Professional Documents
Culture Documents
TC-008.380/2007-1
Q5.
Os rgos/entidades gerenciam os acordos de nveis de servio tanto quando prestam
internamente como quando contratam externamente servios de TI?
Q6.
O processo de contratao de bens e servios de TI formalizado, padronizado e judicioso
quanto ao custo, oportunidade e aos benefcios advindos das contrataes de TI?
Q7.
O processo de gesto dos contratos de TI formalizado, padronizado e executado?
Q8.
Os rgos/entidades solicitam o oramento de TI com base no planejamento da rea e
controlam os gastos com TI ao longo do exerccio financeiro?
Q9.
Os rgos/entidades realizam auditorias de TI nas suas organizaes?
Estratgia metodolgica e limitaes
6.
Durante a fase de planejamento foi elaborada matriz de planejamento com intuito de definir
as reas da governana de TI a serem pesquisadas e organizar a execuo do trabalho.
7.
Foram selecionados, como amostra, 333 rgos/entidades representativos da Administrao
Pblica Federal. Desses rgos/entidades, 29 responderam em conjunto com outros rgos/entidades e
14 no se consideram integrantes da Administrao Pblica Federal, apesar de jurisdicionados ao
Tribunal, em especial os que fazem parte do Sistema S (Apndice IV, fl. 42). Outros 25 rgos/entidades
no responderam pesquisa e 10 no completaram a quantidade mnima estabelecida de respostas
(Apndice III, fl. 41-v). Assim, 255 rgos/entidades participaram efetivamente do levantamento. Dessa
relao constaram ministrios, universidades federais, tribunais federais, agncias reguladoras,
autarquias, secretarias, departamentos e empresas estatais. Ainda no planejamento, para ser submetido
aos rgos e s entidades da amostra, foi elaborado questionrio composto de 39 perguntas baseadas
nas normas tcnicas brasileiras NBR ISO/IEC 17799:2005, NBR ISO/IEC 15999-1:2007 e no Control
Objectives for Information and related Technology 4.1 (Cobit 4.1).
8.
A norma NBR ISO/IEC 17799:2005 o cdigo de prtica para a gesto da segurana da
informao mais adotado em todo o mundo. Essa norma teve sua primeira verso internalizada pela
Associao Brasileira de Normas Tcnicas (ABNT) em setembro de 2001, e conta com a segunda verso
em vigor desde setembro de 2005. Essa norma fornece recomendaes em gesto da segurana da
informao para uso dos responsveis pela implementao e manuteno da segurana em suas
organizaes. Tem como propsito prover uma base comum para o desenvolvimento de normas de
segurana organizacional e das prticas efetivas de gesto da segurana, e prover confiana nos
relacionamentos entre as organizaes.
9.
A norma NBR 15999-1:2007 o cdigo de prtica para a gesto de continuidade de
negcios, baseada na norma inglesa BSI 25999:2006 e internalizada no Brasil pela ABNT em outubro de
2007. Seu objetivo fornecer um sistema baseado nas boas prticas de gesto de continuidade de
negcios.
10.
O Cobit, por sua vez, um modelo de gesto orientado a processos e est dividido em quatro
grandes grupos: Planejar e Organizar (Plan & Organise PO), Adquirir e Implementar (Acquire &
Implement AI), Entregar e Assistir (Deliver & Support DS) e Monitorar e Avaliar (Monitor &
Evaluate ME), cujas iniciais sero utilizadas no decorrer do relatrio para fins de referncia como
critrios de auditoria. O Cobit se encontra disponvel no site www.isaca.org. Vale salientar que se trata
de modelo j amplamente reconhecido e utilizado, no Brasil e no mundo, no mbito da tecnologia da
informao, tanto por gerentes de informtica quanto por auditores de TI.
11.
Na fase de execuo do levantamento, os rgos e entidades selecionados receberam, por
meio de correspondncia oficial, a identificao e a senha individual para acesso ao questionrio e,
posteriormente, via mensagem eletrnica, o link para o questionrio on-line. O software Risk Manager
apoiou o envio, a coleta e a tabulao das informaes do questionrio.
12.
Durante o preenchimento do questionrio, foi solicitado aos gestores de TI dos rgos e
entidades que anexassem documentos eletrnicos para servirem de evidncias s respostas apresentadas.
Em geral, esses documentos solicitados so atos normativos formais da organizao, mas poderiam ser
tambm atas de reunio ou outras publicaes internas aceitas e reconhecidas pelo rgo/entidade.
Deve-se observar que as informaes coletadas foram declaradas pelos gestores e no verificadas pela
equipe junto aos rgos/entidades. Alm disso, nesse primeiro momento, no foi avaliada a pertinncia e
a qualidade dos documentos produzidos e anexados pelos rgos/entidades.
TC-008.380/2007-1
13.
Ao final da coleta de informaes, as respostas apresentadas nos questionrios foram
tabuladas e as evidncias organizadas em pastas eletrnicas para consulta e tratamento posterior.
14.
Como limitao execuo dos trabalhos, deve-se destacar que alguns rgos/entidades no
dispunham de todas as informaes solicitadas e fizeram muito esforo para obt-las. Mesmo assim,
alguns rgos/entidades no conseguiram obter todas as informaes e as questes relativas a elas
ficaram sem resposta.
Volume de recursos fiscalizados
15.
Conforme a Portaria n. 222, de 10 de novembro de 2003, a mensurao do volume de
recursos fiscalizados no se aplica a este instrumento de fiscalizao.
