS geriam suas atividades sem o apoio de uma solução de TI. Em reunião com a Auditoria Interna do DNOCS, foram selecionadas para verificação as áreas de gestão de obras, gestão de barragens, gestão de perímetros irrigados e gestão de convênios. A equipe realizou, de 28 a 30/10/2010, reuniões com os responsáveis por essas áreas. Em reunião realizada em 28/09/2010 com representantes da Diretoria de Infraestrutura Hídrica, especificamente do Serviço de Execução e Segurança de Obras e do Serviço de Monitoramento Hidrológico, foram verificadas as condições gerais do uso de TI no controle das atividades pertinentes às áreas. Gestão de Obras Em relação ao Serviço de Execução e Segurança de Obras, conforme apresentado pelo representante da área, Sr. Marcos Rangel, foram prestadas as seguintes informações: - atualmente, o acompanhamento e controle das obras do DNOCS é realizado com a utilização de planilhas eletrônicas no Excel, alguns módulos do Sistema APOENA e sistemas de informação disponibilizados pelas empresas responsáveis pela execução das obras; - os sistemas do DNOCS para controle de obras, em virtude do cancelamento em 2009 do contrato de terceirização para desenvolvimento dos sistemas, foram feitos parcialmente e não estão sendo utilizados, sendo que os poucos módulo utilizados estão sem manutenção; - em virtude de diferenças entre a forma de tratamento das ordens bancárias pelo SIAFI e do sistema utilizado pelo DNOCS, há diferença nas informações. Ressalta-se ainda que as informações são digitadas em duplicidade no SIAFI e no sistema APOENA, o que pode causar inconsistências; - A inserção de dados no Sistema APOENA está toda atrasada, porque houve pane no sistema e ainda está sendo identificado onde ocorreu o problema, havendo uma previsão do sistema volta a operar no final do ano de 2010; - somente os dados relativos aos contratos celebrados na Sede do DNOCS é que são inseridos no sistema, não sendo incluídos, portanto, os celebrados pelas Coordenadorias Estaduais; - há atualmente um módulo que trata da digitalização dos contratos e documentação complementar; - o acompanhamento das obras é feito semanalmente por meio de planilhas eletrônicas. Tais planilhas são enviadas ao DNOCS e inseridas no sistema; - no Sistema APOENA, não são utilizados os módulos de engenharia e financeiro, pois os mesmos não estão finalizados; Já em relação ao Serviço de Monitoramento Hidrológico, que cuida do gerenciamento das barragens, a equipe verificou o sério estado em que se encontra aquela área do DNOCS, que, apesar de ter alguns módulos do Sistema APOENA que dão suporte às suas atividades, ainda enfrenta limitações técnicas para um pleno funcionamento. Conforme apresentado pelo Sr. André Mavigner: - atualmente a maioria dos módulos do Sistema APOENA relativos a essa área está em produção e são utilizados normalmente. No entanto, alguns módulos necessitam de alterações e complementações e outros precisam apenas de alimentação de dados ou de atualização. Os módulos parcialmente desenvolvidos são Pluviometria, Poços e Fluviometria e encontram-se num estágio de conclusão de 60 a 70%, de acordo com estimativa do Setor de Informática;19 de 26 25/5/2011 13:11
  • 20. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... - os seguintes módulos do Sistema APOENA são efetivamente utilizados: Cadastro de Reservatórios; Armazenamento das Características dos Reservatórios; Armazenamento das Imagens dos Reservatórios; Cadastro de Tabela Padrão de Cota área e Volume; Cadastro de Leituras e Monitoramento dos Níveis dos Reservatórios; Gráfico de Monitoramento dos Açudes; Cadastro dos Poços; - os dados são disponibilizados no sítio do DNOCS na Internet; - as informações são captadas manualmente nos reservatórios e repassadas às Coordenadorias Regionais por telefone, que então faz a inserção das informações no Sistema APOENA; - há sistema de monitoramento eletrônico de reservatórios em apenas três açudes, de um total de 326; - não há definição de periodicidade para inserção pelos responsáveis dos dados relativos aos açudes, em razão das variáveis que influenciam no monitoramento dos açudes, tais como dificuldade de acesso e necessidade obtenção de muitos dados. - há planejamento para ser implantada uma Sala de Situação para monitoramento dos açudes. O local já foi definido e há computadores, mas ainda não entrou em operação por problemas