Acordao Legado 72671

GRUPO I CLASSE V Plenrio
TC-008.380/2007-1 (com 9 anexos)

Natureza: Levantamento de Auditoria
rgo: Diversos rgos e entidades da Administrao Pblica Federal
Interessado: Tribunal de Contas da Unio
Advogado constitudo nos autos: no h
Sumrio: LEVANTAMENTO DE AUDITORIA. SITUAO DA
GOVERNANA DE TECNOLOGIA DA INFORMAO TI NA
ADMINISTRAO PBLICA FEDERAL. AUSNCIA DE
PLANEJAMENTO
ESTRATGICO
INSTITUCIONAL.
DEFICINCIA NA ESTRUTURA DE PESSOAL. TRATAMENTO
INADEQUADO CONFIDENCIALIDADE, INTEGRIDADE E
DISPONIBILIDADE DAS INFORMAES. RECOMENDAES.
Reproduzo, no essencial, o Relatrio da equipe da Secretaria de Fiscalizao de Tecnologia
da Informao Sefti encarregada dos trabalhos, com cujas concluses manifestaram-se de acordo a
Diretora e o Secretrio:
2. Introduo
1.
Este levantamento foi autorizado pelo Acrdo 435/2007 Plenrio com o objetivo de
coletar informaes acerca dos processos de aquisio de bens e servios de TI, de segurana da
informao, de gesto de recursos humanos de TI, e das principais bases de dados e sistemas da
Administrao Pblica Federal.
Viso geral
2.
O objetivo da governana de TI assegurar que as aes de TI estejam alinhadas com o
negcio da organizao, agregando-lhe valor. O desempenho da rea de TI deve ser medido, os recursos
propriamente alocados e os riscos inerentes, mitigados. Assim, possvel gerenciar e controlar as
iniciativas de TI nas organizaes para garantir o retorno de investimentos e a adoo de melhorias nos
processos organizacionais.
3.
A governana adequada da rea de tecnologia da informao na Administrao Pblica
Federal promove a proteo a informaes crticas e contribui para que essas organizaes atinjam seus
objetivos institucionais. Alm disso, garantir a correta aplicao dos recursos empregados em tecnologia
da informao se torna cada vez mais importante, tendo em vista que somente na Administrao Federal
o gasto em TI ultrapassa seis bilhes de reais por ano, segundo dados do Sistema Integrado de
Administrao Financeira (Siafi) e do Departamento de Coordenao e Governana das Empresas
Estatais (Dest), obtidos pela Sefti em levantamento realizado em 2007 (TC-007.972/2007-8).
Objetivos e questes de auditoria
4.
O objetivo principal deste levantamento foi obter informaes para elaborao de mapa com
a situao da governana de TI na Administrao Pblica Federal. Em paralelo, foram identificados os
principais sistemas e bases de dados da Administrao Pblica Federal. Com essa gama de informaes
ser possvel verificar onde a situao da governana de TI est mais crtica e identificar as reas onde
o TCU pode, e deve, atuar como indutor do processo de aperfeioamento da governana de TI. Alm
disso, o planejamento das fiscalizaes da Sefti contar com subsdios valiosos para seu aprimoramento.
5.
Durante a fase de planejamento, a equipe do levantamento realizou diversas reunies com a
equipe de analistas da Sefti e formulou as seguintes questes de auditoria:
Q1.
feito planejamento estratgico institucional e de TI nos rgos/entidades?
Q2.
Qual o perfil dos recursos humanos da rea de TI quanto formao, vnculo com a
organizao e pr-requisitos para ocupao de funes comissionadas?
Q3.
So efetuadas aes e procedimentos que contribuam para a minimizao dos riscos e o
aumento no nvel de segurana das informaes dos rgos/entidades?
Q4.
O desenvolvimento de sistemas segue alguma metodologia? Os rgos/entidades mantm
inventrio dos principais sistemas e bases de dados?
TRIBUNAL DE CONTAS DA UNIO
TC-008.380/2007-1
Q5.
Os rgos/entidades gerenciam os acordos de nveis de servio tanto quando prestam
internamente como quando contratam externamente servios de TI?
Q6.
O processo de contratao de bens e servios de TI formalizado, padronizado e judicioso
quanto ao custo, oportunidade e aos benefcios advindos das contrataes de TI?
Q7.
O processo de gesto dos contratos de TI formalizado, padronizado e executado?
Q8.
Os rgos/entidades solicitam o oramento de TI com base no planejamento da rea e
controlam os gastos com TI ao longo do exerccio financeiro?
Q9.
Os rgos/entidades realizam auditorias de TI nas suas organizaes?
Estratgia metodolgica e limitaes
6.
Durante a fase de planejamento foi elaborada matriz de planejamento com intuito de definir
as reas da governana de TI a serem pesquisadas e organizar a execuo do trabalho.
7.
Foram selecionados, como amostra, 333 rgos/entidades representativos da Administrao
Pblica Federal. Desses rgos/entidades, 29 responderam em conjunto com outros rgos/entidades e
14 no se consideram integrantes da Administrao Pblica Federal, apesar de jurisdicionados ao
Tribunal, em especial os que fazem parte do Sistema S (Apndice IV, fl. 42). Outros 25 rgos/entidades
no responderam pesquisa e 10 no completaram a quantidade mnima estabelecida de respostas
(Apndice III, fl. 41-v). Assim, 255 rgos/entidades participaram efetivamente do levantamento. Dessa
relao constaram ministrios, universidades federais, tribunais federais, agncias reguladoras,
autarquias, secretarias, departamentos e empresas estatais. Ainda no planejamento, para ser submetido
aos rgos e s entidades da amostra, foi elaborado questionrio composto de 39 perguntas baseadas
nas normas tcnicas brasileiras NBR ISO/IEC 17799:2005, NBR ISO/IEC 15999-1:2007 e no Control
Objectives for Information and related Technology 4.1 (Cobit 4.1).
8.
A norma NBR ISO/IEC 17799:2005 o cdigo de prtica para a gesto da segurana da
informao mais adotado em todo o mundo. Essa norma teve sua primeira verso internalizada pela
Associao Brasileira de Normas Tcnicas (ABNT) em setembro de 2001, e conta com a segunda verso
em vigor desde setembro de 2005. Essa norma fornece recomendaes em gesto da segurana da
informao para uso dos responsveis pela implementao e manuteno da segurana em suas
organizaes. Tem como propsito prover uma base comum para o desenvolvimento de normas de
segurana organizacional e das prticas efetivas de gesto da segurana, e prover confiana nos
relacionamentos entre as organizaes.
9.
A norma NBR 15999-1:2007 o cdigo de prtica para a gesto de continuidade de
negcios, baseada na norma inglesa BSI 25999:2006 e internalizada no Brasil pela ABNT em outubro de
2007. Seu objetivo fornecer um sistema baseado nas boas prticas de gesto de continuidade de
negcios.
10.
O Cobit, por sua vez, um modelo de gesto orientado a processos e est dividido em quatro
grandes grupos: Planejar e Organizar (Plan & Organise PO), Adquirir e Implementar (Acquire &
Implement AI), Entregar e Assistir (Deliver & Support DS) e Monitorar e Avaliar (Monitor &
Evaluate ME), cujas iniciais sero utilizadas no decorrer do relatrio para fins de referncia como
critrios de auditoria. O Cobit se encontra disponvel no site www.isaca.org. Vale salientar que se trata
de modelo j amplamente reconhecido e utilizado, no Brasil e no mundo, no mbito da tecnologia da
informao, tanto por gerentes de informtica quanto por auditores de TI.
11.
Na fase de execuo do levantamento, os rgos e entidades selecionados receberam, por
meio de correspondncia oficial, a identificao e a senha individual para acesso ao questionrio e,
posteriormente, via mensagem eletrnica, o link para o questionrio on-line. O software Risk Manager
apoiou o envio, a coleta e a tabulao das informaes do questionrio.
12.
Durante o preenchimento do questionrio, foi solicitado aos gestores de TI dos rgos e
entidades que anexassem documentos eletrnicos para servirem de evidncias s respostas apresentadas.
Em geral, esses documentos solicitados so atos normativos formais da organizao, mas poderiam ser
tambm atas de reunio ou outras publicaes internas aceitas e reconhecidas pelo rgo/entidade.
Deve-se observar que as informaes coletadas foram declaradas pelos gestores e no verificadas pela
equipe junto aos rgos/entidades. Alm disso, nesse primeiro momento, no foi avaliada a pertinncia e
a qualidade dos documentos produzidos e anexados pelos rgos/entidades.
TC-008.380/2007-1
13.
Ao final da coleta de informaes, as respostas apresentadas nos questionrios foram
tabuladas e as evidncias organizadas em pastas eletrnicas para consulta e tratamento posterior.
14.
Como limitao execuo dos trabalhos, deve-se destacar que alguns rgos/entidades no
dispunham de todas as informaes solicitadas e fizeram muito esforo para obt-las. Mesmo assim,
alguns rgos/entidades no conseguiram obter todas as informaes e as questes relativas a elas
ficaram sem resposta.
Volume de recursos fiscalizados
15.
Conforme a Portaria n. 222, de 10 de novembro de 2003, a mensurao do volume de
recursos fiscalizados no se aplica a este instrumento de fiscalizao.
Benefcios estimados
16.
Os benefcios estimados do presente trabalho so a possibilidade da Sefti planejar aes a
serem realizadas com intuito de aperfeioar a governana de TI nos principais rgos/entidades da APF
e a disponibilidade de informaes importantes nessa rea s equipes de futuras fiscalizaes. Alm
disso, a Sefti contar com um repositrio com os contatos dos gestores de TI dos rgos/entidades
participantes do levantamento.
3. Planejamento estratgico institucional e de TI
17.
O contexto atual de intensas mudanas faz com que as organizaes tenham que se adaptar
rapidamente s alteraes do ambiente em que atuam. No entanto, h organizaes que ainda atuam de
maneira reativa, apenas respondendo s demandas geradas por essas mudanas. H gestores que ainda
acreditam ser impossvel definir estratgias de ao devido rapidez e constncia dessas mudanas.
18.
Dentro desse cenrio de instabilidade, o planejamento tem se tornado cada vez mais
importante e vital e deve ser construdo de maneira flexvel, com o engajamento e comprometimento de
todos os colaboradores da organizao. As organizaes que no planejam correm riscos de no
alcanarem os objetivos desejados. Com uma viso de futuro estabelecida, as organizaes podero se
adaptar s constantes mudanas que ocorrem na sua rea de atuao e agilizar seu processo de tomada
de decises.
19.
O planejamento estratgico torna-se uma importante ferramenta para a tomada de deciso e
faz com que os gestores estejam aptos a agir com iniciativa, de forma pr-ativa, contra as ameaas e a
favor das oportunidades identificadas nas constantes mudanas que ocorrem.
20.
O alinhamento de todos os planos, recursos e unidades organizacionais um fator
fundamental para que a estratgia delineada no planejamento possa ser implementada. Assim, o
planejamento estratgico de TI tem que estar alinhado com os planos de negcio da organizao para o
estabelecimento das prioridades e das aes a serem realizadas na rea de TI.
Achado I. Ausncia de planejamento estratgico institucional em vigor
21.
Um percentual expressivo dos 255 rgos/entidades pesquisados (47%) no tem
planejamento estratgico institucional em vigor. Esse fato demonstra que quase metade das organizaes
pesquisadas no possuem a cultura de planejar estrategicamente suas aes e apenas reagem s
demandas e s mudanas ocorridas no seu mbito de atuao. Essa forma de atuao dificulta o
planejamento das aes de TI.
22.
O confronto desses dados com a informao de que 59% das organizaes pesquisadas no
fazem planejamento estratgico de TI (Achado II), permite algumas anlises. Dos 47% dos
rgos/entidades que afirmaram no possuir planejamento estratgico institucional, 81%, isto , 97
rgos/entidades no possuem planejamento estratgico de TI (Grfico 1).
23.
Por outro lado, o fato de haver planejamento estratgico institucional, por si s, no garante
que haver planejamento estratgico de TI. Em 40% das organizaes que dispunham do primeiro, no
havia o segundo (Grfico 1).
24.
Deve-se destacar, mais uma vez, a importncia do planejamento estratgico institucional
para a governana de TI. Para que o planejamento estratgico de TI seja efetivo e proporcione os
resultados esperados, ele deve estar alinhado ao planejamento estratgico institucional. A falta deste
impede o alinhamento desejado e ainda dificulta o estabelecimento de diretrizes para a rea de TI.
sim
no
sim
no
TC-008.380/2007-1
Planejamento Estratgico Institucional

Sim
47%
No
53%
19%
81%
60%
40%
Planejamento Estratgico de TI
Grfico 1 Planejamento estratgico
Critrios
a) Cobit 4.1 PO1.2 Business-IT Alignment (Alinhamento de TI com negcio Estabelecer
processos de educao bidirecional e de envolvimento recproco no planejamento estratgico para
obteno de alinhamento e integrao entre o negcio e as aes de TI. As prioridades devem ser
acordadas mutuamente a partir da negociao das necessidades do negcio e da rea de TI);
b) Acrdo 1.558/2003-TCU-Plenrio, item 9.3.9.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 1. H planejamento institucional em vigor?
(fl. 37).
Efeitos potenciais
a) Suporte ineficaz da rea de TI na consecuo da misso da organizao;
b) Decises dos gestores de TI incompatveis com as necessidades da organizao;
c) Alocao indevida de recursos de TI por falta de entendimento sobre as prioridades da
organizao;
d) Desperdcio de recursos devido a decises erradas acerca da alocao de recursos de TI.
Achado II. Ausncia de planejamento estratgico de TI em vigor
25.
Por sua magnitude, o percentual de rgos/entidades que no dispem de planejamento
estratgico de TI em vigor, 59 %, chama a ateno. Evidentemente, no se deve confundir o fato de no
possuir planejamento estratgico com o fato de no possuir planejamento algum. Os rgos/entidades
podem possuir algum tipo de planejamento, normalmente um plano de ao anual. Apesar de
necessrios, os planos de ao anuais so insuficientes porque no conseguem indicar caminhos e
estratgias, apenas prevem como sero alocados os recursos disponveis naquele ano. Alm disso, esses
planos no so bons instrumentos para acompanhar e apoiar os projetos de mdia e longa duraes,
comuns na rea de TI. Outro problema normalmente observado quando da ausncia de planejamento
estratgico a descontinuidade desses projetos e o conseqente desperdcio de recursos.
26.
O planejamento estratgico de TI deve indicar os projetos e servios de TI que recebero
recursos, os custos, as fontes de recursos e as metas a serem alcanadas. Deve ser uma atividade regular
e os documentos resultantes devem ser aprovados pela alta administrao.
TC-008.380/2007-1
27.
Alm disso, ao analisar superficialmente algumas das evidncias apresentadas como planos
estratgicos de TI por rgos/entidades participantes do levantamento, a equipe observou que vrios
desses documentos eram cartas de inteno internas da rea de TI e/ou projetos de planos, e no
propriamente planos estratgicos de TI.
Critrios
a) Cobit 4.1 PO1.4 IT Strategic Plan (Plano Estratgico de TI Criar um plano estratgico
que defina, em cooperao com os principais interessados, como as metas de TI contribuiro para os
objetivos estratgicos da organizao e quais os custos e riscos associados. O plano deve incluir os
servios de TI, os ativos de TI e como a rea de TI dar suporte aos projetos dependentes de tecnologia
da informao. A rea de TI deve definir como os objetivos sero alcanados, as mtricas a serem
usadas e os procedimentos para obter a aprovao formal dos interessados. O plano estratgico de TI
deve conter oramento para investimentos e custeio de TI, fontes de recursos, estratgia de aquisies, e
requisitos legais e regulatrios. O plano estratgico deve ser suficientemente detalhado para permitir a
definio de planos tticos de TI);
b) Acrdo 1.558/2003-TCU-Plenrio, item 9.3.9.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 2. H planejamento estratgico para a rea
de TI em vigor? (fl. 37).
Efeitos potenciais
a) Suporte ineficaz da rea de TI na consecuo da misso da organizao;
b) Planos de TI no alinhados s necessidades do negcio;
c) Inexistncia de consultas regulares entre gerente de TI e demais gerentes acerca dos
projetos e servios de TI;
d) Enfraquecimento das aes de TI;
e) Descontinuidade dos projetos de TI;
f) Insatisfao dos usurios;
g) Viso negativa da rea de TI;
h) Resultados da rea de TI abaixo do esperado;
i) Dificuldade de obteno de recursos para a rea de TI;
j) Investimentos desnecessrios em TI;
k) Desperdcio de recursos.
Achado III. Ausncia de comit diretivo sobre aes e investimentos em TI
28.
A existncia de um comit diretivo de TI (IT Steering Committee), que determine as
prioridades de investimento e alocao de recursos nos diversos projetos e aes de TI, de fundamental
importncia para o alinhamento entre as atividades de TI e o negcio da organizao, bem como para a
otimizao dos recursos disponveis e a reduo do desperdcio. O fato desse comit ser composto por
dirigentes de TI e de outras reas da organizao possibilita que as decises de investimentos sejam
obtidas a partir de uma viso mais abrangente, o que reduz os riscos de erro.
29.
Menos de um tero (32 %) dos rgos/entidades pesquisados declararam possuir um comit
diretivo de TI ou algo equivalente. Por no haver um frum competente para discusso, as decises
sobre investimentos em TI correm maior risco de serem equivocadas e levarem ao desperdcio de
recursos, e ainda de no estarem alinhadas aos objetivos da organizao.
Critrios
a) Cobit 4.1 PO4.3 IT Steering Committee (Comit Diretivo de TI Criar um comit diretivo
de TI (ou equivalente) composto de gerentes executivos, de negcios e de TI, para: determinar as
prioridades de investimento e alocao de recursos nas aes de TI, alinhadas s estratgias e
prioridades da organizao; acompanhar o estgio de desenvolvimento dos projetos e resolver conflitos
relativos a recursos; e monitorar os nveis de servio de TI e suas melhorias).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 3. H comit que decida sobre a priorizao
das aes e investimentos de TI? (fl. 37).
Efeitos potenciais
a) Estratgia de TI no alinhada com a estratgia da organizao;
b) Apoio inexistente ou insuficiente dos projetos baseados em TI aos objetivos institucionais;
TC-008.380/2007-1
c) Apoio e envolvimento insuficientes da administrao nas decises essenciais da rea

