TCU - Portal de Pesquisa Textual                                           http://contas.tcu.gov.br/portaltextual/MostraDo...
TCU - Portal de Pesquisa Textual                                       http://contas.tcu.gov.br/portaltextual/MostraDocume...
TCU - Portal de Pesquisa Textual                                       http://contas.tcu.gov.br/portaltextual/MostraDocume...
TCU - Portal de Pesquisa Textual                                       http://contas.tcu.gov.br/portaltextual/MostraDocume...
TCU - Portal de Pesquisa Textual                                       http://contas.tcu.gov.br/portaltextual/MostraDocume...
TCU - Portal de Pesquisa Textual                                       http://contas.tcu.gov.br/portaltextual/MostraDocume...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                       http://contas.tcu.gov.br/portaltextual/MostraDocume...
TCU - Portal de Pesquisa Textual                                         http://contas.tcu.gov.br/portaltextual/MostraDocu...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
TCU - Portal de Pesquisa Textual                                         http://contas.tcu.gov.br/portaltextual/MostraDocu...
TCU - Portal de Pesquisa Textual                                       http://contas.tcu.gov.br/portaltextual/MostraDocume...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                         http://contas.tcu.gov.br/portaltextual/MostraDocu...
Acórdão tcu 866 2011 - dnit - avaliação de controles de ti
Acórdão tcu 866 2011 - dnit - avaliação de controles de ti
Acórdão tcu 866 2011 - dnit - avaliação de controles de ti
Acórdão tcu 866 2011 - dnit - avaliação de controles de ti
Acórdão tcu 866 2011 - dnit - avaliação de controles de ti
Acórdão tcu 866 2011 - dnit - avaliação de controles de ti
Acórdão tcu 866 2011 - dnit - avaliação de controles de ti
Acórdão tcu 866 2011 - dnit - avaliação de controles de ti
Acórdão tcu 866 2011 - dnit - avaliação de controles de ti
Acórdão tcu 866 2011 - dnit - avaliação de controles de ti
Upcoming SlideShare
Loading in...5
×

Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

1,532

Published on

Entidade: Departamento Nacional de Infraestrutura de Transportes - Dnit
RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA
DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES
DE MELHORIA. DETERMINAÇÕES, RECOMENDAÇÕES E ALERTAS

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,532
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
11
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Acórdão tcu 866 2011 - dnit - avaliação de controles de ti"

  1. 1. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... Pesquisa: Livre Em Formulário Quarta-feira, 25 de Maio de 2011. Pesquisa número: 3 Expressão de Pesquisa: "AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO" Bases pesquisadas: Acórdãos; Decisões; Relações; Atas Documento da base: Acórdão Documentos recuperados: 11 Documento mostrado: 11 Status na Coletânea: Não Selecionado Visualizar este documento no formato: Formato Padrão para Acórdãos Coletânea Status do Documento na Coletânea: [Não Selecionado] Voltar à lista de documentos Anterior | Próximo Identificação Acórdão 866/2011 - Plenário Número Interno do Documento AC-0866-11/11-P Grupo/Classe/Colegiado GRUPO I / CLASSE V / Plenário Processo 009.982/2010-8 Natureza Relatório de Auditoria Entidade Entidade: Departamento Nacional de Infraestrutura de Transportes - Dnit Interessados Responsável: Luiz Antônio Pagot (CPF 435.102.567-00) Sumário RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES DE MELHORIA. DETERMINAÇÕES, RECOMENDAÇÕES E ALERTAS Assunto Relatório de Auditoria Ministro Relator AROLDO CEDRAZ Representante do Ministério Público não atuou Unidade Técnica Secretaria de Fiscalização de Desestatização - Sefti Advogado Constituído nos Autos1 de 27 25/5/2011 13:14
  2. 2. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... não há Relatório do Ministro Relator A Secretaria de Fiscalização de Tecnologia da Informação - Sefti realizou auditoria no Departamento Nacional de Infraestrutura de Transportes, no período de 12/4 a 24/5/2010, com o objetivo de avaliar controles gerais de tecnologia da informação - TI e verificar se estão de acordo com a legislação pertinente e com as boas práticas de governança de TI. 2. As ocorrências detectadas foram apresentadas pela equipe de auditoria nos seguintes termos (fls. 189,v/201,v): "2 - ACHADOS DE AUDITORIA 2.1 - Inexistência do Plano Estratégico Institucional 2.1.1 - Situação encontrada: O representante da entidade declarou que não executa processo de planejamento estratégico e, por consequência, não existe Plano Estratégico Institucional. 2.1.2 - Efeitos/Consequências do achado: a) ausência de referencial para verificar o alinhamento estratégico das ações da área de TI com o negócio da instituição (efeito potencial); b) risco de a instituição não conseguir atuar de forma eficiente no alcance de seus objetivos finalísticos (efeito potencial). 2.1.3 - Critérios: a) Constituição Federal, art. 37, caput; b) Decreto-Lei 200/1967, art. 6º, inciso I; art. 7º 2.1.4 - Evidências: a) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 1 do Anexo I ao Ofício - Sefti 91/2010 (fl. 12); b) resposta ao item 2.1 do Questionário PerfilGovTI-2010 (fl. 6v). 2.1.5 - Conclusão da equipe: A instituição não executa um processo de planejamento institucional e, por consequência, não possui um Plano Estratégico Institucional. 2.1.6 - Proposta de encaminhamento: Recomendar ao Departamento Nacional de Infraestrutura de Transportes que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), e no Decreto-Lei 200/1967, art. 6º, inciso I, e art. 7º, elabore um Plano Estratégico Institucional, considerando o previsto no critério de avaliação 2 do Gespública. 2.2 - Falhas no processo de planejamento de TI 2.2.1 - Situação encontrada: O representante da entidade declarou que não executa processo de planejamento estratégico de TI, embora tenha apresentado o PDTI elaborado pela unidade (arquivos "PDTI_parte 1.pdf" e "PDTI_parte 2_Quadro.pdf", do CD à fl. 19). O PDTI menciona a participação de outras áreas de negócio na sua elaboração, mas não se evidenciou o desdobramento (planos de ação de curto e médio prazos estabelecidos) pelas unidades executoras e alinhados com as iniciativas estratégicas do PDTI, bem como evidências de que o PDTI é avaliado. 2.2.2 - Efeito/Consequência do achado: a) risco de as ações de TI não estarem alinhadas ao negócio (efeito potencial). 2.2.3 - Critério: b) Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI. 2.2.4 - Evidências: a) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 2 do Anexo I ao Ofício - Sefti 91/2010 (fl. 12); b) resposta ao item 2.2 do Questionário PerfilGovTI-2010 (fl. 6v). 2.2.5 - Conclusão da equipe: Como o órgão apresentou um PDTI, entende-se que há um processo de planejamento de TI que, por outro lado, apresenta falhas, visto que não foram evidenciados o alinhamento dos planos de ação com as iniciativas estratégicas nem a avaliação do PDTI. 2.2.6 - Proposta de encaminhamento: Recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência,2 de 27 25/5/2011 13:14
