Acórdão tcu 866 2011 - dnit - avaliação de controles de ti
Upcoming SlideShare
Loading in...5
×
 

Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

on

  • 1,821 views

Entidade: Departamento Nacional de Infraestrutura de Transportes - Dnit ...

Entidade: Departamento Nacional de Infraestrutura de Transportes - Dnit
RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA
DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES
DE MELHORIA. DETERMINAÇÕES, RECOMENDAÇÕES E ALERTAS

Statistics

Views

Total Views
1,821
Slideshare-icon Views on SlideShare
1,691
Embed Views
130

Actions

Likes
0
Downloads
10
Comments
0

2 Embeds 130

http://fabiano-falcao.blogspot.com 90
http://fabiano-falcao.blogspot.com.br 40

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Acórdão tcu 866 2011 - dnit - avaliação de controles de ti Acórdão tcu 866 2011 - dnit - avaliação de controles de ti Document Transcript

    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... Pesquisa: Livre Em Formulário Quarta-feira, 25 de Maio de 2011. Pesquisa número: 3 Expressão de Pesquisa: "AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO" Bases pesquisadas: Acórdãos; Decisões; Relações; Atas Documento da base: Acórdão Documentos recuperados: 11 Documento mostrado: 11 Status na Coletânea: Não Selecionado Visualizar este documento no formato: Formato Padrão para Acórdãos Coletânea Status do Documento na Coletânea: [Não Selecionado] Voltar à lista de documentos Anterior | Próximo Identificação Acórdão 866/2011 - Plenário Número Interno do Documento AC-0866-11/11-P Grupo/Classe/Colegiado GRUPO I / CLASSE V / Plenário Processo 009.982/2010-8 Natureza Relatório de Auditoria Entidade Entidade: Departamento Nacional de Infraestrutura de Transportes - Dnit Interessados Responsável: Luiz Antônio Pagot (CPF 435.102.567-00) Sumário RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES DE MELHORIA. DETERMINAÇÕES, RECOMENDAÇÕES E ALERTAS Assunto Relatório de Auditoria Ministro Relator AROLDO CEDRAZ Representante do Ministério Público não atuou Unidade Técnica Secretaria de Fiscalização de Desestatização - Sefti Advogado Constituído nos Autos1 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... não há Relatório do Ministro Relator A Secretaria de Fiscalização de Tecnologia da Informação - Sefti realizou auditoria no Departamento Nacional de Infraestrutura de Transportes, no período de 12/4 a 24/5/2010, com o objetivo de avaliar controles gerais de tecnologia da informação - TI e verificar se estão de acordo com a legislação pertinente e com as boas práticas de governança de TI. 2. As ocorrências detectadas foram apresentadas pela equipe de auditoria nos seguintes termos (fls. 189,v/201,v): "2 - ACHADOS DE AUDITORIA 2.1 - Inexistência do Plano Estratégico Institucional 2.1.1 - Situação encontrada: O representante da entidade declarou que não executa processo de planejamento estratégico e, por consequência, não existe Plano Estratégico Institucional. 2.1.2 - Efeitos/Consequências do achado: a) ausência de referencial para verificar o alinhamento estratégico das ações da área de TI com o negócio da instituição (efeito potencial); b) risco de a instituição não conseguir atuar de forma eficiente no alcance de seus objetivos finalísticos (efeito potencial). 2.1.3 - Critérios: a) Constituição Federal, art. 37, caput; b) Decreto-Lei 200/1967, art. 6º, inciso I; art. 7º 2.1.4 - Evidências: a) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 1 do Anexo I ao Ofício - Sefti 91/2010 (fl. 12); b) resposta ao item 2.1 do Questionário PerfilGovTI-2010 (fl. 6v). 2.1.5 - Conclusão da equipe: A instituição não executa um processo de planejamento institucional e, por consequência, não possui um Plano Estratégico Institucional. 2.1.6 - Proposta de encaminhamento: Recomendar ao Departamento Nacional de Infraestrutura de Transportes que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), e no Decreto-Lei 200/1967, art. 6º, inciso I, e art. 7º, elabore um Plano Estratégico Institucional, considerando o previsto no critério de avaliação 2 do Gespública. 2.2 - Falhas no processo de planejamento de TI 2.2.1 - Situação encontrada: O representante da entidade declarou que não executa processo de planejamento estratégico de TI, embora tenha apresentado o PDTI elaborado pela unidade (arquivos "PDTI_parte 1.pdf" e "PDTI_parte 2_Quadro.pdf", do CD à fl. 19). O PDTI menciona a participação de outras áreas de negócio na sua elaboração, mas não se evidenciou o desdobramento (planos de ação de curto e médio prazos estabelecidos) pelas unidades executoras e alinhados com as iniciativas estratégicas do PDTI, bem como evidências de que o PDTI é avaliado. 2.2.2 - Efeito/Consequência do achado: a) risco de as ações de TI não estarem alinhadas ao negócio (efeito potencial). 2.2.3 - Critério: b) Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI. 2.2.4 - Evidências: a) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 2 do Anexo I ao Ofício - Sefti 91/2010 (fl. 12); b) resposta ao item 2.2 do Questionário PerfilGovTI-2010 (fl. 6v). 2.2.5 - Conclusão da equipe: Como o órgão apresentou um PDTI, entende-se que há um processo de planejamento de TI que, por outro lado, apresenta falhas, visto que não foram evidenciados o alinhamento dos planos de ação com as iniciativas estratégicas nem a avaliação do PDTI. 2.2.6 - Proposta de encaminhamento: Recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência,2 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... aperfeiçoe o processo de planejamento de Planejamento Estratégico de TI, observando as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI. 2.3 - Inexistência de comitê de TI 2.3.1 - Situação encontrada: O representante da entidade declarou que a alta Administração não designou formalmente um comitê de TI para auxiliá-la nas decisões relativas à gestão e ao uso corporativos de TI. 2.3.2 - Efeitos/Consequências do achado: a) sobreposição de ações de TI por parte das áreas de negócio que integrariam o comitê de TI (efeito potencial); b) priorização inadequada das ações de TI devido à ausência da participação das áreas de negócio da instituição (efeito potencial). 2.3.3 - Critérios: a) Constituição Federal, art. 37, caput; b) IN - SLTI/MP 4/2008, art. 4º, inciso IV; c) Norma Técnica - ITGI - Cobit 4.1, PO4.3 - Comitê diretor de TI; d) Norma Técnica - ITGI - Cobit 4.1, PO4.2 - Comitê estratégico de TI; 2.3.4 - Evidências: a) resposta ao item 1.1 do Questionário PerfilGovTI-2010 (fl. 6); b) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 3.1 do Anexo I ao Ofício - Sefti 91/2010 (fl. 12). 2.3.5 - Conclusão da equipe: A alta administração da instituição não designou formalmente um Comitê de TI para auxiliá-la nas decisões relativas à gestão e ao uso corporativos de TI. 2.3.6 - Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Dnit que, em atenção ao disposto na IN - SLTI/MP 4/2008, art. 4º, IV, implante Comitê de Tecnologia da Informação que envolva as diversas áreas da Autarquia, que se responsabilize por alinhar os investimentos de Tecnologia da Informação com os objetivos institucionais e apoiar a priorização de projetos a serem implantados, considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor de TI. 2.4 - Inexistência de avaliação do quadro de pessoal de TI 2.4.1 - Situação encontrada: A partir da análise da resposta ao item 3.6 do Ofício - TCU/Sefti 91/2001, foi solicitada uma entrevista com a CGMI, em que se questionou de que maneira a CGMI acompanha a adequabilidade da estrutura de TI do órgão. O coordenador-geral de Modernização e Informática afirmou que, embora haja grande insuficiência de profissionais de TI em sua instituição, não há estudos que embasem essa conclusão. Informou que a Autarquia tem perdido profissionais de TI, que frequentemente são aprovados em concursos públicos em outros órgãos e se desligam do Dnit. Por último, reiterou que, para que a CGMI consiga se responsabilizar por fornecer serviços de TI ao Dnit, é necessário que exista, além de uma infraestrutura física, de hardware e de software, uma política de pessoal de TI que estabeleça uma carreira própria com remuneração compatível com o mercado e com as atribuições, de modo a tentar mitigar os riscos atuais de turnover dos profissionais recém-empossados. O Diretor de Administração Financeira informou também, no âmbito de uma entrevista, que a Autarquia tem recebido alguns profissionais de TI que foram demitidos à época do Plano Collor e que foram reintegrados ao serviço público. O gestor comentou que, embora de muita utilidade para o órgão, esses servidores necessitam ser treinados em novas tecnologias de modo a terem suas competências atualizadas com as necessidades de mercado. 2.4.2 - Efeitos/Consequências do achado: a) dependência do serviço de empresas terceirizadas (efeito potencial); b) recursos humanos de TI insuficientes para atender às necessidades do negócio (efeito potencial); c) falta de competências apropriadas na área de TI (efeito potencial). 2.4.3 - Critérios: a) Decreto 5.707/2006, art. 1º, inciso III; b) Norma Técnica - ITGI - Cobit 4.1, PO4.12 - Pessoal de TI.3 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... 2.4.4 - Evidências: Resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 3.6 do Anexo I ao Ofício - Sefti 91/2010 (fl. 12). 2.4.5 - Conclusão da equipe: Embora possa haver deficiência no quadro de servidores para a CGMI do Dnit, não há na Autarquia estudos quantitativos e qualitativos que comprovem que a estrutura de pessoal da CGMI do Dnit é insuficiente. 2.4.6 - Proposta de encaminhamento: Recomendar ao Dnit que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), e ao Decreto 5.707/2006, art. 1º, inciso III, elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI. 2.5 - Inexistência de processo de software 2.5.1 - Situação encontrada: O representante da entidade declarou que não existe processo de software. 2.5.2 - Efeitos/Consequências do achado: a) deficiência no processo de contratação, decorrente da inexistência de metodologia que assegure boa contratação de desenvolvimento de sistemas (efeito potencial); b) inexistência de parâmetros de aferição de qualidade para contratação de desenvolvimento de sistemas (efeito potencial). 2.5.3 - Critérios: a) IN - SLTI/MP 4/2008, art. 12, inciso II; b) Lei 8.666/1993, art. 6º, inciso IX; c) Norma Técnica - ITGI - Cobit 4.1, PO8.3 - Padrões de desenvolvimento e de aquisições. 2.5.4 - Evidências: a) resposta ao item 7.3 do Questionário PerfilGovTI-2010 (fl. 7-v); b) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 5 do Anexo I ao Ofício - Sefti 91/2010 (fl. 12). 2.5.5 - Conclusão da equipe: A instituição não possui um processo de software que dê suporte ao desenvolvimento e à aquisição de produtos de software por parte da Autarquia. 2.5.6 - Propostas de encaminhamento: a) determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Dnit que, em atenção ao disposto na Lei 8.666/1993, art. 6º, inc. IX, e às disposições contidas na IN - SLTI/MP 4/2008, art. 12, II, defina um processo de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de software, vinculando o contrato com o processo de software, sem o qual o objeto não estará precisamente definido; b) recomendar ao Dnit que, quando do estabelecimento de seu processo de software, considere as Normas NBR ISO/IEC 12207 e 15504. 2.6 - Inexistência de processo de gerenciamento de projetos. 2.6.1 - Situação encontrada: O representante da entidade declarou que não pratica o gerenciamento de projetos. 2.6.2 - Efeito/Consequência do achado: a) risco de insucesso de projetos relevantes, pela falta de estrutura de gestão de projetos (efeito potencial). 2.6.3 - Critério: a) Norma Técnica - ITGI - Cobit 4.1, PO10.2 - Estrutura de gerência de projetos. 