de TI.
Concluso
30.
Tendo em vista os dados apresentados, pode-se inferir que a falta de planejamento
estratgico institucional inibe e/ou prejudica o planejamento das aes de TI. Desse fato podem decorrer
aes de TI equivocadas que levam a desperdcio de recursos. O estmulo elaborao de planejamento
estratgico institucional deve ser a primeira ao para a melhoria da governana de TI. O segundo
passo deve ser o estmulo a que, em consonncia com o planejamento estratgico institucional, seja
elaborado o planejamento estratgico de TI.
31.
O planejamento estratgico de TI essencial para que as organizaes possam identificar e
alocar corretamente os recursos da rea de TI de acordo com as prioridades institucionais e com os
resultados esperados. O percentual de 59% de rgos/entidades pesquisados sem planejamento
estratgico de TI preocupante porque a ausncia de planejamento estratgico leva ao enfraquecimento
das aes e da prpria rea de TI devido descontinuidade dos projetos e conseqente insatisfao dos
usurios e resultados abaixo do esperado. Isso pode comprometer toda a rea de TI e influenciar
negativamente o desempenho do rgo/entidade na sua misso institucional j que a TI representa
importante ferramenta para o desenvolvimento das aes previstas.
32.
O fato de menos de um tero dos rgos/entidades pesquisados terem um comit diretivo de
TI funcionando demonstra a pouca importncia dada participao de todos os setores da organizao
nas decises estratgicas de TI. A existncia do comit diretivo de TI, aliada aos planejamentos
estratgicos institucionais e de TI, constitui instrumento valioso no direcionamento dos investimentos de
TI e no combate ao desperdcio de recursos.
Proposta de encaminhamento
33.
Recomendar Secretaria de Logstica e Tecnologia da Informao (SLTI) do Ministrio do
Planejamento, Oramento e Gesto, ao Conselho Nacional de Justia e ao Conselho Nacional do
Ministrio Pblico que promovam aes com objetivo de disseminar a importncia do planejamento
estratgico e induzir, mediante orientao normativa, os rgos/entidades da Administrao Pblica
Federal a realizarem aes para implantao e/ou aperfeioamento de planejamento estratgico
institucional, planejamento estratgico de TI e comit diretivo de TI.
4. Estrutura de pessoal de TI
34.
Em qualquer rea de atuao tcnica da organizao crtica a adequao da estrutura de
pessoal e no diferente quando nos referimos tecnologia da informao. O TCU tem observado esse
requisito na administrao pblica brasileira a fim de fornecer orientaes adequadas com base em
observaes feitas em auditorias relacionadas TI (exemplos: Acrdo 667/2005-TCU-Plenrio 1;
Acrdo 2.023/2005-TCU-Plenrio2; e Acrdo 786/2006-TCU-Plenrio3).
35.
Um marco importante o Acrdo 140/2005-TCU-Plenrio, no qual o Relator expressa sua
preocupao com os recursos humanos da rea de TI de toda a administrao pblica:
Existe, pois, um ncleo de atividades de informtica que so estratgicas: ou porque lidam com
informaes privilegiadas, ou porque tratam da fiscalizao dos contratos, ou porque delas depende o
funcionamento do prprio setor e das demais unidades que utilizam seus servios, ou porque envolvem a tomada
de deciso sobre a realizao de despesas de vulto na aquisio de bens e contratao de servios. Quando essas
atividades no so regularmente executadas, as chances de serem causados prejuzos Administrao aumentam
consideravelmente. Portanto, no razovel que esses encargos sejam exercidos por servidores sem qualificao
ou, dado o conflito de interesses, sejam delegados a pessoal terceirizado em razo das deficincias no quadro do
rgo pblico.
1
9.6.1. adote providncias no sentido de dotar a Coordenao-Geral de Modernizao e Informtica - CGMI/MDIC dos meios necessrios para realizar, de
forma independente, o planejamento, a especificao, a superviso e o controle da execuo dos servios de informtica terceirizados, preferencialmente
mediante o preenchimento de cargos ou, enquanto no for reestruturada a coordenadoria de informtica do Ministrio, mediante a contratao de empresa
especializada especificamente para esse fim, distinta e independente das empresas prestadoras dos demais servios;
2
9.6. determinar ao Ministrio do Trabalho e Emprego e ao Ministrio do Planejamento, Oramento e Gesto que avaliem a situao de terceirizao de
pessoal na rea de Tecnologia da Informao do MTE e envidem esforos no sentido de diminuir o nvel de terceirizao, principalmente para ocupar cargos
estratgicos com pessoal de carreira dentro da Administrao Pblica;
3
9.8. alertar o Ministrio do Planejamento, Oramento e Gesto sobre a necessidade de prover os setores de informtica dos rgos e entidades da
Administrao Pblica Federal com estrutura organizacional e quadro permanente suficientes para realizar, de forma independente das empresas
prestadoras de servios, o planejamento, a definio, a coordenao, a superviso e o controle das atividades de informtica, com a finalidade de garantir a
autoridade e o controle da Administrao sobre o funcionamento daqueles setores;
TC-008.380/2007-1
No me parece que a situao constatada no Ministrio da Agricultura seja um caso isolado, visto
que a carncia de recursos humanos na Administrao Pblica Federal fato notrio. 4
36.
Uma das determinaes desse Acrdo foi a realizao de auditoria para avaliar a
adequao da estrutura de pessoal de TI5, que motivou a incluso, no presente trabalho, de questes
sobre aspectos de recursos humanos apontados no Acrdo.
37.
A necessidade de haver uma quantidade mnima de servidores da rea de TI do
rgo/entidade, em relao quantidade daqueles que atuam na rea mas no so servidores efetivos,
foi uma das preocupaes do Acrdo para evitar que aes crticas ou estratgicas de TI sejam
delegadas a pessoal terceirizado em funo da ausncia de quadro mnimo. Para avaliar essa situao
na Administrao Pblica Federal, os gestores participantes deste levantamento foram questionados
quanto composio do seu quadro de TI, no que diz respeito ao vnculo com a administrao,
considerando os profissionais que trabalham nas dependncias do rgo (servidores, comissionados e
terceirizados). importante ressaltar que no foram computados aqui os profissionais que trabalham na
execuo de servios para projetos especficos, executados primordialmente no ambiente da contratada.
38.
Outro aspecto importante a qualificao dos profissionais em relao s atividades que
deve desempenhar a rea de TI dos rgos/entidades. Nesse caso, h duas preocupaes: qualificao
gerencial e qualificao tcnica em TI. Quanto qualidade dos gerentes, a estratgia utilizada foi
levantar, no presente questionrio, se h critrios para concesso das funes comissionadas de TI nos
rgos/entidades. J a qualificao tcnica foi examinada a partir do nvel de formao dos
profissionais em TI, desde a graduao que no obrigatria para a investidura em cargo de TI, por
no haver regulamentao da profisso at ps-graduaes formais. Optou-se, nesse primeiro
momento, por no levantar treinamentos tcnicos especficos (certificaes, cursos de atualizao,
congressos) que, apesar de extremamente necessrios para a rea, no permitiriam uma tabulao em
funo da diversidade. Finalmente, foi verificado tambm se os rgos/entidades possuem carreira
especfica para a rea de TI.
39.
Vale ressaltar que as verificaes realizadas quanto quantidade dos profissionais e sua
qualificao no so exaustivas para traar o perfil do corpo tcnico de TI dos rgos/entidades, mas
apenas um ponto de partida para fornecer subsdios ao direcionamento de aes de auditoria
especficas. Alm disso, outros indicadores de qualidade, como o nvel de rotatividade do pessoal,
porcentagem de certificaes tcnicas, existncia de planos de treinamento regulares, aderncia do
corpo tcnico a esses planos, nvel de satisfao dos clientes com a qualidade do corpo tcnico e outros,
apontados pelo Cobit na gesto de pessoal, foram deixados para prximas edies deste levantamento.
Achado IV. Quantidade reduzida de servidores na rea de TI
40.
Uma quantidade expressiva de rgos/entidades (95%) informou que possui algum servidor
do seu quadro atuando na rea de TI. Contudo, ao verificar-se a proporo entre servidores do quadro e
colaboradores externos6 a ele, possvel observar ainda a ocorrncia de muitos colaboradores externos
em alguns rgos/entidades. O Grfico 2 mostra trs grupos de rgos/entidades: aqueles com mais de
2/3 do seu quadro composto por servidores, aqueles nos quais esse valor est entre 1/3 e 2/3, e aqueles
onde os servidores constituem menos de 1/3 do quadro.
Trecho do voto do Relator do Acrdo 140/2005 (pargrafos 92 e 93), relativo representao sobre irregularidades na contratao de
empresa especializada para prestao de servios de informtica para o Ministrio da Agricultura e do Abastecimento.
5
9.4. determinar Secretaria-Geral de Controle Externo que adote providncias para realizar, por intermdio das unidades tcnicas
competentes, auditoria nos rgos da Administrao Direta do Poder Executivo com vistas a avaliar a estrutura de recursos humanos dos
respectivos setores de informtica, verificando se o quantitativo e a qualificao dos servidores so suficientes ao desempenho das
atribuies da rea e ao atendimento das necessidades das demais unidades integrantes do rgo, sobretudo se as atividades ligadas ao
planejamento estratgico de informtica, coordenao, fiscalizao e ao controle das aes do setor so executadas com eficincia e
eficcia e, ainda, se essas atividades esto acometidas a servidores do rgo, entre outros aspectos considerados relevantes na fase de
planejamento dos trabalhos.
6
Conjunto de colaboradores externos: requisitados com vnculo com a Administrao Pblica Federal; requisitados sem vnculo com a
Administrao Pblica Federal (com ou sem comisso); terceirizados que atuam nas instalaes fsicas do rgo/entidade.
TC-008.380/2007-1
Proporo entre servidores e

colaboradores externos nos
rgos/entidades pesquisados
Relao entre rgos/entidades cuja

rea de TI possui menos de 1/3 de
servidores e seu planejamento de TI
29%
47%
37%
63%
24%
acima de 2/3 so servidores
no possuem planejame nto e strat gico de TI
e ntre 1/3 e 2/3 so se rvidore s

menos de 1/3 so servidore s
possue m planejame nto e strat gico de TI
Grfico 2 Servidores/terceirizados na rea de TI

41.
importante ressaltar que no h uma resposta definitiva, nem na literatura especializada,
nem em estatsticas, para a questo: o quanto podemos terceirizar?. Uma grande quantidade de
terceirizados e de outros colaboradores externos representa um aumento do risco organizacional,
especialmente se associado a controles fracos, terceirizao da inteligncia da organizao ou de
atividades estratgicas. Sozinha, entretanto, apenas um indcio de que pode haver dificuldade na gesto
desses colaboradores e um alerta para o auditor sobre a necessidade de considerar crtica a inexistncia
de controles sobre eles.
42.
Seguindo esse raciocnio, verificou-se que dentre os 70 rgos pesquisados (29%) com rea
de TI composta de menos de 1/3 de servidores do quadro, 63% tambm no tm planejamento estratgico
de TI (Grfico 2). Ao mesmo tempo em que aumenta o risco de ausncia de controles, a ausncia de
planejamento aponta uma potencial dificuldade de alocao de recursos humanos necessrios
realizao das aes de TI.
43.
Finalmente, a maior quantidade de colaboradores externos ao quadro dos rgos/entidades
pesquisados aumenta o risco de perda de conhecimento organizacional, na medida em que esse
conhecimento esteja depositado em indivduos sem vnculo e menos compromissados com a organizao.
Quanto menor o quadro de servidores, maior a probabilidade de que algum conhecimento fique somente
entre os colaboradores externos e, portanto, maior o risco de que esse conhecimento se perca.
Critrios
a) Acrdo 140/2005TCUPlenrio;
b) Cobit 4.1 PO7.5 Dependence Upon Individuals (Dependncia em Indivduos Minimizar
a ocorrncia de dependncia crtica em indivduos chave por meio de aquisio de conhecimento
(documentao), compartilhamento de conhecimento, planejamento de sucesso e equipe reserva).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 4. H servidores/empregados do quadro que
atuam na rea de TI desse rgo/entidade? (fl. 37)
Efeitos potenciais
a) Dependncia do rgo/entidade de servidores/empregados alheios ao quadro para
execuo de atividades crticas para o negcio;
b) Aumento de custo para a Administrao em contratos onde o contratado no pode ser
facilmente substitudo sem perda de continuidade de servios de TI;
c) Inobservncia da poltica de segurana da informao da empresa em funo da
necessidade de manipulao de informaes sigilosas por terceirizados;
d) Conflito de interesses na fiscalizao de contratos, quando feita por outros terceirizados.
Achado V. Ausncia de formao especfica em TI
44.
Segundo as informaes levantadas no questionrio, somente 37% dos servidores que atuam
nas reas de TI dos rgos/entidades pesquisados possuem formao especfica em TI (incluindo aqui
doutorado, mestrado, ps-graduao lato sensu e nvel superior). A falta de especializao preocupa em
TC-008.380/2007-1
funo do aumento da importncia estratgica da TI para as organizaes, pois um quadro menos

especializado tende a produzir resultados de mais baixa qualidade.
45.
Outra preocupao que tal perfil leve a organizao a buscar no mercado a competncia
pessoal que lhe falta em seu quadro, seja por meio de terceirizados, seja por meio de
requisies/comisses. De acordo com as informaes coletadas, entre os colaboradores requisitados 7 h
um percentual maior (48%) com formao especfica em TI. No foram coletadas informaes sobre a
formao de terceirizados.
46.
De todo modo, apenas buscar a formao na seleo de colaboradores externos no resolve
o problema, pois a equipe interna continua com dificuldades na execuo de aes estratgicas e tarefas
de fiscalizao de contratos terceirizados.
47.
Finalmente, h que se considerar que a profisso de analista de sistemas no
regulamentada e, portanto, no h restrio legal para a atuao em TI. Alm disso, pode haver
dificuldade em especificar nos editais de concurso qual o universo de cursos superiores da rea de TI
que so aceitveis para o perfil profissional desejado.
Critrios
a) Acrdo 140/2005Plenrio;
b) Cobit 4.1 PO7.2 Personnel Competencies (Competncias Pessoais Regularmente
verificar que os profissionais de TI tm as competncias necessrias para exercer sua funo com base
em sua formao, treinamento e/ou experincia. Definir as competncias de TI bsicas e verificar que
so mantidas, por meio de programas de qualificao e certificao quando apropriados).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 6. Esse rgo/entidade conhece o grau de
formao das pessoas que atuam na rea de TI? (fl. 37)
Efeitos potenciais
a) Baixa qualidade dos servios de TI em funo da baixa qualificao da equipe de TI;
b) rgo/entidade dependente de prestadora de servios de TI.
Achado VI. Inobservncia das competncias necessrias para funes comissionadas
48.
Um total de 60% dos pesquisados declarou que no considera as competncias gerenciais,
tcnicas e resultados produzidos anteriormente na seleo de pessoas para funes comissionadas na
rea de TI. O risco nesse caso uma baixa qualificao do corpo gerencial de TI e o comprometimento
dos resultados da rea, desde a falta de alinhamento com os negcios at a perda de produtividade da
equipe por m gesto.
Critrios
a) Decreto no 5.707, de 23 de fevereiro de 2006, art. 3o, incisos VI e VII.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 8. So consideradas as competncias
gerenciais, tcnicas e resultados produzidos anteriormente na seleo de pessoas para funes
comissionadas na rea de TI? (fl. 37).
Efeitos potenciais
a) Baixa produtividade da equipe de TI em funo da baixa qualidade do corpo gerencial;
b) Falta de alinhamento da TI com o negcio da organizao.
Achado VII. Ausncia de carreira especfica para a rea de TI
49.
Um total de 57% dos pesquisados informou que no possui carreira especfica para a rea de
TI. Segundo os dados do questionrio, os 43% dos rgos/entidades que tm carreira de TI possuem 2/3
do total de pessoal alocado para TI entre os pesquisados. Em valores absolutos, tambm h mais
profissionais com formao em TI (incluindo doutorado, mestrado, ps-graduao lato sensu e nvel
superior) nas organizaes com carreira especfica: 58% dos profissionais com formao em TI esto
nessas organizaes. Contudo, h que se registrar que, em valores proporcionais, no h diferena
significativa entre a formao em TI dos servidores em rgos com e sem carreira especfica (37% e 38%
respectivamente Grfico 3). Ou seja, mesmo nos rgos com carreira especfica, ainda h muitos
servidores sem formao superior em TI ou com formao em nvel mdio.
Conjunto de colaboradores requisitados/comissionados, com ou sem vnculo com a Administrao.
TC-008.380/2007-1
Comparativo entre organizaes com e sem carreira de T I

17500
15000
33%
12500
10000
37%
Quantidade de
servidores do quadro
44%
7500
5000
30%
38%
formao em TI
2500
18%
superior no TI
mdio
rgos COM carreira de TI

(43% )
rgos SEM carreira de TI
(57% )
Grfico 3 Formao dos profissionais de TI

Critrios
a) Cobit 4.1 PO7.1 Personnel Recruitment and Retention (Recrutamento e Reteno de
Pessoal Manter processos de recrutamento de pessoal de TI em linha com as polticas e os
procedimentos de pessoal gerais da organizao, isto , contratao, ambiente positivo para o trabalho,
orientao. Implementar processos que garantam que a organizao tenha fora de trabalho de TI
apropriadamente preparada com as habilidades necessrias para atingir os objetivos organizacionais).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 4. H servidores/empregados do quadro que
atuam na rea de TI desse rgo/entidade? (fl. 37)
b) Apndice I, planilha de resultados, pergunta: 6. Esse rgo/entidade conhece o grau de
formao das pessoas que atuam na rea de TI? (fl. 37)
c) Apndice I, planilha de resultados, pergunta: 7. H carreiras especficas para a rea de TI
no plano de cargos do rgo/entidade? (fl. 37)
Efeitos potenciais
a) Insuficincia de servidores para atuar na rea de TI.
TC-008.380/2007-1
Concluso
50.
Conforme o Grfico 2, um total de 29% dos pesquisados possui menos de 1/3 de sua rea de
TI composta por servidores, o que pode acarretar risco de dependncia de indivduos sem vnculo com o
rgo/entidade para a execuo de atividades crticas ao negcio, alm de perda do conhecimento
organizacional.
51.
Segundo as informaes levantadas no questionrio, somente 37% dos servidores que atuam
na rea de TI dos rgos/entidades possuem formao especfica em TI (incluindo aqui doutorado,
mestrado, ps-graduao lato sensu e nvel superior). Alm disso, 43% dos rgos/entidades possuem
carreira especfica para a rea. Esse resultado preocupa em funo do aumento da importncia
estratgica da TI para as organizaes, que correm o risco de no terem pessoal qualificado suficiente
nem para executar as atividades bsicas nem para fiscalizar eventuais contratados.
52.
De acordo com as respostas ao questionrio, 60% dos pesquisados no consideram
competncias gerenciais, tcnicas e resultados produzidos anteriormente na seleo de gerentes de TI.
Com esse resultado, no se pde verificar se a escolha de chefias nos rgos/entidades participantes
objetiva e baseada no mrito.
53.
Enviar as concluses acerca de estrutura de pessoal de TI ao Ministrio do Planejamento,
Oramento e Gesto, ao Conselho Nacional de Justia e ao Conselho Nacional do Ministrio Pblico
para cincia e promoo das aes cabveis.
5. Segurana da informao
54.
Neste tpico, o objetivo delinear a qualidade do tratamento dado pelos rgos pblicos
segurana das informaes sob sua responsabilidade.
55.
A importncia do correto tratamento para a confidencialidade, a integridade e a
disponibilidade das informaes de rgos pblicos evidente, sem falar na autenticidade, na
responsabilidade pelos dados e na garantia de no-repdio 8. A prpria prestao do servio de uma
instituio pblica aos cidados depende da confiabilidade das informaes por ela tratadas e ofertadas.
56.
Foram solicitados como evidncias os documentos sobre a Poltica de Segurana da
Informao (PSI), o Plano de Continuidade de Negcios (PCN), normas/procedimentos relacionados
classificao de informaes e as normas/procedimentos de controle de acesso, que devem orientar o
tratamento da segurana das informaes.
57.
A poltica de segurana da informao o documento que contm as diretrizes da instituio
quanto ao tratamento da segurana da informao. De acordo com as orientaes da norma NBR
ISO/IEC 17799:2005 da ABNT, a poltica deve declarar explicitamente o comprometimento da direo
da instituio com a segurana da informao. Alm disso, deve tambm conter definies dos termos
relacionados dentro do escopo da instituio e apontar os objetivos de controle, os controles, as
estruturas que implementam esses controles, as responsabilidades e tambm as polticas e normas que
disciplinam e complementam esse documento de diretrizes, incluindo referncias legislao e aos
requisitos regulamentares e contratuais9. Em geral, esse o documento da gesto da segurana da
informao a partir do qual derivam os documentos especficos para cada meio de armazenamento,
transporte, manipulao ou tratamento especfico da segurana da informao em TI.
58.
A gesto da continuidade do negcio, por sua vez, o processo que objetiva minimizar um
impacto sobre a organizao e recuperar perdas de informaes a um nvel aceitvel, por meio da
combinao de aes de preveno e recuperao. O plano de continuidade de negcios um documento
ou conjunto de documentos que, tipicamente, contm as condies para sua ativao, as
responsabilidades individuais, os procedimentos de emergncia, os procedimentos operacionais
temporrios e os procedimentos de recuperao. O plano (ou planos) de continuidade deve(m) ser
periodicamente testado(s) e avaliado(s), para garantir que funcione(m) quando necessrio.
8
Caracterstica que impede a negao da autoria/execuo de uma ao por parte de um agente. Por exemplo: um usurio pode alegar
que, dadas as fragilidades fraude do protocolo padro de e-mail, uma determinada correspondncia eletrnica no foi de fato enviada por
ele, apesar de aparecer seu nome como remetente, negando sua autoria. Nesse caso, um e-mail dotado de no-repdio deveria possuir uma
caracterstica que garantisse que apenas o usurio listado no remetente poderia de fato ter escrito aquele texto e o enviado. Isso pode ser
conseguido, por exemplo, por meio de assinatura digital.
9
O Decreto n. 3.505, de 13 de junho de 2000, instituiu a Poltica de Segurana da Informao nos rgos e entidades da Administrao
Pblica Federal e tem alcance sobre muitas instituies pesquisadas neste levantamento. Esse documento, porm, uma norma qual a PSI
especfica deve aderir.
TC-008.380/2007-1
59.
A classificao de informaes, por sua vez, o processo que visa garantir que cada
informao tenha o tratamento de segurana adequado ao seu valor, aos requisitos legais,
sensibilidade e ao risco de sua perda para a organizao. Nesse processo devem existir, pelo menos, dois
documentos de referncia: o esquema de classificao, que contm as definies dos nveis de proteo
considerados, e um conjunto apropriado de procedimentos para rotulao e tratamento da informao
segundo esse esquema.10
60.
A gesto do controle de acesso, por fim, o processo que visa garantir que o acesso
informao seja controlado com base nos requisitos de negcio e na adequada segurana da informao.
O principal documento relacionado a esse processo a poltica de controle de acesso, que contm as
regras de controle de acesso e direitos para cada usurio ou grupos de usurios, e relaciona claramente
os requisitos de negcio e os controles associados.
61.
Os rgos foram tambm questionados sobre algumas estruturas organizacionais para
assistir a execuo das diretrizes de segurana: rea especfica para tratamento de segurana, rea
especfica para tratamento de incidentes, evidncias de gesto centralizada para mudanas, capacidade
e compatibilidade de solues de TI.
62.
A infra-estrutura para a adequada gesto da segurana da informao na organizao
tratada no item 6.1 da NBR ISO/IEC 17799:2005. Cada rgo/entidade deve adotar a estrutura
organizacional que mais se adeqe cultura e ao tamanho da instituio, assegurando, contudo, que a
implementao dos controles de segurana da informao tenha uma coordenao que permeie toda a
organizao. Assim, as organizaes podem at usar um frum j existente (por exemplo, um conselho de
diretores), desde que este assuma tambm, de forma explcita, as atividades de gesto da segurana da
informao. O mais freqente tem sido o uso de um frum especfico (por exemplo, um grupo especfico
para gerenciar a segurana da informao) ou mesmo um gestor individual (que conhecido no
mercado como CSO Chief Security Officer).
63.
O objetivo do processo de gesto de incidentes de segurana assegurar que seja aplicado
tratamento consistente e efetivo para os incidentes, que incluem desde falhas de sistemas at violaes
intencionais da poltica de segurana. Para isso, h que se designar claramente as responsabilidades no
tratamento de incidentes, bem como os procedimentos a serem adotados, em sintonia com outras
diretrizes, como o plano de continuidade de negcio e a classificao das informaes. A existncia de
uma rea especfica uma recomendao para a operacionalizao desses controles, no s pela NBR
ISO/IEC 17799:2005, como tambm por vrias diretrizes para governana de TI.
64.
Outros processos de infra-estrutura relacionados com a segurana so a gesto centralizada
de mudanas e a gesto de capacidade e compatibilidade. Na gesto centralizada de mudanas, h
controle rgido das mudanas no ambiente operacional para garantir a estabilidade do ambiente e a
auditoria das alteraes realizadas. O controle inadequado de modificaes nos sistemas e nos recursos
de processamento da informao uma causa comum de falhas de segurana ou de sistema.
65.
J a gesto de capacidade e compatibilidade visa principalmente garantir a disponibilidade
das informaes, ao verificar continuamente se as solues de TI suportam adequadamente a demanda
por informaes sem sobrecarregar os sistemas, gerar descontinuidade de operao e/ou falhas no nvel
de servio acordado.
66.
Finalmente, os rgos/entidades foram instados a apresentar as evidncias de que estariam
preocupados em realizar o tratamento dos riscos relacionados ao processamento das informaes sob
sua responsabilidade por meio das solues de TI. O tratamento dos riscos inclui a identificao, a
quantificao e a classificao dos riscos quanto sua prioridade, com base em critrios sintonizados
com o negcio da organizao. Os resultados dessa anlise devem orientar as aes de gesto e as
prioridades para o gerenciamento dos riscos de segurana da informao e para a implementao dos
controles selecionados. Por isso, a anlise de risco estratgica na gesto da segurana e deve ser feita
em bases peridicas para garantir a adequao entre gesto e negcio.
Achado VIII. Ausncia de poltica de segurana da informao em vigor
67.
A ausncia de poltica de segurana da informao (PSI) formalmente definida na
organizao foi declarada por 64% dos rgos/entidades pesquisados. Como esse documento de
diretrizes um dos primeiros passos na construo de uma gesto da segurana da informao, tal
10
O Decreto n 4.553 de 27 de dezembro de 2002 estabelece um esquema de classificao da informao quanto ao sigilo e tem alcance
sobre muitas instituies pesquisadas. Esse documento, porm, uma norma qual o esquema de classificao especfico deve aderir.
TC-008.380/2007-1
achado um indcio preocupante de que essa gesto inexistente ou incipiente na maioria das
organizaes da Administrao Pblica Federal.
68.
possvel que haja aes em segurana da informao nesses rgos. Porm, a ausncia da
poltica central indica que tais aes no so motivadas por diretrizes institucionais e, portanto, podem
ser conflitantes e/ou incompletas.
Critrios
a) NBR ISO/IEC 17799:2005, item 5.1 Poltica de segurana da informao: convm que a
direo estabelea uma poltica clara, alinhada com os objetivos do negcio e demonstre apoio e
comprometimento com a segurana da informao por meio da publicao e manuteno de uma
poltica de segurana da informao para toda a organizao;
b) Cobit 4.1 DS5.2 IT Security Plan (Plano de Segurana de TI Traduzir requisitos de
negcio, risco e conformidade num plano geral de segurana de TI, levando em considerao a infraestrutura de TI e a cultura de segurana. Garantir que o plano seja implementado dentro das polticas e
dos procedimentos de segurana em conjunto com investimentos apropriados em servios, pessoal,
software e hardware. Comunicar as polticas e procedimentos de segurana aos interessados e usurios).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 11. Existe poltica de segurana da
informao (PSI) em vigor? (fl. 37).
Efeitos potenciais
a) Enfraquecimento das aes de segurana, por no serem respaldadas por uma poltica
institucional;
b) Descompasso entre a gesto da segurana da informao e os objetivos de negcio;
c) Percepo pelos usurios e clientes de falta de comprometimento da alta administrao
da organizao com a segurana da informao.
Achado IX. Ausncia de plano de continuidade de negcios em vigor
69.
A cultura de segurana da informao predominante nas organizaes brasileiras, inclusive
na rea governamental, ainda no est madura o suficiente no que diz respeito preocupao com
desastres e interrupo nos servios. o que pode ser inferido da ausncia de plano de continuidade de
negcios (PCN) em cerca de 88% dos pesquisados. A situao se agrava quando, adicionalmente,
observa-se que, dentre os que possuem PCN em vigor, apenas 30% declararam t-lo revisado em perodo
inferior a um ano.
70.
A ausncia de PCN na organizao um indcio de falta de conscientizao em nvel
estratgico com os riscos de interrupo dos servios da organizao. Sem planejamento dessa natureza,
a organizao fica vulnervel quando da ocorrncia de desastres (naturais ou por sabotagem) e
interrupes de servios. Eventos que poderiam ser resolvidos sem grande perda, acabam por
comprometer toda a base atual e histrica de informaes da organizao. Pode ser at que o PCN
nunca precise ser acionado mas, se houver a necessidade e ele no existir, isso pode significar risco
continuidade da existncia da organizao.
71.
Ao considerar os efeitos da perda de informaes como as relacionadas vida, sade,
segurana e histria dos cidados brasileiros, no aceitvel correr riscos elevados que possam
comprometer a prpria finalidade das instituies governamentais.
Critrios
a) NBR 15999-1:2007, item 8.6 Planos de Continuidade de Negcios: o propsito de um
plano de continuidade de negcios (PCN) permitir que uma organizao recupere ou mantenha suas
atividades em caso de uma interrupo das operaes normais de negcios.
b) Cobit 4.1 DS4 Ensure Continuous Service (Garantir a Continuidade do Servio A
necessidade de prover servios contnuos de TI requer desenvolvimento, manuteno e teste de planos de
continuidade de TI, armazenamento de cpias de segurana em local alternativo e treinamento peridico
de planejamento de continuidade).
c) NBR ISO/IEC 17799:2005, item 14.1.3 Desenvolvimento e implementao de planos de
continuidade relativos segurana da informao: convm que os planos sejam desenvolvidos e
implementados para a manuteno ou recuperao das operaes e para assegurar a disponibilidade da
informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou
falhas dos processos crticos do negcio.
TC-008.380/2007-1
Evidncias
a) Apndice I, planilha de resultados, pergunta: 10. Existe plano de continuidade de negcios
em vigor? (fl. 37).
Efeitos reais e potenciais
a) Vulnerabilidade das organizaes ocorrncia de desastres e interrupo de servios;
b) Perda de dados, inclusive histricos, de difcil recuperao;
c) Dificuldade no restabelecimento das operaes normais quando da ocorrncia de
interrupo de servios;
d) Vulnerabilidade a fraudes e erros durante a interrupo de servios;
e) Paralisao de funes essenciais de governo e/ou de Estado.
Achado X. Ausncia de classificao das informaes
72.
Um total de 80% dos rgos/entidades declararam no classificar as informaes. Esse um
processo caro e trabalhoso, que envolve muitas reas da organizao, e essa uma possvel causa para
um percentual to expressivo.
73.
A classificao das informaes, porm, de forma semelhante PSI, um dos pilares da
segurana da informao numa organizao. A sua ausncia indica que o tratamento da segurana sobre
as informaes no feito de forma consistente, variando em funo da maior ou menor maturidade das
reas que as armazenam, transportam ou alteram. Assim, pode ser, por exemplo, que uma informao em
papel seja tratada com um nvel maior de sigilo, mas ao ser passada para um sistema informatizado,
receba o tratamento comum dado a outras informaes no-sigilosas, inadequado para suas
especificidades. Como no existe um rtulo de segurana nico para aquela informao, o qual deveria
apontar para procedimentos prprios em cada meio de armazenamento, o tratamento da segurana
daquela informao torna-se ineficaz como um todo, j que uma mxima da segurana da informao
que a segurana de um conjunto igual segurana do elo mais fraco.
74.
Alm disso, difcil responsabilizar algum por um tratamento indevido sem uma
classificao da informao. A declarao expressa de que um dado ativo de informao deve ser
tratado com um determinado nvel de proteo (e nisso que consiste a atribuio dos rtulos de
segurana s informaes) o subsdio de que dispe o gestor para avaliar se uma dada ao foi ou no
adequada ao nvel de proteo da informao e, caso no tenha sido, propor a responsabilizao, bem
como a correo da situao.
Critrios
a) Cobit 4.1 PO2.3 Data Classification Scheme (Esquema de Classificao da Informao
Estabelecer um esquema de classificao aplicvel em toda organizao baseado na criticidade e na
sensibilidade isto , pblica, reservada ou sigilosa das informaes institucionais. Esse esquema deve
incluir detalhes sobre propriedade da informao; definio de nveis de segurana e controles de
proteo adequados; e uma breve descrio dos requisitos de reteno e destruio de dados, criticidade
e sensibilidade. Deve ser usado como a base para a aplicao de controles tais como controles de
acesso, armazenamento ou encriptao);
b) NBR ISO/IEC 17799:2005, item 7.2 Classificao da informao: convm que a
informao seja classificada para indicar a necessidade, prioridades e o nvel esperado de proteo
quando do tratamento da informao.
Evidncias
a) Apndice I, planilha de resultados, pergunta 12. feita classificao de informaes?
(fl. 37).
Efeitos potenciais
a) Informaes tratadas com nvel inadequado de proteo, suscetveis perda de
integridade, confiabilidade e disponibilidade;
b) Tratamento da segurana das informaes de maneira inconsistente e dependente do meio
em que transitam ou so armazenadas;
c) Falta de amparo para responsabilizao por acesso indevido a informaes;
d) Falta de sintonia entre a proteo das informaes e o negcio da organizao.
Achado XI. Ausncia de procedimentos de controle de acesso em vigor
75.
De acordo com as respostas fornecidas, procedimentos para disciplinar o controle de acesso
a recursos computacionais existem em 52% dos pesquisados. provvel que esse resultado seja uma
TC-008.380/2007-1
conseqncia da necessidade de controle de acesso lgico em sistemas de informao e sistemas