  3. 3. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... aperfeiçoe o processo de planejamento de Planejamento Estratégico de TI, observando as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI. 2.3 - Inexistência de comitê de TI 2.3.1 - Situação encontrada: O representante da entidade declarou que a alta Administração não designou formalmente um comitê de TI para auxiliá-la nas decisões relativas à gestão e ao uso corporativos de TI. 2.3.2 - Efeitos/Consequências do achado: a) sobreposição de ações de TI por parte das áreas de negócio que integrariam o comitê de TI (efeito potencial); b) priorização inadequada das ações de TI devido à ausência da participação das áreas de negócio da instituição (efeito potencial). 2.3.3 - Critérios: a) Constituição Federal, art. 37, caput; b) IN - SLTI/MP 4/2008, art. 4º, inciso IV; c) Norma Técnica - ITGI - Cobit 4.1, PO4.3 - Comitê diretor de TI; d) Norma Técnica - ITGI - Cobit 4.1, PO4.2 - Comitê estratégico de TI; 2.3.4 - Evidências: a) resposta ao item 1.1 do Questionário PerfilGovTI-2010 (fl. 6); b) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 3.1 do Anexo I ao Ofício - Sefti 91/2010 (fl. 12). 2.3.5 - Conclusão da equipe: A alta administração da instituição não designou formalmente um Comitê de TI para auxiliá-la nas decisões relativas à gestão e ao uso corporativos de TI. 2.3.6 - Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Dnit que, em atenção ao disposto na IN - SLTI/MP 4/2008, art. 4º, IV, implante Comitê de Tecnologia da Informação que envolva as diversas áreas da Autarquia, que se responsabilize por alinhar os investimentos de Tecnologia da Informação com os objetivos institucionais e apoiar a priorização de projetos a serem implantados, considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor de TI. 2.4 - Inexistência de avaliação do quadro de pessoal de TI 2.4.1 - Situação encontrada: A partir da análise da resposta ao item 3.6 do Ofício - TCU/Sefti 91/2001, foi solicitada uma entrevista com a CGMI, em que se questionou de que maneira a CGMI acompanha a adequabilidade da estrutura de TI do órgão. O coordenador-geral de Modernização e Informática afirmou que, embora haja grande insuficiência de profissionais de TI em sua instituição, não há estudos que embasem essa conclusão. Informou que a Autarquia tem perdido profissionais de TI, que frequentemente são aprovados em concursos públicos em outros órgãos e se desligam do Dnit. Por último, reiterou que, para que a CGMI consiga se responsabilizar por fornecer serviços de TI ao Dnit, é necessário que exista, além de uma infraestrutura física, de hardware e de software, uma política de pessoal de TI que estabeleça uma carreira própria com remuneração compatível com o mercado e com as atribuições, de modo a tentar mitigar os riscos atuais de turnover dos profissionais recém-empossados. O Diretor de Administração Financeira informou também, no âmbito de uma entrevista, que a Autarquia tem recebido alguns profissionais de TI que foram demitidos à época do Plano Collor e que foram reintegrados ao serviço público. O gestor comentou que, embora de muita utilidade para o órgão, esses servidores necessitam ser treinados em novas tecnologias de modo a terem suas competências atualizadas com as necessidades de mercado. 2.4.2 - Efeitos/Consequências do achado: a) dependência do serviço de empresas terceirizadas (efeito potencial); b) recursos humanos de TI insuficientes para atender às necessidades do negócio (efeito potencial); c) falta de competências apropriadas na área de TI (efeito potencial). 2.4.3 - Critérios: a) Decreto 5.707/2006, art. 1º, inciso III; b) Norma Técnica - ITGI - Cobit 4.1, PO4.12 - Pessoal de TI.3 de 27 25/5/2011 13:14
  4. 4. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... 2.4.4 - Evidências: Resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 3.6 do Anexo I ao Ofício - Sefti 91/2010 (fl. 12). 2.4.5 - Conclusão da equipe: Embora possa haver deficiência no quadro de servidores para a CGMI do Dnit, não há na Autarquia estudos quantitativos e qualitativos que comprovem que a estrutura de pessoal da CGMI do Dnit é insuficiente. 2.4.6 - Proposta de encaminhamento: Recomendar ao Dnit que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), e ao Decreto 5.707/2006, art. 1º, inciso III, elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI. 2.5 - Inexistência de processo de software 2.5.1 - Situação encontrada: O representante da entidade declarou que não existe processo de software. 2.5.2 - Efeitos/Consequências do achado: a) deficiência no processo de contratação, decorrente da inexistência de metodologia que assegure boa contratação de desenvolvimento de sistemas (efeito potencial); b) inexistência de parâmetros de aferição de qualidade para contratação de desenvolvimento de sistemas (efeito potencial). 2.5.3 - Critérios: a) IN - SLTI/MP 4/2008, art. 12, inciso II; b) Lei 8.666/1993, art. 6º, inciso IX; c) Norma Técnica - ITGI - Cobit 4.1, PO8.3 - Padrões de desenvolvimento e de aquisições. 2.5.4 - Evidências: a) resposta ao item 7.3 do Questionário PerfilGovTI-2010 (fl. 7-v); b) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 5 do Anexo I ao Ofício - Sefti 91/2010 (fl. 12). 2.5.5 - Conclusão da equipe: A instituição não possui um processo de software que dê suporte ao desenvolvimento e à aquisição de produtos de software por parte da Autarquia. 2.5.6 - Propostas de encaminhamento: a) determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Dnit que, em atenção ao disposto na Lei 8.666/1993, art. 6º, inc. IX, e às disposições contidas na IN - SLTI/MP 4/2008, art. 12, II, defina um processo de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de software, vinculando o contrato com o processo de software, sem o qual o objeto não estará precisamente definido; b) recomendar ao Dnit que, quando do estabelecimento de seu processo de software, considere as Normas NBR ISO/IEC 12207 e 15504. 2.6 - Inexistência de processo de gerenciamento de projetos. 2.6.1 - Situação encontrada: O representante da entidade declarou que não pratica o gerenciamento de projetos. 2.6.2 - Efeito/Consequência do achado: a) risco de insucesso de projetos relevantes, pela falta de estrutura de gestão de projetos (efeito potencial). 2.6.3 - Critério: a) Norma Técnica - ITGI - Cobit 4.1, PO10.2 - Estrutura de gerência de projetos. 2.6.4 - Evidências: a) resposta ao item 7.4 do Questionário PerfilGovTI-2010 (fl. 7); b) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 6 do Anexo I ao Ofício - Sefti 91/2010 (fl. 12). 2.6.5 - Conclusão da equipe: a) a instituição não pratica o gerenciamento de projetos.4 de 27 25/5/2011 13:14
  5. 5. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... 2.6.6 - Proposta de encaminhamento: Recomendar ao Dnit que implante uma estrutura formal de gerência de projetos, observando as orientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos e do PmBok, dentre outras boas práticas de mercado. 2.7 - Inexistência do processo de gestão de incidentes 2.7.1 - Situação encontrada: O representante da entidade declarou que não implementou processo de gestão de incidentes. 2.7.2 - Efeitos/Consequências do achado: a) ocorrência de incidentes sem o devido gerenciamento (efeito potencial); b) paralisação dos serviços de TI (efeito potencial); c) paralisação das atividades da organização (efeito potencial). 2.7.3 - Critérios: a) Constituição Federal, art. 37, caput; b) Norma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar a central de serviços e incidentes. 2.7.4 - Evidências: a) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 7 do Anexo I ao Ofício - Sefti 91/2010 (fl. 12); b) resposta ao item 7.6 do Questionário PerfilGovTI-2010 (fl. 8). 2.7.5 - Conclusão da equipe: A instituição não implementou um processo de gestão de incidentes, referente a serviços de TI. 2.7.6 - Proposta de encaminhamento: Recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência, implemente processo de gestão de incidentes de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a Central de Serviços e Incidentes e de outras boas práticas de mercado (como a NBR 20.000 e a NBR 27.002). 2.8 - Inexistência do processo de gestão de configuração 2.8.1 - Situação encontrada: O representante da entidade declarou que não implementou processo de gestão de configuração. 2.8.2 - Efeito/Consequência do achado: a) desatualização ou deficiência da configuração de TI (efeito potencial). 2.8.3 - Critério: a) Norma Técnica - ITGI - Cobit 4.1, DS9 - Gerenciar Configurações. 2.8.4 - Evidências: a) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 7 do Anexo I ao Ofício - Sefti 91/2010 (fl. 12); b) resposta ao item 7.6 do Questionário PerfilGovTI-2010 (fl. 8). 2.8.5 - Conclusão da equipe: A instituição não implementou um processo de gestão da configuração, referente a serviços de TI. 2.8.6 - Proposta de encaminhamento: Recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência, implemente processo de gestão de configuração de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração. 2.9 - Inexistência do processo de gestão de mudanças 2.9.1 - Situação encontrada: O representante da entidade declarou que não implementou processo de gestão de mudanças. 2.9.2 - Efeitos/Consequências do achado: a) não avaliação do impacto de eventuais mudanças (efeito potencial); b) solicitações de mudanças não controladas (efeito potencial). 2.9.3 - Critérios: a) Norma Técnica - ITGI - Cobit 4.1, AI6 - Gerenciar mudanças;5 de 27 25/5/2011 13:14