2.6.4 - Evidências: a) resposta ao item 7.4 do Questionário PerfilGovTI-2010 (fl. 7); b) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 6 do Anexo I ao Ofício - Sefti 91/2010 (fl. 12). 2.6.5 - Conclusão da equipe: a) a instituição não pratica o gerenciamento de projetos.4 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... 2.6.6 - Proposta de encaminhamento: Recomendar ao Dnit que implante uma estrutura formal de gerência de projetos, observando as orientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos e do PmBok, dentre outras boas práticas de mercado. 2.7 - Inexistência do processo de gestão de incidentes 2.7.1 - Situação encontrada: O representante da entidade declarou que não implementou processo de gestão de incidentes. 2.7.2 - Efeitos/Consequências do achado: a) ocorrência de incidentes sem o devido gerenciamento (efeito potencial); b) paralisação dos serviços de TI (efeito potencial); c) paralisação das atividades da organização (efeito potencial). 2.7.3 - Critérios: a) Constituição Federal, art. 37, caput; b) Norma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar a central de serviços e incidentes. 2.7.4 - Evidências: a) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 7 do Anexo I ao Ofício - Sefti 91/2010 (fl. 12); b) resposta ao item 7.6 do Questionário PerfilGovTI-2010 (fl. 8). 2.7.5 - Conclusão da equipe: A instituição não implementou um processo de gestão de incidentes, referente a serviços de TI. 2.7.6 - Proposta de encaminhamento: Recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência, implemente processo de gestão de incidentes de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a Central de Serviços e Incidentes e de outras boas práticas de mercado (como a NBR 20.000 e a NBR 27.002). 2.8 - Inexistência do processo de gestão de configuração 2.8.1 - Situação encontrada: O representante da entidade declarou que não implementou processo de gestão de configuração. 2.8.2 - Efeito/Consequência do achado: a) desatualização ou deficiência da configuração de TI (efeito potencial). 2.8.3 - Critério: a) Norma Técnica - ITGI - Cobit 4.1, DS9 - Gerenciar Configurações. 2.8.4 - Evidências: a) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 7 do Anexo I ao Ofício - Sefti 91/2010 (fl. 12); b) resposta ao item 7.6 do Questionário PerfilGovTI-2010 (fl. 8). 2.8.5 - Conclusão da equipe: A instituição não implementou um processo de gestão da configuração, referente a serviços de TI. 2.8.6 - Proposta de encaminhamento: Recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência, implemente processo de gestão de configuração de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração. 2.9 - Inexistência do processo de gestão de mudanças 2.9.1 - Situação encontrada: O representante da entidade declarou que não implementou processo de gestão de mudanças. 2.9.2 - Efeitos/Consequências do achado: a) não avaliação do impacto de eventuais mudanças (efeito potencial); b) solicitações de mudanças não controladas (efeito potencial). 2.9.3 - Critérios: a) Norma Técnica - ITGI - Cobit 4.1, AI6 - Gerenciar mudanças;5 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... b) Norma Técnica - NBR - ISO/IEC 27002, 12.5.1 - Procedimentos para controle de mudanças. 2.9.4 - Evidências: a) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 7 do Anexo I ao Ofício - Sefti 91/2010 (fl. 12); b) resposta ao item 7.6 do Questionário PerfilGovTI-2010 (fl. 8). 2.9.5 - Conclusão da equipe: A instituição não executa um processo de gestão de mudanças e, em decorrência, não constituiu comitê técnico de gestão de mudanças. 2.9.6 - Proposta de encaminhamento: Recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência, estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 27002, à semelhança das orientações contidas no Cobit 4.1, processo AI6 - Gerenciar mudanças. 2.10 - Inexistência de Comitê de Segurança da Informação e Comunicações 2.10.1 - Situação encontrada: O representante da entidade declarou, em resposta ao Ofício de Requisição 05-472/2010 (fl. 176), que não instituiu Comitê de Segurança da Informação e Comunicações (fl. 178). 2.10.2 - Efeito/Consequência do achado: a) não otimização das ações de segurança da informação (efeito potencial). 2.10.3 - Critérios: a) IN - GSI/PR 1/2008, art. 5º, inciso VI; b) Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3; c) Norma Técnica - NBR - ISO/IEC 27002, item 6.1.2 - Coordenação de segurança da informação. 2.10.4 - Evidências: a) Memorando - CGMI/DAF 314/2010 (fls. 177-178). 2.10.5 - Conclusão da equipe: Não há Comitê de Segurança da Informação e Comunicações instituído no Dnit. 2.10.6 - Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Dnit que, em atenção ao disposto na IN - GSI/PR 1/2008, art. 5º, VI c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item 6.1.2 - Coordenação de segurança da informação. 2.11 - Inexistência de Gestor de Segurança da Informação e Comunicações 2.11.1 - Situação encontrada: O representante da entidade declarou, em resposta ao Ofício de Requisição 05-472/2010 (fl. 176), que não indicou gestor de Segurança da Informação e Comunicações (fl. 178). 2.11.2 - Efeito/Consequência do achado: a) não otimização das ações de segurança da informação (efeito potencial). 2.11.3 - Critérios: b) IN - GSI/PR 1/2008, art. 5º, inciso IV; art. 7º; c) Norma Complementar 03/IN01/DSIC/GSIPR 3, item 5.3.7.2; d) Norma Técnica - NBR - ISO/IEC 27002, 6.1.3 - Atribuição de responsabilidade para segurança da informação. 2.11.4 - Evidências: a) Memorando - CGMI/DAF 314/2010 (fls. 177-178). 2.11.5 - Conclusão da equipe: Não há nomeação de gestor de Segurança da Informação e Comunicações no Dnit. 2.11.6 - Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Dnit que, em atenção ao disposto na IN - GSI/PR 1/2008, art. 5º, IV e art. 7º, c/c Norma Complementar 03/IN01 /DSIC/GSIPR, item 5.3.7.2, nomeie gestor de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item 6.1.3 - Atribuição de6 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... responsabilidade para segurança da informação. 2.12 - Inexistência de equipe de tratamento e resposta a incidentes em redes computacionais (ETRI). 2.12.1 - Situação encontrada: O representante da entidade declarou, em resposta ao Ofício de Requisição 05-472/2010 (fl. 176), que não instituiu equipe de tratamento e resposta a incidentes em redes computacionais (fl. 178). 2.12.2 - Efeito/Consequência do achado: a) falhas relativas às notificações e às atividades relacionadas a incidentes de segurança em redes de computadores (efeito potencial). 2.12.3 - Critérios: a) IN - GSI/PR 1/2008, art. 5º, inciso V; b) Norma Complementar 05/IN01/DSIC/GSIPR; 2.12.4 - Evidência: a) Memorando - CGMI/DAF 314/2010 (fls. 177-178). 2.12.5 - Conclusão da equipe: Não há equipe de tratamento e resposta a incidentes em redes computacionais (ETRI) instituída no Dnit. 2.12.6 - Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Dnit que, em atenção ao disposto na IN - GSI/PR 1/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais, observando as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR. 2.13 - Inexistência de classificação da informação 2.13.1 - Situação encontrada: O representante da instituição declarou que não implementou formalmente processo corporativo de segurança da informação destinado a classificar a informação para o negócio. 2.13.2 - Efeito/Consequência do achado: a) risco de divulgação indevida de informação restrita (efeito potencial). 2.13.3 - Critérios: a) Decreto 4.553/2002, art. 6º, § 2º, inciso I; art. 6º, § 2º, inciso II; art. 67; b) Norma Técnica - NBR - ISO/IEC 27002, item 7.2 - Classificação da informação. 2.13.4 - Evidência: a) resposta ao item 7.1 do Questionário PerfilGovTI-2010 (fl. 7-v). 2.13.5 - Conclusão da equipe: Não existe procedimento institucional de classificação da informação. Os ativos de informação precisam ser inventariados e classificados a fim de que sejam medidos os graus de importância, a prioridade, a criticidade e sensibilidade e, em consequência, possam receber o nível adequado de proteção, considerando, inclusive, a necessidade de conceder nível adicional de proteção ou tratamento especial. Os diferentes níveis de proteção exigirão diferentes procedimentos de tratamento dos ativos, quanto aos aspectos de cópia, armazenamento, retenção, transmissão e transporte, descarte e divulgação, conforme a NBR ISO/IEC 27002, item 7. 2.13.6 - Proposta de encaminhamento: Determinar, com fulcro no art. 43, I, da Lei 8.443/1992, ao Dnit que, em atenção ao disposto no Decreto 4.553/2002, art. 6º, § 2º, inciso II, e art. 67, estabeleça critérios de classificação das informações a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observando o disposto pelo item 7.2 da NBR ISO/IEC 27002. 2.14 - Inexistência de inventário dos ativos de informação 2.14.1 - Situação encontrada: O representante da entidade declarou que não implementou formalmente o processo de segurança da informação destinado a inventariar todos os ativos de informação (e.g.: dados, hardware, software e instalações). 2.14.2 - Efeito/Consequência do achado: a) dificuldade de recuperação de ativo de informação (efeito potencial).7 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... 2.14.3 - Critério: a) Norma Técnica - NBR - ISO/IEC 27002, item 7.1.1 - Inventário de ativos. 2.14.4 - Evidência: a) resposta ao item 7.1 do Questionário PerfilGovTI-2010 (fl. 7v). 2.14.5 - Conclusão da equipe: A instituição não executa procedimentos de inventário de ativos de informação. 2.14.6 - Proposta de encaminhamento: Determinar ao Dnit que, em atenção ao disposto na Norma Complementar 04/IN 01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando as práticas contidas no item 7.1.1 da NBR ISO/IEC 27002. 2.15 - Inexistência de processo de gestão de riscos de segurança da informação (GRSIC) 2.15.1 - Situação encontrada: O representante da entidade declarou que não analisa os riscos aos quais a informação crítica para o negócio está submetida, considerando, pelo menos, confidencialidade, integridade e disponibilidade. 2.15.2 - Efeito/Consequência do achado: a) desconhecimento das ameaças e dos respectivos impactos relacionados à segurança da informação (efeito potencial). 2.15.3 - Critérios: a) IN - GSI/PR 1/2008, art. 5º, inciso VII; b) Norma Complementar 04/IN01/DSIC/GSIPR. 2.15.4 - Evidência: a) resposta ao item 7.1 do Questionário PerfilGovTI-2010 (fl. 7-v). 2.15.5 - Conclusão da equipe: A instituição não executa procedimentos de gestão de riscos da informação, não tendo implementado, portanto, um processo de gestão de riscos de segurança da informação (GRSIC). 2.15.6 - Proposta de encaminhamento: Determinar ao Dnit que, em atenção ao disposto na Instrução Normativa - GSI/PR 1/2008, art. 5º, VII, implemente processo de gestão de riscos de segurança da informação, observando as práticas contidas na Norma Complementar 04/IN01/DSIC/GSIPR. 2.16 - Inexistência de plano anual de capacitação 2.16.1 - Situação encontrada: O representante da entidade declarou que não há plano anual de capacitação. 2.16.2 - Efeito/Consequência do achado: a) desatualização do quadro de pessoal da área de Tecnologia da Informação (efeito potencial). 2.16.3 - Critérios: a) Decreto 5.707/2006, art. 5º, § 2º; b) Norma Técnica - ITGI - Cobit 4.1, PO7.2 - Competências Pessoais; c) Norma Técnica - ITGI - Cobit 4.1, PO7.4 - Treinamento do Pessoal; d) Portaria MP nº 208/2006, art. 2º, I e art. 4º 2.16.4 - Evidência: a) resposta ao item 6.3 do Questionário PerfilGovTI-2010 (fl. 7v). 2.16.5 - Conclusão da equipe: Não há plano anual de capacitação e em consequência não há plano institucional de capacitação que contemple a área de gestão de TI. 2.16.6 - Proposta de encaminhamento: Determinar ao Dnit que, em atenção às disposições contidas no Decreto nº 5.707/2006, art. 5º, 2º, c/c Portaria MP nº 208/2006, art. 2º, I e art. 4º, elabore Plano Anual de Capacitação para a instituição. Recomendar ao Dnit que, quando elaborar o Plano Anual de Capacitação, contemple ações de capacitação voltadas para a gestão de tecnologia da informação, observando as práticas contidas no Cobit 4.1, processos PO7.2 - Competências Pessoais e PO7.4 - Treinamento do Pessoal.8 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... 