orçamentários e de pessoal; - ainda não há previsão de quando serão alocados recursos no orçamento para implantação de monitoramento eletrônico em novos reservatórios, fiscalização e manutenção. No orçamento do DNCOS, há grande disponibilização de recursos para o gerenciamento do Programa de Aceleração do Crescimento do Governo Federal, todavia, para atender às necessidades da autarquia, os recursos são escassos. Conforme se vê, apesar do incremento no valor do orçamento de obras do DNOCS, que é da ordem de R$ 1,02 bilhão em 2010, a carência de soluções de TI que atendam essas áreas faz com que os controles implementados, manuais ou de formas não integradas, apresentam sérios riscos ao alcance dos objetivos institucionais daquela autarquia. Gestão de Perímetros Irrigados Com relação à gestão de perímetros irrigados o representante da área, Sr. Aloísio Gomes, informou que não há nenhuma solução de TI que atenda a área. À área da qual faz parte, a Coordenação de Tecnologia e Operações Agrícolas, compete segundo o Regimento Interno do DNOCS: promover, coordenar e supervisionar as ações de operações com base no emprego da irrigação, no aproveitamento das áreas de montante dos açudes públicos e das áreas de sequeiro considerados os aspectos tecnológicos, socioeconômicos e ambientais. Assim, essa área é responsável por prover instrumentos que permitam gerenciar a alocação das terras que envolvem os recursos hídricos implementados pelo DNOCS e a utilização produtiva dessas terras. Atualmente, existem 38 perímetros irrigados coordenados pelo DNOCS, dos quais 30 são gerenciados diretamente por associações de irrigantes. Tem-se aqui situação crítica, em que a gestão dos 38 perímetros irrigados é feita com base em relatórios mensais elaborados em papel e encaminhados à Administração Central do DNOCS. Os relatórios em papel trazem informações referentes ao percentual de área atendido por irrigação, qual a área de plantio de cada tipo de cultura, a produção agrícola, pecuária e pesqueira alcançada e de que forma a área é aproveitada. Conforme informado pelo gestor, há grande dificuldade na consolidação dessas informações e na verificação da veracidade dos dados informados. Não há no DNOCS sistema de informação disponível para recebimento, validação e consolidação dessa informação. Gestão de Convênios Com relação à gestão dos convênios firmados pelo DNOCS, verificou-se que não há sistema de informação que atenda ao Serviço de Monitoramento de Convênios, ao qual compete analisar as solicitações de convênios que tenham por objeto a execução de obras e serviços de engenharia, acompanhar a análise técnica dos projetos e promover o acompanhamento e avaliação da execução dos convênios de obras e serviços celebrados pela autarquia. Assim, conforme informado pela representante da área, não há sistema de informação os prazos, aditivos e repasses realizados são controlados por meio de planilha eletrônica. Acrescentou ainda que o Sistema SICONV, acessado por meio da Rede Serpro, não atende plenamente às necessidades da área nem a equipe foi treinada no mesmo. Verificou-se que apenas o controle financeiro dos repasses aos convênios, realizada pelo Serviço de Contabilidade, subordinado à Coordenação de Recursos Financeiros, é20 de 26 25/5/2011 13:11
  • 21. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... realizado por meio da utilização de módulos do Sistema APOENA. Conforme informou a representante deste setor: - anteriormente, para realizar o controle dos convênios, fazia-se uma planilha, datilografada, a cada no final do ano. A partir de 2006 foi criado um programa no APOENA que contem o resumo da ficha utilizada para realizar o controle dos convênios. O programa é disponibilizado para o Setor de Auditoria, para as Diretorias de Produção e de Infraestrutura Hídrica, a fim de estes realizem consulta. - o sistema ainda está necessita do desenvolvimento de novas funcionalidades para atendimento à área; - a partir do Sistema APOENA, as informações são consolidadas anualmente para elaboração da prestação anual de contas do DNOCS.Não foram constatadas impropriedades ou irregularidades para a questão de auditoria nº 4 formulada para esta fiscalização. A ausência de uma solução de TI que dê suporte à área de gestão de convênios faz com que os controle s sejam implementados manualmente e por meio de planilhas eletrônicas, o que evidencia a fragilidade deste processo crítico ao negócio do DNOCS." 