  6. 6. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... b) Norma Técnica - NBR - ISO/IEC 27002, 12.5.1 - Procedimentos para controle de mudanças. 2.9.4 - Evidências: a) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 7 do Anexo I ao Ofício - Sefti 91/2010 (fl. 12); b) resposta ao item 7.6 do Questionário PerfilGovTI-2010 (fl. 8). 2.9.5 - Conclusão da equipe: A instituição não executa um processo de gestão de mudanças e, em decorrência, não constituiu comitê técnico de gestão de mudanças. 2.9.6 - Proposta de encaminhamento: Recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência, estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 27002, à semelhança das orientações contidas no Cobit 4.1, processo AI6 - Gerenciar mudanças. 2.10 - Inexistência de Comitê de Segurança da Informação e Comunicações 2.10.1 - Situação encontrada: O representante da entidade declarou, em resposta ao Ofício de Requisição 05-472/2010 (fl. 176), que não instituiu Comitê de Segurança da Informação e Comunicações (fl. 178). 2.10.2 - Efeito/Consequência do achado: a) não otimização das ações de segurança da informação (efeito potencial). 2.10.3 - Critérios: a) IN - GSI/PR 1/2008, art. 5º, inciso VI; b) Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3; c) Norma Técnica - NBR - ISO/IEC 27002, item 6.1.2 - Coordenação de segurança da informação. 2.10.4 - Evidências: a) Memorando - CGMI/DAF 314/2010 (fls. 177-178). 2.10.5 - Conclusão da equipe: Não há Comitê de Segurança da Informação e Comunicações instituído no Dnit. 2.10.6 - Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Dnit que, em atenção ao disposto na IN - GSI/PR 1/2008, art. 5º, VI c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item 6.1.2 - Coordenação de segurança da informação. 2.11 - Inexistência de Gestor de Segurança da Informação e Comunicações 2.11.1 - Situação encontrada: O representante da entidade declarou, em resposta ao Ofício de Requisição 05-472/2010 (fl. 176), que não indicou gestor de Segurança da Informação e Comunicações (fl. 178). 2.11.2 - Efeito/Consequência do achado: a) não otimização das ações de segurança da informação (efeito potencial). 2.11.3 - Critérios: b) IN - GSI/PR 1/2008, art. 5º, inciso IV; art. 7º; c) Norma Complementar 03/IN01/DSIC/GSIPR 3, item 5.3.7.2; d) Norma Técnica - NBR - ISO/IEC 27002, 6.1.3 - Atribuição de responsabilidade para segurança da informação. 2.11.4 - Evidências: a) Memorando - CGMI/DAF 314/2010 (fls. 177-178). 2.11.5 - Conclusão da equipe: Não há nomeação de gestor de Segurança da Informação e Comunicações no Dnit. 2.11.6 - Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Dnit que, em atenção ao disposto na IN - GSI/PR 1/2008, art. 5º, IV e art. 7º, c/c Norma Complementar 03/IN01 /DSIC/GSIPR, item 5.3.7.2, nomeie gestor de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item 6.1.3 - Atribuição de6 de 27 25/5/2011 13:14
  7. 7. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... responsabilidade para segurança da informação. 2.12 - Inexistência de equipe de tratamento e resposta a incidentes em redes computacionais (ETRI). 2.12.1 - Situação encontrada: O representante da entidade declarou, em resposta ao Ofício de Requisição 05-472/2010 (fl. 176), que não instituiu equipe de tratamento e resposta a incidentes em redes computacionais (fl. 178). 2.12.2 - Efeito/Consequência do achado: a) falhas relativas às notificações e às atividades relacionadas a incidentes de segurança em redes de computadores (efeito potencial). 2.12.3 - Critérios: a) IN - GSI/PR 1/2008, art. 5º, inciso V; b) Norma Complementar 05/IN01/DSIC/GSIPR; 2.12.4 - Evidência: a) Memorando - CGMI/DAF 314/2010 (fls. 177-178). 2.12.5 - Conclusão da equipe: Não há equipe de tratamento e resposta a incidentes em redes computacionais (ETRI) instituída no Dnit. 2.12.6 - Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Dnit que, em atenção ao disposto na IN - GSI/PR 1/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais, observando as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR. 2.13 - Inexistência de classificação da informação 2.13.1 - Situação encontrada: O representante da instituição declarou que não implementou formalmente processo corporativo de segurança da informação destinado a classificar a informação para o negócio. 2.13.2 - Efeito/Consequência do achado: a) risco de divulgação indevida de informação restrita (efeito potencial). 2.13.3 - Critérios: a) Decreto 4.553/2002, art. 6º, § 2º, inciso I; art. 6º, § 2º, inciso II; art. 67; b) Norma Técnica - NBR - ISO/IEC 27002, item 7.2 - Classificação da informação. 2.13.4 - Evidência: a) resposta ao item 7.1 do Questionário PerfilGovTI-2010 (fl. 7-v). 2.13.5 - Conclusão da equipe: Não existe procedimento institucional de classificação da informação. Os ativos de informação precisam ser inventariados e classificados a fim de que sejam medidos os graus de importância, a prioridade, a criticidade e sensibilidade e, em consequência, possam receber o nível adequado de proteção, considerando, inclusive, a necessidade de conceder nível adicional de proteção ou tratamento especial. Os diferentes níveis de proteção exigirão diferentes procedimentos de tratamento dos ativos, quanto aos aspectos de cópia, armazenamento, retenção, transmissão e transporte, descarte e divulgação, conforme a NBR ISO/IEC 27002, item 7. 2.13.6 - Proposta de encaminhamento: Determinar, com fulcro no art. 43, I, da Lei 8.443/1992, ao Dnit que, em atenção ao disposto no Decreto 4.553/2002, art. 6º, § 2º, inciso II, e art. 67, estabeleça critérios de classificação das informações a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observando o disposto pelo item 7.2 da NBR ISO/IEC 27002. 2.14 - Inexistência de inventário dos ativos de informação 2.14.1 - Situação encontrada: O representante da entidade declarou que não implementou formalmente o processo de segurança da informação destinado a inventariar todos os ativos de informação (e.g.: dados, hardware, software e instalações). 2.14.2 - Efeito/Consequência do achado: a) dificuldade de recuperação de ativo de informação (efeito potencial).7 de 27 25/5/2011 13:14