Benefcios estimados
16.
Os benefcios estimados do presente trabalho so a possibilidade da Sefti planejar aes a
serem realizadas com intuito de aperfeioar a governana de TI nos principais rgos/entidades da APF
e a disponibilidade de informaes importantes nessa rea s equipes de futuras fiscalizaes. Alm
disso, a Sefti contar com um repositrio com os contatos dos gestores de TI dos rgos/entidades
participantes do levantamento.
3. Planejamento estratgico institucional e de TI
17.
O contexto atual de intensas mudanas faz com que as organizaes tenham que se adaptar
rapidamente s alteraes do ambiente em que atuam. No entanto, h organizaes que ainda atuam de
maneira reativa, apenas respondendo s demandas geradas por essas mudanas. H gestores que ainda
acreditam ser impossvel definir estratgias de ao devido rapidez e constncia dessas mudanas.
18.
Dentro desse cenrio de instabilidade, o planejamento tem se tornado cada vez mais
importante e vital e deve ser construdo de maneira flexvel, com o engajamento e comprometimento de
todos os colaboradores da organizao. As organizaes que no planejam correm riscos de no
alcanarem os objetivos desejados. Com uma viso de futuro estabelecida, as organizaes podero se
adaptar s constantes mudanas que ocorrem na sua rea de atuao e agilizar seu processo de tomada
de decises.
19.
O planejamento estratgico torna-se uma importante ferramenta para a tomada de deciso e
faz com que os gestores estejam aptos a agir com iniciativa, de forma pr-ativa, contra as ameaas e a
favor das oportunidades identificadas nas constantes mudanas que ocorrem.
20.
O alinhamento de todos os planos, recursos e unidades organizacionais um fator
fundamental para que a estratgia delineada no planejamento possa ser implementada. Assim, o
planejamento estratgico de TI tem que estar alinhado com os planos de negcio da organizao para o
estabelecimento das prioridades e das aes a serem realizadas na rea de TI.
Achado I. Ausncia de planejamento estratgico institucional em vigor
21.
Um percentual expressivo dos 255 rgos/entidades pesquisados (47%) no tem
planejamento estratgico institucional em vigor. Esse fato demonstra que quase metade das organizaes
pesquisadas no possuem a cultura de planejar estrategicamente suas aes e apenas reagem s
demandas e s mudanas ocorridas no seu mbito de atuao. Essa forma de atuao dificulta o
planejamento das aes de TI.
22.
O confronto desses dados com a informao de que 59% das organizaes pesquisadas no
fazem planejamento estratgico de TI (Achado II), permite algumas anlises. Dos 47% dos
rgos/entidades que afirmaram no possuir planejamento estratgico institucional, 81%, isto , 97
rgos/entidades no possuem planejamento estratgico de TI (Grfico 1).
23.
Por outro lado, o fato de haver planejamento estratgico institucional, por si s, no garante
que haver planejamento estratgico de TI. Em 40% das organizaes que dispunham do primeiro, no
havia o segundo (Grfico 1).
24.
Deve-se destacar, mais uma vez, a importncia do planejamento estratgico institucional
para a governana de TI. Para que o planejamento estratgico de TI seja efetivo e proporcione os
resultados esperados, ele deve estar alinhado ao planejamento estratgico institucional. A falta deste
impede o alinhamento desejado e ainda dificulta o estabelecimento de diretrizes para a rea de TI.
sim
no
sim
no
TC-008.380/2007-1
47%
No
53%
19%
81%
60%
40%
Planejamento Estratgico de TI
Grfico 1 Planejamento estratgico
Critrios
a) Cobit 4.1 PO1.2 Business-IT Alignment (Alinhamento de TI com negcio Estabelecer
processos de educao bidirecional e de envolvimento recproco no planejamento estratgico para
obteno de alinhamento e integrao entre o negcio e as aes de TI. As prioridades devem ser
acordadas mutuamente a partir da negociao das necessidades do negcio e da rea de TI);
b) Acrdo 1.558/2003-TCU-Plenrio, item 9.3.9.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 1. H planejamento institucional em vigor?
(fl. 37).
Efeitos potenciais
a) Suporte ineficaz da rea de TI na consecuo da misso da organizao;
b) Decises dos gestores de TI incompatveis com as necessidades da organizao;
c) Alocao indevida de recursos de TI por falta de entendimento sobre as prioridades da
organizao;
d) Desperdcio de recursos devido a decises erradas acerca da alocao de recursos de TI.
Achado II. Ausncia de planejamento estratgico de TI em vigor
25.
Por sua magnitude, o percentual de rgos/entidades que no dispem de planejamento
estratgico de TI em vigor, 59 %, chama a ateno. Evidentemente, no se deve confundir o fato de no
possuir planejamento estratgico com o fato de no possuir planejamento algum. Os rgos/entidades
podem possuir algum tipo de planejamento, normalmente um plano de ao anual. Apesar de
necessrios, os planos de ao anuais so insuficientes porque no conseguem indicar caminhos e
estratgias, apenas prevem como sero alocados os recursos disponveis naquele ano. Alm disso, esses
planos no so bons instrumentos para acompanhar e apoiar os projetos de mdia e longa duraes,
comuns na rea de TI. Outro problema normalmente observado quando da ausncia de planejamento
estratgico a descontinuidade desses projetos e o conseqente desperdcio de recursos.
26.