3. Por tais motivos, a Secex/CE, em pareceres uniformes (fls. 27/32), sugeriu a esta Corte formular ao Dnocs as seguintes determinações e recomendações e alertas: "Determinação ao DNOCS: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que: Em atenção ao disposto no Decreto nº 4553/2002, art. 6º, § 2º, inciso II e art. 67, crie critérios de classificação das informações a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observando o disposto pelo item 7.2 da NBR ISO/IEC 27002. Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VI c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item 6.1.2 Coordenação de segurança da informação. Em atenção ao disposto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4º, IV, implante Comitê de Tecnologia da Informação que envolva as diversas áreas do DNOCS, que se responsabilize por alinhar os investimentos de Tecnologia da Informação com os objetivos institucionais e apoiar a priorização de projetos a serem implantados, considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor de TI. Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais, observando as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR. Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, IV e art. 7º, c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie Gestor de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item 6.1.3 Atribuição de responsabilidade para segurança da informação. Em atenção ao disposto na Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando as práticas contidas no item 7.1 da NBR ISO/IEC 27002. Em atenção às disposições contidas no Decreto nº 5.707/2006, art. 5º, 2º, c/c Portaria MP nº 208/2006, art. 2º, I e art. 4º, elabore Plano Anual de Capacitação, o qual compreenderá as definições dos temas, as metodologias de capacitação a serem implementadas, bem como as ações de capacitação voltadas à habilitação de seus servidores. Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII, implante Política de Segurança da Informação e Comunicações, observando as práticas contidas na Norma Complementar 03/IN01/DSIC/GSIPR. Em atenção ao disposto na Norma Complementar 04/IN01/DSIC/GSIPR, implemente processo de gestão de riscos de segurança da informação a fim de, entre outros objetivos, avaliar regularmente a probabilidade e o impacto dos riscos identificados, utilizando métodos qualitativos e quantitativos, observando as práticas contidas no Cobit 4.1, processo PO9 - Avaliar e gerenciar riscos de TI e na NBR 27005 - Gestão de Riscos de Segurança da Informação.21 de 26 25/5/2011 13:11
  • 22. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... Em atenção ao disposto na Lei nº 8.666/1993, art. 6º, inc. IX, e às disposições contidas na Instrução Normativa nº 04/2008 -SLTI/MPOG, art. 12, II, defina um processo de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de software, vinculando o contrato com o processo de software, sem o qual o objeto não estará precisamente definido. Em atenção ao princípio constitucional da eficiência e às disposições contidas no Decreto-Lei nº 200/67, art. 6º, inciso I, e na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 3º, implante, na área de tecnologia da informação do DNOCS, um processo de planejamento de Planejamento Estratégico de TI que organize as estratégias, as ações, os prazos, os recursos financeiros, humanos e materiais, tendo como produto a elaboração e aprovação de um Plano Diretor de Tecnologia da Informação - PDTI, observando as diretrizes constantes na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4, III, e as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI. Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VI c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item 6.1.2 Coordenação de segurança da informação. Encaminhe, no prazo de 30 (trinta) dias a contar da ciência do Acórdão que vier a ser proferido, plano de ação para a implementação das medidas contidas do Decisum, contendo: a) Para cada determinação, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações; b) Para cada recomendação, cuja implementação seja considerada conveniente ou oportuna, justificativa da decisão. Recomendação ao DNOCS: Recomendar ao Departamento Nacional de Obras Contra as Secas (DNOCS) que, em atenção ao princípio constitucional da eficiência: Promova ações para que a auditoria interna apoie a avaliação da TI, observando as orientações contidas no Cobit 4.1, ME2 Monitorar e avaliar os controles internos. Estabeleça um processo de avaliação da gestão de TI, observando as orientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 Relatórios gerenciais, ME1.6 Ações corretivas e ME2 Monitorar e avaliar os controles internos. Em atenção ao Decreto 5707/2006, art. 1º, inciso III, elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI. Implemente controles que promovam a regular gestão contratual e que permitam identificar se todas as obrigações do contratado foram cumpridas antes do ateste do serviço. Implemente controles que promovam o cumprimento do processo de planejamento previsto na Instrução Normativa nº 4/2008 - SLTI/MPOG. Implante uma estrutura formal de gerência de projetos, observando as orientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos e do PmBok, dentre outras boas práticas de mercado. Em atenção ao Decreto Lei nº 200/1967, art. 6º, inciso I, e art. 7º, elabore um Plano Estratégico Institucional, considerando o previsto no critério de avaliação nº 2 do Gespública. Implemente processo de gestão de configuração de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração. Implemente processo de gestão de incidentes de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a central de serviços e incidentes e de outras boas práticas de mercado (como a NBR 26.000 e a NBR 27.002). Estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 17799:2005, à semelhança das orientações contidas no Cobit 4.1, processo AI6 - Gerenciar mudanças.22 de 26 25/5/2011 13:11
  • 23. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... Determinação de Providências Internas ao TCU: Encaminhar cópia do Acórdão a ser proferido ao Ministério da Integração Nacional e à Comissão Mista de Orçamento do Congresso Nacional, a fim de dar ciência àqueles Órgãos da situação em que se encontra a àrea de Tecnologia da Informação do DNOCS. (2.18)" É o Relatório Voto do Ministro Relator VOTO Na sessão de 8/9/2010 (acórdão 2.308/2010 - Plenário), apresentei a este colegiado o resultado consolidado do levantamento efetuado pela Secretaria de Fiscalização de Tecnologia da Informação - Sefti, em 2010, para avaliar a governança de tecnologia da informação em 315 órgãos e entidades das administrações direta e indireta dos três poderes da União. 2. Destaquei, naquela oportunidade, a importância da atuação desta Corte com relação à matéria, que, a partir da identificação de pontos vulneráveis, será possível ao Tribunal, em primeiro lugar, atuar como indutor do aperfeiçoamento da governança de TI no setor público e, em segundo lugar, identificar e disseminar entre as unidades jurisdicionadas os bons exemplos e modelos identificados. 3. Apontei, ainda, as conclusões mais significativas do levantamento, que permitiu constatar, em síntese, que: a) mais de 60% das organizações não possui planejamento estratégico de TI; b) algumas organizações continuam a ter sua TI totalmente controlada por pessoas estranhas a seus quadros de pessoal; c) são graves os problemas de segurança da informação, já que informações críticas não são protegidas adequadamente; d) metade das organizações não possui método ou processo para desenvolvimento de softwares e para aquisição de bens e serviços de informática, o que gera riscos de irregularidades em contratações; e) a atuação sistemática da alta administração com respeito à TI ainda é incipiente; f) mais da metade das organizações está no estágio inicial de governança de TI, e apenas 5% encontram-se em estágio aprimorado. 4. Neste momento, trago à consideração deste Plenário mais um trabalho concernente à matéria: a auditoria realizada pela Secex/CE no Dnocs com o intuito de avaliar controles gerais de governança de TI naquela entidade. 5. As principais ocorrências detectadas no presente trabalho assemelham-se às verificadas no levantamento consolidado e confirmam a precisão daquele estudo. Basicamente, constatou-se no Dnocs a inexistência de: a) plano estratégico institucional; b) plano diretor de TI; c) avaliação de adequação de quadro de pessoal de TI; d) comitê gestor de TI; e) processo adequado de desenvolvimento de software; f) processo de gerenciamento de projetos de TI; g) processo de gestão de configuração de serviços de TI; h) processo de gestão de incidentes de TI; i) processo de gestão de mudanças; j) classificação da informação; k) comitê de segurança da informação; l) equipe de tratamento e resposta a incidentes em redes computacionais; m) gestor de segurança da informação; n) inventário de ativos de informação; o) política de segurança da informação; p) processo de gestão de riscos de segurança da informação; q) plano anual de capacitação; r) apoio da auditoria interna na avaliação de TI; s) avaliação de gestão de TI;23 de 26 25/5/2011 13:11