  8. 8. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... 2.14.3 - Critério: a) Norma Técnica - NBR - ISO/IEC 27002, item 7.1.1 - Inventário de ativos. 2.14.4 - Evidência: a) resposta ao item 7.1 do Questionário PerfilGovTI-2010 (fl. 7v). 2.14.5 - Conclusão da equipe: A instituição não executa procedimentos de inventário de ativos de informação. 2.14.6 - Proposta de encaminhamento: Determinar ao Dnit que, em atenção ao disposto na Norma Complementar 04/IN 01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando as práticas contidas no item 7.1.1 da NBR ISO/IEC 27002. 2.15 - Inexistência de processo de gestão de riscos de segurança da informação (GRSIC) 2.15.1 - Situação encontrada: O representante da entidade declarou que não analisa os riscos aos quais a informação crítica para o negócio está submetida, considerando, pelo menos, confidencialidade, integridade e disponibilidade. 2.15.2 - Efeito/Consequência do achado: a) desconhecimento das ameaças e dos respectivos impactos relacionados à segurança da informação (efeito potencial). 2.15.3 - Critérios: a) IN - GSI/PR 1/2008, art. 5º, inciso VII; b) Norma Complementar 04/IN01/DSIC/GSIPR. 2.15.4 - Evidência: a) resposta ao item 7.1 do Questionário PerfilGovTI-2010 (fl. 7-v). 2.15.5 - Conclusão da equipe: A instituição não executa procedimentos de gestão de riscos da informação, não tendo implementado, portanto, um processo de gestão de riscos de segurança da informação (GRSIC). 2.15.6 - Proposta de encaminhamento: Determinar ao Dnit que, em atenção ao disposto na Instrução Normativa - GSI/PR 1/2008, art. 5º, VII, implemente processo de gestão de riscos de segurança da informação, observando as práticas contidas na Norma Complementar 04/IN01/DSIC/GSIPR. 2.16 - Inexistência de plano anual de capacitação 2.16.1 - Situação encontrada: O representante da entidade declarou que não há plano anual de capacitação. 2.16.2 - Efeito/Consequência do achado: a) desatualização do quadro de pessoal da área de Tecnologia da Informação (efeito potencial). 2.16.3 - Critérios: a) Decreto 5.707/2006, art. 5º, § 2º; b) Norma Técnica - ITGI - Cobit 4.1, PO7.2 - Competências Pessoais; c) Norma Técnica - ITGI - Cobit 4.1, PO7.4 - Treinamento do Pessoal; d) Portaria MP nº 208/2006, art. 2º, I e art. 4º 2.16.4 - Evidência: a) resposta ao item 6.3 do Questionário PerfilGovTI-2010 (fl. 7v). 2.16.5 - Conclusão da equipe: Não há plano anual de capacitação e em consequência não há plano institucional de capacitação que contemple a área de gestão de TI. 2.16.6 - Proposta de encaminhamento: Determinar ao Dnit que, em atenção às disposições contidas no Decreto nº 5.707/2006, art. 5º, 2º, c/c Portaria MP nº 208/2006, art. 2º, I e art. 4º, elabore Plano Anual de Capacitação para a instituição. Recomendar ao Dnit que, quando elaborar o Plano Anual de Capacitação, contemple ações de capacitação voltadas para a gestão de tecnologia da informação, observando as práticas contidas no Cobit 4.1, processos PO7.2 - Competências Pessoais e PO7.4 - Treinamento do Pessoal.8 de 27 25/5/2011 13:14
  9. 9. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... 2.17 - Inexistência de avaliação da gestão de TI 2.17.1 - Situação encontrada: O representante da entidade declarou que não estabeleceu objetivos de desempenho de gestão e uso de TI na Autarquia, e também que não estabeleceu indicadores de desempenho de gestão e uso corporativos de TI. 2.17.2 - Efeitos/Consequências do achado: a) impossibilidade de verificação de possibilidades de melhoria (efeito potencial); b) decisões gerenciais baseadas em informações incompletas ou errôneas (efeito potencial); c) problemas não identificados nos serviços de TI (efeito potencial). 2.17.3 - Critérios: a) Norma Técnica - ITGI - Cobit 4.1, ME1.5 - Relatórios gerenciais; b) Norma Técnica - ITGI - Cobit 4.1, ME1.4 - Avaliar o desempenho; c) Norma Técnica - ITGI - Cobit 4.1, ME1.6 - Ações corretivas. 2.17.4 - Evidências: a) resposta do Dnit, contida no Ofício - 2010/AUDINT/Dnit 185 (fl. 12) ao questionamento 9 do Anexo I ao Ofício - Sefti 91/2010 (fl. 22); b) resposta ao item 1.2 do Questionário PerfilGovTI-2010 (fl. 8). 2.17.5 - Conclusão da equipe: O órgão não estabeleceu objetivos de desempenho de gestão e uso de TI na Autarquia, o que o impossibilita de avaliar o desempenho de TI, e não possui indicadores de desempenho de gestão e uso corporativos de TI, configurando a inexistência de avaliação da gestão de TI. 2.17.6 - Proposta de encaminhamento: Recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência, estabeleça um processo de avaliação da gestão de TI, observando as orientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 - Relatórios gerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controles internos. 2.18 - Auditoria interna não apoia avaliação da TI 2.18.1 - Situação encontrada: A autarquia declarou não ter realizado auditoria de TI por iniciativa da própria instituição nos últimos 3 anos. 2.18.2 - Efeito/Consequência do achado: a) deficiências na governança de TI, gestão de riscos e nos controles internos (efeito real, como evidenciado nos achados da auditoria). 2.18.3 - Critério: a) Norma Técnica - ITGI - Cobit 4.1, E2 - Monitorar e avaliar os controles internos. 2.18.4 - Evidências: a) resposta do Dnit, contida no Ofício - AUDINT/Dnit 185/2010 (fl. 12), ao questionamento 9 do Anexo I ao Ofício - Sefti 91/2010 (fl. 22). b) resposta ao item 1.4 do Questionário PerfilGovTI-2010 (fl. 6-v). 2.18.5 - Conclusão da equipe: A Autarquia não realizou auditoria de TI por iniciativa própria nos últimos três anos. 2.18.6 - Proposta de encaminhamento: Recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência, promova ações para que a auditoria interna apoie a avaliação da TI, observando as orientações contidas no Cobit 4.1, ME2 - Monitorar e avaliar os controles internos. 2.19 - Inexistência dos estudos técnicos preliminares 2.19.1 - Situação encontrada: O projeto básico que resultou no Contrato 265/2006-00, o qual contempla serviços de tecnologia da informação a serem prestados pelo Serpro, contém somente justificativas para a contratação do Serpro realizada em contratação anterior (de 2004). Na ocasião, o Dnit saiu de uma situação em que um conjunto de empresas terceirizadas prestava os serviços de TI (até 2004), e contratou o Serpro para atender a todas as necessidades da entidade. Em 2006, o Dnit contratou novamente o Serpro por dispensa de licitação, apresentando as mesmas justificativas para a contratação anterior, de 2004 (item 2, p. 11, do arquivo "Contrato Dnit - SERPRO9 de 27 25/5/2011 13:14
  10. 10. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... 265-2006.pdf", constante do CD à fl. 19). Assim, não há referência direta à justificativa da necessidade dos serviços para a contratação de 2006, embora tenham sido citados, no processo de contratação, alguns pontos, como impossibilidade de a estrutura de TI do Dnit absorver as necessidades da área e diminuição do risco relativo à continuidade da prestação dos serviços com a manutenção do contrato com o Serpro. Com relação ao dimensionamento dos serviços, verificou-se a existência de conflitos na definição da quantidade de serviços contratada (contrato assinado pela DAF) e a quantidade sugerida pelos técnicos da CGMI, para o caso das horas de consultoria (CGMI sugeriu 1.000 horas, e o contrato foi assinado com 2.394 horas, conforme fl. 70). Ademais, não há no processo memória de cálculo que justifique a quantidade de serviço a ser contratada. Os serviços contratados foram (fl. 75): a) consultoria técnica - projeto básico de redes locais (2.394 h); b) desenvolvimento de sistemas (5.376 homens-dia); c) manutenção de sistemas (2.600 homens-dia); d) gestão de serviços - infovia (doze meses); e) produção em TIC - plataforma alta (doze meses); f) produção em TIC - plataforma baixa (doze meses); g) gestão de rede de longa distância (doze meses); h) administração de ambiente de TIC (1.233 estações de trabalho). Não consta do processo uma demonstração direta dos resultados a serem alcançados com a contratação, em termos de economicidade e melhor aproveitamento de recursos, embora haja excertos que tratem dos benefícios advindos da contratação com o Serpro. 