O planejamento estratgico de TI deve indicar os projetos e servios de TI que recebero
recursos, os custos, as fontes de recursos e as metas a serem alcanadas. Deve ser uma atividade regular
e os documentos resultantes devem ser aprovados pela alta administrao.
TC-008.380/2007-1
27.
Alm disso, ao analisar superficialmente algumas das evidncias apresentadas como planos
estratgicos de TI por rgos/entidades participantes do levantamento, a equipe observou que vrios
desses documentos eram cartas de inteno internas da rea de TI e/ou projetos de planos, e no
propriamente planos estratgicos de TI.
Critrios
a) Cobit 4.1 PO1.4 IT Strategic Plan (Plano Estratgico de TI Criar um plano estratgico
que defina, em cooperao com os principais interessados, como as metas de TI contribuiro para os
objetivos estratgicos da organizao e quais os custos e riscos associados. O plano deve incluir os
servios de TI, os ativos de TI e como a rea de TI dar suporte aos projetos dependentes de tecnologia
da informao. A rea de TI deve definir como os objetivos sero alcanados, as mtricas a serem
usadas e os procedimentos para obter a aprovao formal dos interessados. O plano estratgico de TI
deve conter oramento para investimentos e custeio de TI, fontes de recursos, estratgia de aquisies, e
requisitos legais e regulatrios. O plano estratgico deve ser suficientemente detalhado para permitir a
definio de planos tticos de TI);
b) Acrdo 1.558/2003-TCU-Plenrio, item 9.3.9.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 2. H planejamento estratgico para a rea
de TI em vigor? (fl. 37).
Efeitos potenciais
a) Suporte ineficaz da rea de TI na consecuo da misso da organizao;
b) Planos de TI no alinhados s necessidades do negcio;
c) Inexistncia de consultas regulares entre gerente de TI e demais gerentes acerca dos
projetos e servios de TI;
d) Enfraquecimento das aes de TI;
e) Descontinuidade dos projetos de TI;
f) Insatisfao dos usurios;
g) Viso negativa da rea de TI;
h) Resultados da rea de TI abaixo do esperado;
i) Dificuldade de obteno de recursos para a rea de TI;
j) Investimentos desnecessrios em TI;
k) Desperdcio de recursos.
Achado III. Ausncia de comit diretivo sobre aes e investimentos em TI
28.
A existncia de um comit diretivo de TI (IT Steering Committee), que determine as
prioridades de investimento e alocao de recursos nos diversos projetos e aes de TI, de fundamental
importncia para o alinhamento entre as atividades de TI e o negcio da organizao, bem como para a
otimizao dos recursos disponveis e a reduo do desperdcio. O fato desse comit ser composto por
dirigentes de TI e de outras reas da organizao possibilita que as decises de investimentos sejam
obtidas a partir de uma viso mais abrangente, o que reduz os riscos de erro.
29.
Menos de um tero (32 %) dos rgos/entidades pesquisados declararam possuir um comit
diretivo de TI ou algo equivalente. Por no haver um frum competente para discusso, as decises
sobre investimentos em TI correm maior risco de serem equivocadas e levarem ao desperdcio de
recursos, e ainda de no estarem alinhadas aos objetivos da organizao.
Critrios
a) Cobit 4.1 PO4.3 IT Steering Committee (Comit Diretivo de TI Criar um comit diretivo
de TI (ou equivalente) composto de gerentes executivos, de negcios e de TI, para: determinar as
prioridades de investimento e alocao de recursos nas aes de TI, alinhadas s estratgias e
prioridades da organizao; acompanhar o estgio de desenvolvimento dos projetos e resolver conflitos
relativos a recursos; e monitorar os nveis de servio de TI e suas melhorias).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 3. H comit que decida sobre a priorizao
das aes e investimentos de TI? (fl. 37).
Efeitos potenciais
a) Estratgia de TI no alinhada com a estratgia da organizao;
b) Apoio inexistente ou insuficiente dos projetos baseados em TI aos objetivos institucionais;
TC-008.380/2007-1
9.6.1. adote providncias no sentido de dotar a Coordenao-Geral de Modernizao e Informtica - CGMI/MDIC dos meios necessrios para realizar, de
forma independente, o planejamento, a especificao, a superviso e o controle da execuo dos servios de informtica terceirizados, preferencialmente
mediante o preenchimento de cargos ou, enquanto no for reestruturada a coordenadoria de informtica do Ministrio, mediante a contratao de empresa
especializada especificamente para esse fim, distinta e independente das empresas prestadoras dos demais servios;
2
9.6. determinar ao Ministrio do Trabalho e Emprego e ao Ministrio do Planejamento, Oramento e Gesto que avaliem a situao de terceirizao de
pessoal na rea de Tecnologia da Informao do MTE e envidem esforos no sentido de diminuir o nvel de terceirizao, principalmente para ocupar cargos
estratgicos com pessoal de carreira dentro da Administrao Pblica;
3
9.8. alertar o Ministrio do Planejamento, Oramento e Gesto sobre a necessidade de prover os setores de informtica dos rgos e entidades da
Administrao Pblica Federal com estrutura organizacional e quadro permanente suficientes para realizar, de forma independente das empresas
prestadoras de servios, o planejamento, a definio, a coordenao, a superviso e o controle das atividades de informtica, com a finalidade de garantir a
autoridade e o controle da Administrao sobre o funcionamento daqueles setores;
TC-008.380/2007-1
No me parece que a situao constatada no Ministrio da Agricultura seja um caso isolado, visto
que a carncia de recursos humanos na Administrao Pblica Federal fato notrio. 4
36.