  • 24. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... t) controles que promovam o cumprimento da IN SLTI/MPOG 4/2008; u) controles que promovam regular gestão contratual. 6. Com respeito às demais falhas acima apontadas, a unidade técnica apresentou uma série de determinações e recomendações que contribuirão para o saneamento das ocorrências e para o aperfeiçoamento da governança de TI do Dnocs. 9. Assim, por considerar papel deste Tribunal a constante indução de melhoria da gestão estatal e por estar integralmente de acordo com as medidas aventadas pela Secex/CE - especialmente no tocante ao crucial tema da segurança da informação, que reputo essencial para adequado funcionamento das organizações públicas e para defesa da intimidade dos cidadãos que com elas interagem - acolho as manifestações daquela Secretaria e voto pela adoção da minuta de acórdão que trago ao escrutínio deste colegiado. Sala das Sessões, em 16 de março de 2011. AROLDO CEDRAZ Relator Acórdão VISTOS, relatados e discutidos estes autos de relatório de auditoria realizada para avaliar controles gerais de tecnologia da informação no Dnocs. ACORDAM os Ministros do Tribunal de Contas da União, reunidos em sessão do Plenário, ante as razões expostas pelo relator e com base nos arts. 42, §1º, e 43, I, da Lei 8.443/1992, e nos arts. 245, §1º, e 250, inciso III, do Regimento Interno, em: 9.1. determinar ao Dnocs que: 9.1.1. em atenção ao Decreto 4.553/2002, art. 6º, § 2º, inciso II e art. 67, crie critérios de classificação das informações, a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observando o item 7.2 da NBR ISO/IEC 27002; 9.1.2. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VI, c/c a Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item 6.1.2 Coordenação de segurança da informação; 9.1.3. em atenção à Instrução Normativa 4/2008 - SLTI/MPOG, art. 4º, IV, implante Comitê de Tecnologia da Informação que envolva as diversas áreas do Dnocs, que se responsabilize por alinhar os investimentos de tecnologia da informação com os objetivos institucionais e por apoiar a priorização de projetos a serem implantados, considerando as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor de TI; 9.1.4. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais, observando as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR; 9.1.5. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, IV e art. 7º, c/c a Norma Complementar 3/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie Gestor de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item 6.1.3 Atribuição de responsabilidade para segurança da informação; 9.1.6. em atenção à Norma Complementar 4/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira a que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando as práticas contidas no item 7.1 da NBR ISO/IEC 27002; 9.1.7. em atenção ao Decreto 5.707/2006, art. 5º, 2º, c/c a Portaria MP 208/2006, art. 2º, I e art. 4º, elabore Plano Anual de Capacitação, com definições dos temas e das metodologias de capacitação a serem implementadas, bem como das ações de capacitação voltadas à habilitação de seus servidores; 9.1.8. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII, implante Política de Segurança da Informação e Comunicações, observando as práticas contidas na Norma Complementar 03/IN01/DSIC/GSIPR; 9.1.9. em atenção à Norma Complementar 4/IN01/DSIC/GSIPR, implemente processo de gestão de riscos de segurança da informação a fim de, entre outros objetivos, avaliar regularmente a probabilidade e o impacto dos riscos identificados, utilizando métodos qualitativos e quantitativos e observando as práticas contidas no Cobit 4.1, processo PO9 -24 de 26 25/5/2011 13:11