2.17 - Inexistência de avaliação da gestão de TI 2.17.1 - Situação encontrada: O representante da entidade declarou que não estabeleceu objetivos de desempenho de gestão e uso de TI na Autarquia, e também que não estabeleceu indicadores de desempenho de gestão e uso corporativos de TI. 2.17.2 - Efeitos/Consequências do achado: a) impossibilidade de verificação de possibilidades de melhoria (efeito potencial); b) decisões gerenciais baseadas em informações incompletas ou errôneas (efeito potencial); c) problemas não identificados nos serviços de TI (efeito potencial). 2.17.3 - Critérios: a) Norma Técnica - ITGI - Cobit 4.1, ME1.5 - Relatórios gerenciais; b) Norma Técnica - ITGI - Cobit 4.1, ME1.4 - Avaliar o desempenho; c) Norma Técnica - ITGI - Cobit 4.1, ME1.6 - Ações corretivas. 2.17.4 - Evidências: a) resposta do Dnit, contida no Ofício - 2010/AUDINT/Dnit 185 (fl. 12) ao questionamento 9 do Anexo I ao Ofício - Sefti 91/2010 (fl. 22); b) resposta ao item 1.2 do Questionário PerfilGovTI-2010 (fl. 8). 2.17.5 - Conclusão da equipe: O órgão não estabeleceu objetivos de desempenho de gestão e uso de TI na Autarquia, o que o impossibilita de avaliar o desempenho de TI, e não possui indicadores de desempenho de gestão e uso corporativos de TI, configurando a inexistência de avaliação da gestão de TI. 2.17.6 - Proposta de encaminhamento: Recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência, estabeleça um processo de avaliação da gestão de TI, observando as orientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 - Relatórios gerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controles internos. 2.18 - Auditoria interna não apoia avaliação da TI 2.18.1 - Situação encontrada: A autarquia declarou não ter realizado auditoria de TI por iniciativa da própria instituição nos últimos 3 anos. 2.18.2 - Efeito/Consequência do achado: a) deficiências na governança de TI, gestão de riscos e nos controles internos (efeito real, como evidenciado nos achados da auditoria). 2.18.3 - Critério: a) Norma Técnica - ITGI - Cobit 4.1, E2 - Monitorar e avaliar os controles internos. 2.18.4 - Evidências: a) resposta do Dnit, contida no Ofício - AUDINT/Dnit 185/2010 (fl. 12), ao questionamento 9 do Anexo I ao Ofício - Sefti 91/2010 (fl. 22). b) resposta ao item 1.4 do Questionário PerfilGovTI-2010 (fl. 6-v). 2.18.5 - Conclusão da equipe: A Autarquia não realizou auditoria de TI por iniciativa própria nos últimos três anos. 2.18.6 - Proposta de encaminhamento: Recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência, promova ações para que a auditoria interna apoie a avaliação da TI, observando as orientações contidas no Cobit 4.1, ME2 - Monitorar e avaliar os controles internos. 2.19 - Inexistência dos estudos técnicos preliminares 2.19.1 - Situação encontrada: O projeto básico que resultou no Contrato 265/2006-00, o qual contempla serviços de tecnologia da informação a serem prestados pelo Serpro, contém somente justificativas para a contratação do Serpro realizada em contratação anterior (de 2004). Na ocasião, o Dnit saiu de uma situação em que um conjunto de empresas terceirizadas prestava os serviços de TI (até 2004), e contratou o Serpro para atender a todas as necessidades da entidade. Em 2006, o Dnit contratou novamente o Serpro por dispensa de licitação, apresentando as mesmas justificativas para a contratação anterior, de 2004 (item 2, p. 11, do arquivo "Contrato Dnit - SERPRO9 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... 265-2006.pdf", constante do CD à fl. 19). Assim, não há referência direta à justificativa da necessidade dos serviços para a contratação de 2006, embora tenham sido citados, no processo de contratação, alguns pontos, como impossibilidade de a estrutura de TI do Dnit absorver as necessidades da área e diminuição do risco relativo à continuidade da prestação dos serviços com a manutenção do contrato com o Serpro. Com relação ao dimensionamento dos serviços, verificou-se a existência de conflitos na definição da quantidade de serviços contratada (contrato assinado pela DAF) e a quantidade sugerida pelos técnicos da CGMI, para o caso das horas de consultoria (CGMI sugeriu 1.000 horas, e o contrato foi assinado com 2.394 horas, conforme fl. 70). Ademais, não há no processo memória de cálculo que justifique a quantidade de serviço a ser contratada. Os serviços contratados foram (fl. 75): a) consultoria técnica - projeto básico de redes locais (2.394 h); b) desenvolvimento de sistemas (5.376 homens-dia); c) manutenção de sistemas (2.600 homens-dia); d) gestão de serviços - infovia (doze meses); e) produção em TIC - plataforma alta (doze meses); f) produção em TIC - plataforma baixa (doze meses); g) gestão de rede de longa distância (doze meses); h) administração de ambiente de TIC (1.233 estações de trabalho). Não consta do processo uma demonstração direta dos resultados a serem alcançados com a contratação, em termos de economicidade e melhor aproveitamento de recursos, embora haja excertos que tratem dos benefícios advindos da contratação com o Serpro. 2.19.2 -Consequências do achado: a) risco da ocorrência de aquisições ou contratações que não atendam à necessidade da entidade (efeito potencial). b) falhas no termo de referência ou projeto básico (efeito real, como relatado no achado "Irregularidades na contratação"). 2.19.3 - Critério: a) Lei 8.666/1993, art. 6º, inciso IX. 2.19.4 - Evidências: item 2, p. 11, do arquivo "Contrato Dnit - SERPRO 265-2006.pdf", constante do CD à fl. 19. 2.19.5 - Conclusão da equipe: Embora o processo mencione alguns elementos que se relacionam com a necessidade de prestação de serviços de TI, não constam, do processo de contratação ou do projeto básico, referência direta à justificativa da necessidade dos serviços, elemento essencial para a fundamentação da contratação. Não constam também justificativas quanto à quantidade de serviço a ser contratada nem uma demonstração direta dos resultados a serem alcançados com a contratação, em termos de economicidade e melhor aproveitamento de recursos. A elaboração do projeto básico deveria ter sido baseada em estudos técnicos preliminares, conforme preconiza a Lei 8.666/1993, em seu art. 6º, inciso IX. Os estudos técnicos preliminares devem trazer elementos que evidenciem viabilidade técnica e possibilitem a avaliação do custo contratual, dentre outros. Como o conteúdo esperado dos estudos técnicos preliminares estão previstos na etapa de Análise da Viabilidade da Contratação, definida pelo art. 10 da IN - SLTI/MP 4/2008, opta-se pelo encaminhamento de recomendar que o Dnit estabeleça controles que garantam a produção dos artefatos previstos na referida instrução normativa, no âmbito de seus processos de contratação de serviços de TI, já que não foi possível testar os referidos controles, pois a contratação dos serviços de TI foi feita anteriormente à homologação da multicidada instrução normativa. 2.19.6 - Propostas de encaminhamento: a) recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência, implemente controles que promovam o cumprimento do processo de planejamento previsto na IN - MP/SLTI 4/2008; b) alertar o Dnit quanto à ausência de estudos técnicos preliminares no processo10 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... referente ao Contrato 265/2006-00, decorrente do descumprimento do inciso IX, art. 6º, da Lei 8.666/1993. 2.20 - Irregularidades na contratação 2.20.1 - Situação encontrada: Foram realizados testes substantivos no Contrato 265/2006-00, com o objetivo de avaliar a aderência do procedimento licitatório adotado com a legislação, e constatadas impropriedades a seguir. a) Não divisibilidade do objeto, estando presentes a viabilidade técnica e econômica. Inicialmente, observa-se que a CGMI do Dnit considerou que os serviços presentes no objeto do contrato são divisíveis, quando aconselhou a contratação do desenvolvimento de sistemas por meio de empresas do mercado, a preços menores, conforme parecer emitido antes da contratação (fls. 70-72). O fato de as métricas utilizadas para cada um dos serviços contratados serem diferentes demonstra cabalmente que os trabalhos a serem executados também têm natureza distinta. Além disso, não consta dos autos informação que justifique a inviabilidade técnica e econômica de subdividir o objeto, conforme requer o art. 23, §§1º e 2º da Lei 8.666/1993. b) Análise de mercado insuficiente. O Serpro apresentou valores globais das propostas que variaram entre aproximadamente R$ 40,4 milhões em agosto de 2006 (fl. 68) e R$ 34,6 milhões em setembro de 2006 (fl. 73) para o mesmo objeto, expondo uma diferença de 15% entre as cotações. O valor contratado foi de R$ 31,9 milhões (fl. 75), com alteração na quantidade dos serviços previstos nas propostas comerciais anteriores. Para a maior parte dos serviços que compõem o objeto, a proposta comercial da contratada é a única fonte considerada para a estimativa de preços, exceção feita aos serviços de desenvolvimento de sistemas, administração da rede e rede de longa distância, estimados pela CGMI e cuja fonte não consta dos autos. Em todos os casos, os valores obtidos por pesquisa de preços efetuada pela CGMI diferem consideravelmente daqueles presentes nas propostas comerciais do Serpro e do próprio valor contratado (fls. 70-72, fl. 77). Não constam do processo informações sobre a estimativa de preços para todos os serviços contratados, na forma que preconiza o item 9.1.6 do Acórdão 2.471/2008-Plenário. c) Forma de pagamento prevista em contrato não vinculada a resultados obtidos. Existem três serviços contratados que utilizaram métricas cuja sistemática de mensuração não está associada ao resultado esperado (desenvolvimento e manutenção de sistemas, que utiliza o indicador de homens/dia; e administração de ambiente de TIC, medido por quantidade de estações de trabalho), conforme informação presente na Cláusula Sétima e Anexo I, ambos do Contrato 265/2006-00, disponibilizado em arquivo digital pelo Dnit (p. 4 e 9 do arquivo "Contrato Dnit - SERPRO 265-2006.pdf", contido no CD à fl. 19). No caso, por exemplo, do serviço de desenvolvimento de sistemas, a proposta comercial do Serpro prevê que a unidade de medida será o homem/dia. Contudo, não há procedimento de estimativa do volume de serviços demandados, para fins de comparação e controle, ou seja, não está descrito como será estimada e medida a quantidade de homens/dia para cada serviço prestado. Em decorrência, o processo não traz um comparativo entre a quantidade de homens/dia previsto e a correspondente comparação com a quantidade efetivamente utilizada nos serviços. Já para o serviço de administração de ambientes de TIC, a proposta comercial do Serpro prevê que a unidade de medida será a quantidade de estações de trabalho da contratante, mas não há níveis de serviço vinculados ao serviço. O documento "Ateste de Prestação de Serviços" (fl. 49), constante do processo de pagamento 50600.012089/2007-41, contém o relatório de atividades relativo ao mês de novembro de 2007 (fls. 50-52), para serviços de desenvolvimento e manutenção de sistemas. O relatório contém a quantidade de horas de trabalho para cada sistema, totalizando para aquele mês 587,27 homens/dia (o número fracionário decorre da apropriação em horas de trabalho). Não há, porém, qualquer referência à memória de cálculo ou a comparativos entre as quantidades estimadas e as efetivamente prestadas, ou ainda definição de variáveis objetivas que permitissem checar o grau de conformidade com as especificações inicialmente11 