Uma das determinaes desse Acrdo foi a realizao de auditoria para avaliar a
adequao da estrutura de pessoal de TI5, que motivou a incluso, no presente trabalho, de questes
sobre aspectos de recursos humanos apontados no Acrdo.
37.
A necessidade de haver uma quantidade mnima de servidores da rea de TI do
rgo/entidade, em relao quantidade daqueles que atuam na rea mas no so servidores efetivos,
foi uma das preocupaes do Acrdo para evitar que aes crticas ou estratgicas de TI sejam
delegadas a pessoal terceirizado em funo da ausncia de quadro mnimo. Para avaliar essa situao
na Administrao Pblica Federal, os gestores participantes deste levantamento foram questionados
quanto composio do seu quadro de TI, no que diz respeito ao vnculo com a administrao,
considerando os profissionais que trabalham nas dependncias do rgo (servidores, comissionados e
terceirizados). importante ressaltar que no foram computados aqui os profissionais que trabalham na
execuo de servios para projetos especficos, executados primordialmente no ambiente da contratada.
38.
Outro aspecto importante a qualificao dos profissionais em relao s atividades que
deve desempenhar a rea de TI dos rgos/entidades. Nesse caso, h duas preocupaes: qualificao
gerencial e qualificao tcnica em TI. Quanto qualidade dos gerentes, a estratgia utilizada foi
levantar, no presente questionrio, se h critrios para concesso das funes comissionadas de TI nos
rgos/entidades. J a qualificao tcnica foi examinada a partir do nvel de formao dos
profissionais em TI, desde a graduao que no obrigatria para a investidura em cargo de TI, por
no haver regulamentao da profisso at ps-graduaes formais. Optou-se, nesse primeiro
momento, por no levantar treinamentos tcnicos especficos (certificaes, cursos de atualizao,
congressos) que, apesar de extremamente necessrios para a rea, no permitiriam uma tabulao em
funo da diversidade. Finalmente, foi verificado tambm se os rgos/entidades possuem carreira
especfica para a rea de TI.
39.
Vale ressaltar que as verificaes realizadas quanto quantidade dos profissionais e sua
qualificao no so exaustivas para traar o perfil do corpo tcnico de TI dos rgos/entidades, mas
apenas um ponto de partida para fornecer subsdios ao direcionamento de aes de auditoria
especficas. Alm disso, outros indicadores de qualidade, como o nvel de rotatividade do pessoal,
porcentagem de certificaes tcnicas, existncia de planos de treinamento regulares, aderncia do
corpo tcnico a esses planos, nvel de satisfao dos clientes com a qualidade do corpo tcnico e outros,
apontados pelo Cobit na gesto de pessoal, foram deixados para prximas edies deste levantamento.
Achado IV. Quantidade reduzida de servidores na rea de TI
40.
Uma quantidade expressiva de rgos/entidades (95%) informou que possui algum servidor
do seu quadro atuando na rea de TI. Contudo, ao verificar-se a proporo entre servidores do quadro e
colaboradores externos6 a ele, possvel observar ainda a ocorrncia de muitos colaboradores externos
em alguns rgos/entidades. O Grfico 2 mostra trs grupos de rgos/entidades: aqueles com mais de
2/3 do seu quadro composto por servidores, aqueles nos quais esse valor est entre 1/3 e 2/3, e aqueles
onde os servidores constituem menos de 1/3 do quadro.
Trecho do voto do Relator do Acrdo 140/2005 (pargrafos 92 e 93), relativo representao sobre irregularidades na contratao de
empresa especializada para prestao de servios de informtica para o Ministrio da Agricultura e do Abastecimento.
5
9.4. determinar Secretaria-Geral de Controle Externo que adote providncias para realizar, por intermdio das unidades tcnicas
competentes, auditoria nos rgos da Administrao Direta do Poder Executivo com vistas a avaliar a estrutura de recursos humanos dos
respectivos setores de informtica, verificando se o quantitativo e a qualificao dos servidores so suficientes ao desempenho das
atribuies da rea e ao atendimento das necessidades das demais unidades integrantes do rgo, sobretudo se as atividades ligadas ao
planejamento estratgico de informtica, coordenao, fiscalizao e ao controle das aes do setor so executadas com eficincia e
eficcia e, ainda, se essas atividades esto acometidas a servidores do rgo, entre outros aspectos considerados relevantes na fase de
planejamento dos trabalhos.
6
Conjunto de colaboradores externos: requisitados com vnculo com a Administrao Pblica Federal; requisitados sem vnculo com a
Administrao Pblica Federal (com ou sem comisso); terceirizados que atuam nas instalaes fsicas do rgo/entidade.
TC-008.380/2007-1
29%
47%
37%
63%
24%
acima de 2/3 so servidores
TC-008.380/2007-1
TC-008.380/2007-1
15000
33%
12500
10000
37%
Quantidade de
servidores do quadro
44%
7500
5000
30%
38%
formao em TI
2500
18%
superior no TI
mdio
TC-008.380/2007-1
Concluso
50.
Conforme o Grfico 2, um total de 29% dos pesquisados possui menos de 1/3 de sua rea de
TI composta por servidores, o que pode acarretar risco de dependncia de indivduos sem vnculo com o
rgo/entidade para a execuo de atividades crticas ao negcio, alm de perda do conhecimento
organizacional.