operacionais em geral, que induz a necessidade de definio de normativos de identificao e de senhas,
bem como de direitos de acesso para cada usurio ou grupo de usurios. Isso faz com que a situao dos
48% restantes seja crtica.
76.
A definio de normativos para controle de acesso fundamental para sincronizar o controle
de acesso s informaes com as reais necessidades de acesso dos usurios, garantir o acesso mnimo e
necessrio a cada informao, isto , que s tenha acesso a uma informao quem realmente precisa
dela, e que toda informao realmente necessria esteja disponvel para acesso. A ausncia da
formalizao de normativos um indcio de que o acesso no est definido de forma criteriosa.
77.
A ausncia de procedimentos tambm um indcio de que o processo de
concesso/manuteno/revogao do acesso conforme definido no devidamente controlado. O risco
dessa ausncia de controle a ocorrncia de concesso/manuteno/revogao de acesso a recursos em
desconformidade com as reais necessidades de acesso.
Critrios
a) Cobit 4.1 DS5.3 Identity Management (Gerncia de Identidade Garantir que todos
usurios (internos, externos e temporrios) e sua atividade em sistemas de TI (aplicaes do negcio,
sistema operacional, desenvolvimento e manuteno) devem ser unicamente identificveis. Direitos de
acesso do usurio a sistemas e dados devem estar alinhados com as necessidades do negcio e requisitos
do cargo definidos e documentados. Direitos de acesso do usurio so requisitados pelo gerente do
usurio, aprovados pelo proprietrio do sistema e implementados pelo responsvel pela segurana.
Identidades e direitos de acesso do usurio so mantidos num repositrio central. Medidas tcnicas e
procedimentais so alocadas e mantidas correntes para estabelecer identificao do usurio,
implementar autenticao e conceder os direitos de acesso);
b) Cobit 4.1 DS5.4 User Account Management (Gerncia de Contas de Usurios Garantir
que requisitar, estabelecer, entregar, suspender, modificar e fechar contas de usurios e respectivos
privilgios de usurio realizado pela gerncia de contas de usurio. Deve ser includo um
procedimento de aprovao pelo proprietrio do sistema ou dado delineando a concesso de privilgios
de acesso. Esses procedimentos devem ser aplicados para todos usurios, incluindo administradores
(usurios privilegiados), usurios internos e externos, em uso normal ou em casos de emergncia.
Direitos e obrigaes relativos a acessos a sistemas e dados corporativos so contratualmente ajustados
para todos os tipos de usurios. Executar reviso regular gerencial de todas as contas e respectivos
privilgios.
c) Cobit 4.1 DS12.2 Physical Security Measures (Medidas de Segurana Fsica Definir e
implementar medidas de segurana fsica alinhadas com os requisitos do negcio para assegurar o local
e os ativos fsicos. Medidas de segurana fsica devem ser capazes de eficientemente prevenir, detectar e
mitigar riscos relativos a roubos, temperatura, incndio, fumaa, gua, tremor de terra, terrorismo,
vandalismo, interrupes de energia, produtos qumicos ou explosivos);
d) Cobit 4.1 DS12.3 Physical Access (Acesso Fsico Definir e implementar procedimentos
para permitir, limitar e revogar acesso aos terrenos, edifcios e reas de acordo com as necessidades do
negcio, inclusive emergncias. Acesso aos terrenos, edifcios e reas deve ser justificado, autorizado,
registrado e monitorado. Isso deve ser aplicado a todas as pessoas que entrem na propriedade, incluindo
funcionrios, temporrios, clientes, vendedores, visitantes ou qualquer outro terceiro);
e) NBR ISO/IEC 17799:2005, item 11.1.1 Poltica de controle de acesso: convm que a
poltica de controle de acesso seja estabelecida, documentada e analisada criticamente, tomando-se
como base os requisitos de acesso dos negcios e segurana da informao.
Evidncias
a) Apndice I, planilha de resultados, pergunta 14. Existem procedimentos definidos que
disciplinem o controle de acesso (lgico e fsico) a recursos computacionais? (fl. 37).
Efeitos potenciais
a) Perfil de acesso a informaes excessivamente permissivo para determinados usurios ou
grupos de usurios;
b) Concesso ou alterao do acesso a recurso para pessoas no autorizadas, visando
fraudes;
c) Divulgao no autorizada de informao reservada ou sigilosa.
TC-008.380/2007-1
Achado XII. Ausncia de rea especfica para lidar com segurana da informao
78.
Um total de 64% dos rgos/entidades informaram que no possuem rea especfica, com
responsabilidades definidas, para lidar estrategicamente com segurana da informao. Sem tal
estrutura, h grande probabilidade de que as questes de segurana no sejam tratadas de maneira
consistente. Alm disso, torna-se difcil para a organizao avaliar se esto sendo endereados de modo
adequado os recursos humanos e de logstica para a implementao dos controles de segurana da
informao, ou se tais controles esto sintonizados com o negcio da organizao. A ausncia de frum
adequado, de nvel estratgico e com representantes de diversas reas da organizao, tambm um
indcio de ausncia de um fator considerado crtico no sucesso da gesto da segurana: a preocupao
da direo da organizao com a segurana da informao.
Critrios
a) Cobit 4.1 DS5.1 Management of IT Security (Gerncia da Segurana de TI Gerenciar a
segurana de TI no nvel organizacional apropriado mais alto de maneira que a gerncia de aes de
segurana esteja alinhada com os requisitos do negcio);
b) NBR ISO/IEC 17799:2005, item 6.1 Infra-estrutura da segurana da informao:
convm que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementao
da segurana da informao dentro da organizao.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 9. Existe uma rea especfica, com
responsabilidades definidas, para lidar estrategicamente com segurana da informao? (fl. 37).
Efeitos potenciais
a) Ausncia ou atuao deficiente em segurana da informao na organizao;
c) Aes de segurana da informao da organizao incoerentes e ineficazes;
d) Desperdcio de recursos em aes no-prioritrias.
Achado XIII. Ausncia de rea especfica para gerncia de incidentes
79.
Apesar da gerncia centralizada de incidentes ser um dos pontos-chave apontados pela
norma NBR ISO/IEC 17799:2005 para resoluo rpida de incidentes em TI, no existe rea especfica
para gerncia de incidentes em 76% dos rgos/entidades pesquisados, segundo declaraes dos
gestores. Tal resultado representa um risco de que eventuais incidentes envolvendo a disponibilidade, a
integridade ou o sigilo das informaes no tenham tratamento adequado e consistente.
80.
Adicionalmente, em outra questo verificou-se que, coincidentemente, apesar de no serem
as mesmas instituies, tambm 76% das organizaes pesquisadas oferecem servios transacionais pela
Internet, o que aumenta a sua exposio a tentativas de acesso indevido e indisponibilidade da
informao. Ao cruzar esses dados, verificou-se que 54% dos pesquisados possuem servios
transacionais pela Internet e no possuem rea prpria para gerncia de incidentes. Nesses casos, o
risco associado ausncia do controle aumenta.
81.
Outro aspecto a considerar a possibilidade de um incidente em servios da Internet afetar
mais de uma instituio. Nesse caso, a ausncia dessa rea tem efeito multiplicador e pode, inclusive,
comprometer o trabalho dos rgos que a possuem. Existem grupos articuladores de tratamento de
incidentes na Internet, como o Grupo de Resposta a Incidentes de Segurana para a Internet brasileira
(CERT.br)11 e outros grupos localizados, como o Grupo de Incidentes da Rede Nacional de Pesquisa
(RNP) e de outros provedores de rede. Sem um contato nos rgos da administrao pblica, fica
comprometida a atuao de tais entidades na ocorrncia de incidentes que afetam vrias instituies,
inclusive quanto possibilidade de articulao especfica para tratamento de incidentes de rgos
governamentais.
Critrios
a) Cobit 4.1 DS5.5 Security Testing, Surveillance and Monitoring (Teste, Vigilncia e
Monitoramento de Segurana Testar e monitorar a implementao da segurana de TI de uma forma
pr-ativa. A segurana de TI deve ser formalmente aprovada de uma maneira tempestiva para assegurar
a manuteno do padro estabelecido de segurana da informao da organizao. A funo de registro
11
Grupo mantido pelo Comit Gestor da Internet no Brasil responsvel por receber, analisar e responder a incidentes de segurana em
computadores e redes conectadas Internet brasileira. Alm do processo de resposta a incidentes em si, o CERT.br tambm atua em
trabalhos de conscientizao sobre problemas de segurana, correlao entre eventos na Internet brasileira e auxlio ao estabelecimento de
novos centros de resposta a incidentes no Brasil.
TC-008.380/2007-1
e monitoramento permitir a preveno e/ou rpida deteco e o subseqente informe tempestivo de

atividades no usuais e/ou anormais que necessitem de tratamento);
b) Cobit 4.1 DS5.6 Security Incident Definition (Definio de Incidente de Segurana
Definir e comunicar claramente as caractersticas de potenciais incidentes de segurana para que
possam ser corretamente classificados e tratados pelo processo de gesto de problemas e incidentes);
c) NBR ISO/IEC 17799:2005, item 13.2 Gesto de incidentes de segurana da informao
e melhorias: convm que responsabilidades e procedimentos estejam definidos para o manuseio efetivo
de eventos de segurana da informao e fragilidades, uma vez que estes tenham sido notificados.
Convm que um processo de melhoria contnua seja aplicado s respostas, monitoramento, avaliao e
gesto total de incidentes de segurana da informao.
Evidncias
a) Apndice I, planilha de resultados, pergunta 15. Existe uma rea especfica para gerncia
de incidentes de segurana? (fl. 37);
b) Apndice I, planilha de resultados, pergunta: 16. O rgo/Entidade oferece servios
transacionais via Internet, ou seja, prestao de servio que pode ser executado do incio ao fim pela
Internet com troca bidirecional de informaes entre o rgo/Entidade e o cliente? (fl. 37-v).
Efeitos potenciais
a) Tratamento de incidentes inexistente, inadequado ou inconsistente;
b) Inexistncia de registro histrico de incidentes, o que dificulta o aprendizado e o
tratamento das causas;
c) Maior risco de que indisponibilidades, perdas de integridade ou acessos indevidos tenham
maior impacto sobre as informaes e, conseqentemente, sobre o negcio da organizao.
Achado XIV. Ausncia de gesto de mudanas
82.
No escopo da governana de TI, a gesto de mudanas costuma ser um processo de difcil
implementao, pois requer a colaborao de quase todas as reas de TI, desde o desenvolvimento de
sistemas at o suporte e a produo. No surpresa, ento, que 88% dos pesquisados tenham declarado
no gerenciar mudanas.
83.
A realizao de mudanas no ambiente de TI sem o devido controle causa comum de
instabilidade e falhas de segurana. Isso porque h mudanas freqentes e necessrias no ambiente de TI
que oferecem risco disponibilidade das informaes: a atualizao de verses de produtos de software,
a oferta de novos sistemas ou mdulos de sistemas, a atualizao de sistemas operacionais e a
atualizao de aplicativos, dentre outros. Caso um novo produto no adequadamente testado seja
disponibilizado no ambiente, h um risco de comprometer o funcionamento de outras solues de TI.
Alm disso, as mudanas devem ser registradas tanto para possibilitar auditoria quanto para restaurar
situaes anteriores a uma mudana inadequada.
Critrios
a) Cobit 4.1 AI6 Manage Changes (Gesto de Mudanas Todas as mudanas, incluindo
manuteno e correes de emergncia, relativas a infra-estrutura e aplicativos do ambiente de
produo, devem ser formalmente geridas de maneira controlada);
b) NBR ISO/IEC 17799:2005, item 10.1.2 Gesto de mudanas: convm que modificaes
nos recursos de processamento da informao e sistemas sejam controladas;
c) NBR ISO/IEC 17799:2005, item 12.5.1 Procedimentos para controle de mudanas:
convm que a implementao de mudanas seja controlada utilizando procedimentos formais de controle
de mudanas.
Evidncias
a) Apndice I, planilha de resultados, pergunta 17. feita a gesto de mudanas? (fl. 37-v).
Efeitos potenciais
a) Comprometimento da disponibilidade das informaes nos sistemas e da estabilidade do
ambiente de TI devido realizao de mudanas no-criteriosas;
b) Impossibilidade de restaurar uma situao anterior a uma mudana malsucedida, pela
falta de cuidado com a preservao do estado anterior e de registro preciso dos passos executados;
c) Alterao do nvel de proteo de uma ou vrias informaes de forma no avaliada, no
prevista ou no aprovada pelo gestor da informao como efeito de mudana em um recurso de TI.
TC-008.380/2007-1
Achado XV. Ausncia de gesto de capacidade e compatibilidade das solues de TI

84.
De acordo com as respostas recebidas, a gesto de capacidade e compatibilidade no feita
em 84% dos rgos/entidades pesquisados. Tal processo est ligado ao monitoramento do ambiente de TI
e sua ausncia indica que esse monitoramento no executado adequadamente. A principal
conseqncia o aumento do risco de descontinuidade na prestao dos servios de TI, o que afeta
diretamente a disponibilidade das informaes.
85.
Adicionalmente, a ausncia desse processo priva os gerentes de uma importante ferramenta
para direcionar os investimentos necessrios na manuteno da qualidade da infra-estrutura de TI, de
acordo com os requisitos do negcio.
Critrios
a) Cobit 4.1 PO3.4 Technology Standards (Padres Tecnolgicos Para prover solues
tecnolgicas consistentes, efetivas e seguras para toda a organizao, estabelecer um frum de
tecnologia para prover diretrizes tecnolgicas, pareceres e indicao sobre produtos de infra-estrutura e
seleo de tecnologias, e verificar a conformidade com esses padres e diretrizes. Esse frum deve
direcionar as prticas e padres tecnolgicos com base na relevncia para o negcio, riscos e
conformidade com requisitos externos);
b) Cobit 4.1 DS3 Manage Performance and Capacity (Gesto de Capacidade e Desempenho
A necessidade de gerir a capacidade e o desempenho dos recursos de TI requer um processo de
avaliao peridica do desempenho atual e da capacidade desses recursos. Esse processo inclui prever
futuras necessidades com base na carga de trabalho e nos requisitos de armazenamento e de
contingncia. Esse processo garante que as fontes de informao que suportam os requisitos de negcio
estejam continuamente disponveis);
c) NBR ISO/IEC 17799:2005, item 10.3.1 Gesto de capacidade: convm que a utilizao
dos recursos seja monitorada e sincronizada e as projees feitas para necessidades de capacidade
futura, para garantir o desempenho requerido do sistema.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 18. efetuada a gesto de capacidade e
compatibilidade das solues de TI do rgo/entidade? (fl. 37-v).
Efeitos potenciais
a) Interrupes nos sistemas de informao por sobrecarga no processamento e
indisponibilidade das informaes;
b) Inadequao de investimentos em infra-estrutura de TI, por desconhecimento da real
capacidade do ambiente e das necessidades de ampliao/atualizao;
c) Desperdcio provocado pela aquisio de produtos de TI incompatveis com o ambiente
existente.
Achado XVI. Ausncia de anlise de riscos na rea de TI
86.
A ausncia da anlise de riscos na rea de TI, informada por 75% dos rgos/entidades
pesquisados, um indcio de que as aes de segurana no so executadas de maneira sintonizada com
as necessidades do negcio dessas organizaes. Isto porque, sem anlise de riscos, no h como o
gestor priorizar aes e investimentos com base em critrios claros e relacionados com o negcio da
organizao. O resultado pode ser desperdcio, uso ineficaz de recursos, carncia de aes prioritrias.
87.
Alm disso, o desconhecimento dos riscos na rea de TI aumenta a exposio s ameaas de
acesso indevido, indisponibilidade e perda de integridade (intencional, como no caso das fraudes, ou por
falhas) das informaes sob responsabilidade dessas organizaes.
Critrios
a) Cobit 4.1 PO9.4 Risk Assessment (Anlise de Riscos Avaliar periodicamente a
probabilidade e o impacto de todos os riscos identificados, usando mtodos qualitativos e quantitativos.
A probabilidade e o impacto associados com o risco inerente e residual devem ser determinados
individualmente por categoria);
b) NBR ISO/IEC 17799:2005, item 4.1 Analisando/avaliando os riscos de segurana da
informao: convm que as anlises/avaliaes de riscos identifiquem, quantifiquem e priorizem os
riscos com base em critrios relevantes para a organizao, e que os resultados orientem e determinem
as aes de gesto apropriadas e as prioridades para o gerenciamento dos riscos de segurana da
TC-008.380/2007-1
informao, e para a implementao dos controles selecionados, de maneira a proteger contra estes
riscos.
Evidncias
a) Apndice I, planilha de resultados, pergunta 13. efetuada anlise de riscos na rea de
TI? (fl. 37).
Efeitos potenciais
a) Estabelecimento inadequado de prioridades para aes de segurana;
b) Desperdcio de recursos em aes no-prioritrias, enquanto outras mais crticas deixam
de ser realizadas.
Concluso
87.1.
As respostas fornecidas pelos rgos/entidades pesquisados s questes sobre o tratamento
dado segurana das informaes sob sua responsabilidade indicam que preciso mais ateno ao
tema. Dentre as nove questes sobre esse assunto, apenas uma obteve mais de 50% de resposta positiva.
O Grfico 4 resume as deficincias encontradas no tratamento de segurana da informao, indicando
para cada questo qual o percentual de rgos/entidades que informaram no executar o controle
associado. O resultado preocupa, pois a prpria prestao do servio de uma instituio pblica aos
cidados depende da confiabilidade das informaes por ela tratadas e ofertadas.
87.2.
A ausncia de plano de continuidade de negcios (PCN) em 88% dos rgos/entidades
pesquisados aponta para a falta de cultura acerca de continuidade de negcios. Isso constitui um alto
risco para a segurana das informaes tratadas por essas instituies governamentais, ao deix-las
vulnerveis perda ou ao comprometimento de informaes em caso de interrupo de servios por
causas naturais ou intencionais.
Deficincias na segurana da informao