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... estabelecidas. Outro relatório de atividades (fls. 55-56), de dezembro de 2007, constante do Processo de Pagamento 50600.012099/0786, referente a serviços de desenvolvimento de sistemas, limita-se a listar as atividades de levantamento e modelagem de requisitos e desenvolvimento (como manter rodovias, manter cadastro de hidrovias, aprovar medição etc.), sem apresentar qualquer outro dado relacionado a cada atividade. Ao final o relatório apresenta a quantidade de horas totais utilizadas para todos os serviços (307,58 homens/dia). O relatório de atividades do ateste do mês de dezembro de 2009 (fl. 58), relativo aos serviços de administração de ambientes de TIC, relata que "o preço do Serpro para estes serviços é composto com base no volume de estações e serviços disponíveis em cada rede local". A planilha anexa a este relatório (fl. 59) demonstra que o cálculo do preço do serviço (no caso, para o mês de dezembro/2009) é unicamente em função da quantidade de estações por superintendência, não havendo qualquer menção a níveis de serviço solicitados e atendidos. No caso da Sede, para o referido mês, foram cobrados 215,00 X 1.152 estações, totalizando 247.680,00. Como a fatura correspondeu a vinte dias, foram cobrados dois terços deste valor, ou seja, R$ 165.120,00. d) Não definição objetiva das penalidades e fórmula de cálculo dos valores correspondentes a serem aplicados a cada caso. O Contrato 265/2006-00 possui penalidades genéricas a serem aplicadas em caso de descumprimento pelas contratadas. A Cláusula Décima Terceira do contrato (das sanções administrativas) prevê que (p. 7, do arquivo "Contrato Dnit - SERPRO 265-2006.pdf", contido no CD à fl. 19): na hipótese de descumprimento total ou parcial das obrigações contratuais assumidas (...), [deve-se] aplicar, segundo a gravidade da falta cometida", as seguintes sanções: 1. advertência; 2. multa de 0,1% ao dia, calculada sobre o valor do serviço contratado, pela recusa na prestação do serviço; 3. suspensão temporária do direito de licitar ou contratar com a Administração; 4. declaração de inidoneidade para licitar ou contratar com a Administração Pública. Contudo, não foram identificados procedimentos para graduar a sanção aplicável, não sendo possível, assim, enquadrar a sanção em cada possível caso. Como exemplo, citamos o serviço de desenvolvimento de sistemas, cujo nível de serviço previsto é que 85% dos sistemas demandados sejam concluídos no prazo acordado. Não fica claro, pelo edital e pelo contrato, qual seria a sanção devida a um suposto descumprimento deste nível de serviço (se é uma falta grave, se é uma recusa à prestação de serviço, se haverá multa ou advertência etc.). 2.20.2 - Efeito/Consequência do achado: a) risco da ocorrência de aquisições ou contratações que não atendam à necessidade do órgão (efeito potencial). 2.20.3 - Critérios: a) Acórdão 2.471/2008-Plenário, item 9.1; b) Acórdão 2.471/2008-Plenário, item 9.2; c) são também considerados critérios para este achado, de maneira geral, os dispositivos da Lei 8.666/1993. 2.20.4 - Evidências a) parece da CGMI do Dnit que considerou os serviços divisíveis e que contém pesquisa de preços (fls. 70-72); b) Cláusula Segunda, Anexo I e Cláusula Décima Terceira do Contrato 265/2006-00 (p. 2 7 e 9, do arquivo "Contrato Dnit - SERPRO 265-2006.pdf", contido no CD à fl. 19); c) Excertos dos processos de pagamentos (fls. 49-61). 2.20.5 - Conclusão da equipe: A partir dos testes substantivos realizados no processo referente ao Contrato 265/2006-00, a equipe chegou às seguintes conclusões: a) os serviços contidos no objeto são intrinsecamente distintos um do outro. Não12 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... se pode afirmar que uma empresa que execute serviços de desenvolvimento de sistemas atue necessariamente no mesmo mercado daquela que mantém serviços de rede, por exemplo. Diante disso, verifica-se que há empresas que atuam em cada um dos mercados de maneira especializada. A divisão do objeto, quando técnica e economicamente viável, potencialmente aumenta a gama de provedores com capacidade e qualificação para prestar cada serviço, separadamente; Além disso, não consta dos autos informação que justifique a inviabilidade técnica e econômica de subdividir o objeto, conforme requer o art. 23, §§1º e 2º da Lei 8.666/1993. Tal justificativa é atribuição do condutor da contratação. b) a variação verificada nas propostas apresentadas pela contratada constitui um indício da fragilidade do processo de estimativa e definição do preço da contratação; A proposta comercial da contratada não pode ser a única fonte considerada para a estimativa de preços. Isso ocorre para a maior parte dos serviços que compõem o objeto, exceção feita aos serviços de desenvolvimento de sistemas, administração da rede e rede de longa distância, cujos preços foram estimados pela CGMI, embora a fonte de tal pesquisa de preços não conste dos autos. Em todos os casos, os valores obtidos pela CGMI diferem daqueles presentes nas propostas comerciais do Serpro e do próprio valor contratado (fls. 70-72, fl. 77). Além disso, não constam do processo informações sobre a estimativa de preços para todos os serviços contratados, bem como o método utilizado, a utilização e a indicação das diversas fontes do mercado, conforme preconiza o item 9.1.6 do Acórdão 2.471/2008-Plenário. c) os pagamentos relativos aos serviços prestados sob a égide do Contrato 43/2005 vinculam-se tão somente à quantidade de homens/dias disponibilizada (para os serviços de desenvolvimento e manutenção de sistemas) e à quantidade de estações de trabalho (para o serviço de administração de ambiente de TIC), não existindo mecanismos, como o estabelecimento de níveis de serviço ou o pagamento por resultados alcançados, que permitam forma diferente de remuneração; A remuneração realizada com base na disponibilidade de pessoal ou de equipamento pode levar ao pagamento sem a correspondente prestação de serviços, bem como à ineficiência na execução contratual. Neste contexto, cita-se trecho do voto condutor do Ministro-Relator no Acórdão 1.238/2008-Plenário, itens 12 a 14: 12. Os serviços fornecidos pela área de Tecnologia da Informação (TI) podem ser parametrizados segundo métricas e indicadores, que definem precisamente o esforço requerido e o resultado a ser alcançado, tanto do ponto de vista quantitativo, como do qualitativo. São, portanto, serviços cuja gestão pode - e deve - ser estruturada, o que pressupõe a especificação objetiva de produtos/serviços, a definição precisa de responsabilidades, o estabelecimento de custos, a identificação de riscos e a definição de métricas, indicadores e mecanismos de acompanhamento. Nesse contexto, fica bem evidente que os serviços de TI não se revestem da mesma natureza dos serviços de alocação de postos de trabalho (locação de mão-de-obra terceirizada), esses relacionados à simples colocação de pessoal à disposição da Administração e ao pagamento por horas trabalhadas. Consequentemente, não é razoável sob a perspectiva da gestão, nem vantajoso economicamente, que se adote, para serviços de TI, o mesmo modelo de pagamento de serviços aplicável à alocação de postos de trabalho, porque tal modelo não leva em consideração uma característica positiva dos serviços de TI: a possibilidade de definir objetivamente os resultados requeridos e efetuar-se o pagamento somente quando atingidos esses resultados. 13. É em decorrência das características específicas dos serviços de TI e da necessidade de solucionar os problemas peculiares a essa área que há um movimento em nível global, por parte de governos e organizações, no sentido de abandonar os modelos de contratação baseados na alocação de postos de trabalho (locação de mão-de-obra) e no pagamento de horas trabalhadas. Hoje, cada vez mais disseminadamente, vêm sendo adotados modelos de contratação em TI fundados na mensuração de esforço e resultados por otimizarem a gestão dos serviços e os respectivos custos. São exemplos de ferramentas utilizadas para esse fim a adoção da metodologia de ponto por função e os acordos de nível de serviço, contratos em que são especificados os serviços requeridos e os padrões de desempenho necessários para aceitação dos serviços.13 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... 14. Diante dessas ponderações, entendo cabível determinar ao Mdic que evite a formulação e a implementação de modelos de contratação de serviços de tecnologia da informação baseados na alocação de postos de trabalho (locação de mão-de-obra) e no pagamento da empresa contratada com base em horas trabalhadas, uma vez que tais modelos não se ajustam às características intrínsecas dos referidos serviços (...). Assim, o Tribunal tem firmado entendimento de que as contratações de serviços de TI devem prever sistemáticas de mensuração e pagamento que privilegiem a remuneração baseada em resultados, e não com base em horas ou dias trabalhados, disponibilidade de pessoas ou quantitativo de equipamentos. d) Embora existam cláusulas relativas a penalidades no Contrato 265/2006-00, essas mostram-se genéricas e, portanto, inaplicáveis na prática. Além disso, não constam do processo procedimentos para cálculo da sanção aplicável. É importante que os contratos relativos à prestação de serviços de tecnologia da informação contenham cláusulas de penalidades específicas quanto às possíveis falhas na execução dos serviços. 2.20.6 - Proposta de encaminhamento: Alertar o Dnit quanto às seguintes impropriedades constatadas no processo de contratação referente ao Contrato 265/2006-00: a) não divisibilidade do objeto, estando presentes a viabilidade técnica e econômica, decorrente do descumprimento do art. 23, § 1º, da Lei 8.666/1993; b) análise de mercado insuficiente, não permitindo que o administrador conclua pela conveniência e oportunidade da contratação, decorrente do descumprimento do art. 6º, inciso IX, alínea "f"; art. 7º, § 2º, inciso II; art. 40, § 2º, inciso II e art. 43, inciso IV, todos da Lei 8.666/1993; c) forma de pagamento prevista em contrato não vinculada a resultados obtidos, decorrente do descumprimento do art. 3º, §1º, do Decreto 2.271/1997; d) não definição objetiva das penalidades e fórmula de cálculo dos valores correspondentes a serem aplicados a cada caso, decorrente do descumprimento do art. 55, inciso VII, da Lei 8.666/1993 c/c princípios da proporcionalidade, razoabilidade e prudência. 2.21 - Inexistência de controles que promovam a regular gestão contratual 2.22.1 - Situação encontrada: O representante da entidade declarou que não possui um processo interno formal para gerenciar as contratações de TI. O representante da entidade também declarou que não existem procedimentos internos definidos para auxílio no gerenciamento das contratações. 2.21.2 - Efeito/Consequência do achado: a) risco de ineficiência no acompanhamento da execução contratual, podendo resultar na(o) qualidade/prazo insatisfatórios de serviços e produtos entregues (efeito real, como constatado no achado "Irregularidades na gestão contratual"). 2.21.3 - Critérios: a) Norma Técnica - ITGI - Cobit 4.1, ME3.3 - Avaliar a conformidade com requisitos externos; b) Norma Técnica - ITGI - Cobit 4.1, DS2.4 - Monitorar o desempenho do fornecedor; c) Norma Técnica - ITGI - Cobit 4.1, AI5.2 - Gerir contratos com fornecedores. 2.21.4 - Evidência: a) resposta ao item 7.11 do Questionário PerfilGovTI-2010 (fl. 8v). 2.21.5 - Conclusão da equipe: Não há no Dnit um processo de gestão contratual definido de forma a assegurar uma gestão eficiente que garanta a qualidade do produto adquirido. Existem impropriedades citadas neste relatório que são decorrência dessa constatação, como, por exemplo, a não verificação do cumprimento dos acordos de níveis de serviço e a ausência da área de negócio na gestão do contrato, além das outras impropriedades relatadas no achado "irregularidades na gestão contratual". Destas considerações depreende-se que o Dnit não possui controles que promovam a regular gestão contratual. 