2.19.2 -Consequências do achado: a) risco da ocorrência de aquisições ou contratações que não atendam à necessidade da entidade (efeito potencial). b) falhas no termo de referência ou projeto básico (efeito real, como relatado no achado "Irregularidades na contratação"). 2.19.3 - Critério: a) Lei 8.666/1993, art. 6º, inciso IX. 2.19.4 - Evidências: item 2, p. 11, do arquivo "Contrato Dnit - SERPRO 265-2006.pdf", constante do CD à fl. 19. 2.19.5 - Conclusão da equipe: Embora o processo mencione alguns elementos que se relacionam com a necessidade de prestação de serviços de TI, não constam, do processo de contratação ou do projeto básico, referência direta à justificativa da necessidade dos serviços, elemento essencial para a fundamentação da contratação. Não constam também justificativas quanto à quantidade de serviço a ser contratada nem uma demonstração direta dos resultados a serem alcançados com a contratação, em termos de economicidade e melhor aproveitamento de recursos. A elaboração do projeto básico deveria ter sido baseada em estudos técnicos preliminares, conforme preconiza a Lei 8.666/1993, em seu art. 6º, inciso IX. Os estudos técnicos preliminares devem trazer elementos que evidenciem viabilidade técnica e possibilitem a avaliação do custo contratual, dentre outros. Como o conteúdo esperado dos estudos técnicos preliminares estão previstos na etapa de Análise da Viabilidade da Contratação, definida pelo art. 10 da IN - SLTI/MP 4/2008, opta-se pelo encaminhamento de recomendar que o Dnit estabeleça controles que garantam a produção dos artefatos previstos na referida instrução normativa, no âmbito de seus processos de contratação de serviços de TI, já que não foi possível testar os referidos controles, pois a contratação dos serviços de TI foi feita anteriormente à homologação da multicidada instrução normativa. 2.19.6 - Propostas de encaminhamento: a) recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência, implemente controles que promovam o cumprimento do processo de planejamento previsto na IN - MP/SLTI 4/2008; b) alertar o Dnit quanto à ausência de estudos técnicos preliminares no processo10 de 27 25/5/2011 13:14
  11. 11. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... referente ao Contrato 265/2006-00, decorrente do descumprimento do inciso IX, art. 6º, da Lei 8.666/1993. 2.20 - Irregularidades na contratação 2.20.1 - Situação encontrada: Foram realizados testes substantivos no Contrato 265/2006-00, com o objetivo de avaliar a aderência do procedimento licitatório adotado com a legislação, e constatadas impropriedades a seguir. a) Não divisibilidade do objeto, estando presentes a viabilidade técnica e econômica. Inicialmente, observa-se que a CGMI do Dnit considerou que os serviços presentes no objeto do contrato são divisíveis, quando aconselhou a contratação do desenvolvimento de sistemas por meio de empresas do mercado, a preços menores, conforme parecer emitido antes da contratação (fls. 70-72). O fato de as métricas utilizadas para cada um dos serviços contratados serem diferentes demonstra cabalmente que os trabalhos a serem executados também têm natureza distinta. Além disso, não consta dos autos informação que justifique a inviabilidade técnica e econômica de subdividir o objeto, conforme requer o art. 23, §§1º e 2º da Lei 8.666/1993. b) Análise de mercado insuficiente. O Serpro apresentou valores globais das propostas que variaram entre aproximadamente R$ 40,4 milhões em agosto de 2006 (fl. 68) e R$ 34,6 milhões em setembro de 2006 (fl. 73) para o mesmo objeto, expondo uma diferença de 15% entre as cotações. O valor contratado foi de R$ 31,9 milhões (fl. 75), com alteração na quantidade dos serviços previstos nas propostas comerciais anteriores. Para a maior parte dos serviços que compõem o objeto, a proposta comercial da contratada é a única fonte considerada para a estimativa de preços, exceção feita aos serviços de desenvolvimento de sistemas, administração da rede e rede de longa distância, estimados pela CGMI e cuja fonte não consta dos autos. Em todos os casos, os valores obtidos por pesquisa de preços efetuada pela CGMI diferem consideravelmente daqueles presentes nas propostas comerciais do Serpro e do próprio valor contratado (fls. 70-72, fl. 77). Não constam do processo informações sobre a estimativa de preços para todos os serviços contratados, na forma que preconiza o item 9.1.6 do Acórdão 2.471/2008-Plenário. c) Forma de pagamento prevista em contrato não vinculada a resultados obtidos. Existem três serviços contratados que utilizaram métricas cuja sistemática de mensuração não está associada ao resultado esperado (desenvolvimento e manutenção de sistemas, que utiliza o indicador de homens/dia; e administração de ambiente de TIC, medido por quantidade de estações de trabalho), conforme informação presente na Cláusula Sétima e Anexo I, ambos do Contrato 265/2006-00, disponibilizado em arquivo digital pelo Dnit (p. 4 e 9 do arquivo "Contrato Dnit - SERPRO 265-2006.pdf", contido no CD à fl. 19). No caso, por exemplo, do serviço de desenvolvimento de sistemas, a proposta comercial do Serpro prevê que a unidade de medida será o homem/dia. Contudo, não há procedimento de estimativa do volume de serviços demandados, para fins de comparação e controle, ou seja, não está descrito como será estimada e medida a quantidade de homens/dia para cada serviço prestado. Em decorrência, o processo não traz um comparativo entre a quantidade de homens/dia previsto e a correspondente comparação com a quantidade efetivamente utilizada nos serviços. Já para o serviço de administração de ambientes de TIC, a proposta comercial do Serpro prevê que a unidade de medida será a quantidade de estações de trabalho da contratante, mas não há níveis de serviço vinculados ao serviço. O documento "Ateste de Prestação de Serviços" (fl. 49), constante do processo de pagamento 50600.012089/2007-41, contém o relatório de atividades relativo ao mês de novembro de 2007 (fls. 50-52), para serviços de desenvolvimento e manutenção de sistemas. O relatório contém a quantidade de horas de trabalho para cada sistema, totalizando para aquele mês 587,27 homens/dia (o número fracionário decorre da apropriação em horas de trabalho). Não há, porém, qualquer referência à memória de cálculo ou a comparativos entre as quantidades estimadas e as efetivamente prestadas, ou ainda definição de variáveis objetivas que permitissem checar o grau de conformidade com as especificações inicialmente11 de 27 25/5/2011 13:14
  12. 12. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... estabelecidas. Outro relatório de atividades (fls. 55-56), de dezembro de 2007, constante do Processo de Pagamento 50600.012099/0786, referente a serviços de desenvolvimento de sistemas, limita-se a listar as atividades de levantamento e modelagem de requisitos e desenvolvimento (como manter rodovias, manter cadastro de hidrovias, aprovar medição etc.), sem apresentar qualquer outro dado relacionado a cada atividade. Ao final o relatório apresenta a quantidade de horas totais utilizadas para todos os serviços (307,58 homens/dia). O relatório de atividades do ateste do mês de dezembro de 2009 (fl. 58), relativo aos serviços de administração de ambientes de TIC, relata que "o preço do Serpro para estes serviços é composto com base no volume de estações e serviços disponíveis em cada rede local". A planilha anexa a este relatório (fl. 59) demonstra que o cálculo do preço do serviço (no caso, para o mês de dezembro/2009) é unicamente em função da quantidade de estações por superintendência, não havendo qualquer menção a níveis de serviço solicitados e atendidos. No caso da Sede, para o referido mês, foram cobrados 215,00 X 1.152 estações, totalizando 247.680,00. Como a fatura correspondeu a vinte dias, foram cobrados dois terços deste valor, ou seja, R$ 165.120,00. d) Não definição objetiva das penalidades