90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
)
)
)
)
)
% ) 8 %)
%)
%
%
%
%
%)
%
8
4
6
5
4
8
4
0
6
7
7
8
8
4
(8
8
6
(
(
(
(
(
(
s(
e(
N
SI
TI a SI
so
o entes
P
s
e
PC ana i dad
e
r
a
d
c
pa
rm incid sco s
ea
ud ap a c
l
o
a
f
m
o
c
i
de
e r ecfi
e c d a in a d e
ntr
d
d
o
o
i
c
c
.
o
se
st st o
esp
ed
ern n li
a
c
ge
e
a
e
o
g
g
a
ic
r
pr
si f
s
a
cl
Grfico 4 Deficincias na segurana da informao
87.3.
A seu turno, a ausncia de uma gesto de mudanas em 88% dos pesquisados declarada
pelos prprios pesquisados indica que a maior parte desses rgos/entidades corre risco de instabilidade
TC-008.380/2007-1
e falhas de segurana no tratamento das informaes no seu ambiente de TI quando da ocorrncia de

mudanas. Alm disso, h o risco de enfrentar dificuldades quando for realizar auditoria ou investigao
por ocasio de problemas ocorridos em mudanas no ambiente de TI.
87.4.
Sobre a gesto de capacidade e compatibilidade do ambiente de TI, vale ressaltar que sua
ausncia em 84% dos pesquisados expe o risco de indisponibilidade em quantidade significativa dessas
organizaes da Administrao Pblica Federal. Alm disso, um indcio de que os gerentes de TI
dessas entidades no dispem de instrumentos adequados para embasar as necessidades de investimento
em infra-estrutura de TI.
87.5.
A classificao das informaes, por sua vez, um dos pilares da gesto da segurana da
informao numa organizao. A declarao de sua ausncia por um percentual to expressivo de
pesquisados (80%) indcio de que o tratamento da segurana sobre as informaes no feito de forma
consistente e independente do meio que as armazenam nesses rgos/entidades da Administrao
Pblica Federal. Alm disso, essa ausncia aumenta o risco de que a proteo das informaes no
esteja adequada s necessidades do negcio.
87.6.
A existncia de rea especfica para gerncia de incidentes no garante que um incidente no
ocorra, mas promove o melhor tratamento possvel aos incidentes. Assim, o fato de que 76% dos
pesquisados declararam no possuir tal rea acarreta risco para o negcio dessas organizaes. Alm
disso, a ausncia dessa rea inviabiliza a articulao do governo para o tratamento de incidentes que
envolvam vrios rgos e dificulta o trabalho de grupos de resposta a incidentes existentes. Dessa forma,
essa falha pode prejudicar, inclusive, aqueles que possuem grupo constitudo.
87.7.
A anlise de riscos de TI outra importante ferramenta de gesto da segurana da
informao. Sua ausncia em 75% dos rgos/entidades pesquisados indica falha significativa que pode
resultar em desperdcio, aes ineficazes e lacunas no tratamento da segurana.
87.8.
Apenas 36% dos pesquisados declararam ter rea especfica para lidar estrategicamente
com segurana da informao. A inexistncia dessa rea representa um risco de ausncia de aes de
segurana da informao ou ocorrncia de aes ineficazes, descoordenadas e sem alinhamento com o
negcio.
87.9.
J a poltica de segurana da informao (PSI) foi declarada inexistente nas organizaes de
64% dos pesquisados. Como a definio dessa poltica um dos primeiros passos para o reconhecimento
da importncia da segurana da informao na organizao e seu tratamento, isso um indcio de que a
gesto de segurana da informao inexistente ou incipiente na maior parte desses rgos/entidades da
administrao pblica.
87.10.
Finalmente, dentre os itens relacionados diretamente com a segurana da informao, a
existncia de procedimentos de controle de acesso apresentou o resultado mais positivo, pois 52% dos
rgos/entidades pesquisados declararam possuir tais procedimentos. Entretanto, 48% ainda um
percentual preocupante de ausncia, pois a falta desses procedimentos um indcio de que, nessas
organizaes, o controle de acesso implementado no est adequado ao nvel de proteo necessrio
para a informao.
87.11.
Esses resultados delineiam um cenrio no qual o auditor de TI tem papel fundamental no
incentivo governana da segurana de informao por meio da indicao de controles para apoiar
estruturas e processos organizacionais com vistas proteo das informaes, tendo como referncia
modelos apropriados. Para tanto, h necessidade do aperfeioamento constante das competncias do
auditor de TI nos principais modelos de gesto e controle na rea de TI, tais como a Information
Technology Infrastructure Library (ITIL) e modelos de anlise de riscos.
88.
Recomendar ao Gabinete de Segurana Institucional da Presidncia da Repblica, ao
Conselho Nacional de Justia e ao Conselho Nacional do Ministrio Pblico que promovam aes com
objetivo de disseminar a importncia do gerenciamento da segurana da informao e induzir, mediante
orientao normativa, os rgos/entidades da Administrao Pblica Federal a realizarem aes para
implantao e/ou aperfeioamento da gesto da continuidade do negcio, da gesto de mudanas, da
gesto de capacidade, da classificao da informao, da gerncia de incidentes, da anlise de riscos de
TI, da rea especfica para gerenciamento da segurana da informao, da poltica de segurana da
informao e dos procedimentos de controle de acesso.
TC-008.380/2007-1
6. Desenvolvimento de sistemas de informao

89.
Embora haja uma conscincia relativamente generalizada de que as reas de TI nas
organizaes no so simplesmente produtoras de software12, o desenvolvimento de sistemas de
informao , sem dvida, uma de suas principais atividades. A qualidade desse desenvolvimento
interfere diretamente na qualidade do servio prestado pela rea de TI. A necessidade de conectividade
com a Internet e com sistemas em outras organizaes faz da segurana da informao um requisito de
projeto. Os clientes, cada vez mais exigentes, esperam sistemas rpidos, fceis de usar, robustos e que
realmente atendam s suas necessidades. Alm disso, a parceria com o cliente deve ocorrer j no prprio
processo de desenvolvimento, que no pode ser mais lento do que a velocidade com que mudam as
necessidades, e no pode ser obscuro quanto a prioridades, prazos, qualidade e segurana.
90.
A aplicao de modelos de gesto para qualidade de software vem, exatamente, ao encontro
desses requisitos, e o desenvolvimento de sistemas pautado em uma metodologia um requisito bsico de
quaisquer desses modelos. A metodologia de desenvolvimento define como fazer do jeito certo,
enquanto a gesto da qualidade se concentra em avaliar e aprimorar o processo de uso dessa
metodologia de desenvolvimento na organizao.
91.
O uso de metodologia para desenvolvimento de sistemas no um tema novo e vem,
progressivamente, incorporando os conceitos de engenharia de software13 para tornar o processo de
desenvolvimento de sistemas mais controlvel, mensurvel e eficaz. Com a metodologia, busca-se no s
garantir que as vrias etapas tpicas do desenvolvimento (levantamento, projeto, programao, testes e
homologao) sejam executadas de forma sistemtica e documentada, mas tambm permitir a avaliao
e melhoria do processo, com vistas produo de software de qualidade.
92.
O governo brasileiro tem mostrado preocupao com a qualidade do software produzido no
Brasil ao instituir programas e aes de incentivo busca de melhorias. Como exemplo disso, h o
Programa Brasileiro de Qualidade e Produtividade do Software (PBQP-Sw) 14 e o Modelo de Melhoria de
Processos de Software (MPS.BR)15. Nessas orientaes, a existncia de metodologia requisito
fundamental na construo de software de qualidade.
92.1.
Alm das informaes sobre metodologia de desenvolvimento, outra informao solicitada
aos rgos/entidades sobre os seus sistemas foi a existncia de servios transacionais via Internet
(pergunta 16 do questionrio). Sobre esse assunto, 76% dos pesquisados informaram que prestam
servios pela Internet com troca bidirecional de informaes entre o rgo/entidade e seus clientes. Esse
percentual expressivo chama ateno para o uso, por rgos/entidades da Administrao Pblica, de
sistemas web na execuo da sua misso de prestao de servios aos cidados.
92.2.
Finalmente, foi solicitado aos rgos/entidades que participaram do levantamento o envio de
dados acerca dos principais sistemas utilizados e suas bases de dados associadas (pergunta 20 do
questionrio). Ao final, 205 organizaes enviaram informaes sobre 9.494 sistemas. Essa base de
dados ficar organizada e disponvel na Sefti para utilizao em futuras fiscalizaes e levantamentos.
Achado XVII. No-adoo de metodologia de desenvolvimento de sistemas
92.3.
Segundo as declaraes fornecidas, adotada uma metodologia de desenvolvimento de
sistemas em quase metade dos pesquisados (49%). um resultado ainda modesto, se considerarmos a
tendncia de sistemas cada vez mais complexos e interligados, requerendo sempre mais qualidade dos
sistemas aplicativos produzidos.
92.4.
A ausncia de metodologia em 51% dos pesquisados aumenta o risco de construir sistemas
pouco robustos, suscetveis a falhas, sem testes adequados e com documentao deficiente, ou seja,
aumenta o risco de que etapas mal conduzidas do processo produzam resultados inadequados para a
organizao. Um levantamento malfeito, por exemplo, gera um produto que no o esperado pelo
12
Numa perspectiva mais atual, espera-se que a rea de TI seja mais estratgica e no simplesmente entregue sistemas, mas fornea
solues de TI um conceito mais amplo que engloba servios, infra-estrutura e sistemas de informao, todos sintonizados com as
prioridades da organizao.
13
rea do conhecimento da informtica, voltada para a especificao, desenvolvimento e manuteno de sistemas, que aplica tecnologias e
prticas de cincia da computao, gerncia de projetos e outras disciplinas, objetivando organizao, produtividade e qualidade.
14
Programa que procura estimular a adoo de normas, mtodos, tcnicas e ferramentas da qualidade e da engenharia de software, bem
como promover a melhoria da qualidade dos processos, produtos e servios de software brasileiros, de modo a tornar as empresas mais
capacitadas a competir em um mercado globalizado. Embora voltado para empresas em geral, uma de suas estratgias fomentar a
qualidade de software em empresas e organismos governamentais.
15
Modelo de qualidade de processo voltado para a realidade do mercado de empresas de desenvolvimento de software no Brasil, compatvel
com outros padres internacionais, como a Capability Maturity Model Integration (CMMI).
TC-008.380/2007-1
cliente; um sistema mal documentado ou cuja documentao no segue um padro ou, ainda, cuja
documentao no atualizada corretamente, fica dependente da manuteno pelo(s) desenvolvedor(es);
um teste mal realizado permite que programas no adequadamente homologados pelo cliente sejam
dados como concludos.
92.5.
Alm disso, o risco para a organizao ainda maior quando se verifica que, dentre os 130
pesquisados que declararam no ter metodologia, 68% informaram que oferecem servio transacional
pela Internet e, portanto, possuem sistemas expostos a aes indevidas, intencionais ou no. Tal
exposio significativa pois, na Internet brasileira, os ataques a servidores web no primeiro trimestre
de 2008 aumentaram 34% em relao ao trimestre anterior, e 519% em relao ao mesmo perodo de
200716.
92.6.
Outro aspecto importante a considerar a terceirizao do servio de desenvolvimento: sem
uma metodologia, no possvel terceirizar todo o processo ou mesmo parte dele sem que isso represente
um risco para a organizao. Como o processo em si no bem definido, no h como medir o servio
prestado ou garantir que no haver perda de conhecimento ou ainda que o resultado seja o adequado
para a organizao.
92.7.
Finalmente, a falta de metodologia dificulta a auditoria do processo de desenvolvimento em
si tanto quanto dos seus produtos, ou seja, aumenta o risco de auditoria. Em ltima instncia, esse
aumento do risco de auditoria representa aumento de risco para a proteo de informaes e dificulta a
melhoria do processo. Nesse contexto, o auditor de TI pode funcionar como indutor da adoo de
metodologia por meio das recomendaes de auditoria. Para isso, necessria a capacitao constante
desse auditor em metodologias de gesto e qualidade em desenvolvimento de sistemas, tais como CMMI,
Rational Unified Process (RUP) e MPS.BR.
Critrios
a) Cobit 4.1 AI2.7 Development of Application Software (Desenvolvimento de Software
Aplicativo Assegurar que os aplicativos sejam desenvolvidos de acordo com as especificaes de
projeto, padres de desenvolvimento e documentao, requisitos de qualidade e padres de aprovao.
Assegurar que todos os aspectos legais e contratuais estejam identificados e tratados para software
aplicativo desenvolvido por terceiros).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 16. O rgo/entidade oferece servios
transacionais via Internet, ou seja, prestao de servio que pode ser executado do incio ao fim pela
Internet com troca bidirecional de informaes entre o rgo/entidade e o cliente? (fl. 37-v);
b) Apndice I, planilha de resultados, pergunta: 19. O desenvolvimento de sistemas segue
alguma metodologia? (fl. 37-v);
c) Apndice I, planilha de resultados, pergunta: 20. O rgo/entidade possui e mantm
inventrio dos principais sistemas informatizados e suas bases de dados? (fl. 37-v).
Efeitos potenciais
a) Processo de desenvolvimento de sistemas lento e sistemas de informao ineficazes;
b) Perda de informaes por causa de sistemas pouco robustos, sujeitos a falhas de
segurana, seja por fraude, seja por uso incorreto;
c) Execuo de contratos de prestao de servios de desenvolvimento sem mtricas
adequadas nem etapas claras com produtos para cada etapa;
d) Sistemas de difcil manuteno, sem documentao, em que apenas quem desenvolveu
detm o conhecimento. Esse caso pode ser ainda mais srio se o desenvolvedor for contratado
externamente.
Concluso
93.
O uso de metodologia de desenvolvimento de sistemas um requisito fundamental para a
produo de software de qualidade. A sua ausncia declarada por 51% dos pesquisados preocupa pelo
risco que representam, para a segurana da informao, produtos de software de baixa qualidade. Alm
disso, outras conseqncias, como maior dificuldade no gerenciamento do processo de desenvolvimento,
seja ele interno ou terceirizado, representa risco de m gesto dos recursos dos rgos/entidades da
16
Estatsticas do CERT.br para