2.21.6 - Proposta de encaminhamento: Recomendar ao Dnit que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente controles que promovam a regular gestão contratual14 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... e que permitam identificar se todas as obrigações do contratado foram cumpridas antes do ateste do serviço. 2.22 - Irregularidades na gestão contratual 2.22.1 - Situação encontrada: Foram realizados testes substantivos no processo de execução e pagamento relativo ao Contrato 265/2006-00, com o objetivo de avaliar sua aderência à legislação, e constatadas as seguintes impropriedades: a) ausência da avaliação dos serviços, com base nos critérios previamente definidos (níveis de serviço acordados); Embora conste do projeto básico a definição de níveis de serviços para os serviços contratados (item 7, p. 44 do arquivo "Contrato Dnit - SERPRO 265-2006.pdf", constante do CD à fl. 19)não foram identificados procedimentos para verificação do cumprimento dos níveis de serviço, nem aferições ou atestes de que os resultados refletem o cumprimento dos níveis de serviço. Nos procedimentos de ateste presentes no processo de pagamento (exemplo às fls. 34-48), não constam informações sobre o cumprimento dos níveis de serviço, não sendo assim possível aferir se os mesmos foram atendidos. As amostras de ordens de serviços encaminhadas à equipe de fiscalização (denominadas "Controle de Demandas" no Dnit, fls. 113-126) não apresentam informações sobre o andamento ou cumprimento dos níveis de serviço. Ao analisar a amostra de processo de pagamento encaminhada pelo Dnit, observou-se a seguinte sequência de etapas para o ateste dos serviços (as datas corespondem aos documentos da amostra): 1. a CGMI solicita à Coordenação de Infraestrutura que aprecie, para fins de ateste, os serviços constantes do "relatório de atividades referente ao mês de janeiro/2010" (em 26/1/2010) - fl. 35; 2. a Coordenação de Infraestrutura informa que os relatórios de prestação de serviços encontram-se "de acordo" com relação à Infovia, às velocidades dos links WAN e com as faixas de estações praticadas - suporte técnico em informática (em 29/1/2010) - fl. 36; 3. a CGMI, diante do ateste da Coordenação de Infraestrutura, solicita ao fiscal do contrato que ateste os serviços executados (em 28/1/2010) - fl. 37; 4. o fiscal do contrato confirma a prestação dos serviços, em documento denominado "ateste de prestação de serviços", elaborado pela contratada (em 29/1/2010) - fl. 34; 5. a contratada (Serpro) encaminha as faturas e notas fiscais para a Diretoria de Administração e Finanças - DAF (em 9/2/2010) - fl. 38; 6. a DAF encaminha as faturas e notas fiscais ao fiscal do contrato e à CGMI (em 12/2/2010) - fl. 39; 7. o fiscal do contrato atesta a nota fiscal, a qual foi emitida em 29/1/2010 - fl. 41; 8. a CGMI retorna o processo à DAF (em 22/2/2010) - fl. 42; 9. a DAF encaminha os autos para a Coordenação de Finanças para exame e pagamento (em 24/2/2010) - fl. 43. No caso da amostra analisada, verificou-se que o "relatório de atividades referente ao mês de janeiro/2010" não consta do processo. Assim, não há informação suficientemente detalhada dos serviços quando o processo é encaminhado pela CGMI para ateste, de maneira a possibilitar a conferência entre o produto requerido e o entregue. Esta insuficiência de informações foi também verificada em outras amostras de processo de pagamento. Pelo Ofício - CGMI/DAF 198ª/2007, de 3/9/2007 (fl. 60), a CGMI solicita ao Serpro que, com o objetivo de assegurar o processo de ateste e aferição dos serviços prestados, elabore relatório de atividades referente às faturas encaminhadas para pagamento, conforme planilha anexa. A planilha contém informações relativas aos meses de fevereiro a agosto de 2007. Isso significa que, naquele período, a contratada não havia elaborado os relatórios de atividades, os quais são essenciais para o processo de ateste. b) inexistência de designação formal de preposto; Não foi constatado, na análise do processo do Contrato 265/2006-00, a designação formal de preposto pela contratada.15 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... c) inadequação das justificativas que fundamentam a regularidade da prorrogação do contrato; O Contrato 265/2006-00 teve vigência até o dia 9/11/2007. O contrato em questão teve sua duração prorrogada por meio de cinco termos aditivos. O primeiro termo prorrogou o contrato até 8/11/2008. O segundo termo aditivo prorrogou até o dia 8/11/2009. No terceiro, quarto e quinto termos aditivos, a prorrogação do contrato se deu por um período de sessenta dias, estabelecendo como data final de vigência o dia 8/5/2010. Consta dos autos pareceres da Procuradoria da Autarquia em relação a alguns aditivos. A manifestação da Procuradoria referente ao segundo termo aditivo do contrato (fls. 90-99) levanta uma série de questões associadas à legalidade da avença. Entre elas: a) no item 17, a Procuradora registra a "inviabilidade da prorrogação com fundamento no art. 57, inciso IV da Lei n 8.666/93" (fl. 92), em virtude de o objeto do contrato não se tratar apenas de serviços de natureza continuada; b) no item 26, a Procuradora registra que não foi juntado aos autos comprovante de que foi realizada uma pesquisa de preços no mercado, demonstrando que os preços exigidos pela contratada são mais benéficos para a Administração (fl. 95). A Procuradora sugere a realização de um procedimento seletivo simplificado, de modo a comparar os preços de mercado aos previstos na avença; c) no item 28, a Procuradora registra que a autoridade competente deveria ter autorizado previamente a prorrogação contratual nos termos do art. 57, § 2º da Lei 8.666/1993. Em sua conclusão, a Procuradora opina "pela celebração de um novo contrato oriundo de dispensa de licitação ou de realização de licitação, a depender do que for mais benéfico à Administração, no que tange á eficiência dos serviços prestados e á economicidade" (fl. 98, item 35-b). Outro parecer referente ao termo aditivo em questão foi acostado aos autos, este aprovado pelo Procurador-Chefe (fls. 100-101), ressalvando que a Administração deve esclarecer se parte do rol dos serviços autorizam a sua classificação como serviços de natureza continuada para fins de enquadramento no art. 57, inciso IV da Lei 8.666/1993. Esse parecer não menciona a necessidade de realização de uma pesquisa de preços de mercado, como fora apontado pela Procuradora, e entende ser possível a prorrogação caso superadas as ressalvas constantes do parecer da Procuradora e dele próprio. Não consta dos autos informações que evidenciem que as providências foram tomadas pela Administração. No ato de assinatura do terceiro termo aditivo, a Procuradoria Federal foi acionada para análise do termo (fls. 107-109). O parecer destaca que, nos termos da ordem de serviço DG/02/2009, as minutas acerca da prorrogação contratual devem ser submetidas à apreciação da Procuradoria no prazo mínimo de trinta dias, fato este que não ocorreu no caso em questão. Ademais, o parecer informa que o processo foi remetido à procuradoria somente em 11/11/2009, após o término da vigência do contrato, em 8/11/2009 (fl. 108). O parecer registra ainda que "em caso de inobservância deste prazo mínimo de 30 dias, tal como ocorrido nos presentes autos, a eventual perda de prazo de vigência dos contratos e convênios acarretará a responsabilidade funcional e administrativa de quem lhes deu causa, apuradas mediante processo administrativo disciplinar (art. 2º, OS DG/02/2009)". Diante disso, observa-se para o caso do terceiro termo aditivo uma irregularidade no processo de solicitação de parecer à procuradoria responsável. Ao analisar o processo de contratação, especialmente quanto aos termos aditivos do Contrato 265/2006-00, não foi encontrado nos autos qualquer tipo de estudo ou justificativas que fundamentam a regularidade da prorrogação do contrato, especialmente aqueles solicitados pela procuradoria responsável (pesquisa de preços de mercado e autorização prévia da autoridade competente). d) não execução de serviços previstos no contrato. Consta do Contrato 265/2006-00 uma lista de serviços a serem prestados pela contratada. Dentre eles, a equipe de auditoria solicitou, por meio do Ofício 02-472/2010 (fl. 25), evidências que comprovassem a existência de alguns produtos previstos no termo de referência: 1) consultoria para elaboração e homologação do projeto elétrico lógico e físico, previsto no item 5.1.3 do termo de referência;16 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... 2) relatórios previstos no item 5.6.7 do termo de referência, para o ano de 2010; 3) relatório da análise forense computacional, previsto no item 5.1.5 do termo de referência; 4) comprovantes de homologação dos sistemas recebidos pela contratada em 2010; 5) relatórios mensais de execução, de acordo com os marcos previamente estabelecidos, previstos no item 9 da cláusula quarta do contrato. As respostas do gestor para cada um dos itens solicitados foram as seguintes: 1) não foi aberta nenhuma demanda do serviço de consultoria técnica na vigência do contrato, incluída a "consultoria para elaboração e homologação do projeto elétrico lógico e físico" (Memorando - CGMI/DAF/Dnit 192/2010, à fl. 111); 2) os relatórios previstos no item 5.6.7 do termo de referência estão consolidados nos relatórios mensais (Memorando - CGMI/DAF/Dnit 213/2010, à fl. 139); 3) não houve demanda para o relatório de "análise forense computacional" durante a vigência do contrato (Memorando - CGMI/DAF/Dnit 213/2010, à fl. 139); 4) a homologação dos sistemas é realizada pela homologação de casos de uso e regras de negócio; quanto à manutenção de sistemas, a homologação é realizada via sistema de demandas (Memorando - CGMI/DAF/Dnit 213/2010, à fl. 139); 5) em anexo, enviou o relatório mensal de atividades referentes ao mês de abril de 2010 (fls. 140-164). Tratando especificamente do serviço de consultoria para elaboração e homologação do projeto elétrico lógico e físico, o item 3.2 do Anexo II do novo contrato firmado entre o Dnit e o Serpro em 8/5/2010 previu, dentre os serviços de consultoria a serem executados, a "elaboração de projeto elétrico e lógico", nos moldes do item a supracitado. Causa estranheza que o serviço ora analisado não tivesse sido executado durante toda a vigência do contrato anterior (quase quatro anos) e continue constando do rol dos serviços a serem prestados pelo Serpro. De maneira análoga, há outros serviços de consultoria previstos no contrato inicial, não executados durante sua vigência, e presentes no contrato ora vigente, assinado em 8/5/2010, tais como: i) sistematização de processos em ambientes de TI; ii) consultoria em redes locais e iii) suporte à segurança (idêntico à seção "análise de riscos"). Em relação aos comprovantes de homologação dos sistemas recebidos pela contratada em 2010 (item d supracitado), não foi enviado à equipe de auditoria documentos que evidenciassem a mencionada homologação de casos de uso e regras de negócio. Quanto aos relatórios mensais de execução, solicitados no período de 2009 e 2010, foi enviado à equipe de auditoria uma amostra de relatório, e não os relatórios relativos a todo o período solicitado. No que se refere aos relatórios previstos no item 5.6.7 do termo de referência (relatório semanal de ocorrências, a ser disponibilizado via browser - WEB -, fornecendo os dados históricos de todas as falhas ocorridas), o gestor afirma que o mesmo consta do relatório mensal de atividades (fl. 139). Constata-se, neste caso, que o relatório exigido em contrato e o relatório mensal devem possuir conteúdo e formas de acesso distintos, já que o relatório semanal deve trazer os dados históricos de todas as falhas ocorridas semanalmente, e ser disponibilizado via WEB. Mesmo se ambos pudessem ser adequadamente combinados, registra-se que o gestor não enviou todos os relatórios para os períodos requeridos pela equipe de auditoria (2009 e 2010). 