e fórmula de cálculo dos valores correspondentes a serem aplicados a cada caso. O Contrato 265/2006-00 possui penalidades genéricas a serem aplicadas em caso de descumprimento pelas contratadas. A Cláusula Décima Terceira do contrato (das sanções administrativas) prevê que (p. 7, do arquivo "Contrato Dnit - SERPRO 265-2006.pdf", contido no CD à fl. 19): na hipótese de descumprimento total ou parcial das obrigações contratuais assumidas (...), [deve-se] aplicar, segundo a gravidade da falta cometida", as seguintes sanções: 1. advertência; 2. multa de 0,1% ao dia, calculada sobre o valor do serviço contratado, pela recusa na prestação do serviço; 3. suspensão temporária do direito de licitar ou contratar com a Administração; 4. declaração de inidoneidade para licitar ou contratar com a Administração Pública. Contudo, não foram identificados procedimentos para graduar a sanção aplicável, não sendo possível, assim, enquadrar a sanção em cada possível caso. Como exemplo, citamos o serviço de desenvolvimento de sistemas, cujo nível de serviço previsto é que 85% dos sistemas demandados sejam concluídos no prazo acordado. Não fica claro, pelo edital e pelo contrato, qual seria a sanção devida a um suposto descumprimento deste nível de serviço (se é uma falta grave, se é uma recusa à prestação de serviço, se haverá multa ou advertência etc.). 2.20.2 - Efeito/Consequência do achado: a) risco da ocorrência de aquisições ou contratações que não atendam à necessidade do órgão (efeito potencial). 2.20.3 - Critérios: a) Acórdão 2.471/2008-Plenário, item 9.1; b) Acórdão 2.471/2008-Plenário, item 9.2; c) são também considerados critérios para este achado, de maneira geral, os dispositivos da Lei 8.666/1993. 2.20.4 - Evidências a) parece da CGMI do Dnit que considerou os serviços divisíveis e que contém pesquisa de preços (fls. 70-72); b) Cláusula Segunda, Anexo I e Cláusula Décima Terceira do Contrato 265/2006-00 (p. 2 7 e 9, do arquivo "Contrato Dnit - SERPRO 265-2006.pdf", contido no CD à fl. 19); c) Excertos dos processos de pagamentos (fls. 49-61). 2.20.5 - Conclusão da equipe: A partir dos testes substantivos realizados no processo referente ao Contrato 265/2006-00, a equipe chegou às seguintes conclusões: a) os serviços contidos no objeto são intrinsecamente distintos um do outro. Não12 de 27 25/5/2011 13:14
  13. 13. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... se pode afirmar que uma empresa que execute serviços de desenvolvimento de sistemas atue necessariamente no mesmo mercado daquela que mantém serviços de rede, por exemplo. Diante disso, verifica-se que há empresas que atuam em cada um dos mercados de maneira especializada. A divisão do objeto, quando técnica e economicamente viável, potencialmente aumenta a gama de provedores com capacidade e qualificação para prestar cada serviço, separadamente; Além disso, não consta dos autos informação que justifique a inviabilidade técnica e econômica de subdividir o objeto, conforme requer o art. 23, §§1º e 2º da Lei 8.666/1993. Tal justificativa é atribuição do condutor da contratação. b) a variação verificada nas propostas apresentadas pela contratada constitui um indício da fragilidade do processo de estimativa e definição do preço da contratação; A proposta comercial da contratada não pode ser a única fonte considerada para a estimativa de preços. Isso ocorre para a maior parte dos serviços que compõem o objeto, exceção feita aos serviços de desenvolvimento de sistemas, administração da rede e rede de longa distância, cujos preços foram estimados pela CGMI, embora a fonte de tal pesquisa de preços não conste dos autos. Em todos os casos, os valores obtidos pela CGMI diferem daqueles presentes nas propostas comerciais do Serpro e do próprio valor contratado (fls. 70-72, fl. 77). Além disso, não constam do processo informações sobre a estimativa de preços para todos os serviços contratados, bem como o método utilizado, a utilização e a indicação das diversas fontes do mercado, conforme preconiza o item 9.1.6 do Acórdão 2.471/2008-Plenário. c) os pagamentos relativos aos serviços prestados sob a égide do Contrato 43/2005 vinculam-se tão somente à quantidade de homens/dias disponibilizada (para os serviços de desenvolvimento e manutenção de sistemas) e à quantidade de estações de trabalho (para o serviço de administração de ambiente de TIC), não existindo mecanismos, como o estabelecimento de níveis de serviço ou o pagamento por resultados alcançados, que permitam forma diferente de remuneração; A remuneração realizada com base na disponibilidade de pessoal ou de equipamento pode levar ao pagamento sem a correspondente prestação de serviços, bem como à ineficiência na execução contratual. Neste contexto, cita-se trecho do voto condutor do Ministro-Relator no Acórdão 1.238/2008-Plenário, itens 12 a 14: 12. Os serviços fornecidos pela área de Tecnologia da Informação (TI) podem ser parametrizados segundo métricas e indicadores, que definem precisamente o esforço requerido e o resultado a ser alcançado, tanto do ponto de vista quantitativo, como do qualitativo. São, portanto, serviços cuja gestão pode - e deve - ser estruturada, o que pressupõe a especificação objetiva de produtos/serviços, a definição precisa de responsabilidades, o estabelecimento de custos, a identificação de riscos e a definição de métricas, indicadores e mecanismos de acompanhamento. Nesse contexto, fica bem evidente que os serviços de TI não se revestem da mesma natureza dos serviços de alocação de postos de trabalho (locação de mão-de-obra terceirizada), esses relacionados à simples colocação de pessoal à disposição da Administração e ao pagamento por horas trabalhadas. Consequentemente, não é razoável sob a perspectiva da gestão, nem vantajoso economicamente, que se adote, para serviços de TI, o mesmo modelo de pagamento de serviços aplicável à alocação de postos de trabalho, porque tal modelo não leva em consideração uma característica positiva dos serviços de TI: a possibilidade de definir objetivamente os resultados requeridos e efetuar-se o pagamento somente quando atingidos esses resultados. 13. É em decorrência das características específicas dos serviços de TI e da necessidade de solucionar os problemas peculiares a essa área que há um movimento em nível global, por parte de governos e organizações, no sentido de abandonar os modelos de contratação baseados na alocação de postos de trabalho (locação de mão-de-obra) e no pagamento de horas trabalhadas. Hoje, cada vez mais disseminadamente, vêm sendo adotados modelos de contratação em TI fundados na mensuração de esforço e resultados por otimizarem a gestão dos serviços e os respectivos custos. São exemplos de ferramentas utilizadas para esse fim a adoção da metodologia de ponto por função e os acordos de nível de serviço, contratos em que são especificados os serviços requeridos e os padrões de desempenho necessários para aceitação dos serviços.13 de 27 25/5/2011 13:14