(http://www.cert.br/stats/incidentes)
primeiro
trimestre
de
2008,
baseada
nas
notificaes
de
incidentes
recebidas
TC-008.380/2007-1
93.1.
Adicionalmente, h que se considerar o perfil delineado por 76% das organizaes que
declararam possuir sistemas transacionais via Internet. Tais sistemas apresentam um risco inerente
relacionado maior exposio a aes indevidas que podem afetar a integridade, a disponibilidade e a
confidencialidade das informaes por eles tratadas. Esse risco aumentado na presena de controles
fracos que afetem diretamente esses sistemas, como o caso da ausncia de metodologia para
desenvolvimento de sistemas ou deficincias nos controles de segurana da informao, ambos
identificados no presente levantamento. Nesse cenrio, a atuao da auditoria de TI pode colaborar
diretamente por meio da recomendao de controles, inclusive aqueles especficos para sistemas
transacionais via Internet. Para tanto, imperativo que o auditor esteja familiarizado com tais
tecnologias, seus riscos e as boas prticas e ferramentas que auxiliam a mitigao desses riscos.
Propostas de encaminhamento
94.
Ministrio Pblico que promovam aes com objetivo de disseminar a importncia da adoo de
metodologia de desenvolvimento de sistemas e induzir os rgos/entidades da Administrao Pblica
Federal a realizarem aes para implantao e/ou aperfeioamento dessa metodologia.
7. Gesto de acordos de nveis de servio
95.
A prestao de um bom servio para os cidados , em ltima instncia, o negcio de toda
instituio pblica. A definio do que um bom servio, sintonizando as expectativas dos clientes com
a oferta, exatamente o que constitui um acordo de nvel de servio (SLA, sigla do ingls Service Level
Agreement).
96.
No caso de um acordo de nvel de servio de TI, ento, definida a qualidade dos servios de
TI em funo das necessidades da organizao, quantificada e especificada para cada servio. Assim, a
disponibilidade da infra-estrutura de rede, o desempenho dos sistemas, o tempo de soluo de problemas
e outros dados semelhantes costumam constituir indicadores dos documentos de acordos de nveis de
servio, e devem ser adequadamente verificados e tratados quando detectadas falhas, de modo a atender
s necessidades do negcio. Sem a definio de tais indicadores, fica difcil responder questo: os
servios de TI da minha organizao esto adequados s necessidades do negcio?. Igualmente, fica
difcil priorizar investimentos e aes na rea de TI sem saber onde o desempenho est mais no limite do
esperado ou mais crtico para o negcio.
97.
Um aspecto particularmente importante a gesto de nveis de servio tambm para servios
contratados. A especificao formal de tais indicadores pode ser o principal instrumento dos gestores
para garantir o cumprimento dos contratos de TI e possibilitar a aplicao de penalidades em casos de
no-atendimento. A necessidade de acordo prvio e mensurao da qualidade de servios de TI citada,
inclusive, em trechos de Acrdos do TCU, como o Acrdo 2.172/2005-TCU-Plenrio 17 e o Acrdo
786/2006-TCU-Plenrio18. O termo acordo de nvel de servio para contratos de TI tambm j
conhecido do TCU, e foi mencionado no Acrdo 1.878/2005-TCU-Plenrio19.
Achado XVIII. Ausncia de gesto de acordos de nveis de servios prestados internamente
98.
A gesto de nveis de servios foi a questo com mais alto percentual de resposta negativa:
89% dos pesquisados informaram no executar a gesto de nveis de servio de TI ofertados aos seus
clientes. Essa resposta coerente com o resultado obtido na verificao de alguns dos processos de
trabalho que apiam a gesto de nveis de servio: o plano de continuidade de negcios (Achado IX 88% de respostas negativas), a gesto de mudanas (Achado XIV - 88% de respostas negativas) e a
gesto de capacidade e compatibilidade (Achado XV - 84% de respostas negativas).
99.
A ausncia da gesto de acordo de nveis de servio em percentual to expressivo indica que
grande parte dos pesquisados no realiza a negociao da qualidade dos servios de TI com os seus
clientes. A conseqncia disso uma dificuldade em ajustar expectativas: as reas de TI no sabem se
17
9.1.11. defina os parmetros que devero ser utilizados para balizar a mensurao da disponibilidade da rede corporativa de
computadores, incluindo o horrio que ser considerado na medio da varivel, a abrangncia da responsabilidade da contratada e a
forma de contabilizao das paradas para manuteno no percentual de disponibilidade, entre outros pontos que venham a ser
considerados cabveis;
18
9.1.2. faa constar do edital a metodologia de mensurao de servios e resultados, inclusive os critrios de controle e remunerao dos
servios executados, relativamente ao item 1.2 do objeto, levando em considerao a determinao contida no item 9.1.1 supra e as
determinaes exaradas nos Acrdos do Plenrio 667/2005, 2.103/2005, 2.171/2005 e 2.172/2005;
19
9.3.22. caso entendam necessrio incluir a exigncia de Acordo de Nvel de Servio no contrato a ser celebrado, especifiquem com
preciso, no edital, discriminadamente (...)
TC-008.380/2007-1
esto atendendo s necessidades de qualidade de servio dos seus clientes, nem tampouco os clientes
sabem, ao pedir um servio de TI, qual o nvel de qualidade que podem esperar. Os resultados podem ser
reas de TI cujos esforos e investimentos no esto sintonizados com as necessidades e expectativas dos
seus clientes.
Critrios
a) Cobit 4.1 DS1 Define and Manage Service Levels (Definir e Gerenciar Nveis de Servio
A comunicao efetiva entre gerente de TI e usurios sobre requisitos de servio possvel por meio de
acordo definido e documentado acerca dos servios de TI e nveis de servio. Esse processo tambm
inclui monitoramento e divulgao tempestiva aos interessados do cumprimento dos nveis de servio.
Esse processo permite um alinhamento entre os servios de TI e os requisitos de negcio relacionados).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 21. efetuada a gesto de acordos de nveis
de servio das solues de TI do rgo/entidade oferecidas a seus clientes? (fl. 37).
Efeitos potenciais
a) Insatisfao dos clientes com a qualidade e desempenho das solues ofertadas por sua
rea de TI;
b) Ausncia de informaes para os gerentes de TI sobre as reais expectativas dos seus
clientes;
c) Inadequao da distribuio dos investimentos em TI em relao s necessidades dos
clientes.
Achado XIX. Ausncia de gesto de acordos de nveis de servios contratados externamente
100.
Um total de 74% dos pesquisados informaram que no executam a gesto de nveis de
servio dos servios contratados, ou seja, mesmo quando o rgo/entidade cliente e no fornecedor,
no h preocupao com a avaliao e o controle dos resultados.
101.
Na verdade, a administrao precisa, por fora da lei, monitorar os seus contratos de TI. De
fato, as questes 31 (sobre verificao de itens predefinidos para atestao das faturas, com 56% de
resposta positiva) e 33 (sobre monitorao tcnica dos contratos, com 90% de resposta positiva)
obtiveram resultados melhores do que a questo sobre nveis de servio. Uma possvel explicao para
esses resultados que talvez exista algum monitoramento dos servios contratados, mas ele nem sempre
se d em funo de um indicador de desempenho. Ou, ainda, quando h tal indicador, ele no
estratgico e sintonizado com o negcio, como o caso do acordo de nvel de servio.
102.
Assim, por exemplo, exige-se no contrato que a provedora de link para Internet fornea
servio velocidade de 4MB/s, em regime 24x7, com 99% de qualidade do servio (isto , tolerado 1%
de falha no fornecimento). Em alguns casos, a falha consiste em no verificar relatrios comprobatrios
do ndice de qualidade para atestao de fatura. Porm, mesmo quando tal ndice verificado, isso no
garantia de que o usurio final foi atendido em suas necessidades, pois no houve verificao nem
acordo prvio de que tais velocidade e qualidade seriam suficientes para o negcio da organizao.
Nesse caso, as organizaes se arriscam a manter contratos de servios que no so efetivos para o seu
negcio, mesmo quando cumprem metas contratuais.
103.
Adicionalmente, como em ltima instncia um servio contratado pela rea de TI visa
atender necessidade dos seus clientes, a ausncia da gesto externa tem as mesmas conseqncias da
sua ausncia da gesto interna dos nveis de servio.
104.
necessrio destacar que o art. 14 da recm publicada IN-4 da Secretaria de Logstica
Tecnologia da Informao (SLTI) do Ministrio do Planejamento, Oramento e Gesto indica o mnimo
que deve constar nos contratos com objetivo de estabelecer nveis de servio.
Critrios
a) Cobit 4.1 DS1 Define and Manage Service Levels (Definir e Gerenciar Nveis de Servio
A comunicao efetiva entre gerente de TI e usurios sobre requisitos de servio possvel por meio de
acordo definido e documentado acerca dos servios de TI e nveis de servio. Esse processo tambm
inclui monitoramento e divulgao tempestiva aos interessados do cumprimento dos nveis de servio.
Esse processo permite um alinhamento entre os servios de TI e os requisitos de negcio relacionados).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 22. efetuada a gesto dos nveis de servio
acordados para os servios de TI prestados ao rgo/entidade? (fl. 37-v).
TC-008.380/2007-1
Efeitos potenciais
a) Insatisfao dos clientes com a qualidade e desempenho das solues de TI contratadas;
b) Realizao e manuteno de contratos de qualidade inadequada e pouco efetivos para o
negcio da organizao;
c) Inadequao da distribuio dos investimentos em TI em relao s necessidades da
organizao;
d) No-aplicao de multas contratuais e pagamento de valores indevidos aos fornecedores.
Concluso
105.
A gesto de acordos de nveis de servio o principal instrumento de negociao de
qualidade de servio entre as gerncias de TI e os seus clientes. A sua ausncia em 89% dos pesquisados
um indcio de que as reas de TI desses rgos/entidades ainda esto distantes dos seus usurios e no
negociam adequadamente com eles sobre a qualidade dos seus servios. As conseqncias mais
provveis para tal cenrio so clientes insatisfeitos e investimentos inadequados.
106.
Alm disso, 74% dos pesquisados informaram que no executam a gesto de nveis de servio
dos servios contratados, ou seja, mesmo quando o rgo/entidade cliente e no fornecedor, no h
preocupao com a avaliao e o controle dos resultados. Assim, como em ltima instncia um servio
contratado pela rea de TI visa atender necessidade dos seus clientes, a ausncia da gesto externa
tem as mesmas conseqncias da sua ausncia da gesto interna dos nveis de servio.
107.
Ministrio Pblico que promovam aes com objetivo de disseminar a importncia de gesto de nveis de
servio e induzir os rgos/entidades da Administrao Pblica Federal a realizarem aes para
implantao e/ou aperfeioamento de acordos de nveis de servio.
8. Processo de contratao de bens e servios de TI
108.
Na contratao de bens e servios de TI essencial a adoo de processo de trabalho
formalizado, padronizado e judicioso quanto ao custo, oportunidade e aos benefcios advindos para a
organizao. Esse processo melhora o relacionamento com os fornecedores e prestadores de servios,
maximiza a utilizao dos recursos financeiros alocados rea de TI e contribui decisivamente para que
os servios de TI dem o necessrio suporte s aes da organizao no alcance de seus objetivos e suas
metas.
Achado XX. Ausncia de processo formal de trabalho para contrataes de TI
109.
Mesmo que a maioria (54%) dos rgos/entidades pesquisados tenha informado que adota
processo formal de trabalho para contrataes de TI, a situao est longe do ideal, j que um
percentual expressivo de organizaes (46%) no adota processo formal de trabalho para contrataes
de TI.
110.
Deve-se observar que isso no significa deixar de cumprir a legislao especfica.
Entretanto, a falta de um processo de trabalho definido, padronizado, documentado e aprovado para
realizar as contrataes de TI pode trazer conseqncias danosas organizao. Como no existe um
padro oficial e disseminado pela organizao, cada rea pode adquirir os recursos de que necessita de
uma forma diferente. Dessa maneira, a organizao se expe a riscos desnecessrios e que poderiam ser
evitados com a adoo de um processo de trabalho formalizado.
111.
Devido complexidade da legislao de licitaes vigente, o primeiro risco de que,
eventualmente, no sejam observados todos os dispositivos legais e normativos. Provavelmente, nem
todos os responsveis pelas contrataes de TI so especialistas no assunto e, caso no haja um processo
formal de trabalho, em algumas aquisies, dispositivos legais podem deixar de ser observados. Alm
disso, improvvel que todos os responsveis acompanhem as alteraes normativas e estejam
atualizados sobre as mudanas na interpretao da legislao e na jurisprudncia da rea. O mais
seguro para a organizao que o processo de contratao esteja padronizado e disponvel para todos
os responsveis para minorar a ocorrncia de dvidas e falhas nas aquisies de TI. Deve-se reforar
que muitas falhas no processo de aquisio tm srias repercusses no processo de gesto dos contratos
durante sua vigncia e, em alguns casos, mesmo aps seu encerramento devido a pendncias judiciais.
112.
Outro risco decorrente da no-existncia de processo formal a realizao de aquisies
desnecessrias, com baixa qualidade ou que no estejam alinhadas s necessidades do negcio a mdio
TC-008.380/2007-1
e longo prazos. Dessas situaes decorrem, normalmente, desperdcio de recursos. Em alguns casos,
inclusive, a ocorrncia de fraudes e desvios fica facilitada exatamente pela falta ou dificuldade de
controle sobre processos no padronizados.
113.
O item 9.4 do Acrdo 786/2006-TCU-Plenrio recomendou Secretaria de Logstica e
Tecnologia da Informao do Ministrio do Planejamento, Oramento e Gesto (SLTI) que elaborasse
um modelo de licitao e contratao de servios de informtica para a Administrao Pblica Federal
e promovesse a implantao dele nos diversos rgos e entidades sob sua coordenao mediante
orientao normativa. Em atendimento a esse acrdo, durante o processo de reviso deste relatrio, a
SLTI publicou a Instruo Normativa n. 4, de 19 de maio de 2008. A IN-4 da SLTI dispe sobre o
processo de contratao de servios de TI pela Administrao Pblica Federal direta, autrquica e
fundacional. A norma contempla as fases de planejamento da contratao, seleo do fornecedor e
gerenciamento do contrato e entrar em vigor no dia 2 de janeiro de 2009.
Critrios
a) Cobit 4.1 AI5.1 Procurement Control (Controle sobre aquisies Desenvolver e seguir
um conjunto de procedimentos e padres consistente com o processo de licitao e a estratgia de
aquisio gerais da organizao para adquirir infra-estrutura, instalaes, hardware, software e
servios de TI necessrios ao negcio).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 23. O rgo/entidade adota processo formal
de trabalho na contratao de bens e servios de TI? (fl. 37-v).
Efeitos potenciais
a) Aquisies de TI no alinhadas s necessidades de mdio e longo prazos da organizao;
b) Contratao de bens e servios de TI que no atendem qualidade necessria ao bom
desenvolvimento do negcio do rgo/entidade;
c) Descumprimento de leis e normas relativas s licitaes de TI;
d) Problemas na gesto dos contratos decorrentes de aquisies de TI por falta de requisitos
previamente estabelecidos na licitao;
e) Desperdcio de recursos.
Achado XXI. Ausncia de anlise de custo/benefcio da soluo de TI contratada
114.
Para se obter uma boa gesto necessria a otimizao dos recursos disponveis. No caso
especfico da rea de TI, essa preocupao se torna essencial tendo em vista as rpidas e constantes
mudanas tecnolgicas. Assim, imperativo que qualquer contratao de soluo de TI seja precedida
de estudo de viabilidade e de anlise de custo/benefcio. Apesar dessa mxima no ser contestada,
apenas pouco mais da metade (53%) dos rgos/entidades pesquisados realiza essa anlise.
115.
importante notar que toda contratao de TI deve ser anteriormente aprovada levando-se
em conta os aspectos tcnicos, sua funcionalidade, sua viabilidade, seu alinhamento com o planejamento
estratgico e se os benefcios advindos compensam o seu custo. As contrataes de TI, alm de
referendadas pela rea de TI, devem ser aprovadas pelo gestor da rea afetada. Em alguns casos,
quando envolverem valores elevados, assuntos relevantes ou quando envolverem diversas reas da
organizao, a contratao deve ser aprovada pelo comit diretivo de TI (Achado III).
116.
Os artigos 10 a 12 da recm publicada IN-4 da SLTI (item 113) indicam atividades que
devero ser executadas para anlise de viabilidade da contratao.
Critrios
a) Cobit 4.1 AI1.3 Feasibility Study and Formulation of Alternative Courses of Action
(Estudo de viabilidade e formulao de solues alternativas Desenvolver um estudo de viabilidade
que examine a possibilidade da implementao dos requisitos. A gerncia do negcio, apoiada pela
gerncia de TI, deve avaliar a viabilidade e as solues alternativas e fazer uma recomendao ao
patrocinador da ao);
b) Cobit 4.1 AI1.4 Requirements and Feasibility Decision and Approval (Deciso e
aprovao dos requisitos e da viabilidade Verificar se o processo requer que o patrocinador da ao
formalize sua aprovao dos requisitos funcionais e tcnicos e dos relatrios de estudo de viabilidade em
etapas chave predeterminadas. O patrocinador da ao deve tomar a deciso final no que diz respeito
escolha da soluo e da forma de sua aquisio).
TC-008.380/2007-1
Evidncias
a) Apndice I, planilha de resultados, pergunta: 24. Na elaborao do projeto bsico das
contrataes de TI feita anlise de custo/benefcio da soluo a ser contratada ? (fl. 37-v).
Efeitos potenciais
a) Contratao de bens e servios de TI com custos acima do necessrio;
b) Solues alternativas satisfatrias e a um custo mais baixo no identificadas;
c) Desperdcio de recursos.
Achado XXII. Ausncia de explicitao dos benefcios nas contrataes de TI
117.
Apesar de seu importante papel na consecuo dos objetivos institucionais nas organizaes,
a tecnologia da informao no pode ser encarada como um fim em si mesma. Todas as aes de TI
devem concorrer para que a organizao alcance seus objetivos e metas.
118.
O Tribunal, em diversos acrdos, tem destacado a importncia e determinado a necessidade
da harmonia entre as contrataes de TI e o planejamento estratgico dos rgos/entidades federais. O
item 9.3.11 do Acrdo 1.558/2003-TCU-Plenrio taxativo: ao proceder a licitao de bens e servios
de informtica, elabore previamente minucioso planejamento, realizado em harmonia com o
planejamento estratgico da unidade e com o seu plano diretor de informtica, (...). Na mesma direo
o item 9.1.1 do Acrdo 2.094/2004-TCU-Plenrio: todas as aquisies devem ser realizadas em
harmonia com o planejamento estratgico da instituio (...).
119.
Assim, toda contratao de TI deve ter seus benefcios para a organizao explicitados, ou
seja, deve ser justificada em que medida ir colaborar para a consecuo dos objetivos institucionais.
Apesar desse entendimento j consolidado, 40% dos rgos e entidades pesquisados ainda no se
preocupam em justificar e destacar os benefcios esperados para a organizao. Por outro lado, a letra
c do inciso V do art. 10 da recm publicada IN-4 da SLTI (item 113) determina que a justificativa da
soluo escolhida contenha a identificao dos benefcios que sero alcanados com a efetivao da
contratao em termos de eficcia, eficincia, efetividade e economicidade.
Critrios
a) Cobit 4.1 AI1.3 Feasibility Study and Formulation of Alternative Courses of Action
(Estudo de viabilidade e formulao de solues alternativas Desenvolver um estudo de viabilidade
que examine a possibilidade da implementao dos requisitos. A gerncia do negcio, apoiada pela
gerncia de TI, deve avaliar a viabilidade e as solues alternativas e fazer uma recomendao ao
patrocinador da ao);
b) Cobit 4.1 AI1.4 Requirements and Feasibility Decision and Approval (Deciso e
aprovao dos requisitos e da viabilidade Verificar se o processo requer que o patrocinador da ao
formalize sua aprovao dos requisitos funcionais e tcnicos e dos relatrios de estudo de viabilidade em
etapas chave predeterminadas. O patrocinador da ao deve tomar a deciso final no que diz respeito
escolha da soluo e da forma de sua aquisio);
c) Acrdo 1.558/2003-TCU-Plenrio, item 9.3.11;
d) Acrdo 2.094/2004-TCU-Plenrio, item 9.1.1.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 25. Na elaborao do projeto bsico das
contrataes de TI so explicitados os benefcios da contratao em termos de negcio do
rgo/entidade e no somente em termos de TI? (fl. 37-v).
Efeitos potenciais
a) Aquisies de TI no alinhadas s necessidades de mdio e longo prazos da organizao;
b) Contratao de bens e servios de TI com desempenho abaixo do esperado e/ou
requerido;
c) Contratao de bens e servios de TI no integrados infra-estrutura de TI existente;
d) Desperdcio de recursos.
Achado XXIII. No-exigncia de demonstrativo de formao de preo antes da
adjudicao
120.
O valor de muitas contrataes de TI resultado da soma de valores de diversos
componentes. Especialmente na contratao de uma soluo de TI, os custos dos componentes podem
variar ao longo do tempo de durao do contrato de maneira diferente. Tome-se como exemplo uma
TC-008.380/2007-1
soluo de TI que envolva recursos humanos, aluguel de equipamentos e recursos de telecomunicao.

Pode ser necessrio, para se manter o equilbrio econmico-financeiro do contrato, que haja a
repactuao com a assinatura de termo aditivo por questes econmicas, de mercado ou tecnolgicas. Se
no se souber o quanto cada componente representa na formao do valor final, no se poder repactuar
o contrato de maneira justa e no lesiva aos interesses pblicos.
121.
Diante dessa situao, torna-se importante a exigncia de que, antes da adjudicao do
contrato, seja apresentado o demonstrativo de formao de preo. De acordo com as respostas dos
gestores, essa prtica somente observada por metade dos rgos/entidades participantes do
levantamento, apesar da Lei n. 8.666/1993 j recomend-la, mesmo que implicitamente, em seus artigos
7 e 46.
Critrios
a) Lei n. 8.666/1993, art. 7, 2, inciso II, e art. 46, 1, inciso II.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 27. exigido o demonstrativo de formao
de preo antes da adjudicao? (fl. 37-v).
Efeitos potenciais
a) Problemas na gesto dos contratos decorrentes de aquisies de TI por falta de
parmetros para renegociao de valores, caso seja necessrio;
b) Dificuldade de se identificar a prtica de jogo de planilhas20.
Concluso
122.
Uma quantidade expressiva (46%), pouco menos que a metade dos rgos/entidades
pesquisados, no dispe de processo formal de trabalho. Essa uma situao que merece ateno
especial dos rgos/entidades no sentido da implantao de processo formal de contratao de TI, para
evitar falhas, fraudes e desperdcios de recursos. Em atendimento ao item 9.4 do Acrdo 786/2006TCU-Plenrio, a SLTI editou a IN-4, que entrar em vigor em janeiro de 2009 e pode ser considerada
um bom comeo para mudana do quadro atual.
123.
A despeito das dificuldades enfrentadas, como falta de recursos humanos e outras condies
fundamentais para o bom funcionamento das reas de TI, o fato de 47% do universo pesquisado no
realizarem anlise de custo/benefcio das contrataes de TI demonstra que a melhor utilizao dos
recursos pblicos ainda no uma preocupao para boa parte dos gestores de TI.
124.
Apesar da maioria dos rgos/entidades pesquisados explicitarem os benefcios para a
obteno dos resultados institucionais esperados com cada contratao de TI, um percentual ainda muito
expressivo no adota tal prtica (40%). Essa situao, em conjunto com os achados XXIV e XXV, mostra
que muito ainda precisa ser feito para que haja controle efetivo de que as contrataes de TI so
convenientes para a organizao.
125.
O fato de metade dos rgos/entidades pesquisados no exigir o demonstrativo de formao
de preo antes da adjudicao indica que uma quantidade significativa de gestores no est atenta para
os problemas que poder enfrentar na gesto dos contratos decorrentes das aquisies de bens e servios
TI. Essa viso imediatista poder trazer riscos concluso do contrato e/ou prejuzos organizao.
126.
Recomendar ao Conselho Nacional de Justia e ao Conselho Nacional do Ministrio Pblico
que promovam aes com objetivo de disseminar a importncia de processo de trabalho formalizado de
contratao de bens e servios de TI e induzir, mediante orientao normativa nos moldes recomendados
pelo item 9.4 do Acrdo 786/2006-TCU-Plenrio, os rgos do Poder Judicirio e do Ministrio
Pblico a realizarem aes para implantao e/ou aperfeioamento do processo de contratao de TI.
9. Processo de gesto de contratos de TI
127.
Da mesma forma que importante que haja processo de trabalho formalizado para
contratao de bens e servios de TI, essencial que os contratos advindos dessas aquisies sejam bem
geridos.
20
Estratagema ilegal, utilizado por participante de licitao, em que o equilbrio do contrato alterado substancialmente, normalmente em
favor das empresas contratadas, pela supresso de quantitativos de itens com subpreo e acrscimos de quantitativos de itens com
sobrepreo, de forma isolada ou conjunta. Ambos procedimentos so amparados por estudos tcnicos que comprovam a necessidade de
alterao dos quantitativos, normalmente evidenciados na execuo dos servios em decorrncia de deficincias do projeto bsico e/ou dos
estudos prvios contratao.
TC-008.380/2007-1
128.
Apesar da Lei n. 8.666/1993 determinar algumas aes que devem ser obrigatoriamente
realizadas, no h a indicao do que deve constar de processo de trabalho para gesto dos contratos.
Entretanto, para todos os contratos e, especialmente, para os contratos de TI, a sua boa gesto
essencial para se atingir os objetivos esperados. Para se gerir adequadamente os riscos inerentes s
atividades de TI, a adoo de processo formal de trabalho de suma importncia. Esse processo de
trabalho deve ser definido, padronizado, documentado, aprovado e divulgado para toda a organizao.
Achado XXIV. Ausncia de processo formal de trabalho para gesto de contratos de TI
129.
A maioria (55%) dos rgos/entidades participantes do levantamento afirmou que no
adota processo formal de trabalho para gesto de contratos de TI. Essa situao merece ser observada
com ateno.
130.
A ausncia desse processo de trabalho pode causar problemas ao bom funcionamento da
rea de TI da organizao. Se os contratos de TI, que garantem os servios de infra-estrutura de TI, o
desenvolvimento de aplicativos e o atendimento aos usurios, por exemplo, no forem bem geridos, todas
as atividades de TI sero afetadas. Alm disso, todas as atividades da organizao que dependem de
servios de TI podero sofrer com interrupes ou nveis de servio abaixo do desejado e comprometer
metas e objetivos da instituio.
131.
Caso a organizao no consiga exigir dos seus fornecedores uma prestao de servio
adequada sua necessidade, muitos projetos e atividades correm risco de no serem realizados no prazo
necessrio, acarretando perdas ou desperdcio de recursos. Eventualmente, tambm, alguma
determinao legal poder deixar de ser cumprida, o que tornar a organizao vulnervel em termos
jurdicos e na prestao de contas.
132.
interessante notar que 78% das organizaes consultadas afirmaram que designam
formalmente um gestor para cada contrato de TI. Esse gestor pode, eventualmente, ser a mesma pessoa
do representante da administrao previsto no art. 67 da Lei n. 8.666/1993. Entretanto, observa-se
que, apesar de 78% das organizaes pesquisadas terem um gestor designado para o contrato, boa parte
desses gestores no dispe de um processo de trabalho formalmente definido. Assim, o bom desempenho
da funo depende da capacidade e conhecimento individual do gestor, quando deveria ser uma
atividade impessoal que qualquer funcionrio habilitado pudesse exercer de acordo com o processo de
trabalho padro.
133.
A recm publicada IN-4 da SLTI dedica toda a Seo III ao gerenciamento do contrato
(item 113).
Critrios
a) Lei n. 8.666/1993, Captulo III Dos Contratos;
b) Cobit 4.1 AI5.1 Procurement Control (Controle sobre aquisies Desenvolver e seguir
um conjunto de procedimentos e padres consistente com o processo de licitao e a estratgia de
aquisio gerais da organizao para adquirir infra-estrutura, instalaes, hardware, software e
servios de TI necessrios ao negcio).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 28. O rgo/entidade adota processo formal
de trabalho na gesto de contratos de bens e servios de TI? (fl. 37-v);
b) Apndice I, planilha de resultados, pergunta: 29. H designao formal do gestor de cada
contrato relativo a bens e servios de TI? (fl. 37-v).
Efeitos potenciais
a) Descumprimento de leis e normas relativas gesto de contratos de TI;
b) Problemas na gesto dos contratos de TI;
c) Baixa qualidade dos servios prestados;
d) No-aplicao de multas previstas nos contratos;
e) Interrupes na execuo de contratos de TI;
f) Interrupo de processos que sustentam o negcio da organizao;
g) No-concluso de projetos importantes para se atingir as metas da organizao;
h) Desperdcio de recursos.
TC-008.380/2007-1
Achado XXV. No-realizao de reunies peridicas para avaliar o andamento dos