2.22.2 - Efeitos/Consequências do achado: a) serviços em desacordo com o contratado (efeito real), pois não estão sendo produzidos artefatos previstos em contrato; b) pagamentos sem que tenham sido produzidos os resultados esperados (efeito potencial). 2.22.3 - Critério: a) Lei 8.666/1993, art. 66. 2.22.4 - Evidências: a) Memorando - CGMI/DAF/Dnit 192/2010, à fl. 111 b) Memorando - CGMI/DAF/Dnit 213/2010, à fl. 139 2.22.4 - Conclusão da equipe: A partir dos testes substantivos realizados no processo de execução e pagamento17 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... referente ao Contrato 265/2006-00, a equipe chegou às seguintes conclusões: a) não há empregados formalmente designados pela contratada para atuar como preposto do Contrato 265/2006-00. O preposto atua como representante da contratada durante a execução do contrato. Assim, se detectadas falhas ou problemas na execução do contrato, o representante da Administração dirigir-se-á ao preposto, evitando o contato direto com os funcionários que executam os serviços. Isso porque o representante da Administração deve se abster de dar ordens aos funcionários para evitar a caracterização da subordinação. Dessa forma, a não designação do preposto, além de não definir formalmente a pessoa que responde pela prestadora dos serviços, gera o risco de subordinação direta dos empregados da contratada à entidade; b) não constam dos autos as justificativas exigidas em lei que fundamentam as prorrogações do Contrato 265/2006-00; c) não foram encontradas evidências de que todos os produtos previstos no contrato e solicitados pela equipe de fiscalização tivessem sido produzidos durante a sua vigência. Essa situação afronta a cláusula décima terceira do contrato, que prevê sanções à contratada no caso de descumprimento total ou parcial do objeto (Cláusula Décima Terceira do Contrato, p. 7 do arquivo "Contrato Dnit - SERPRO 265-2006.pdf", contido no CD à fl. 19), além de estar desconforme com os arts. 66 e 87 da Lei 8.666/1993. 2.22.5 - Proposta de encaminhamento: Alertar o Dnit quanto às seguintes impropriedades constatadas no processo de execução referente ao Contrato 265/2006-00: a) não designação formal do preposto no local do serviço, para representá-lo na execução do contrato, decorrente do descumprimento do art. 68 da Lei 8.666/1993; b) inadequação das justificativas que fundamentam a prorrogação do contrato, decorrente do descumprimento do art. 57, II, da Lei 8.666/1993; c) inexecução parcial de serviços previstos no contrato sem a aplicação das devidas sanções, decorrente do descumprimento dos arts. 66 e 87 da Lei 8.666/1993. Determinar ao Dnit, que, em atenção ao art. 66 da Lei 8.666/1993, adote as medidas necessárias à apuração e aplicação das penalidades previstas em contrato por conta das inexecuções contratuais descritas no item 2.22 deste relatório. 2.23 - Falhas no orçamento de TI constante da LOA. 2.23.1 - Situação encontrada: Por intermédio do item 4 do Anexo I ao Ofício nº 91/2010 - Sefti (fl. 2, vol. principal), solicitaram-se informações acerca do orçamento de TI do Dnit constante da LOA. Como resposta, constante no item 7.15 do questionário "PerfilGovTI 2010" (fl. 8v), o gestor informou que a solicitação de TI é feita com base na estimativa dos custos das contratações previstas. Ainda como parte da resposta, o gestor encaminhou o arquivo "Acompanhamento das despesas de custeio.pdf" (CD à fl. 19), onde se evidencia que as despesas de TI, a cargo da CGMI, não contém detalhamento, referindo-se apenas às seguintes despesas: a) contrato com o Serpro (R$ 30 milhões); b) aquisição de solução de operação e gestão de infraestrutura de TI (R$ 5 milhões); c) aquisição de softwares de base (R$ 2 milhões); d) aquisição de softwares de aplicação (R$ 3 milhões). Tal falta de detalhamento está refletida no orçamento de TI do Dnit constante da LOA. De acordo com informações coletadas no âmbito do TC 001.484/2010-9 (levantamento de auditoria com objetivo de coletar informações para subsidiar o planejamento de auditorias relacionadas ao TMS), o orçamento de TI do Dnit constante da LOA consiste nos seguintes itens (fl. 183): a) hospedagem de sistemas (R$ 5 milhões); b) material de processamento de dados ((R$ 5 milhões); c) serviços técnicos profissionais de tecnologia da informação (R$ 31 milhões). Observa-se, portanto, que o orçamento de TI constante da LOA não apresenta detalhamento suficiente para permitir o controle e identificação mais precisa das propostas orçamentárias referentes a previsão de gastos em TI.18 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... A título de exemplo, anexou-se o orçamento de TI constante da LOA para a Embrapa (fls. 184-185), pelo qual verifica-se que houve um nível de detalhamento muito superior ao apresentado pelo Dnit. 2.23.2 - Efeitos/Conseqüências do achado: a) Recursos insuficientes para a área de TI (efeito potencial); b) interrupção de serviços de TI por falta de recursos necessários (efeito potencial); c) não-alcance de metas estabelecidas para a organização por falta de suporte da área de TI (efeito potencial). 2.23.3 - Critérios: a) Lei 12.017/2009, art. 9º, inciso II; b) Norma Técnica - Ministério do Planejamento, Orçamento e Gestão - Gespública - critério de avaliação 7.3; c) Norma Técnica - Cobit 4.1 - PO5.3 - Processo de Orçamento de TI. 2.23.4 - Evidências: a) PLOA/2010 - Previsão de gastos de TI do Dnit (fl. 183); b) Resposta ao item 7.15 do Questionário: Perfil GovTI (fl. 8v). 2.23.5 - Conclusão da equipe: O Dnit apresentou falhas em relação ao seu processo de elaboração do orçamento de TI, necessário ao cumprimento das disposições contidas na Lei nº 12.017/2009 (LDO 2009/2010), art. 9º, II c/c Anexo II, XVIII, visto que o orçamento de TI do órgão constante da LOA não apresenta detalhamento suficiente para o controle e acompanhamento das despesas correspondentes. 2.23.6 - Proposta de encaminhamento: Determinar ao Dnit que aperfeiçoe o processo de elaboração do orçamento de TI, necessário ao cumprimento das disposições contidas Lei nº 12.017/2009 (LDO 2009/2010), art. 9º, II c/c Anexo II, XVII, ou das que vierem a lhe suceder, de maneira que as solicitações de orçamento das despesas de TI estejam baseadas nas ações que se pretende executar, observando as práticas contidas no Gespública, critério de avaliação 7.3.e no Cobit 4.1, processo PO5.3 - Orçamentação de TI. 3 - CONCLUSÃO As seguintes constatações foram identificadas neste trabalho: Questão 1 Inexistência do Plano Estratégico Institucional (item 2.1) Questão 2 Falhas no processo de planejamento de TI (item 2.2) Questão 3 Inexistência de comitê de TI (item 2.3) Inexistência de avaliação do quadro de pessoal de TI (item 2.4) Questão 4 Falhas no orçamento de TI constante da LOA (item 2.23) Questão 5 Inexistência de processo de software (item 2.5) Questão 6 Inexistência de processo de gerenciamento de projetos (item 2.6) Questão 7 Inexistência do processo de gestão de incidentes (item 2.7) Inexistência do processo de gestão de configuração (item 2.8) Inexistência do processo de gestão de mudanças (item 2.9) Questão 8 Inexistência de Comitê de Segurança da Informação e Comunicações (item 2.10) Inexistência de Gestor de Segurança da Informação e Comunicações (item 2.11) Inexistência de equipe de tratamento e resposta a incidentes em redes computacionais (ETRI) (item 2.12) Inexistência de classificação da informação (item 2.13) Inexistência de inventário dos ativos de informação (item 2.14) Inexistência de processo de gestão de riscos de segurança da informação (GRSIC) (item 2.15) Questão 9 Plano anual de capacitação não contempla a área de Gestão de TI (item 2.16) Questão 10 Inexistência de avaliação da gestão de TI (item 2.17) Auditoria interna não apoia avaliação da TI (item 2.18) Questão 11 Inexistência dos estudos técnicos preliminares (item 2.19) Irregularidades na contratação (item 2.20) Questão 12 Inexistência de controles que promovam a regular gestão contratual19 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... (item 2.21) Irregularidades na gestão contratual (item 2.22) Entre os benefícios estimados desta fiscalização pode-se mencionar, principalmente, a indução à melhoria nos controles internos da entidade e da governança de TI, cujas deficiências foram evidenciadas pelas falhas e impropriedades identificadas e relatadas neste processo. A presente fiscalização constituiu uma das duas auditorias-piloto da fase de preparação da Fiscalização de Orientação Centralizada (FOC) integrante do TMS 6 - Gestão e Uso de Tecnologia da Informação (TI), e teve como objetivo avaliar a governança do setor de TI do Departamento Nacional de Infraestrutura de Transportes (Dnit). Em relação à governança de TI no Dnit, foram evidenciadas diversas falhas durante a execução dessa auditoria, especialmente na estrutura organizacional e nos processos da área de TI. A ausência de planejamento estratégico institucional, as falhas no processo de planejamento de TI e a ausência de alguns processos, padrões e políticas de TI, aliada à ampla dependência da Autarquia com relação aos serviços de TI fornecidos pelo Serpro, impõe ao órgão um alto risco quanto à proficiência da TI no âmbito interno. Essa falta de estrutura e a dependência do órgão a uma única contratada pode afetar de maneira negativa o cumprimento dos objetivos de negócio e das obrigações legais da Autarquia. Além disso, não há estudo ou análise por parte da Autarquia quanto à adequação quantitativa e qualitativa dos servidores de TI, o que inviabiliza uma afirmação conclusiva. Os trabalhos identificaram ainda a ausência de um plano de capacitação estruturado para a área de TI. Diante disso, a estrutura de TI do Dnit é totalmente dependente de serviços de terceiros para a realização das ações de TI. No Dnit, praticamente todos os serviços de TI, incluindo o desenvolvimento e a manutenção de sistemas, serviços de suporte, administração de rede e banco de dados, são realizados pelo Serpro, no âmbito de um contrato de serviços com escopo excessivamente abrangente. A falta de planejamento estratégico da Autarquia (o que inclui as ações de TI), aliada à carência de uma estrutura de pessoal suficiente, fomenta o aparecimento de irregularidades, falhas e impropriedades na operação da TI. Como exemplo, citam-se as deficiências em controles gerais de TI evidenciadas durante essa auditoria, resumidas a seguir: a) a alta Administração não designou formalmente um comitê de TI para auxiliá-la nas decisões relativas à gestão e ao uso corporativos de TI; b) não há processo de software, nem estrutura para suporte de gerência de projetos, fatores esses que podem comprometer a qualidade das contratações, dos projetos e dos serviços de TI fornecidos para os usuários finais; c) não há processo ou procedimento definido ou padronizado para a contratação de bens e serviços de TI, o que pode acarretar em falhas nos editais e nos contratos, como as ocorridas no processo referente ao contrato com o Serpro (e.g.: falhas na fundamentação da contratação, contratação conjunta de serviços divisíveis, falhas no processo de estimativa de preços, sistemática de mensuração não associada a resultados); d) não há processo ou procedimento definido ou padronizado para a gestão ou acompanhamento da execução de serviços de TI contratados, o que pode acarretar falhas na gestão contratual, como as ocorridas no processo referente ao contrato com o Serpro (e.g.: não elaboração de produtos previstos em contrato, inadequação das justificativas que fundamentam a regularidade da prorrogação do contrato); e) atividades essenciais da área de TI, como administração dos bancos de dados, implementação das políticas de segurança e gestão lógica da rede, que são efetuados por profissionais terceirizados, o que pode acarretar em eventuais problemas de segurança e dependência tecnológica com o contratado; f) não foram implementados os processos de gestão de mudanças, gestão de configuração e gestão de incidentes, o que pode acarretar falha na entrega e gestão dos serviços de TI; g) não há processo de segurança da informação destinado a classificar e inventariar os ativos de informação, bem como procedimentos de gestão de riscos da informação, o que pode acarretar o comprometimento de informações sensíveis do Dnit;20 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... h) não foram estabelecidos indicadores de desempenho de gestão e uso corporativos de TI, nem níveis de serviços de TI oferecidos aos clientes internos, o que impossibilita à área de TI mensurar o quanto suas atividades estão contribuindo para o alcance dos objetivos da Autarquia. Por fim, considerando que a Instrução Normativa - SLTI/MP 4/2008 foi utilizada como critério de auditoria e que no dia 15/11/2010, data posterior à elaboração do relatório e anterior à saída do mesmo da Sefti, foi publicada nova versão da norma, entrando em vigor em 2/1/2011, fazem-se necessários ajustes na redação das propostas de encaminhamento feitas ao longo deste relatório, o que faremos na seção a seguir." 