  • 25. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... Avaliar e gerenciar riscos de TI e na NBR 27005 - Gestão de Riscos de Segurança da Informação; 9.1.10. em atenção à Lei 8.666/1993, art. 6º, inc. IX, e à Instrução Normativa 4/2008 -SLTI/MPOG, art. 12, II, defina um processo de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de software, vinculando o contrato com o processo de software, sem o qual o objeto não estará precisamente definido; 9.1.11. em atenção ao princípio constitucional da eficiência e ao Decreto-Lei 200/67, art. 6º, inciso I, e à Instrução Normativa 4/2008 - SLTI/MPOG, art. 3º, implante, na área de tecnologia da informação, processo de planejamento estratégico de TI que organize estratégias, ações, prazos e recursos financeiros, humanos e materiais, tendo como produto a elaboração e aprovação de um Plano Diretor de Tecnologia da Informação - PDTI, observando as diretrizes constantes da Instrução Normativa 4/2008 - SLTI/MPOG, art. 4, III, e as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI. 9.1.12. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VI c/c a Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item 6.1.2 Coordenação de segurança da informação; 9.1.13. encaminhe a este Tribunal, no prazo de 30 (trinta) dias a contar da ciência deste acórdão; plano de ação para implementação das medidas determinadas por esta Corte: a) para cada determinação, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações; b) para cada recomendação cuja implementação seja considerada conveniente ou oportuna, justificativa da decisão. 9.2. recomendar ao Dnocs que, em atenção ao princípio constitucional da eficiência: 9.2.1. promova ações para que a auditoria interna apoie a avaliação da TI, observando as orientações contidas no Cobit 4.1, ME2 - Monitorar e avaliar os controles internos; 9.2.2. estabeleça processo de avaliação da gestão de TI, observando as orientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 Relatórios gerenciais, ME1.6 Ações corretivas e ME2 - Monitorar e avaliar os controles internos; 9.2.3. em atenção ao Decreto 5707/2006, art. 1º, inciso III, elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando melhor atendimento das necessidades institucionais, observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI; 9.2.4. implemente controles que promovam a regular gestão contratual e que permitam identificar se todas as obrigações do contratado foram cumpridas antes da atestação do serviço; 9.2.5. implemente controles que promovam o cumprimento do processo de planejamento previsto na Instrução Normativa 4/2008 - SLTI/MPOG; 9.2.6. implante estrutura formal de gerência de projetos, observando as orientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos e do PmBok, dentre outras boas práticas de mercado; 9.2.7. em atenção ao Decreto Lei 200/1967, art. 6º, inciso I, e art. 7º, elabore Plano Estratégico Institucional, considerando o previsto no critério de avaliação nº 2 do Gespública; 9.2.8. implemente processo de gestão de configuração de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração. 9.2.9. implemente processo de gestão de incidentes de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a central de serviços e incidentes e de outras boas práticas de mercado (como a NBR 26.000 e a NBR 27.002); 9.2.10. estabeleça procedimentos formais de gestão de mudanças, de acordo com o item 12.5.1 da NBR ISO/IEC 17799:2005, à semelhança das orientações contidas no Cobit 4.1, processo AI6 - Gerenciar mudanças;25 de 26 25/5/2011 13:11
  • 26. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... 9.3. encaminhar cópia deste acórdão, do relatório e do voto que o subsidiaram e do relatório de auditoria ao Ministério da Integração Nacional e à Comissão Mista de Orçamento do Congresso Nacional Quorum 13.1. Ministros presentes: Benjamin Zymler (Presidente), Valmir Campelo, Walton Alencar Rodrigues, Augusto Nardes, Aroldo Cedraz (Relator), José Jorge e José Múcio Monteiro. 13.2. Ministros-Substitutos convocados: Augusto Sherman Cavalcanti e André Luís de Carvalho. 13.3. Ministro-Substituto presente: Weder de Oliveira Publicação Ata 08/2011 - Plenário Sessão 16/03/2011 Dou 21/03/2011 Referências (HTML) Documento(s):judoc/Acord/20110321/AC_0592_08_11_P.doc Anterior | Próximo Coletânea Status do Documento na Coletânea: [Não Selecionado] Voltar à lista de documentos Em caso de dúvidas, críticas e sugestões, favor entrar em contato: Jurisprudência Requisição atendida em 0.425 segundo(s).26 de 26 25/5/2011 13:11