contratos de TI
134.
Causa preocupao o fato de 65% dos rgos/entidades que participaram do levantamento
no realizarem reunies peridicas com os contratados para avaliar o desempenho de cada contrato de
TI. Esse procedimento deve fazer parte do processo formal de trabalho para gesto dos contratos de TI.
135.
O art. 67 da Lei n. 8.666/1993 no determina explicitamente a realizao de reunies
peridicas com os fornecedores, entretanto, determina que a execuo do contrato dever ser
acompanhada e fiscalizada por um representante da Administrao especialmente designado que
anotar em registro prprio todas as ocorrncias relacionadas com a execuo do contrato,
determinando o que for necessrio regularizao das faltas ou defeitos observados.
136.
A forma mais simples e eficiente para o cumprimento desse dispositivo legal , sem dvida
alguma, a realizao de reunies com a periodicidade adequada para avaliar o andamento do servio,
bem como os problemas enfrentados e as decises a serem tomadas para solucion-los. Outra vantagem
significativa da realizao de reunies com os contratados a possibilidade de anteviso de problemas
futuros baseada na evoluo do desempenho e outros indicadores que, eventualmente, podem apontar
degradao do nvel de servios ou outros riscos iminentes.
Critrios
a) Art. 67 da Lei n. 8.666/1993;
b) Cobit 4.1 AI5.2 Supplier Contract Management (Gerenciamento de Contratos de
Fornecedores Definir um procedimento para estabelecimento, modificao e concluso de contratos
com todos os fornecedores. O procedimento deve cobrir, no mnimo, responsabilidades, obrigaes e
penalidades legais, financeiras, organizacionais, documentais, de desempenho, de segurana, de
propriedade intelectual e de concluso. Todos os contratos e aditivos devem ser revisados por
consultores jurdicos);
c) Cobit 4.1 DS2.2 Supplier Relationship Management (Gerenciamento de Relacionamento
com Fornecedores Formalizar o processo de gerenciamento e relacionamento com cada fornecedor. O
contato com o fornecedor deve tratar dos assuntos relativos a clientes e fornecedores e garantir a
qualidade do relacionamento baseado na confiana e transparncia, isto , por meio de acordos de nvel
de servio (SLA));
d) Cobit 4.1 DS2.3 Supplier Risk Management (Gerenciamento de Riscos com Fornecedores
Identificar e mitigar riscos relacionados capacidade dos fornecedores de continuarem efetivamente a
entregar os produtos de uma maneira segura, eficiente e contnua. Garantir que os contratos estejam de
acordo com os padres gerais do negcio e requisitos legais e regulatrios. O gerenciamento de riscos
deve considerar antecipadamente acordos de no-divulgao de informaes, contratos de garantia,
viabilidade de continuidade do fornecedor, conformidade com requisitos de segurana, fornecedores
alternativos, penalidades, recompensas etc.);
e) Cobit 4.1 DS2.4 Supplier Performance Monitoring (Monitoramento de Desempenho de
Fornecedores Estabelecer um processo para monitorar a entrega dos servios de forma a garantir que
o fornecedor esteja cumprindo os requisitos do negcio e continue seguindo os termos acordados no
contrato e no SLA. Esse processo deve garantir, tambm, que o desempenho do fornecedor seja
compatvel com o de fornecedores alternativos e com as condies do mercado);
Evidncias
a) Apndice I, planilha de resultados, pergunta: 30. H realizao de reunio peridica com
o contratado para avaliar o andamento de cada contrato relativo a bens e servios de TI? (fl. 37-v).
Efeitos potenciais
b) Problemas na gesto dos contratos de TI;
c) Baixa qualidade dos servios prestados;
d) No-aplicao de multas previstas nos contratos;
e) Interrupes na execuo de contratos de TI;
f) Interrupo de processos que sustentam o negcio da organizao;
g) No-concluso de projetos importantes para se atingir as metas da organizao;
h) Desperdcio de recursos.
TC-008.380/2007-1
Achado XXVI. No-definio prvia de itens para atestao tcnica das faturas de
contratos de TI
137.
Praticamente metade (53%) dos rgos/entidades que participaram do levantamento afirmou
que atesta as faturas apresentadas com base em itens previamente definidos. Por outro lado, 47% das
organizaes pesquisadas no definem previamente um critrio para avaliao se as faturas
apresentadas correspondem realidade e se no contm erros.
138.
Esse procedimento especfico deve constar do processo formal de trabalho para gesto dos
contratos de TI. A sua ausncia pode dificultar o trabalho do responsvel por atestar tecnicamente a
realizao do servio. Caso esse responsvel tenha que atestar muitas faturas e essas faturas tenham
muitos itens a serem verificados, o risco de que sejam aprovados pagamentos indevidos bastante
razovel.
139.
No levantamento, 90% das organizaes consultadas disseram que fazem o monitoramento
tcnico dos contratos de TI. Foram informadas, tambm, a quantidade de contratos de TI e a quantidade
de profissionais que executam essa tarefa. Em 17% dos rgos/entidades pesquisados cada profissional
monitora tecnicamente, em mdia, mais de cinco contratos de TI. A maior quantidade calculada foi de
14,7 contratos por pessoa e a menor foi de 0,5 contrato por pessoa. Deve-se ter sempre em mente que
essas informaes devem ser analisadas com cuidado porque esses contratos podem variar do
fornecimento de um nico item simples de ser controlado ao complexo controle de uma fbrica de
software.
Critrios
a) Cobit 4.1 DS2.4 Supplier Performance Monitoring (Monitoramento de Desempenho de
Fornecedores Estabelecer um processo para monitorar a entrega dos servios de forma a garantir que
o fornecedor esteja cumprindo os requisitos do negcio e continue seguindo os termos acordados no
contrato e no SLA. Esse processo deve garantir, tambm, que o desempenho do fornecedor seja
compatvel com o de fornecedores alternativos e com as condies do mercado).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 31. H verificao de itens predefinidos que
embasem a atestao tcnica dos bens e servios de TI contratados referentes a cada fatura
apresentada? (fl. 37-v);
b) Apndice I, planilha de resultados, pergunta: 33. feita monitorao tcnica dos
contratos relativos a bens e servios de TI? Quantos funcionrios realizam esta atividade? Quantos
contratos relativos a bens e servios de TI esto em vigor? (fl. 38).
Efeitos potenciais
b) Pagamentos indevidos;
c) No-aplicao de multas previstas nos contratos;
d) Desperdcio de recursos.
Achado XXVII. Monitorao administrativa dos contratos de TI feita pela rea de TI
140.
A monitorao administrativa dos contratos deve ser feita em cumprimento ao disposto no
inciso XIII do art. 55, c/c o art. 29, da Lei n. 8.666/1993. Tal monitorao envolve a verificao de
aspectos trabalhistas (encargos, subordinao direta, desvio de funo, no-verificao da
impessoalidade, ingerncia administrativa), aspectos fiscais (regularidade cadastral), manuteno das
condies de habilitao na licitao, atendimento aos normativos internos do rgo ou entidade e
regularidade dos recolhimentos de contribuies sociais.
141.
Nem todos os profissionais de TI esto aptos a realizar a monitorao administrativa, sem
uma preparao especfica, por ser uma atividade que requer o acompanhamento da legislao e
jurisprudncia da rea de licitaes e contratos. Alm disso, essa atividade pode tomar um tempo
elevado devido quantidade de documentos e requisitos burocrticos a serem observados. Se a atividade
for realizada por pessoa no preparada devidamente ou que no esteja atualizada nessa matria, o risco
de problemas futuros para a organizao considervel. Levando tudo isso em considerao, a
monitorao administrativa deve ser realizada por setor especializado que no precisa necessariamente
estar ligado rea de TI.
142.
Das organizaes consultadas, em menos da metade (45%) a monitorao administrativa
realizada por setor especializado no vinculado rea de TI. Nos outros 55% dos rgos/entidades
TC-008.380/2007-1
pesquisados, uma parte significativa do tempo de profissionais especializados de TI gasto no

desempenho dessa tarefa.
142.1.
Esse procedimento especfico deve constar do processo formal de trabalho para gesto dos
contratos de TI e ser realizado por profissionais preparados para tal. Caso contrrio, o risco de serem
descumpridos dispositivos legais que podero acarretar pendncias judiciais para a organizao
significativo. Nesse aspecto, interessante lembrar o caso recentemente julgado pelo Tribunal, em que
rgos da Administrao Pblica Federal pagavam 0,5% a mais de FGTS, em contratos de TI, por no
terem observado a mudana da alquota em 1 de janeiro de 2007, conforme a Lei Complementar n.
110/2001 (Acrdo 353/2008-TCU-Plenrio).
Critrios
a) Art. 29 e inciso XIII do art. 55 da Lei n. 8.666/1993;
b) Cobit 4.1 DS2.2 Supplier Relationship Management (Gerenciamento de Relacionamento
com Fornecedores Formalizar o processo de gerenciamento e relacionamento com cada fornecedor. O
contato com o fornecedor deve tratar dos assuntos relativos a clientes e fornecedores e garantir a
qualidade do relacionamento baseado na confiana e transparncia, isto , por meio de SLA).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 32. A monitorao administrativa dos
contratos relativos a bens e servios de TI feita pela rea de TI? (fl. 38).
Efeitos potenciais
b) Pendncias judiciais relativas a encargos trabalhistas e previdencirios;
c) No-aplicao de multas previstas nos contratos.
Achado XXVIII. No-transferncia de conhecimento relativo aos produtos e servios
terceirizados para os servidores dos rgos/entidades
143.
Menos da metade (43%) dos rgos/entidades participantes do levantamento informou que
exige a transferncia de conhecimento nos contratos relativos aos produtos e servios de TI
terceirizados. O percentual restante, 57%, significativo, ainda mais quando so analisados alguns dos
motivos que levam as organizaes a terceirizarem servios de TI: necessidade de acesso a tecnologias
mais avanadas e reduo de riscos associados a essas tecnologias.
144.
um contra-senso a contratao de servios importantes para a organizao mas para os
quais no h os recursos necessrios para serem realizados internamente, ou servios que usem novas
tecnologias e no ser exigida a transferncia do conhecimento para sua realizao. Deve-se observar
que a organizao paga inclusive pela aquisio do conhecimento por parte do prestador e, em muitos
contratos, no assegura, ao seu trmino, a manuteno do conhecimento na instituio.
145.
Esse procedimento especfico deve constar dos processos formais de trabalho para
contratao de TI e para gesto dos contratos de TI. No primeiro caso, necessrio que a transferncia
de conhecimento conste desde o incio da contratao, ou seja, no edital da licitao. No segundo caso,
deve haver a verificao se a transferncia de conhecimento realizada. Caso contrrio, h risco de que
os servios terceirizados, aps o final do contrato, no possam ser realizados pelo pessoal da prpria
instituio.
Critrios
a) Cobit 4.1 AI4.4 Knowledge Transfer to Operations and Support Staff (Transferncia de
Conhecimentos para Equipes de Operao e Suporte Transferir conhecimento e habilidades para
permitir que equipes de operao e suporte tcnico possam executar, dar suporte e manter efetiva e
eficientemente o sistema e a infra-estrutura associada).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 34. H transferncia de conhecimento para
servidores do rgo/entidade referente a produtos e servios de TI terceirizados? (fl. 38).
Efeitos potenciais
a) Problemas com a continuidade do servio de TI aps o fim do contrato;
b) Documentao insuficiente dos produtos advindos do contrato;
c) Servio de ajuda (help-desk) sobrecarregado;
d) Perda de conhecimento importante para a organizao;
e) Desperdcio de recursos.
TC-008.380/2007-1
Concluso
146.
O processo formal de trabalho para gesto dos contratos de TI uma necessidade que menos
da metade (45%) das organizaes consultadas adota. Mesmo a maioria (90%) realizando a
monitorao tcnica, apenas 78% designam formalmente um gestor para cada contrato e somente 53%
definem previamente os itens a serem verificados para atestar as faturas apresentadas. A monitorao
administrativa ainda realizada pela rea de TI em 55% das organizaes pesquisadas.
147.
Um percentual pequeno (35%) das organizaes consultadas realiza periodicamente reunies
com os contratados para avaliao da execuo de cada contrato de TI. Somente 43% exigem, em
contrato, que o conhecimento seja transferido pelos prestadores de servio aos servidores do
rgo/entidade .
148.
Os rgos/entidades da Administrao Pblica Federal devem ser encorajados a adotar
processo formal de trabalho para gesto dos contratos de TI para minimizar os riscos de
descumprimento da legislao, desperdcio de recursos, interrupo de servios de TI, baixa qualidade
de servios contratados, entre outros.
149.
Recomendar ao Conselho Nacional de Justia e ao Conselho Nacional do Ministrio Pblico
que promovam aes com objetivo de disseminar a importncia de processo de trabalho formalizado de
gesto de contratos de TI e induzir, mediante orientao normativa nos moldes recomendados pelo item
9.4 do Acrdo 786/2006-TCU-Plenrio, os rgos do Poder Judicirio e do Ministrio Pblico a
realizarem aes para implantao e/ou aperfeioamento desse processo de gesto.
10. Processo oramentrio de TI
150.
No Brasil, apesar do processo oramentrio ser regulamentado na rea pblica, para se
prever adequadamente o valor necessrio para a rea de TI, so necessrios dois elementos essenciais:
planejamento e controle.
151.
O planejamento estratgico de TI (Achado II), aliado com os planos de ao e as decises do
comit diretivo de TI (Achado III), indica quais gastos devero ser realizados, a prioridade na execuo
financeira e como se dar a expanso dos servios de TI. O controle das atividades de TI, por sua vez,
indica as aes que atingem os resultados esperados e aquelas que precisam ser modificadas para
alcanar os objetivos determinados. O acompanhamento dos gastos de TI um dos componentes
essenciais para o controle eficiente das aes de TI. A partir da anlise das informaes obtidas no
acompanhamento do planejamento e das atividades de TI, pode-se fazer uma previso oramentria
apropriada para a rea de TI. Entretanto, a falta do conhecimento detalhado dos gastos de TI prejudica
tal previso.
152.
Nesse aspecto, observou-se que uma quantidade razovel de organizaes participantes do
levantamento teve dificuldade de responder rapidamente o total de gastos com TI e como est distribudo
esse gasto. Deve-se ressaltar que, sobre esse assunto, o Tribunal j se manifestou no Acrdo 371/2008TCU-Plenrio, com determinaes Secretaria do Tesouro Nacional (STN) do Ministrio da Fazenda,
ao Departamento de Coordenao e Governana das Empresas Estatais (Dest) e Secretaria de
Oramento Federal (SOF) do Ministrio do Planejamento, Oramento e Gesto. Com a finalidade de
permitir a identificao clara, objetiva e transparente da previso e da execuo dos gastos em TI, foi
determinado que elaborassem e encaminhassem ao TCU proposta de alterao do Oramento Geral da
Unio e do Programa de Dispndios Globais (PDG). No mesmo Acrdo, o Tribunal props a criao de
uma ou mais aes que agreguem as despesas relacionadas a TI, de elemento de despesa que identifique
execuo de despesas com bens e servios de TI e de rubricas prprias de TI tanto para despesas
correntes como para despesas de capital.
Achado XXIX. No-considerao das aes planejadas para o prximo ano quando da
solicitao de oramento para a rea de TI
153.
Apesar da maioria (61%) dos rgos/entidades participantes do levantamento afirmar que,
em 2006, foram levadas em considerao as aes previstas para o exerccio seguinte na solicitao do
oramento para 2007, um percentual significativo (39%) no utilizou essas informaes.
154.
A partir desses dados, pode-se supor que 39% das organizaes consultadas, quando da
solicitao de oramento para a rea de TI em 2007, ou repetiram os valores do ano anterior ou
simplesmente aplicaram um percentual de aumento linear sobre as despesas realizadas ou, ainda,
acrescentaram um valor ao total do ano anterior sem a utilizao de um critrio transparente.
TC-008.380/2007-1
155.
Diante disso, verifica-se que a elaborao do oramento para a rea de TI nem sempre
utiliza os insumos necessrios obteno de resultado mais prximo da realidade.
Critrios
a) Cobit 4.1 PO5.3 IT Budgeting (Oramento de TI Estabelecer e implementar prticas
para elaborar um oramento que reflita as prioridades estabelecidas na lista de projetos de TI e inclua
os custos atuais de operao e manuteno da infra-estrutura existente. As prticas devem dar suporte
ao desenvolvimento de um oramento geral para TI, assim como o desenvolvimento de oramentos
especficos para os projetos com nfase especfica nos componentes de TI. As prticas devem permitir
reviso do andamento, refinamento das informaes e aprovao do oramento geral para TI e dos
oramentos especficos dos projetos).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 35. A solicitao do oramento para a rea
de TI, encaminhada em 2006, foi feita com base nas aes da rea de TI planejadas para 2007? (fl. 38).
Efeitos potenciais
a) Recursos insuficientes para a rea de TI;
b) Interrupo de servios de TI por falta de recursos necessrios;
c) No-alcance de metas estabelecidas para a organizao por falta de suporte da rea
de TI.
Achado XXX. No-alocao dos recursos previstos no oramento s aes constantes do
planejamento de TI no incio do ano
156.
Apesar de 82% dos rgos/entidades consultados afirmarem que controlam os gastos de TI,
um percentual considervel (21%) no enviou informaes sobre o total de gastos com TI e uma parcela
significativa, mesmo enviando os dados, informou que teve dificuldade em obter esses valores.
157.
Alm disso, pouco menos da metade (49%) das organizaes consultadas disse que no 1
trimestre de 2007 fez a alocao oramentria s aes constantes do planejamento de TI. Esse quadro
um indcio de que 51% dos pesquisados no exerce o controle sobre os gastos de TI a partir do
oramento aprovado e das aes planejadas. Provavelmente, essas organizaes apenas atendem o que a
legislao determina e no realizam um controle eficiente sobre os gastos de TI.
Critrios
a) Cobit 4.1 PO5.3 IT Budgeting (Oramento de TI Estabelecer e implementar prticas
para elaborar um oramento que reflita as prioridades estabelecidas na lista de projetos de TI e inclua
os custos atuais de operao e manuteno da infra-estrutura existente. As prticas devem dar suporte
ao desenvolvimento de um oramento geral para TI, assim como o desenvolvimento de oramentos
especficos para os projetos com nfase especfica nos componentes de TI. As prticas devem permitir
reviso do andamento, refinamento das informaes e aprovao do oramento geral para TI e dos
oramentos especficos dos projetos).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 36. No 1 trimestre de 2007 foi feita a
alocao oramentria s aes constantes do planejamento? (fl. 38);
b) Apndice I, planilha de resultados, pergunta: 37. Ao longo do exerccio financeiro h
controle dos gastos e da disponibilidade oramentria? (fl. 38).
Efeitos potenciais
a) Recursos insuficientes para a rea de TI;
b) Interrupo de servios de TI por falta de recursos necessrios;
c) No-alcance de metas estabelecidas para a organizao por falta de suporte da rea
de TI.
Concluso
158.
O controle sobre os gastos de TI de suma importncia para o melhor aproveitamento dos
recursos disponveis, a solicitao de recursos financeiros adequados necessidade da rea de TI e o
atendimento das aes consideradas prioritrias. Esse processo de trabalho est ligado aos processos de
planejamento e contratao de bens e servios de TI.
159.
Apesar de 82% dos rgos/entidades pesquisados afirmarem que realizam essa atividade, foi
observado que, em muitos casos, as informaes sobre gastos de TI foram de difcil obteno. Esse fato
TC-008.380/2007-1
denota a necessidade de melhoria no controle de gastos de TI. Assim, espera-se que os rgos/entidades
elaborem suas propostas oramentrias para a rea de TI com base nas aes que efetivamente
pretendam realizar e alinhadas aos objetivos de negcio. Alm disso, os rgos/entidades devem manter
acompanhamento da execuo dos gastos de TI para que saibam, precisamente, quanto foi gasto, em que
aes e qual a disponibilidade para gastos futuros.
160.
Ministrio Pblico que promovam aes com objetivo de garantir que as propostas oramentrias para a
rea de TI dos rgos/entidades da Administrao Pblica Federal sejam elaboradas com base nas
atividades que efetivamente pretendam realizar e alinhadas aos objetivos de negcio.
11. Auditoria de tecnologia da informao
161.
A rea de TI foi considerada, por muito tempo, uma caixa preta, sobre a qual a
administrao tinha pouco controle e da qual no se sabia ao certo o que esperar como benefcio para a
organizao. Com o aumento da importncia estratgica das reas de TI, essa situao no pde mais se
sustentar. H uma busca pela aplicao de modelos de governana de TI 21, com o objetivo de tornar as
reas de TI controlveis, com resultados mensurveis e orientadas aos objetivos do negcio da
organizao.
162.
Nessa perspectiva, a auditoria de TI consiste em verificar um ou vrios aspectos da
governana de TI de uma organizao. Note-se que essa ainda uma definio ampla e abrange vrios
tipos e perspectivas para auditorias. Assim, uma auditoria de TI pode, por exemplo, avaliar apenas
controles de acesso lgico ao ambiente de TI, por meio de anlise de vulnerabilidade. J se for realizada
com um objetivo mais gerencial, a auditoria pode avaliar se os processos de TI ligados ao
desenvolvimento de sistemas, por exemplo, esto sendo executados conforme a poltica da empresa e
esto gerando sistemas eficazes. Outra possibilidade uma auditoria para verificar a integridade e
fidedignidade das informaes armazenadas nas bases de dados da organizao. Ou, ainda, pode-se
verificar se a contratao de bens e servios de TI feita de acordo com as normas da organizao e a
legislao vigente.
163.
Em termos gerais, a auditoria de TI , assim, uma ferramenta para avaliar a conformidade, a
qualidade, a eficcia e a efetividade de uma rea de TI. Por isso mesmo, h uma tendncia em
incluir/valorizar atividades de auditoria peridica como instrumento para gesto. Um reflexo dessa
tendncia o fato de que uma das principais mudanas quando da atualizao do Cobit verso 3.0 para
a verso 4.0, em 2005, foi o incremento e reorganizao do domnio de monitorao, que passou a se
chamar Monitorao e Avaliao, como descrito no Apndice V do Cobit 4.1, que sinaliza que esse
domnio passou a ser visto como parte do processo de melhoria da governana de TI.
164.
Por isso, foram includas nesse levantamento questes para verificar se esse tipo de auditoria
realizado nos rgos/entidades pesquisados da Administrao Pblica Federal. Alguns dentre os
rgos/entidades pesquisados tm, por fora de legislao, a obrigao de executar periodicamente
auditorias independentes em vrias reas, inclusive em TI.
165.
Outro objetivo verificar se os rgos/entidades possuem a figura do auditor interno de TI.
Esse papel , em muitos aspectos, complementar ao auditor externo: o auditor interno no apenas
verifica a abrangncia e efetividade dos controles internos de TI22 em sua auditoria, como tambm
agente de melhoria desses controles e, assim, pode ser um agente de melhoria da prpria gesto.
Anexo XXXI. Inexecuo de auditoria de TI pelos rgos/entidades
166.
Somente 40% dos pesquisados declarou ter realizado auditoria de TI nos ltimos cinco anos
no seu rgo/entidade. O Grfico 5 estratifica a quantidade de auditorias de TI realizadas nessas 101
organizaes.
21
Segundo a definio contida no Cobit 4.1, governana de TI um conjunto composto de liderana, estruturas organizacionais e processos
que garantem que a rea de TI da organizao apia e expande os objetivos e estratgias da organizao.
22
Polticas, procedimentos, prticas e estruturas organizacionais desenhadas para garantir o efetivo alinhamento da TI ao seu prprio
modelo de governana, e que os desvios sejam prevenidos ou detectados e corrigidos.
TC-008.380/2007-1
Quantidade de auditorias de TI realizadas nos ltimos cinco anos