3. Por tais motivos, a Sefti, em pareceres uniformes (fls. 201,v/205), sugeriu a esta Corte formular ao Dnit as seguintes determinações, recomendações e alertas: "1. Recomendar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c o Regimento Interno do TCU, art. 250, inciso III, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que: 1.1. em atenção ao Decreto-Lei 200/1967, art. 6º, inciso I, e art. 7º, elabore um plano estratégico institucional, considerando o previsto no critério de avaliação 2 do Gespública (Achado "Inexistência do Plano Estratégico Institucional"); 1.2. aperfeiçoe o processo de planejamento estratégico de TI, observando as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI (Achado "Falhas no processo de planejamento de TI"); 1.3. em atenção ao Decreto 5.707/2006, art. 1º, inciso III, elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, à semelhança das orientações contidas no Cobit 4.1, PO4.12 - Pessoal de TI (Achado "Inexistência de avaliação do quadro de pessoal de TI"); 1.4. quando do estabelecimento de seu processo de software, considere as Normas NBR ISO/IEC 12.207 e 15.504 (Achado "Inexistência de processo de software"); 1.5. implante uma estrutura formal de gerência de projetos, à semelhança das orientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos e no PMBOK, dentre outras boas práticas de mercado (Achado "Inexistência de processo de gerenciamento de projetos"); 1.6. implemente processo de gestão de incidentes de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a central de serviços e incidentes e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000 e a NBR 27.002) (Achado "Inexistência do processo de gestão de incidentes"); 1.7. implemente processo de gestão de configuração de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000) (Achado "Inexistência do processo de gestão de configuração"); 1.8. estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 27.002, à semelhança das orientações contidas no Cobit 4.1, processo AI6 - Gerenciar mudanças e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000) (Achado "Inexistência do processo de gestão de mudanças"); 1.9. quando elaborar o plano anual de capacitação, contemple ações de capacitação voltadas para a gestão de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processos PO7.2 - Competências pessoais e PO7.4 - Treinamento do pessoal (Achado " Plano anual de capacitação não contempla a área de gestão de TI"); 1.10. estabeleça um processo de avaliação da gestão de TI, à semelhança das orientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 - Relatórios gerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controles internos (Achado "Inexistência de avaliação da gestão de TI"); 1.11. promova ações para que a auditoria interna apoie a avaliação da TI, à semelhança das orientações contidas no Cobit 4.1, ME2 - Monitorar e avaliar os controles internos (Achado "Auditoria interna não apoia avaliação da TI"); 1.12. implemente controles que promovam o cumprimento do processo de planejamento previsto na IN - SLTI/MP 4/2010 (Achado "Inexistência dos estudos técnicos21 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... preliminares"); 1.13. implemente controles que promovam a regular gestão contratual e que permitam identificar se todas as obrigações do contratado foram cumpridas antes do ateste do serviço (Achado "Inexistência de controles que promovam a regular gestão contratual"). 2. Determinar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c o Regimento Interno do TCU, art. 250, inciso II, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que: 2.1. em atenção ao disposto na Iniciativa Estratégica 12, da Estratégia Geral de Tecnologia da Informação (EGTI) 2010-2011, aprovada pela Resolução 7/2010-SISP, implante Comitê de Tecnologia da Informação que envolva as diversas áreas do Ibama e que se responsabilize por alinhar os investimentos de tecnologia da informação com os objetivos institucionais e por apoiar a priorização de projetos a serem implantados, considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor de TI (Achado "Inexistência de comitê de TI"); 2.2. aperfeiçoe o processo de elaboração do orçamento de TI, necessário ao cumprimento das disposições contidas Lei nº 12.017/2009 (LDO 2009/2010), art. 9º, II c/c Anexo II, XVIII, ou das que vierem a lhe suceder, de maneira que as solicitações de orçamento das despesas de TI estejam baseadas nas ações que se pretende executar, observando as práticas contidas no Cobit 4.1, processo PO5.3 - Orçamentação de TI e no Gespública, critério de avaliação 7.3 (Achado "Falhas no orçamento de TI constante da LOA"). 2.3. em atenção ao disposto na Lei 8.666/1993, art. 6º, inc. IX, e às disposições contidas na IN - SLTI/MP 4/2010, art. 13, II, defina um processo de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de software, vinculando o contrato com o processo de software, sem o qual o objeto não estará precisamente definido (Achado "Inexistência de processo de software"); 2.4. em atenção ao disposto na Instrução Normativa - GSI/PR 1/2008, art. 5º, VI, c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27.002, item 6.1.2 - Coordenação de segurança da informação (Achado "Inexistência de Comitê de Segurança da Informação e Comunicações"); 2.5. em atenção ao disposto na Instrução Normativa - GSI/PR 1/2008, art. 5º, IV e art. 7º, c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie gestor de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27.002, item 6.1.3 - Atribuição de responsabilidade para segurança da informação (Achado "Inexistência de Gestor de Segurança da Informação e Comunicações"); 2.6. em atenção ao disposto na Instrução Normativa - GSI/PR 1/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais, observando as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR (Achado "Inexistência de equipe de tratamento e resposta a incidentes em redes computacionais - ETRI"); 2.7. em atenção ao disposto no Decreto 4.553/2002, art. 6º, § 2º, inciso II e art. 67, crie critérios de classificação das informações a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observando as práticas contidas no item 7.2 da NBR ISO/IEC 27.002 (Achado "Inexistência de classificação da informação"); 2.8. em atenção ao disposto na Instrução Normativa - GSI/PR 1/2008, art. 5º, VII, c/c Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando as práticas contidas no item 7.1 da NBR ISO/IEC 27.002 (Achado "Inexistência de inventário dos ativos de informação"); 2.9. em atenção ao disposto na Instrução Normativa - GSI/PR 1/2008, art. 5º, VII, implemente processo de gestão de riscos de segurança da informação, observando as práticas contidas na Norma Complementar 04/IN01/DSIC/GSIPR (Achado "Inexistência de processo de gestão de riscos de segurança da informação - GRSIC"); 2.10. em atenção às disposições contidas no Decreto nº 5.707/2006, art. 5º, 2º, c/c Portaria MP nº 208/2006, art. 2º, I e art. 4º, elabore Plano Anual de Capacitação para a instituição; (Achado "Inexistência de plano anual de capacitação"); 2.11. em atenção ao disposto na Lei 8.666/1993, art. 66, adote as medidas22 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... necessárias à apuração e aplicação das penalidades previstas em contrato por conta das inexecuções contratuais descritas no item 2.22 deste relatório. 2.12. no prazo de trinta dias a contar da ciência do acórdão que vier a ser proferido, encaminhe plano de ação para a implementação das medidas contidas no Decisum, contendo: 2.12.1. para cada determinação, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações; 2.12.2. para cada recomendação cuja implementação seja considerada conveniente e oportuna, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações; 2.12.3. para cada recomendação cuja implementação não seja considerada conveniente ou oportuna, justificativa da decisão. 3. Alertar ao Departamento Nacional de Infraestrutura de Transportes (Dnit) quanto às impropriedades a seguir, conforme tratado nos itens 3.21 e 3.23 do relatório: 3.1.1. não divisibilidade do objeto, estando presentes a viabilidade técnica e econômica, decorrente do descumprimento do art. 23, § 1º, da Lei 8.666/1993; 3.1.2. análise de mercado insuficiente, não permitindo que o administrador conclua pela conveniência e oportunidade da contratação, decorrente do descumprimento do art. 6º, inciso IX, alínea f; art. 7º, § 2º, inciso II; art. 15, incisos II e V; art. 24, inciso VII; art. 40, § 2º, inciso II; art. 43, inciso IV; art. 44, § 3º; e art. 48, todos da Lei 8.666/1993; 3.1.3. forma de pagamento prevista em contrato não vinculada a resultados obtidos, decorrente do descumprimento do art. 3º, §1º, do Decreto 2.271/1997; 3.1.4. não definição objetiva das penalidades e da fórmula de cálculo dos valores correspondentes a serem aplicados a cada caso, decorrente do descumprimento do art. 55, inciso VII, da Lei 8.666/1993; 3.1.5. não designação formal do preposto no local do serviço, para representá-lo na execução do contrato, decorrente do descumprimento do art. 68 da Lei 8.666/1993; 3.1.6. inadequação das justificativas que fundamentam a prorrogação do contrato, decorrente do descumprimento do art. 57, II da Lei 8.666/1993; 3.1.7. inexecução parcial de serviços previstos no contrato sem a aplicação das devidas sanções, decorrente do descumprimento dos arts. 66 e 87 da Lei 8.666/1993; 4. arquivar os presentes autos." É o Relatório Voto do Ministro Relator VOTO Na sessão de 8/9/2010 (acórdão 2.308/2010 - Plenário), apresentei a este colegiado o resultado consolidado do levantamento efetuado pela Secretaria de Fiscalização de Tecnologia da Informação - Sefti, em 2010, para avaliar a governança de tecnologia da informação em 315 órgãos e entidades das administrações direta e indireta dos três poderes da União. 2. Destaquei, naquela oportunidade, a importância da atuação desta Corte com relação à matéria, eis que, a partir da identificação de pontos vulneráveis, será possível ao Tribunal, em primeiro lugar, atuar como indutor do aperfeiçoamento da governança de TI no setor público e, em segundo lugar, identificar e disseminar entre as unidades jurisdicionadas os bons exemplos e modelos encontrados. 