51.
Segundo as informaes levantadas no questionrio, somente 37% dos servidores que atuam
na rea de TI dos rgos/entidades possuem formao especfica em TI (incluindo aqui doutorado,
mestrado, ps-graduao lato sensu e nvel superior). Alm disso, 43% dos rgos/entidades possuem
carreira especfica para a rea. Esse resultado preocupa em funo do aumento da importncia
estratgica da TI para as organizaes, que correm o risco de no terem pessoal qualificado suficiente
nem para executar as atividades bsicas nem para fiscalizar eventuais contratados.
52.
De acordo com as respostas ao questionrio, 60% dos pesquisados no consideram
competncias gerenciais, tcnicas e resultados produzidos anteriormente na seleo de gerentes de TI.
Com esse resultado, no se pde verificar se a escolha de chefias nos rgos/entidades participantes
objetiva e baseada no mrito.
Proposta de encaminhamento
53.
Enviar as concluses acerca de estrutura de pessoal de TI ao Ministrio do Planejamento,
Oramento e Gesto, ao Conselho Nacional de Justia e ao Conselho Nacional do Ministrio Pblico
para cincia e promoo das aes cabveis.
5. Segurana da informao
54.
Neste tpico, o objetivo delinear a qualidade do tratamento dado pelos rgos pblicos
segurana das informaes sob sua responsabilidade.
55.
A importncia do correto tratamento para a confidencialidade, a integridade e a
disponibilidade das informaes de rgos pblicos evidente, sem falar na autenticidade, na
responsabilidade pelos dados e na garantia de no-repdio 8. A prpria prestao do servio de uma
instituio pblica aos cidados depende da confiabilidade das informaes por ela tratadas e ofertadas.
56.
Foram solicitados como evidncias os documentos sobre a Poltica de Segurana da
Informao (PSI), o Plano de Continuidade de Negcios (PCN), normas/procedimentos relacionados
classificao de informaes e as normas/procedimentos de controle de acesso, que devem orientar o
tratamento da segurana das informaes.
57.
A poltica de segurana da informao o documento que contm as diretrizes da instituio
quanto ao tratamento da segurana da informao. De acordo com as orientaes da norma NBR
ISO/IEC 17799:2005 da ABNT, a poltica deve declarar explicitamente o comprometimento da direo
da instituio com a segurana da informao. Alm disso, deve tambm conter definies dos termos
relacionados dentro do escopo da instituio e apontar os objetivos de controle, os controles, as
estruturas que implementam esses controles, as responsabilidades e tambm as polticas e normas que
disciplinam e complementam esse documento de diretrizes, incluindo referncias legislao e aos
requisitos regulamentares e contratuais9. Em geral, esse o documento da gesto da segurana da
informao a partir do qual derivam os documentos especficos para cada meio de armazenamento,
transporte, manipulao ou tratamento especfico da segurana da informao em TI.
58.
A gesto da continuidade do negcio, por sua vez, o processo que objetiva minimizar um
impacto sobre a organizao e recuperar perdas de informaes a um nvel aceitvel, por meio da
combinao de aes de preveno e recuperao. O plano de continuidade de negcios um documento
ou conjunto de documentos que, tipicamente, contm as condies para sua ativao, as
responsabilidades individuais, os procedimentos de emergncia, os procedimentos operacionais
temporrios e os procedimentos de recuperao. O plano (ou planos) de continuidade deve(m) ser
periodicamente testado(s) e avaliado(s), para garantir que funcione(m) quando necessrio.
8
Caracterstica que impede a negao da autoria/execuo de uma ao por parte de um agente. Por exemplo: um usurio pode alegar
que, dadas as fragilidades fraude do protocolo padro de e-mail, uma determinada correspondncia eletrnica no foi de fato enviada por
ele, apesar de aparecer seu nome como remetente, negando sua autoria. Nesse caso, um e-mail dotado de no-repdio deveria possuir uma
caracterstica que garantisse que apenas o usurio listado no remetente poderia de fato ter escrito aquele texto e o enviado. Isso pode ser
conseguido, por exemplo, por meio de assinatura digital.
9
O Decreto n. 3.505, de 13 de junho de 2000, instituiu a Poltica de Segurana da Informao nos rgos e entidades da Administrao
Pblica Federal e tem alcance sobre muitas instituies pesquisadas neste levantamento. Esse documento, porm, uma norma qual a PSI
especfica deve aderir.
TC-008.380/2007-1
59.
A classificao de informaes, por sua vez, o processo que visa garantir que cada
informao tenha o tratamento de segurana adequado ao seu valor, aos requisitos legais,
sensibilidade e ao risco de sua perda para a organizao. Nesse processo devem existir, pelo menos, dois
documentos de referncia: o esquema de classificao, que contm as definies dos nveis de proteo
considerados, e um conjunto apropriado de procedimentos para rotulao e tratamento da informao
segundo esse esquema.10
60.
A gesto do controle de acesso, por fim, o processo que visa garantir que o acesso
informao seja controlado com base nos requisitos de negcio e na adequada segurana da informao.
O principal documento relacionado a esse processo a poltica de controle de acesso, que contm as
regras de controle de acesso e direitos para cada usurio ou grupos de usurios, e relaciona claramente
os requisitos de negcio e os controles associados.
61.
Os rgos foram tambm questionados sobre algumas estruturas organizacionais para
assistir a execuo das diretrizes de segurana: rea especfica para tratamento de segurana, rea
especfica para tratamento de incidentes, evidncias de gesto centralizada para mudanas, capacidade
e compatibilidade de solues de TI.