10%
22%
de 1 a 5 auditorias
de 6 a 10 auditorias
68%
mais de 10 auditorias
Grfico 5 Quantidade de auditorias de TI realizadas nos ltimos cinco anos

167.
Dentre os rgos/entidades que realizaram alguma auditoria de TI nos ltimos cinco anos,
observa-se que 68% deles declararam ter feito somente at cinco auditorias de TI nesse perodo. Alm
disso, 55% desses rgos (38 instituies) declararam que, dentre essas auditorias de TI realizadas, pelo
menos uma foi executada por rgo de controle externo (TCU) ou interno (Secretaria Federal de
Controle ou Controladoria Geral da Unio). Isso um indcio de que nessas instituies a auditoria de
TI ainda no realizada em bases peridicas.
168.
A conseqncia disso que as organizaes correm o risco de ter processos de TI com
controles inadequados e, assim, de tais processos serem executados em desacordo com as polticas de TI
da prpria organizao e com a legislao vigente, sem que haja conhecimento do ocorrido pela
administrao da organizao. Alm disso, os gestores de TI deixam de ter em mos uma importante
ferramenta para a melhoria dos processos de TI.
Critrios
a) Cobit 4.1 ME2 Monitor and Evaluate Internal Control (Monitorar e Avaliar os Controles
Internos Estabelecer um programa efetivo de controle interno de TI requer um processo bem definido
de monitoramento. Esse processo inclui o monitoramento e o relato das excees de controle, resultados
de auto-avaliaes e reviso de terceiros. Um benefcio chave do monitoramento dos controles internos
prover segurana com vistas a operaes efetivas e eficientes e conformidade com leis e regulaes);
b) NBR ISO/IEC 17799:2005, item 15.2 Conformidade com normas e polticas de
segurana da informao e conformidade tcnica: convm que a segurana dos sistemas de informao
seja analisada criticamente a intervalos regulares;
c) NBR ISO/IEC 17799:2005, item 6.1.8 Anlise crtica independente de segurana da
informao: convm que o enfoque da organizao para gerenciar a segurana da informao e a sua
implementao (...) seja analisado criticamente, de forma independente, a intervalos planejados, ou
quando ocorrerem mudanas significativas relativas implementao da segurana da informao.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 39. Foi realizada alguma auditoria de TI nos
ltimos cinco anos no rgo/entidade? (fl. 38).
Efeitos potenciais
a) Inobservncia da poltica de segurana da informao da organizao quando da
implementao dos controles de acesso lgico nos sistemas de informao;
b) Existncia de informaes no confiveis na base de dados da organizao, o que
compromete no s a efetividade dos seus sistemas de informao como a de sistemas de outras
organizaes que utilizam essa mesma base de dados;
c) rea de TI com governana imatura, sem controles e indicadores que possam apontar os
problemas e oportunidades de negcio para a organizao.
TC-008.380/2007-1
Achado XXXII. Inexistncia de equipe prpria para realizar auditoria de TI

169.
Somente 19% dos pesquisados declararam ter equipe interna para auditoria de TI. Assim,
para uma quantidade expressiva de rgos/entidades, a auditoria de TI somente realizada por
auditores/consultores independentes, ou por organizaes reguladoras, como TCU e CGU. Por esses
dados, infere-se que tais organizaes ainda no foram afetadas pela tendncia de incorporar atividades
de auditoria nos seus prprios processos de trabalho. Com isso, tais organizaes perdem a
oportunidade de ter, no seu auditor interno, um parceiro no processo de melhoria dos seus controles de
TI. Alm disso, expem-se ao risco inerente de auditorias realizadas por terceiros: o risco de uso
malicioso de ferramentas de auditoria e das informaes acessadas durante os trabalhos de auditoria.
170.
Vale ressaltar, por outro lado, que ao serem contabilizadas todas as auditorias declaradas
pelos rgos/entidades dos ltimos cinco anos, 73% delas foram realizadas por equipe de auditoria
interna. Assim, pode-se inferir que, entre os rgos que declararam fazer tal tipo de auditoria com maior
regularidade, o fazem com equipe interna. De fato, ao observar o Achado XXXI, considerando os 22%
que declararam ter realizado mais de 10 auditorias nos ltimos cinco anos, 91% deles tm equipe interna
de auditoria.
171.
Observa-se, tambm, que dentre as auditorias realizadas, a maior quantidade delas (32%)
est focada na aquisio de bens e servios de TI, seguida das auditorias com foco em segurana da
informao (20%). Uma possvel explicao que as organizaes que executam tais auditorias o fazem
em funo de exigncias legais de agncias reguladoras, mais do que por necessidades de gesto.
Critrios
a) Cobit 4.1 ME2 Monitor and Evaluate Internal Control (Monitorar e Avaliar os Controles
Internos Estabelecer um programa efetivo de controle interno de TI requer um processo bem definido
de monitoramento. Esse processo inclui o monitoramento e o relato das excees de controle, resultados
de auto-avaliaes e reviso de terceiros. Um benefcio chave do monitoramento dos controles internos
prover segurana com vistas a operaes efetivas e eficientes e conformidade com leis e regulaes);
b) NBR ISO/IEC 17799:2005, item 15.2 Conformidade com normas e polticas de
segurana da informao e conformidade tcnica: convm que a segurana dos sistemas de informao
seja analisada criticamente a intervalos regulares.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 38. O rgo/entidade possui equipe prpria
para realizar auditorias de TI? (fl. 38).
Efeitos potenciais
a) Ausncia de auditores internos que poderiam auxiliar em auditorias de processos de
gesto.
Concluso
172.
Auditorias de TI ainda so pouco freqentes entre os pesquisados: apenas 40% declararam
ter realizado alguma auditoria de TI nos ltimos cinco anos. Mesmo entre os 101 rgos/entidades que a
realizaram, 68% executaram no mximo uma auditoria de TI por ano. Alm disso, apenas 19% dos
pesquisados declararam possuir equipe interna de auditoria de TI.
172.1.
Tal resultado indica que a realizao de auditorias de TI em bases peridicas no uma
realidade entre os pesquisados. Com isso, esses rgos/entidades esto perdendo a oportunidade de usar
essas auditorias para aperfeioar os seus controles internos de TI e, conseqentemente, promover a
melhoria da sua governana de TI.
173.
Recomendar Controladoria-Geral da Unio que realize regularmente auditorias de TI nos
rgos/entidades da Administrao Pblica Federal.
174.
Recomendar Controladoria-Geral da Unio, ao Conselho Nacional de Justia e ao
Conselho Nacional do Ministrio Pblico que promovam aes para estimular a realizao de auditorias
de TI nos rgos/entidades da Administrao Pblica Federal.
12. Concluso
175.
O objetivo deste levantamento foi obter informaes para elaborao de mapa com a
situao da governana de TI na Administrao Pblica Federal. Ao final do processo, 255
rgos/entidades representativos da Administrao Pblica Federal enviaram tais informaes ao TCU
por meio de questionrio eletrnico elaborado pela Sefti. Dessa relao, constaram os ministrios, as
TC-008.380/2007-1
universidades federais, os tribunais federais, as agncias reguladoras e as principais autarquias,

secretarias, departamentos e empresas estatais.
As respostas recebidas foram agrupadas em nove conjuntos, apresentados nos itens 3 a 11 do
presente relatrio, em funo das questes de auditoria e das reas de foco da governana de TI. Os
grupos foram: Planejamento estratgico institucional e de TI; Estrutura de pessoal de TI; Segurana da
informao; Desenvolvimento de sistemas de informao; Gesto de acordos de nveis de servio;
Processo de contratao de bens e servios de TI; Processo de gesto de contratos de TI; Processo
oramentrio de TI; Auditoria de tecnologia da informao.
176.
Sobre planejamento estratgico, observou-se que 59% das organizaes declararam no
realizar o planejamento estratgico de TI, e mais de dois teros no tm comit diretivo de TI, do qual
participam vrios setores da organizao que decidem sobre as estratgias de TI. A partir desses dados
pode-se inferir que a falta de planejamento estratgico institucional pode inibir e/ou prejudicar o
planejamento das aes de TI. Assim, o estmulo elaborao de planejamento estratgico institucional
acompanhado da elaborao do planejamento estratgico de TI, em consonncia com o primeiro, uma
ao para a melhoria da governana de TI.
177.
No que diz respeito estrutura de pessoal de TI, observou-se que 29% dos pesquisados
possuem menos de 1/3 da sua rea de TI composta por servidores, o que pode acarretar risco de
dependncia de indivduos sem vnculo com o rgo/entidade para a execuo de atividades crticas ao
negcio, alm de perda do conhecimento organizacional. Do ponto de vista da governana de TI, ainda
h que se coletar informaes que correlacionem a qualidade das reas de TI e a sua estrutura de
pessoal, para avaliar a adequao entre estruturas e as necessidades dos rgos/entidades.
178.
J no grupo de questes sobre segurana da informao, observou-se o pior desempenho.
Dentre as nove questes sobre o assunto, apenas em uma delas um pouco mais da metade dos
pesquisados afirmou executar o controle correspondente, enquanto nas outras questes, a maioria dos
rgos/entidades declarou no faz-lo (Grfico 4). O maior quantitativo de respostas negativas ocorreu
nas questes sobre plano de continuidade de negcios (88%) e gesto de mudana (88%), ambos
relacionados diretamente com a manuteno da disponibilidade dos servios de TI. As questes tiveram
por base recomendaes de boas prticas da norma de segurana NBR ISO/IEC 17799:2005 e incluram
diversos controles que visam garantir a confidencialidade, a integridade e a disponibilidade das
informaes tratadas por rgos/entidades pblicas. O resultado preocupa pois a prpria prestao do
servio de uma instituio pblica aos cidados depende da confiabilidade das informaes por ela
tratadas e ofertadas. O auditor de TI pode ter papel fundamental no aperfeioamento da gesto da
segurana de informao por meio da indicao de controles para apoiar estruturas e processos
organizacionais com vistas proteo das informaes, tendo como referncia modelos apropriados.
179.
Quanto ao desenvolvimento de sistemas de informao, observou-se que 51% dos
pesquisados declararam no possuir metodologia de desenvolvimento de sistemas. Esse resultado
representa um risco de produo de software de baixa qualidade, bem como maior dificuldade no
gerenciamento do processo de desenvolvimento, o que representa risco de m gesto dos recursos. Alm
disso, identificou-se o uso de sistemas transacionais com acesso via Internet para as atividades de
prestao de servio ao cidado por 76% das organizaes. Essas informaes indicam que relevante
que o auditor de TI esteja preparado para recomendar controles relacionados s boas prticas dos
modelos de desenvolvimento de sistemas e, tambm, avaliar os controles especificamente relacionados s
tecnologias de sistemas transacionais via Internet.
180.
Sobre gesto de nveis de servio, 89% dos pesquisados declararam no realiz-la para os
servios prestados internamente, e 74% no o fazem para os servios contratados. Essa gesto o
principal instrumento de negociao de qualidade de servio entre as gerncias de TI e os seus clientes,
e sua ausncia em quantidade to expressiva de organizaes preocupa pelo risco tanto de clientes
insatisfeitos quanto de investimentos inadequados.
181.
Quanto existncia de processo formal de contratao de TI, 46% dos rgos/entidades
consultados informaram no adot-lo. Essa informao, associada ao fato de que 47% dos pesquisados
no realizam anlise de custo/benefcio das contrataes de TI e 40% das organizaes consultadas no
explicitam os benefcios para a obteno dos resultados institucionais esperados com cada contratao
de TI, sugere que h muito trabalho a ser feito para a melhoria das aquisies de bens e servios de TI
nos rgos/entidades da Administrao Pblica Federal.
TC-008.380/2007-1
182.
Na gesto dos contratos de TI, a situao no confortvel j que mais da metade (55%) das
organizaes consultadas no adotam processo formal de trabalho para essa atividade. Alm disso, um
percentual expressivo (65%) das organizaes consultadas no realiza periodicamente reunies com os
contratados para avaliao da execuo de cada contrato de TI e, 57% no exigem, em contrato, que o
conhecimento seja transferido pelos prestadores de servio aos servidores do rgo/entidade. Assim, os
rgos/entidades da Administrao Pblica Federal devem ser encorajados a adotar processo formal de
trabalho para gesto dos contratos de TI para minimizar os riscos de descumprimento da legislao,
desperdcio de recursos, interrupo de servios de TI e baixa qualidade de servios contratados.
183.
Sobre auditorias de TI, 60% dos pesquisados declararam no ter realizado auditorias de TI
nos ltimos cinco anos. Dentre os rgos/entidades que realizam esses trabalhos, a maioria (68%)
executou de uma a cinco auditorias nos ltimos cinco anos. Tal resultado indica que a realizao de
auditorias de TI em bases peridicas no uma realidade entre os pesquisados e, portanto, esse recurso
no utilizado de maneira contnua para melhoria da governana de TI.
184.
Em paralelo aos itens relacionados governana, foram identificados os principais sistemas
utilizados pelos rgos/entidades da Administrao Pblica Federal pesquisados e as bases de dados
associadas. Com essas informaes, o planejamento das fiscalizaes da Sefti contar com subsdios
valiosos para seu aprimoramento.
185.
Diante do quadro apresentado, observa-se que a situao da governana de TI na
Administrao Pblica Federal bastante heterognea do ponto de vista dos seus diversos aspectos. Os
aspectos que de alguma forma so regulados por leis e normas (processo oramentrio e contratao e
gesto de bens e servios de TI), somados a planejamento estratgico, desenvolvimento de sistemas,
gesto de nveis de servio e auditoria de TI, apresentam algum desenvolvimento, apesar de estarem
longe do ideal. A questo de estrutura de pessoal de TI bastante diversa e est atrelada natureza
jurdica da organizao.
186.
O aspecto em que a situao da governana de TI est mais crtica no que diz respeito ao
tratamento da segurana da informao. Conclui-se que essa uma rea em que o TCU pode, e deve,
atuar como indutor do processo de aperfeioamento da governana de TI. O Tribunal j acertou,
inclusive, ao editar, em 2003 e 2007, a Cartilha de Segurana da Informao para servir como
orientao sobre o tema. Outra maneira de induzir a melhoria no tratamento da segurana a
realizao de auditorias de TI com foco em segurana da informao, que podero fornecer subsdios
valiosos para os gestores sobre os principais controles que devem ser implementados visando garantir a
confiabilidade, a integridade e a disponibilidade das informaes tratadas pelos rgos/entidades da
187.
Assim, existe um campo vasto para atuao deste Tribunal na rea de governana de TI na
Administrao Pblica Federal. Se essa atuao for realizada de forma consistente e constante, os
resultados sero promissores tendo em vista que poder haver melhoria generalizada em todos os
aspectos da governana de TI. Esse fato repercutir na gesto pblica como um todo e trar benefcios
para o Pas e os cidados.
13. Proposta de encaminhamento
188.
Ante o exposto, submetemos os autos considerao superior, com fulcro no art. 43, inciso I,
da Lei n. 8.443/1992, c/c o art. 250, incisos II e III, do Regimento Interno do TCU, com as seguintes
propostas:
I - recomendar ao Conselho Nacional de Justia que:
a) promova aes com o objetivo de disseminar a importncia do planejamento estratgico e
induzir, mediante orientao normativa, os rgos do Poder Judicirio a realizarem aes para
implantao e/ou aperfeioamento de planejamento estratgico institucional, planejamento estratgico
de TI e comit diretivo de TI (pargrafos 17 a 32);
b) promova as aes cabveis quanto estrutura de pessoal de TI nos rgos do Poder
Judicirio (pargrafos 34 a 52);
c) promova aes com objetivo de disseminar a importncia do gerenciamento da segurana
da informao e induzir, mediante orientao normativa, os rgos do Poder Judicirio a realizarem
aes para implantao e/ou aperfeioamento da gesto da continuidade do negcio, da gesto de
mudanas, da gesto de capacidade, da classificao da informao, da gerncia de incidentes, da
TC-008.380/2007-1
anlise de riscos de TI, da rea especfica para gerenciamento da segurana da informao, da poltica
de segurana da informao e dos procedimentos de controle de acesso (pargrafos 54 a 87.11);
d) promova aes com objetivo de disseminar a importncia da adoo de metodologia de
desenvolvimento de sistemas e induzir os rgos do Poder Judicirio a realizarem aes para
implantao e/ou aperfeioamento dessa metodologia (pargrafos 89 a 93.1);
e) promova aes com objetivo de disseminar a importncia de gesto de nveis de servio e
induzir os rgos do Poder Judicirio a realizarem aes para implantao e/ou aperfeioamento de
acordos de nveis de servio (pargrafos 95 a 106);
f) promova aes com objetivo de disseminar a importncia de processo de trabalho
formalizado de contratao de bens e servios de TI e induzir, mediante orientao normativa nos
moldes recomendados pelo item 9.4 do Acrdo 786/2006-TCU-Plenrio, os rgos do Poder Judicirio
a realizarem aes para implantao e/ou aperfeioamento do processo de contratao de TI
(pargrafos 108 a 125);
g) promova aes com objetivo de disseminar a importncia de processo de trabalho
formalizado de gesto de contratos de TI e induzir, mediante orientao normativa nos moldes
recomendados pelo item 9.4 do Acrdo 786/2006-TCU-Plenrio, os rgos do Poder Judicirio a
realizarem aes para implantao e/ou aperfeioamento desse processo de gesto (pargrafos 127 a
148);
h) promova aes com objetivo de garantir que as propostas oramentrias para a rea de
TI dos rgos do Poder Judicirio sejam elaboradas com base nas atividades que efetivamente
pretendam realizar e alinhadas aos objetivos de negcio (pargrafos 150 a 159);
i) promova aes para estimular a realizao de auditorias de TI nos rgos do Poder
Judicirio (pargrafos 161 a 172.1);
II - recomendar ao Conselho Nacional do Ministrio Pblico que:
a) promova aes com objetivo de disseminar a importncia do planejamento estratgico e
induzir, mediante orientao normativa, os rgos do Ministrio Pblico a realizarem aes para
implantao e/ou aperfeioamento de planejamento estratgico institucional, planejamento estratgico
de TI e comit diretivo de TI (pargrafos 17 a 32);
b) promova as aes cabveis quanto estrutura de pessoal de TI nos rgos do Ministrio
Pblico (pargrafos 34 a 52);
c) promova aes com objetivo de disseminar a importncia do gerenciamento da segurana
da informao e induzir, mediante orientao normativa, os rgos do Ministrio Pblico a realizarem
aes para implantao e/ou aperfeioamento da gesto da continuidade do negcio, da gesto de
mudanas, da gesto de capacidade, da classificao da informao, da gerncia de incidentes, da
anlise de riscos de TI, da rea especfica para gerenciamento da segurana da informao, da poltica
de segurana da informao e dos procedimentos de controle de acesso (pargrafos 54 a 87.11);
d) promova aes com objetivo de disseminar a importncia da adoo de metodologia de
desenvolvimento de sistemas e induzir os rgos do Ministrio Pblico a realizarem aes para
implantao e/ou aperfeioamento dessa metodologia (pargrafos 89 a 93.1);
e) promova aes com objetivo de disseminar a importncia de gesto de nveis de servio e
induzir os rgos do Ministrio Pblico a realizarem aes para implantao e/ou aperfeioamento de
acordos de nveis de servio (pargrafos 95 a 106);
f) promova aes com objetivo de disseminar a importncia de processo de trabalho
formalizado de contratao de bens e servios de TI e induzir, mediante orientao normativa nos
moldes recomendados pelo item 9.4 do Acrdo 786/2006-TCU-Plenrio, os rgos do Ministrio
Pblico a realizarem aes para implantao e/ou aperfeioamento do processo de contratao de TI
g) promova aes com objetivo de disseminar a importncia de processo de trabalho
formalizado de gesto de contratos de TI e induzir, mediante orientao normativa nos moldes
recomendados pelo item 9.4 do Acrdo 786/2006-TCU-Plenrio, os rgos do Ministrio Pblico a
realizarem aes para implantao e/ou aperfeioamento desse processo de gesto (pargrafos 127 a
148);
TC-008.380/2007-1
h) promova aes com objetivo de garantir que as propostas oramentrias para a rea de
TI dos rgos do Ministrio Pblico sejam elaboradas com base nas atividades que efetivamente
pretendam realizar e alinhadas aos objetivos de negcio (pargrafos 150 a 159);
i) promova aes para estimular a realizao de auditorias de TI nos rgos do Ministrio
Pblico (pargrafos 161 a 172.1);
III - recomendar ao Gabinete de Segurana Institucional da Presidncia da Repblica que
promova aes com objetivo de disseminar a importncia do gerenciamento da segurana da informao
e induzir, mediante orientao normativa, os rgos/entidades da Administrao Pblica Federal a
realizarem aes para implantao e/ou aperfeioamento da gesto da continuidade do negcio, da
gesto de mudanas, da gesto de capacidade, da classificao da informao, da gerncia de
incidentes, da anlise de riscos de TI, da rea especfica para gerenciamento da segurana da
informao, da poltica de segurana da informao e dos procedimentos de controle de acesso
(pargrafos 54 a 87.11);
IV - recomendar Controladoria-Geral da Unio que realize regularmente auditorias de TI
e/ou promova aes para estimular a realizao dessas auditorias nos rgos/entidades da
Administrao Pblica Federal (pargrafos 161 a 172.1);
V - recomendar ao Ministrio do Planejamento, Oramento e Gesto que promova as aes
cabveis quanto estrutura de pessoal de TI nos rgos/entidades da Administrao Pblica Federal
VI - recomendar Secretaria de Logstica e Tecnologia da Informao (SLTI) do Ministrio
do Planejamento, Oramento e Gesto que:
a) promova aes com objetivo de disseminar a importncia do planejamento estratgico e
induzir, mediante orientao normativa, os rgos/entidades da Administrao Pblica Federal a
realizarem aes para implantao e/ou aperfeioamento de planejamento estratgico institucional,
planejamento estratgico de TI e comit diretivo de TI (pargrafos 17 a 32);
b) promova aes com o objetivo de disseminar a importncia da adoo de metodologia de
desenvolvimento de sistemas e induzir os rgos/entidades da Administrao Pblica Federal a
realizarem aes para implantao e/ou aperfeioamento dessa metodologia (pargrafos 89 a 93.1);
c) promova aes com o objetivo de disseminar a importncia de gesto de nveis de servio
e induzir os rgos/entidades da Administrao Pblica Federal a realizarem aes para implantao
e/ou aperfeioamento de acordos de nveis de servio (pargrafos 95 a 106);
d) promova aes com objetivo de garantir que as propostas oramentrias para a rea de
TI dos rgos/entidades da Administrao Pblica Federal sejam elaboradas com base nas atividades
que efetivamente pretendam realizar e alinhadas aos objetivos de negcio (pargrafos 150 a 159);
VII - recomendar Diretoria-Geral do Senado Federal e Diretoria-Geral da Cmara dos
Deputados que adotem as providncias contidas no item I no mbito de suas Casas Legislativas;
VIII - recomendar Secretaria-Geral da Presidncia (Segepres) e Secretaria-Geral de
Administrao (Segedam) que adotem as providncias contidas no item I no mbito deste Tribunal;
IX - determinar Secretaria-Geral de Controle Externo (Segecex) que oriente suas unidades
tcnicas para considerarem as informaes armazenadas na Sefti quando forem executar aes de
controle em governana de TI (pargrafos 12, 13, 16, 92.2 e 179.3);
X - assinar prazo de 30 dias, com fulcro no 1 do art. 42 da Lei n. 8.443/1992, para que os
integrantes da lista disponvel no Apndice III deste relatrio enviem, em meio magntico, conforme
orientao da Sefti, as informaes necessrias para resposta ao questionrio utilizado neste
levantamento;
XI - remeter cpias do Acrdo que vier a ser adotado nestes autos, acompanhado dos
respectivos Relatrio e Voto, e deste Relatrio de Levantamento:
a) Comisso de Cincia, Tecnologia, Inovao, Comunicao e Informtica do Senado
Federal;
b) Subcomisso Permanente de Servios de Informtica do Senado Federal;
c) Diretoria-Geral do Senado Federal;
d) Secretaria Especial de Informtica do Senado Federal (Prodasen);
e) Comisso de Fiscalizao Financeira e Controle da Cmara dos Deputados;
f) Comisso de Trabalho, de Administrao e Servio Pblico da Cmara dos Deputados;
TC-008.380/2007-1
g) Comisso de Cincia e Tecnologia, Comunicao e Informtica da Cmara dos