  14. 14. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... 14. Diante dessas ponderações, entendo cabível determinar ao Mdic que evite a formulação e a implementação de modelos de contratação de serviços de tecnologia da informação baseados na alocação de postos de trabalho (locação de mão-de-obra) e no pagamento da empresa contratada com base em horas trabalhadas, uma vez que tais modelos não se ajustam às características intrínsecas dos referidos serviços (...). Assim, o Tribunal tem firmado entendimento de que as contratações de serviços de TI devem prever sistemáticas de mensuração e pagamento que privilegiem a remuneração baseada em resultados, e não com base em horas ou dias trabalhados, disponibilidade de pessoas ou quantitativo de equipamentos. d) Embora existam cláusulas relativas a penalidades no Contrato 265/2006-00, essas mostram-se genéricas e, portanto, inaplicáveis na prática. Além disso, não constam do processo procedimentos para cálculo da sanção aplicável. É importante que os contratos relativos à prestação de serviços de tecnologia da informação contenham cláusulas de penalidades específicas quanto às possíveis falhas na execução dos serviços. 2.20.6 - Proposta de encaminhamento: Alertar o Dnit quanto às seguintes impropriedades constatadas no processo de contratação referente ao Contrato 265/2006-00: a) não divisibilidade do objeto, estando presentes a viabilidade técnica e econômica, decorrente do descumprimento do art. 23, § 1º, da Lei 8.666/1993; b) análise de mercado insuficiente, não permitindo que o administrador conclua pela conveniência e oportunidade da contratação, decorrente do descumprimento do art. 6º, inciso IX, alínea "f"; art. 7º, § 2º, inciso II; art. 40, § 2º, inciso II e art. 43, inciso IV, todos da Lei 8.666/1993; c) forma de pagamento prevista em contrato não vinculada a resultados obtidos, decorrente do descumprimento do art. 3º, §1º, do Decreto 2.271/1997; d) não definição objetiva das penalidades e fórmula de cálculo dos valores correspondentes a serem aplicados a cada caso, decorrente do descumprimento do art. 55, inciso VII, da Lei 8.666/1993 c/c princípios da proporcionalidade, razoabilidade e prudência. 2.21 - Inexistência de controles que promovam a regular gestão contratual 2.22.1 - Situação encontrada: O representante da entidade declarou que não possui um processo interno formal para gerenciar as contratações de TI. O representante da entidade também declarou que não existem procedimentos internos definidos para auxílio no gerenciamento das contratações. 2.21.2 - Efeito/Consequência do achado: a) risco de ineficiência no acompanhamento da execução contratual, podendo resultar na(o) qualidade/prazo insatisfatórios de serviços e produtos entregues (efeito real, como constatado no achado "Irregularidades na gestão contratual"). 2.21.3 - Critérios: a) Norma Técnica - ITGI - Cobit 4.1, ME3.3 - Avaliar a conformidade com requisitos externos; b) Norma Técnica - ITGI - Cobit 4.1, DS2.4 - Monitorar o desempenho do fornecedor; c) Norma Técnica - ITGI - Cobit 4.1, AI5.2 - Gerir contratos com fornecedores. 2.21.4 - Evidência: a) resposta ao item 7.11 do Questionário PerfilGovTI-2010 (fl. 8v). 2.21.5 - Conclusão da equipe: Não há no Dnit um processo de gestão contratual definido de forma a assegurar uma gestão eficiente que garanta a qualidade do produto adquirido. Existem impropriedades citadas neste relatório que são decorrência dessa constatação, como, por exemplo, a não verificação do cumprimento dos acordos de níveis de serviço e a ausência da área de negócio na gestão do contrato, além das outras impropriedades relatadas no achado "irregularidades na gestão contratual". Destas considerações depreende-se que o Dnit não possui controles que promovam a regular gestão contratual. 2.21.6 - Proposta de encaminhamento: Recomendar ao Dnit que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente controles que promovam a regular gestão contratual14 de 27 25/5/2011 13:14
  15. 15. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... e que permitam identificar se todas as obrigações do contratado foram cumpridas antes do ateste do serviço. 2.22 - Irregularidades na gestão contratual 2.22.1 - Situação encontrada: Foram realizados testes substantivos no processo de execução e pagamento relativo ao Contrato 265/2006-00, com o objetivo de avaliar sua aderência à legislação, e constatadas as seguintes impropriedades: a) ausência da avaliação dos serviços, com base nos critérios previamente definidos (níveis de serviço acordados); Embora conste do projeto básico a definição de níveis de serviços para os serviços contratados (item 7, p. 44 do arquivo "Contrato Dnit - SERPRO 265-2006.pdf", constante do CD à fl. 19)não foram identificados procedimentos para verificação do cumprimento dos níveis de serviço, nem aferições ou atestes de que os resultados refletem o cumprimento dos níveis de serviço. Nos procedimentos de ateste presentes no processo de pagamento (exemplo às fls. 34-48), não constam informações sobre o cumprimento dos níveis de serviço, não sendo assim possível aferir se os mesmos foram atendidos. As amostras de ordens de serviços encaminhadas à equipe de fiscalização (denominadas "Controle de Demandas" no Dnit, fls. 113-126) não apresentam informações sobre o andamento ou cumprimento dos níveis de serviço. Ao analisar a amostra de processo de pagamento encaminhada pelo Dnit, observou-se a seguinte sequência de etapas para o ateste dos serviços (as datas corespondem aos documentos da amostra): 1. a CGMI solicita à Coordenação de Infraestrutura que aprecie, para fins de ateste, os serviços constantes do "relatório de atividades referente ao mês de janeiro/2010" (em 26/1/2010) - fl. 35; 2. a Coordenação de Infraestrutura informa que os relatórios de prestação de serviços encontram-se "de acordo" com relação à Infovia, às velocidades dos links WAN e com as faixas de estações praticadas - suporte técnico em informática (em 29/1/2010) - fl. 36; 3. a CGMI, diante do ateste da Coordenação de Infraestrutura, solicita ao fiscal do contrato que ateste os serviços executados (em 28/1/2010) - fl. 37; 4. o fiscal do contrato confirma a prestação dos serviços, em documento denominado "ateste de prestação de serviços", elaborado pela contratada (em 29/1/2010) - fl. 34; 5. a contratada (Serpro) encaminha as faturas e notas fiscais para a Diretoria de Administração e Finanças - DAF (em 9/2/2010) - fl. 38; 6. a DAF encaminha as faturas e notas fiscais ao fiscal do contrato e à CGMI (em 12/2/2010) - fl. 39; 7. o fiscal do contrato atesta a nota fiscal, a qual foi emitida em 29/1/2010 - fl. 41; 8. a CGMI retorna o processo à DAF (em 22/2/2010) - fl. 42; 9. a DAF encaminha os autos para a Coordenação de Finanças para exame e pagamento (em 24/2/2010) - fl. 43. No caso da amostra analisada, verificou-se que o "relatório de atividades referente ao mês de janeiro/2010" não consta do processo. Assim, não há informação suficientemente detalhada dos serviços quando o processo é encaminhado pela CGMI para ateste, de maneira a possibilitar a conferência entre o produto requerido e o entregue. Esta insuficiência de informações foi também verificada em outras amostras de processo de pagamento. Pelo Ofício - CGMI/DAF 198ª/2007, de 3/9/2007 (fl. 60), a CGMI solicita ao Serpro que, com o objetivo de assegurar o processo de ateste e aferição dos serviços prestados, elabore relatório de atividades referente às faturas encaminhadas para pagamento, conforme planilha anexa. A planilha contém informações relativas aos meses de fevereiro a agosto de 2007. Isso significa que, naquele período, a contratada não havia elaborado os relatórios de atividades, os quais são essenciais para o processo de ateste. b) inexistência de designação formal de preposto; Não foi constatado, na análise do processo do Contrato 265/2006-00, a designação formal de preposto pela contratada.15 de 27 25/5/2011 13:14