62.
A infra-estrutura para a adequada gesto da segurana da informao na organizao
tratada no item 6.1 da NBR ISO/IEC 17799:2005. Cada rgo/entidade deve adotar a estrutura
organizacional que mais se adeqe cultura e ao tamanho da instituio, assegurando, contudo, que a
implementao dos controles de segurana da informao tenha uma coordenao que permeie toda a
organizao. Assim, as organizaes podem at usar um frum j existente (por exemplo, um conselho de
diretores), desde que este assuma tambm, de forma explcita, as atividades de gesto da segurana da
informao. O mais freqente tem sido o uso de um frum especfico (por exemplo, um grupo especfico
para gerenciar a segurana da informao) ou mesmo um gestor individual (que conhecido no
mercado como CSO Chief Security Officer).
63.
O objetivo do processo de gesto de incidentes de segurana assegurar que seja aplicado
tratamento consistente e efetivo para os incidentes, que incluem desde falhas de sistemas at violaes
intencionais da poltica de segurana. Para isso, h que se designar claramente as responsabilidades no
tratamento de incidentes, bem como os procedimentos a serem adotados, em sintonia com outras
diretrizes, como o plano de continuidade de negcio e a classificao das informaes. A existncia de
uma rea especfica uma recomendao para a operacionalizao desses controles, no s pela NBR
ISO/IEC 17799:2005, como tambm por vrias diretrizes para governana de TI.
64.
Outros processos de infra-estrutura relacionados com a segurana so a gesto centralizada
de mudanas e a gesto de capacidade e compatibilidade. Na gesto centralizada de mudanas, h
controle rgido das mudanas no ambiente operacional para garantir a estabilidade do ambiente e a
auditoria das alteraes realizadas. O controle inadequado de modificaes nos sistemas e nos recursos
de processamento da informao uma causa comum de falhas de segurana ou de sistema.
65.
J a gesto de capacidade e compatibilidade visa principalmente garantir a disponibilidade
das informaes, ao verificar continuamente se as solues de TI suportam adequadamente a demanda
por informaes sem sobrecarregar os sistemas, gerar descontinuidade de operao e/ou falhas no nvel
de servio acordado.
66.
Finalmente, os rgos/entidades foram instados a apresentar as evidncias de que estariam
preocupados em realizar o tratamento dos riscos relacionados ao processamento das informaes sob
sua responsabilidade por meio das solues de TI. O tratamento dos riscos inclui a identificao, a
quantificao e a classificao dos riscos quanto sua prioridade, com base em critrios sintonizados
com o negcio da organizao. Os resultados dessa anlise devem orientar as aes de gesto e as
prioridades para o gerenciamento dos riscos de segurana da informao e para a implementao dos
controles selecionados. Por isso, a anlise de risco estratgica na gesto da segurana e deve ser feita
em bases peridicas para garantir a adequao entre gesto e negcio.
Achado VIII. Ausncia de poltica de segurana da informao em vigor
67.
A ausncia de poltica de segurana da informao (PSI) formalmente definida na
organizao foi declarada por 64% dos rgos/entidades pesquisados. Como esse documento de
diretrizes um dos primeiros passos na construo de uma gesto da segurana da informao, tal
10
O Decreto n 4.553 de 27 de dezembro de 2002 estabelece um esquema de classificao da informao quanto ao sigilo e tem alcance
sobre muitas instituies pesquisadas. Esse documento, porm, uma norma qual o esquema de classificao especfico deve aderir.
TC-008.380/2007-1
achado um indcio preocupante de que essa gesto inexistente ou incipiente na maioria das
organizaes da Administrao Pblica Federal.
68.
possvel que haja aes em segurana da informao nesses rgos. Porm, a ausncia da
poltica central indica que tais aes no so motivadas por diretrizes institucionais e, portanto, podem
ser conflitantes e/ou incompletas.
Critrios
a) NBR ISO/IEC 17799:2005, item 5.1 Poltica de segurana da informao: convm que a
direo estabelea uma poltica clara, alinhada com os objetivos do negcio e demonstre apoio e
comprometimento com a segurana da informao por meio da publicao e manuteno de uma
poltica de segurana da informao para toda a organizao;
b) Cobit 4.1 DS5.2 IT Security Plan (Plano de Segurana de TI Traduzir requisitos de
negcio, risco e conformidade num plano geral de segurana de TI, levando em considerao a infraestrutura de TI e a cultura de segurana. Garantir que o plano seja implementado dentro das polticas e
dos procedimentos de segurana em conjunto com investimentos apropriados em servios, pessoal,
software e hardware. Comunicar as polticas e procedimentos de segurana aos interessados e usurios).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 11. Existe poltica de segurana da
informao (PSI) em vigor? (fl. 37).
Efeitos potenciais
a) Enfraquecimento das aes de segurana, por no serem respaldadas por uma poltica
institucional;
b) Descompasso entre a gesto da segurana da informao e os objetivos de negcio;
c) Percepo pelos usurios e clientes de falta de comprometimento da alta administrao
da organizao com a segurana da informao.
Achado IX. Ausncia de plano de continuidade de negcios em vigor
69.