Deputados;
h) Subcomisso Permanente de Cincia e Tecnologia e Informtica da Cmara dos
Deputados;
i) Diretoria-Geral da Cmara dos Deputados;
j) ao Centro de Informtica da Cmara dos Deputados;
k) ao Conselho Nacional de Justia;
l) ao Conselho Nacional do Ministrio Pblico;
m) ao Gabinete de Segurana Institucional da Presidncia da Repblica;
n) Controladoria-Geral da Unio;
o) ao Ministrio do Planejamento, Oramento e Gesto;
p) Secretaria de Logstica Tecnologia da Informao (SLTI) do Ministrio do
Planejamento, Oramento e Gesto;
q) Secretaria de Oramento Federal (SOF) do Ministrio do Planejamento, Oramento e
Gesto;
r) ao Departamento de Coordenao e Controle das Empresas Estatais (Dest) da SecretariaExecutiva do Ministrio do Planejamento, Oramento e Gesto;
s) aos integrantes da lista disponvel no Apndice II deste relatrio;
XII - remeter relatrio individualizado contendo a posio de cada rgo/entidade e do seu
segmento de atuao aos integrantes da lista disponvel no Apndice II deste relatrio;
XIII - autorizar, a partir da data do acrdo que vier a ser proferido, a divulgao das
informaes consolidadas constantes deste levantamento em sumrios executivos e informativos;
XIV - arquivar os presentes autos na Secretaria de Fiscalizao de Tecnologia da Informao
(Sefti).
o Relatrio.
VOTO
Os presentes autos referem-se a Levantamento de Auditoria efetuado pela Secretaria de
Fiscalizao de Tecnologia da Informao Sefti, junto a diversos rgos e entidades da Administrao
Pblica Federal, com vistas a obter informaes acerca da governana de Tecnologia da Informao TI,
identificando as reas onde o TCU deve, preferencialmente, atuar como indutor do processo de
aperfeioamento do setor.
Dos achados de auditoria discriminados pela equipe encarregada dos trabalhos, gostaria de
destacar aqueles que considerei mais relevantes.
O primeiro diz respeito constatao da ausncia, em 64% dos rgos/entidades pesquisados,
de uma Poltica de Segurana da Informao formalmente definida na organizao, motivada por diretriz
institucional. Consoante destacado, a partir dessa poltica que derivam os documentos especficos para
cada meio de armazenamento, transporte, manipulao ou tratamento especfico da segurana da
informao em TI.
Verificou-se tambm a ausncia de Plano de Continuidade de Negcios, em cerca de 88% dos
pesquisados. Tal plano, nos termos consignados no Relatrio, deve abarcar o conjunto de documentos que
contm a definio das responsabilidades individuais, dos procedimentos de emergncia, dos
procedimentos operacionais temporrios e dos procedimentos de recuperao.
Essas constataes preocupam-me porque revelam certo descompasso entre a gesto da
segurana da informao e os objetivos intrnsecos da instituio, podendo boa parte da administrao
pblica estar vulnervel ocorrncia de interrupo de servios, perda de dados, fraudes e paralisao de
funes essenciais.
Outro ponto que vale ser ressaltado refere-se ao fato de que 47% dos rgos/entidades
pesquisados no tem planejamento estratgico institucional em vigor e 59% no fazem planejamento
estratgico de TI. A ausncia de planejamento afeta diretamente a eficcia e a efetividade das propostas
oramentrias e das contrataes de bens e servios de informtica.
TC-008.380/2007-1
Realmente, a partir dos dados obtidos, deduziu-se que 39% das organizaes consultadas,
quando da solicitao de oramento para a rea de TI em 2007, ou repetiram os valores do ano anterior
ou simplesmente aplicaram um percentual de aumento linear sobre as despesas realizadas ou, ainda,
acrescentaram um valor ao total do ano anterior sem a utilizao de um critrio transparente.
Da mesma forma, no tocante contratao de bens e servios de TI, apurou-se que percentual
expressivo de entes (46%) no adota processo de trabalho formalizado e padronizado, que demonstre o
custo, a oportunidade e os benefcios a serem obtidos pela organizao.
Tal cenrio remete inevitavelmente alocao indevida de recursos de TI por desarmonia com
as prioridades da organizao.
Constatou-se tambm que mais da metade dos entes pesquisados no adota processo formal
de trabalho para gesto de contratos de tecnologia da informao, o que pode acarretar baixa qualidade
dos servios prestados, interrupo na execuo de contratos e, em ltima instncia, o desperdcio de
recursos.
Quanto estrutura de pessoal de TI, alm de quantitativo deficiente de servidores efetivos,
com significativo percentual de colaboradores externos nos rgos/entidades pesquisados, foi identificado
ainda percentual elevado de funcionrios sem formao especfica no setor. Como bem assinalado pela
unidade tcnica, tal circunstncia aumenta o risco de perda de conhecimento organizacional, porquanto
apreendido por trabalhadores no compromissados com a instituio.
Merece registro, ainda, os percentuais elevados dos rgos/entidades pesquisados que no
executam seja gesto de acordos de nveis de servios prestados internamente (89%), seja gesto de
acordos de nveis de servios contratados externamente (74%). Conforme salientado, a partir desses
ajustes que se estabelece a qualidade dos servios de TI em funo das necessidades da organizao,
devendo neles integrar como indicadores, entre outros, a disponibilidade da infra-estrutura de rede, o
desempenho dos sistemas e o tempo de soluo de problemas.
No se pode ignorar que os fatos evidenciados neste Levantamento de Auditoria preocupam,
pois sugerem um quadro inquietante da governana de TI na Administrao Pblica Federal.
Contudo, h que v-los com cautela, j que a prpria equipe de fiscalizao registrou que as
informaes coletadas foram declaradas pelos gestores e no verificadas pela equipe junto aos
rgos/entidades, no tendo sido tambm, nesse primeiro momento, avaliada a pertinncia e a qualidade
dos documentos produzidos e anexados pelos rgos/entidades. Ainda que reconhea o carter preliminar
dos trabalhos, penso que maior solidez dos resultados adviria com uma correspondente confirmao dos
fatos em algumas entidades selecionadas por amostragem estatstica.
Nada obstante, diante das informaes coligidas e da relevncia da gesto e do uso de
Tecnologia da Informao TI para que os diversos rgos e entidades da Administrao Pblica Federal
consigam cumprir suas misses, considero imprescindvel a realizao de fiscalizaes com o objetivo de
verificar in loco a situao das reas consideradas mais crticas. Faz-se necessria, ademais, a atualizao
regular das informaes coletadas neste levantamento de modo a permitir que o Tribunal tenha condies
de acompanhar a evoluo da situao ento encontrada. Nesse sentido, acrescentei determinao Sefti
a respeito.
Ante o exposto, VOTO por que seja adotada a deliberao que ora submeto apreciao deste
Plenrio.
Sala das Sesses Ministro Luciano Brando Alves de Souza, em 13 de agosto de 2008.
GUILHERME PALMEIRA
Ministro-Relator
TC-008.380/2007-1
TC008.380/2007-1
Natureza: Levantamento de Auditoria
rgo: Diversos rgos e entidades da Administrao Pblica Federal
Resumo processo
RELATOR: GUILHERME PALMEIRA
DECLARAO DE VOTO
Considerando a relevncia do tema, louvo a iniciativa deste tribunal em
determinar a realizao de levantamento com o objetivo de coletar informaes acerca
dos processos de aquisio de bens e servios de TI, de segurana da informao, de
gesto de recursos humanos de TI, e das principais bases de dados e sistemas da
O Relatrio produzido pela Sefti teve como principal objetivo obter
informaes para elaborao de mapa com a situao da governana de TI na
No percurso do alcance desse objetivo, o Tribunal identificou as seguintes
lacunas:
a) ausncia de planejamento estratgico institucional
b) quantidade reduzida e deficincia de qualificao de servidores na rea
de TI
c) ausncia de carreira especfica para a rea;
d) ausncia de poltica de segurana da informao, dentre outras.
O resultado alcanado pelo presente processo justifica, assim, a atuao
deste Tribunal como instrumento de aperfeioamento da gesto publica. Some-se a isso a
significncia dos recursos empregados pela Administrao Federal na rea de tecnologia
da informao, que, segundo dados do Siafi de 2007, ultrapassam a soma de seis bilhes
de reais por ano.
Vejo, portanto, com satisfao, o conjunto de recomendaes sugerido pelo
relator da matria, o qual, certamente, se devidamente implementado, trar grande
contribuio para o alcance da governana adequada de TI no setor pblico federal.
Com esse breve comentrio, manifesto minha concordncia com o voto
proferido pelo relator, ao tempo em que parabenizo a equipe tcnica que atuou no
processo.
AROLDO CEDRAZ
Ministro-Relator
TC-008.380/2007-1
ACRDO N 1603/2008 - TCU - PLENRIO

1. Processo: n. TC - 008.380/2007-1 (com 9 anexos)
2. Grupo I; Classe de Assunto: V - Levantamento de Auditoria
3. Interessado: Congresso Nacional
4. rgo: Diversos rgos e entidades da Administrao Pblica Federal
5. Relator: Ministro Guilherme Palmeira
6. Representante do Ministrio Pblico: no atuou
7. Unidade Tcnica: Secretaria de Fiscalizao de Tecnologia da Informao Sefti
8. Advogado constitudo nos autos: no h
9. Acrdo:
VISTOS, relatados e discutidos estes autos de Levantamento de Auditoria efetuado pela Secretaria
de Fiscalizao de Tecnologia da Informao Sefti, junto a diversos rgos e entidades da
Administrao Pblica Federal, com vistas a obter informaes acerca da situao da gesto e do uso de
Tecnologia da Informao TI.
ACORDAM os Ministros do Tribunal de Contas da Unio, reunidos em Sesso Plenria, ante as
razes expostas pelo Relator, em:
9.1. recomendar ao Conselho Nacional de Justia - CNJ e ao Conselho Nacional do Ministrio
Pblico - CNMP que, nos rgos integrantes da estrutura do Poder Judicirio Federal e do Ministrio
Pblico da Unio, respectivamente:
9.1.1. promovam aes com o objetivo de disseminar a importncia do planejamento estratgico,
procedendo, inclusive mediante orientao normativa, aes voltadas implantao e/ou aperfeioamento
de planejamento estratgico institucional, planejamento estratgico de TI e comit diretivo de TI, com
vistas a propiciar a alocao dos recursos pblicos conforme as necessidades e prioridades da
organizao;
9.1.2. atentem para a necessidade de dotar a estrutura de pessoal de TI do quantitativo de servidores
efetivos necessrio ao pleno desempenho das atribuies do setor, garantindo, outrossim, sua capacitao,
como forma de evitar o risco de perda de conhecimento organizacional, pela atuao excessiva de
colaboradores externos no comprometidos com a instituio;
9.1.3. orientem sobre a importncia do gerenciamento da segurana da informao, promovendo,
inclusive mediante normatizao, aes que visem estabelecer e/ou aperfeioar a gesto da continuidade
do negcio, a gesto de mudanas, a gesto de capacidade, a classificao da informao, a gerncia de
incidentes, a anlise de riscos de TI, a rea especfica para gerenciamento da segurana da informao, a
poltica de segurana da informao e os procedimentos de controle de acesso;
9.1.4. estimulem a adoo de metodologia de desenvolvimento de sistemas, procurando assegurar,
nesse sentido, nveis razoveis de padronizao e bom grau de confiabilidade e segurana;
9.1.5. promovam aes voltadas implantao e/ou aperfeioamento de gesto de nveis de servio
de TI, de forma a garantir a qualidade dos servios prestados internamente, bem como a adequao dos
servios contratados externamente s necessidades da organizao;
9.1.6. envidem esforos visando implementao de processo de trabalho formalizado de
contratao de bens e servios de TI, bem como de gesto de contratos de TI, buscando a uniformizao
de procedimentos nos moldes recomendados no item 9.4 do Acrdo 786/2006-TCU-Plenrio;
9.1.7. adotem providncias com vistas a garantir que as propostas oramentrias para a rea de TI
sejam elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos
do negcio;
9.1.8. introduzam prticas voltadas realizao de auditorias de TI, que permitam a avaliao
regular da conformidade, da qualidade, da eficcia e da efetividade dos servios prestados;
9.2. recomendar ao Gabinete de Segurana Institucional da Presidncia da Repblica - GSI/PR que
oriente os rgos/entidades da Administrao Pblica Federal sobre a importncia do gerenciamento da
segurana da informao, promovendo, inclusive mediante orientao normativa, aes que visem
estabelecer e/ou aperfeioar a gesto da continuidade do negcio, a gesto de mudanas, a gesto de
capacidade, a classificao da informao, a gerncia de incidentes, a anlise de riscos de TI, a rea
especfica para gerenciamento da segurana da informao, a poltica de segurana da informao e os
TC-008.380/2007-1
procedimentos de controle de acesso;

9.3. recomendar Controladoria-Geral da Unio - CGU que realize regularmente auditorias de TI
e/ou promova aes para estimular a realizao dessas auditorias nos rgos/entidades da Administrao
Pblica Federal;
9.4. recomendar ao Ministrio do Planejamento, Oramento e Gesto - MPOG que, nos
rgos/entidades da Administrao Pblica Federal:
9.4.1. promova aes com o objetivo de disseminar a importncia do planejamento estratgico,
procedendo, inclusive mediante orientao normativa, execuo de aes voltadas implantao e/ou
aperfeioamento de planejamento estratgico institucional, planejamento estratgico de TI e comit
diretivo de TI, com vistas a propiciar a alocao dos recursos pblicos conforme as necessidades e
prioridades da organizao;
9.4.2. atente para a necessidade de dotar a estrutura de pessoal de TI do quantitativo de servidores
efetivos necessrio ao pleno desempenho das atribuies do setor, garantindo, outrossim, sua capacitao,
como forma de evitar o risco de perda de conhecimento organizacional, pela atuao excessiva de
colaboradores externos no comprometidos com a instituio;
9.4.3. estimule a adoo de metodologia de desenvolvimento de sistemas, procurando assegurar,
nesse sentido, nveis razoveis de padronizao e bom grau de confiabilidade e segurana;
9.4.4. promova aes voltadas implantao e/ou aperfeioamento de gesto de nveis de servio
de TI, de forma a garantir a qualidade dos servios prestados internamente, bem como a adequao dos
servios contratados externamente s necessidades da organizao;
9.4.5. adote providncias com vistas a garantir que as propostas oramentrias para a rea de TI
sejam elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos
de negcio;
9.5. recomendar Diretoria-Geral do Senado Federal e Diretoria-Geral da Cmara dos Deputados
que adotem, no mbito de suas Casas Legislativas, as providncias contidas no item 9.1;
9.6. recomendar Secretaria-Geral da Presidncia - Segepres e Secretaria-Geral de Administrao
- Segedam que adotem, no mbito deste Tribunal, as providncias contidas no item 9.1;
9.7. determinar Secretaria-Geral de Controle Externo - Segecex que oriente suas unidades tcnicas
para considerarem as informaes armazenadas na Secretaria de Fiscalizao de Tecnologia da
Informao Sefti quando forem executar aes de controle em governana de TI;
9.8. reiterar diligncia aos rgos/entidades que no responderam ou que no completaram as
respostas pesquisa levada a efeito pela Secretaria de Fiscalizao de Tecnologia da Informao - Sefti,
fixando prazo de 30 (trinta) dias para que sejam enviados, em meio magntico, conforme orientao
daquela Secretaria, as informaes necessrias para resposta ao questionrio utilizado neste levantamento;
9.9. determinar Secretaria de Fiscalizao de Tecnologia da Informao - Sefti que realize
fiscalizaes nas reas consideradas mais crticas da governana de TI nos rgos/entidades fiscalizados e
organize outros levantamentos com o intuito de acompanhar e manter base de dados atualizada com a
situao da governana de TI na Administrao Pblica Federal;
9.10. remeter cpias do presente Acrdo, acompanhado do Relatrio e Voto que o fundamentam,
bem como cpia integral do Relatrio de Levantamento Comisso de Cincia, Tecnologia, Inovao,
Comunicao e Informtica do Senado Federal; Subcomisso Permanente de Servios de Informtica do
Senado Federal; Diretoria-Geral do Senado Federal; Secretaria Especial de Informtica do Senado
Federal - Prodasen; Comisso de Fiscalizao Financeira e Controle da Cmara dos Deputados;
Comisso de Trabalho, de Administrao e Servio Pblico da Cmara dos Deputados; Comisso de
Cincia e Tecnologia, Comunicao e Informtica da Cmara dos Deputados; Subcomisso Permanente
de Cincia e Tecnologia e Informtica da Cmara dos Deputados; Diretoria-Geral da Cmara dos
Deputados; ao Centro de Informtica da Cmara dos Deputados; ao Conselho Nacional de Justia; ao
Conselho Nacional do Ministrio Pblico; ao Gabinete de Segurana Institucional da Presidncia da
Repblica; Controladoria-Geral da Unio; ao Ministrio do Planejamento, Oramento e Gesto;
Secretaria de Logstica Tecnologia da Informao - SLTI do Ministrio do Planejamento, Oramento e
Gesto; Secretaria de Oramento Federal - SOF do Ministrio do Planejamento, Oramento e Gesto;
ao Departamento de Coordenao e Controle das Empresas Estatais - Dest da Secretaria-Executiva do
Ministrio do Planejamento, Oramento e Gesto; aos rgos/entidades que responderam pesquisa
promovida pela Sefti (Apndice II do Relatrio);
TC-008.380/2007-1
9.11. autorizar, a partir da data do acrdo que vier a ser proferido, a divulgao das informaes
consolidadas constantes deste levantamento em sumrios executivos e informativos;
9.12. arquivar os presentes autos na Secretaria de Fiscalizao de Tecnologia da Informao - Sefti.
10. Ata n 32/2008 Plenrio
11. Data da Sesso: 13/8/2008 Ordinria
12. Cdigo eletrnico para localizao na pgina do TCU na Internet: AC-1603-32/08-P
13. Especificao do qurum:
13.1. Ministros presentes: Walton Alencar Rodrigues (Presidente), Marcos Vinicios Vilaa, Valmir
Campelo, Guilherme Palmeira (Relator), Ubiratan Aguiar, Benjamin Zymler, Augusto Nardes, Aroldo
Cedraz e Raimundo Carreiro.
13.2. Auditores presentes: Augusto Sherman Cavalcanti, Marcos Bemquerer Costa e Andr Lus de
Carvalho.
WALTON ALENCAR RODRIGUES

Presidente
GUILHERME PALMEIRA
Relator
Fui presente:
PAULO SOARES BUGARIN

Procurador-Geral, em exerccio

Acordao Legado 72671

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Acordao Legado 72671

Uploaded by

Copyright:

Available Formats

GRUPO I CLASSE V Plenrio

TC-008.380/2007-1 (com 9 anexos)

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

Planejamento Estratgico Institucional

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

c) Apoio e envolvimento insuficientes da administrao nas decises essenciais da rea

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

Proporo entre servidores e

Relao entre rgos/entidades cuja

no possuem planejame nto e strat gico de TI

e ntre 1/3 e 2/3 so se rvidore s

possue m planejame nto e strat gico de TI

Grfico 2 Servidores/terceirizados na rea de TI

TRIBUNAL DE CONTAS DA UNIO

funo do aumento da importncia estratgica da TI para as organizaes, pois um quadro menos

Conjunto de colaboradores requisitados/comissionados, com ou sem vnculo com a Administrao.

TRIBUNAL DE CONTAS DA UNIO

Comparativo entre organizaes com e sem carreira de T I

rgos COM carreira de TI

Grfico 3 Formao dos profissionais de TI

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

conseqncia da necessidade de controle de acesso lgico em sistemas de informao e sistemas

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

e monitoramento permitir a preveno e/ou rpida deteco e o subseqente informe tempestivo de

TRIBUNAL DE CONTAS DA UNIO

Achado XV. Ausncia de gesto de capacidade e compatibilidade das solues de TI

TRIBUNAL DE CONTAS DA UNIO

Deficincias na segurana da informao

TRIBUNAL DE CONTAS DA UNIO

e falhas de segurana no tratamento das informaes no seu ambiente de TI quando da ocorrncia de

TRIBUNAL DE CONTAS DA UNIO

6. Desenvolvimento de sistemas de informao

TRIBUNAL DE CONTAS DA UNIO

Estatsticas do CERT.br para

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

soluo de TI que envolva recursos humanos, aluguel de equipamentos e recursos de telecomunicao.

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

Achado XXV. No-realizao de reunies peridicas para avaliar o andamento dos

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

pesquisados, uma parte significativa do tempo de profissionais especializados de TI gasto no

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

TRIBUNAL DE CONTAS DA UNIO

Quantidade de auditorias de TI realizadas nos ltimos cinco anos

Grfico 5 Quantidade de auditorias de TI realizadas nos ltimos cinco anos

TRIBUNAL DE CONTAS DA UNIO