  16. 16. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... c) inadequação das justificativas que fundamentam a regularidade da prorrogação do contrato; O Contrato 265/2006-00 teve vigência até o dia 9/11/2007. O contrato em questão teve sua duração prorrogada por meio de cinco termos aditivos. O primeiro termo prorrogou o contrato até 8/11/2008. O segundo termo aditivo prorrogou até o dia 8/11/2009. No terceiro, quarto e quinto termos aditivos, a prorrogação do contrato se deu por um período de sessenta dias, estabelecendo como data final de vigência o dia 8/5/2010. Consta dos autos pareceres da Procuradoria da Autarquia em relação a alguns aditivos. A manifestação da Procuradoria referente ao segundo termo aditivo do contrato (fls. 90-99) levanta uma série de questões associadas à legalidade da avença. Entre elas: a) no item 17, a Procuradora registra a "inviabilidade da prorrogação com fundamento no art. 57, inciso IV da Lei n 8.666/93" (fl. 92), em virtude de o objeto do contrato não se tratar apenas de serviços de natureza continuada; b) no item 26, a Procuradora registra que não foi juntado aos autos comprovante de que foi realizada uma pesquisa de preços no mercado, demonstrando que os preços exigidos pela contratada são mais benéficos para a Administração (fl. 95). A Procuradora sugere a realização de um procedimento seletivo simplificado, de modo a comparar os preços de mercado aos previstos na avença; c) no item 28, a Procuradora registra que a autoridade competente deveria ter autorizado previamente a prorrogação contratual nos termos do art. 57, § 2º da Lei 8.666/1993. Em sua conclusão, a Procuradora opina "pela celebração de um novo contrato oriundo de dispensa de licitação ou de realização de licitação, a depender do que for mais benéfico à Administração, no que tange á eficiência dos serviços prestados e á economicidade" (fl. 98, item 35-b). Outro parecer referente ao termo aditivo em questão foi acostado aos autos, este aprovado pelo Procurador-Chefe (fls. 100-101), ressalvando que a Administração deve esclarecer se parte do rol dos serviços autorizam a sua classificação como serviços de natureza continuada para fins de enquadramento no art. 57, inciso IV da Lei 8.666/1993. Esse parecer não menciona a necessidade de realização de uma pesquisa de preços de mercado, como fora apontado pela Procuradora, e entende ser possível a prorrogação caso superadas as ressalvas constantes do parecer da Procuradora e dele próprio. Não consta dos autos informações que evidenciem que as providências foram tomadas pela Administração. No ato de assinatura do terceiro termo aditivo, a Procuradoria Federal foi acionada para análise do termo (fls. 107-109). O parecer destaca que, nos termos da ordem de serviço DG/02/2009, as minutas acerca da prorrogação contratual devem ser submetidas à apreciação da Procuradoria no prazo mínimo de trinta dias, fato este que não ocorreu no caso em questão. Ademais, o parecer informa que o processo foi remetido à procuradoria somente em 11/11/2009, após o término da vigência do contrato, em 8/11/2009 (fl. 108). O parecer registra ainda que "em caso de inobservância deste prazo mínimo de 30 dias, tal como ocorrido nos presentes autos, a eventual perda de prazo de vigência dos contratos e convênios acarretará a responsabilidade funcional e administrativa de quem lhes deu causa, apuradas mediante processo administrativo disciplinar (art. 2º, OS DG/02/2009)". Diante disso, observa-se para o caso do terceiro termo aditivo uma irregularidade no processo de solicitação de parecer à procuradoria responsável. Ao analisar o processo de contratação, especialmente quanto aos termos aditivos do Contrato 265/2006-00, não foi encontrado nos autos qualquer tipo de estudo ou justificativas que fundamentam a regularidade da prorrogação do contrato, especialmente aqueles solicitados pela procuradoria responsável (pesquisa de preços de mercado e autorização prévia da autoridade competente). d) não execução de serviços previstos no contrato. Consta do Contrato 265/2006-00 uma lista de serviços a serem prestados pela contratada. Dentre eles, a equipe de auditoria solicitou, por meio do Ofício 02-472/2010 (fl. 25), evidências que comprovassem a existência de alguns produtos previstos no termo de referência: 1) consultoria para elaboração e homologação do projeto elétrico lógico e físico, previsto no item 5.1.3 do termo de referência;16 de 27 25/5/2011 13:14
  17. 17. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... 2) relatórios previstos no item 5.6.7 do termo de referência, para o ano de 2010; 3) relatório da análise forense computacional, previsto no item 5.1.5 do termo de referência; 4) comprovantes de homologação dos sistemas recebidos pela contratada em 2010; 5) relatórios mensais de execução, de acordo com os marcos previamente estabelecidos, previstos no item 9 da cláusula quarta do contrato. As respostas do gestor para cada um dos itens solicitados foram as seguintes: 1) não foi aberta nenhuma demanda do serviço de consultoria técnica na vigência do contrato, incluída a "consultoria para elaboração e homologação do projeto elétrico lógico e físico" (Memorando - CGMI/DAF/Dnit 192/2010, à fl. 111); 2) os relatórios previstos no item 5.6.7 do termo de referência estão consolidados nos relatórios mensais (Memorando - CGMI/DAF/Dnit 213/2010, à fl. 139); 3) não houve demanda para o relatório de "análise forense computacional" durante a vigência do contrato (Memorando - CGMI/DAF/Dnit 213/2010, à fl. 139); 4) a homologação dos sistemas é realizada pela homologação de casos de uso e regras de negócio; quanto à manutenção de sistemas, a homologação é realizada via sistema de demandas (Memorando - CGMI/DAF/Dnit 213/2010, à fl. 139); 5) em anexo, enviou o relatório mensal de atividades referentes ao mês de abril de 2010 (fls. 140-164). Tratando especificamente do serviço de consultoria para elaboração e homologação do projeto elétrico lógico e físico, o item 3.2 do Anexo II do novo contrato firmado entre o Dnit e o Serpro em 8/5/2010 previu, dentre os serviços de consultoria a serem executados, a "elaboração de projeto elétrico e lógico", nos moldes do item a supracitado. Causa estranheza que o serviço ora analisado não tivesse sido executado durante toda a vigência do contrato anterior (quase quatro anos) e continue constando do rol dos serviços a serem prestados pelo Serpro. De maneira análoga, há outros serviços de consultoria previstos no contrato inicial, não executados durante sua vigência, e presentes no contrato ora vigente, assinado em 8/5/2010, tais como: i) sistematização de processos em ambientes de TI; ii) consultoria em redes locais e iii) suporte à segurança (idêntico à seção "análise de riscos"). Em relação aos comprovantes de homologação dos sistemas recebidos pela contratada em 2010 (item d supracitado), não foi enviado à equipe de auditoria documentos que evidenciassem a mencionada homologação de casos de uso e regras de negócio. Quanto aos relatórios mensais de execução, solicitados no período de 2009 e 2010, foi enviado à equipe de auditoria uma amostra de relatório, e não os relatórios relativos a todo o período solicitado. No que se refere aos relatórios previstos no item 5.6.7 do termo de referência (relatório semanal de ocorrências, a ser disponibilizado via browser - WEB -, fornecendo os dados históricos de todas as falhas ocorridas), o gestor afirma que o mesmo consta do relatório mensal de atividades (fl. 139). Constata-se, neste caso, que o relatório exigido em contrato e o relatório mensal devem possuir conteúdo e formas de acesso distintos, já que o relatório semanal deve trazer os dados históricos de todas as falhas ocorridas semanalmente, e ser disponibilizado via WEB. Mesmo se ambos pudessem ser adequadamente combinados, registra-se que o gestor não enviou todos os relatórios para os períodos requeridos pela equipe de auditoria (2009 e 2010). 2.22.2 - Efeitos/Consequências do achado: a) serviços em desacordo com o contratado (efeito real), pois não estão sendo produzidos artefatos previstos em contrato; b) pagamentos sem que tenham sido produzidos os resultados esperados (efeito potencial). 2.22.3 - Critério: a) Lei 8.666/1993, art. 66. 2.22.4 - Evidências: a) Memorando - CGMI/DAF/Dnit 192/2010, à fl. 111 b) Memorando - CGMI/DAF/Dnit 213/2010, à fl. 139 2.22.4 - Conclusão da equipe: A partir dos testes substantivos realizados no processo de execução e pagamento17 de 27 25/5/2011 13:14

×