A cultura de segurana da informao predominante nas organizaes brasileiras, inclusive
na rea governamental, ainda no est madura o suficiente no que diz respeito preocupao com
desastres e interrupo nos servios. o que pode ser inferido da ausncia de plano de continuidade de
negcios (PCN) em cerca de 88% dos pesquisados. A situao se agrava quando, adicionalmente,
observa-se que, dentre os que possuem PCN em vigor, apenas 30% declararam t-lo revisado em perodo
inferior a um ano.
70.
A ausncia de PCN na organizao um indcio de falta de conscientizao em nvel
estratgico com os riscos de interrupo dos servios da organizao. Sem planejamento dessa natureza,
a organizao fica vulnervel quando da ocorrncia de desastres (naturais ou por sabotagem) e
interrupes de servios. Eventos que poderiam ser resolvidos sem grande perda, acabam por
comprometer toda a base atual e histrica de informaes da organizao. Pode ser at que o PCN
nunca precise ser acionado mas, se houver a necessidade e ele no existir, isso pode significar risco
continuidade da existncia da organizao.
71.
Ao considerar os efeitos da perda de informaes como as relacionadas vida, sade,
segurana e histria dos cidados brasileiros, no aceitvel correr riscos elevados que possam
comprometer a prpria finalidade das instituies governamentais.
Critrios
a) NBR 15999-1:2007, item 8.6 Planos de Continuidade de Negcios: o propsito de um
plano de continuidade de negcios (PCN) permitir que uma organizao recupere ou mantenha suas
atividades em caso de uma interrupo das operaes normais de negcios.
b) Cobit 4.1 DS4 Ensure Continuous Service (Garantir a Continuidade do Servio A
necessidade de prover servios contnuos de TI requer desenvolvimento, manuteno e teste de planos de
continuidade de TI, armazenamento de cpias de segurana em local alternativo e treinamento peridico
de planejamento de continuidade).
c) NBR ISO/IEC 17799:2005, item 14.1.3 Desenvolvimento e implementao de planos de
continuidade relativos segurana da informao: convm que os planos sejam desenvolvidos e
implementados para a manuteno ou recuperao das operaes e para assegurar a disponibilidade da
informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou
falhas dos processos crticos do negcio.
TC-008.380/2007-1
Evidncias
a) Apndice I, planilha de resultados, pergunta: 10. Existe plano de continuidade de negcios
em vigor? (fl. 37).
Efeitos reais e potenciais
a) Vulnerabilidade das organizaes ocorrncia de desastres e interrupo de servios;
b) Perda de dados, inclusive histricos, de difcil recuperao;
c) Dificuldade no restabelecimento das operaes normais quando da ocorrncia de
interrupo de servios;
d) Vulnerabilidade a fraudes e erros durante a interrupo de servios;
e) Paralisao de funes essenciais de governo e/ou de Estado.
Achado X. Ausncia de classificao das informaes
72.
Um total de 80% dos rgos/entidades declararam no classificar as informaes. Esse um
processo caro e trabalhoso, que envolve muitas reas da organizao, e essa uma possvel causa para
um percentual to expressivo.
73.
A classificao das informaes, porm, de forma semelhante PSI, um dos pilares da
segurana da informao numa organizao. A sua ausncia indica que o tratamento da segurana sobre
as informaes no feito de forma consistente, variando em funo da maior ou menor maturidade das
reas que as armazenam, transportam ou alteram. Assim, pode ser, por exemplo, que uma informao em
papel seja tratada com um nvel maior de sigilo, mas ao ser passada para um sistema informatizado,
receba o tratamento comum dado a outras informaes no-sigilosas, inadequado para suas
especificidades. Como no existe um rtulo de segurana nico para aquela informao, o qual deveria
apontar para procedimentos prprios em cada meio de armazenamento, o tratamento da segurana
daquela informao torna-se ineficaz como um todo, j que uma mxima da segurana da informao
que a segurana de um conjunto igual segurana do elo mais fraco.
74.
Alm disso, difcil responsabilizar algum por um tratamento indevido sem uma
classificao da informao. A declarao expressa de que um dado ativo de informao deve ser
tratado com um determinado nvel de proteo (e nisso que consiste a atribuio dos rtulos de
segurana s informaes) o subsdio de que dispe o gestor para avaliar se uma dada ao foi ou no
adequada ao nvel de proteo da informao e, caso no tenha sido, propor a responsabilizao, bem
como a correo da situao.
Critrios
a) Cobit 4.1 PO2.3 Data Classification Scheme (Esquema de Classificao da Informao
Estabelecer um esquema de classificao aplicvel em toda organizao baseado na criticidade e na
sensibilidade isto , pblica, reservada ou sigilosa das informaes institucionais. Esse esquema deve
incluir detalhes sobre propriedade da informao; definio de nveis de segurana e controles de
proteo adequados; e uma breve descrio dos requisitos de reteno e destruio de dados, criticidade
e sensibilidade. Deve ser usado como a base para a aplicao de controles tais como controles de
acesso, armazenamento ou encriptao);
b) NBR ISO/IEC 17799:2005, item 7.2 Classificao da informao: convm que a
informao seja classificada para indicar a necessidade, prioridades e o nvel esperado de proteo
quando do tratamento da informao.
Evidncias
a) Apndice I, planilha de resultados, pergunta 12. feita classificao de informaes?
(fl. 37).
Efeitos potenciais
a) Informaes tratadas com nvel inadequado de proteo, suscetveis perda de
integridade, confiabilidade e disponibilidade;
b) Tratamento da segurana das informaes de maneira inconsistente e dependente do meio
em que transitam ou so armazenadas;
c) Falta de amparo para responsabilizao por acesso indevido a informaes;
d) Falta de sintonia entre a proteo das informaes e o negcio da organizao.