3. Apontei, ainda, as conclusões mais significativas do levantamento, que permitiu constatar, em síntese, que: a) mais de 60% das organizações não possui planejamento estratégico de TI; b) algumas organizações continuam a ter sua TI totalmente controlada por pessoas estranhas a seus quadros de pessoal; c) são graves os problemas de segurança da informação, já que informações críticas não são protegidas adequadamente; d) metade das organizações não possui método ou processo para desenvolvimento de softwares e para aquisição de bens e serviços de informática, o que gera riscos de irregularidades em contratações; e) a atuação sistemática da alta administração com respeito à TI ainda é23 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... incipiente; f) mais da metade das organizações está no estágio inicial de governança de TI, e apenas 5% encontram-se em estágio aprimorado. 4. Neste momento, trago à consideração deste Plenário mais um trabalho concernente à matéria: a auditoria realizada pela Sefti no Departamento Nacional de Infraestrutura de Transportes - Dnit com o intuito de avaliar controles gerais de governança de TI naquela entidade. 5. As principais ocorrências detectadas no presente trabalho assemelham-se às verificadas no levantamento consolidada e confirmam a precisão daquele estudo. Basicamente, constatou-se no Dnit: a) inexistência de Plano Estratégico Institucional; b) falhas no processo de planejamento de TI; c) inexistência de Comitê de TI; d) inexistência de avaliação do quadro de pessoal de TI; e) inexistência de processo de desenvolvimento de software; f) inexistência de processo de gerenciamento de projetos; g) inexistência de processo de gestão de mudanças; h) inexistência de processo de gestão de configuração de serviços de TI; i) inexistência de processo de gestão de incidentes; j) inexistência de classificação da informação; k) inexistência de inventário dos ativos de informação; l) inexistência de processo de gestão de riscos de segurança da informação; m) inexistência de plano anual de capacitação; n) inexistência de avaliação da gestão de TI; o) inexistência de apoio da auditoria interna à avaliação da TI; p) inexistência de estudos técnicos preliminares; q) irregularidades em contratações. 6. Em razão das ocorrências acima apontadas, a unidade técnica apresentou uma série de determinações, recomendações e alertas que contribuirão para o saneamento das ocorrências e para o aperfeiçoamento da governança de TI do Dnit. 7. Assim, por considerar papel deste Tribunal a constante indução de melhoria da gestão estatal e por estar integralmente de acordo com as medidas aventadas pela Sefti - especialmente no tocante ao crucial tema da segurança da informação, que reputo essencial para adequado funcionamento das organizações públicas e para defesa da intimidade dos cidadãos que com elas interagem - acolho as manifestações daquela Secretaria e voto pela adoção da minuta de acórdão que trago ao escrutínio deste colegiado. Sala das Sessões, em 6 de abril de 2011. AROLDO CEDRAZ Relator Acórdão VISTOS, relatados e discutidos estes autos de relatório de auditoria realizada para avaliar controles gerais de tecnologia da informação no Departamento Nacional de Infraestrutura de Transportes - Dnit. ACORDAM os Ministros do Tribunal de Contas da União, reunidos em sessão do Plenário, ante as razões expostas pelo relator e com base nos arts. 42, §1º, e 43, I, da Lei 8.443/1992, e nos arts. 245, §1º, e 250, inciso III, do Regimento Interno, em: 9.1. recomendar ao Departamento Nacional de Infraestrutura de Transportes que: 9.1.1. em atenção ao Decreto-Lei 200/1967, art. 6º, I, e art. 7º, elabore plano estratégico institucional, considerando o critério de avaliação 2 do Gespública; 9.1.2. aperfeiçoe o processo de planejamento estratégico de TI, observando as práticas do Cobit 4.1, processo PO1 - Planejamento Estratégico de TI; 9.1.3. em atenção ao Decreto 5.707/2006, art. 1º, III, elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando melhor atendimento das necessidades institucionais, à semelhança do Cobit 4.1, PO4.12 - Pessoal de TI;24 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... 9.1.4. por ocasião do estabelecimento de seu processo de software, considere as Normas NBR ISO/IEC 12.207 e 15.504; 9.1.5. implante estrutura formal de gerência de projetos, à semelhança do Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos, e do PMBOK, entre outras boas práticas de mercado; 9.1.6. implemente processo de gestão de incidentes de serviços de tecnologia da informação, à semelhança do Cobit 4.1, processo DS8 - Gerenciar a central de serviços e incidentes, e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000 e a NBR 27.002); 9.1.7. implemente processo de gestão de configuração de serviços de tecnologia da informação, à semelhança do Cobit 4.1, processo DS9 - Gerenciar configuração, e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000); 9.1.8. estabeleça procedimentos formais de gestão de mudanças, de acordo com o item 12.5.1 da NBR ISO/IEC 27.002, à semelhança do Cobit 4.1, processo AI6 - Gerenciar mudanças, e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000); 9.1.9. quando elaborar o plano anual de capacitação, contemple ações de capacitação voltadas para gestão de tecnologia da informação, à semelhança do Cobit 4.1, processos PO7.2 - Competências pessoais e PO7.4 - Treinamento do pessoal; 9.1.10. estabeleça processo de avaliação da gestão de TI, à semelhança do Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 - Relatórios gerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controles internos; 9.1.11. promova ações para que a auditoria interna apoie a avaliação da TI, à semelhança do Cobit 4.1, ME2 - Monitorar e avaliar os controles internos; 9.1.12. implemente controles que promovam cumprimento do processo de planejamento previsto na IN SLTI/MP 4/2010; 9.1.13. implemente controles que promovam a regular gestão contratual e que permitam identificar se todas as obrigações do contratado foram cumpridas antes da atestação do serviço; 9.2. determinar ao Departamento Nacional de Infraestrutura de Transportes que: 9.2.1. em atenção à Iniciativa Estratégica 12 da Estratégia Geral de Tecnologia da Informação (EGTI) 2010-2011, aprovada pela Resolução 7/2010-SISP, implante Comitê de Tecnologia da Informação que envolva as diversas áreas do Dnit e que se responsabilize por alinhar os investimentos de tecnologia da informação com os objetivos institucionais e por apoiar a priorização de projetos a serem implantados, considerando, ainda, as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor de TI; 9.2.2. aperfeiçoe o processo de elaboração do orçamento de TI, necessário ao cumprimento da Lei 12.017/2009 (LDO 2009/2010), art. 9º, II c/c Anexo II, XVIII, ou das que vierem a lhe suceder, de maneira a que solicitações de orçamento de despesas de TI estejam baseadas nas ações que se pretende executar, observando o Cobit 4.1, processo PO5.3 - Orçamentação de TI e o Gespública, critério de avaliação 7.3; 9.2.3. em atenção à Lei 8.666/1993, art. 6º, IX, e à IN SLTI/MPOG 4/2010, art. 13, II, defina processo de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de software, vinculando o contrato com o processo de software, sem o qual o objeto não estará precisamente definido; 9.2.4. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VI, c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança da Informação e Comunicações, observando a NBR ISO/IEC 27.002, item 6.1.2 - Coordenação de segurança da informação; 9.2.5. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, IV, e art. 7º, c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie Gestor de Segurança da Informação e Comunicações, observando a NBR ISO/IEC 27.002, item 6.1.3 - Atribuição de responsabilidade para segurança da informação; 9.2.6. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais, observando a Norma Complementar 05/IN01/DSIC/GSIPR; 9.2.7. em atenção ao Decreto 4.553/2002, art. 6º, § 2º, II, e art. 67, crie critérios de classificação das informaçõe, a fim de que possam ter tratamento diferenciado conforme seu25 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... grau de importância, criticidade e sensibilidade, observando o item 7.2 da NBR ISO/IEC 27.002; 9.2.8. em atenção à Instrução Normativa - GSI/PR 1/2008, art. 5º, VII, c/c Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira a que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando o item 7.1 da NBR ISO/IEC 27.002; 9.2.9. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII, implemente processo de gestão de riscos de segurança da informação, observando a Norma Complementar 04/IN01/DSIC/GSIPR; 9.2.10. em atenção ao Decreto 5.707/2006, art. 5º, 2º, c/c Portaria MPOG 208/2006, art. 2º, I, e art. 4º, elabore Plano Anual de Capacitação para a instituição; 9.2.11. em atenção à Lei 8.666/1993, art. 66, adote as medidas necessárias à apuração e à aplicação das penalidades previstas em contrato por conta das inexecuções contratuais descritas no item 2.22 do relatório de auditoria; 9.2.12. no prazo de 30 (trinta) dias a contar da ciência deste acórdão, encaminhe ao Tribunal plano de ação para implementação das medidas aqui enumeradas, contendo: 9.2.12.1. para cada determinação, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações; 9.2.12.2. para cada recomendação cuja implementação seja considerada conveniente e oportuna, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações; 9.2.12.3. para cada recomendação cuja implementação não seja considerada conveniente ou oportuna, justificativa da decisão; 9.3. alertar o Departamento Nacional de Infraestrutura de Transportes quanto às impropriedades a seguir, tratadas nos itens 3.21 e 3.23 do relatório de auditoria: 9.3.1. não divisibilidade do objeto, estando presentes a viabilidade técnica e econômica, decorrente do descumprimento do art. 23, § 1º, da Lei 8.666/1993; 9.3.2. análise de mercado insuficiente, não permitindo que o administrador conclua pela conveniência e oportunidade da contratação, decorrente do descumprimento do art. 6º, IX, f; art. 7º, § 2º, II; art. 15, II e V; art. 24, VII; art. 40, § 2º, II; art. 43, IV; art. 44, § 3º; e art. 48, todos da Lei 8.666/1993; 9.3.3. forma de pagamento prevista em contrato não vinculada a resultados obtidos, decorrente do descumprimento do art. 3º, §1º, do Decreto 2.271/1997; 9.3.4. ausência de definição objetiva das penalidades e da fórmula de cálculo dos valores correspondentes a serem aplicados a cada caso, decorrente do descumprimento do art. 55, VII, da Lei 8.666/1993; 9.3.5. ausência de designação formal de preposto no local do serviço, para representar o contratado na execução do contrato, decorrente do descumprimento do art. 68 da Lei 8.666/1993; 9.3.6. inadequação de justificativas para prorrogação do contrato, decorrente do descumprimento do art. 57, II, da Lei 8.666/1993; 9.3.7. inexecução parcial de serviços previstos em contrato sem aplicação das devidas sanções, decorrente do descumprimento dos arts. 66 e 87 da Lei 8.666/1993; 9.4. arquivar os presentes autos Quorum 13.1. Ministros presentes: Benjamin Zymler (Presidente), Valmir Campelo, Walton Alencar Rodrigues, Ubiratan Aguiar, Augusto Nardes, Aroldo Cedraz (Relator), Raimundo Carreiro, José Jorge e José Múcio Monteiro. 13.2. Ministros-Substitutos presentes: Augusto Sherman Cavalcanti, Marcos Bemquerer Costa, André Luís de Carvalho e Weder de Oliveira Publicação Ata 11/2011 - Plenário Sessão 06/04/2011 Dou 13/04/2011 Referências (HTML)26 de 27 25/5/2011 13:14
    • TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... Documento(s):judoc/Acord/20110413/AC_0866_11_11_P.doc Anterior | Próximo Coletânea Status do Documento na Coletânea: [Não Selecionado] Voltar à lista de documentos Em caso de dúvidas, críticas e sugestões, favor entrar em contato: Jurisprudência Requisição atendida em 0.536 segundo(s).27 de 27 25/5/2011 13:14