Achado XI. Ausncia de procedimentos de controle de acesso em vigor
75.
De acordo com as respostas fornecidas, procedimentos para disciplinar o controle de acesso
a recursos computacionais existem em 52% dos pesquisados. provvel que esse resultado seja uma
TC-008.380/2007-1
TC-008.380/2007-1
Achado XII. Ausncia de rea especfica para lidar com segurana da informao
78.
Um total de 64% dos rgos/entidades informaram que no possuem rea especfica, com
responsabilidades definidas, para lidar estrategicamente com segurana da informao. Sem tal
estrutura, h grande probabilidade de que as questes de segurana no sejam tratadas de maneira
consistente. Alm disso, torna-se difcil para a organizao avaliar se esto sendo endereados de modo
adequado os recursos humanos e de logstica para a implementao dos controles de segurana da
informao, ou se tais controles esto sintonizados com o negcio da organizao. A ausncia de frum
adequado, de nvel estratgico e com representantes de diversas reas da organizao, tambm um
indcio de ausncia de um fator considerado crtico no sucesso da gesto da segurana: a preocupao
da direo da organizao com a segurana da informao.
Critrios
a) Cobit 4.1 DS5.1 Management of IT Security (Gerncia da Segurana de TI Gerenciar a
segurana de TI no nvel organizacional apropriado mais alto de maneira que a gerncia de aes de
segurana esteja alinhada com os requisitos do negcio);
b) NBR ISO/IEC 17799:2005, item 6.1 Infra-estrutura da segurana da informao:
convm que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementao
da segurana da informao dentro da organizao.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 9. Existe uma rea especfica, com
responsabilidades definidas, para lidar estrategicamente com segurana da informao? (fl. 37).
Efeitos potenciais
a) Ausncia ou atuao deficiente em segurana da informao na organizao;
c) Aes de segurana da informao da organizao incoerentes e ineficazes;
d) Desperdcio de recursos em aes no-prioritrias.
Achado XIII. Ausncia de rea especfica para gerncia de incidentes
79.
Apesar da gerncia centralizada de incidentes ser um dos pontos-chave apontados pela
norma NBR ISO/IEC 17799:2005 para resoluo rpida de incidentes em TI, no existe rea especfica
para gerncia de incidentes em 76% dos rgos/entidades pesquisados, segundo declaraes dos
gestores. Tal resultado representa um risco de que eventuais incidentes envolvendo a disponibilidade, a
integridade ou o sigilo das informaes no tenham tratamento adequado e consistente.
80.
Adicionalmente, em outra questo verificou-se que, coincidentemente, apesar de no serem
as mesmas instituies, tambm 76% das organizaes pesquisadas oferecem servios transacionais pela
Internet, o que aumenta a sua exposio a tentativas de acesso indevido e indisponibilidade da
informao. Ao cruzar esses dados, verificou-se que 54% dos pesquisados possuem servios
transacionais pela Internet e no possuem rea prpria para gerncia de incidentes. Nesses casos, o
risco associado ausncia do controle aumenta.
81.
Outro aspecto a considerar a possibilidade de um incidente em servios da Internet afetar
mais de uma instituio. Nesse caso, a ausncia dessa rea tem efeito multiplicador e pode, inclusive,
comprometer o trabalho dos rgos que a possuem. Existem grupos articuladores de tratamento de
incidentes na Internet, como o Grupo de Resposta a Incidentes de Segurana para a Internet brasileira
(CERT.br)11 e outros grupos localizados, como o Grupo de Incidentes da Rede Nacional de Pesquisa
(RNP) e de outros provedores de rede. Sem um contato nos rgos da administrao pblica, fica
comprometida a atuao de tais entidades na ocorrncia de incidentes que afetam vrias instituies,
inclusive quanto possibilidade de articulao especfica para tratamento de incidentes de rgos
governamentais.
Critrios
a) Cobit 4.1 DS5.5 Security Testing, Surveillance and Monitoring (Teste, Vigilncia e
Monitoramento de Segurana Testar e monitorar a implementao da segurana de TI de uma forma
pr-ativa. A segurana de TI deve ser formalmente aprovada de uma maneira tempestiva para assegurar
a manuteno do padro estabelecido de segurana da informao da organizao. A funo de registro
11
Grupo mantido pelo Comit Gestor da Internet no Brasil responsvel por receber, analisar e responder a incidentes de segurana em
computadores e redes conectadas Internet brasileira. Alm do processo de resposta a incidentes em si, o CERT.br tambm atua em
trabalhos de conscientizao sobre problemas de segurana, correlao entre eventos na Internet brasileira e auxlio ao estabelecimento de
novos centros de resposta a incidentes no Brasil.
TC-008.380/2007-1
TC-008.380/2007-1
TC-008.380/2007-1
informao, e para a implementao dos controles selecionados, de maneira a proteger contra estes
riscos.
Evidncias
a) Apndice I, planilha de resultados, pergunta 13. efetuada anlise de riscos na rea de
TI? (fl. 37).
Efeitos potenciais
a) Estabelecimento inadequado de prioridades para aes de segurana;
b) Desperdcio de recursos em aes no-prioritrias, enquanto outras mais crticas deixam
de ser realizadas.
Concluso
87.1.
As respostas fornecidas pelos rgos/entidades pesquisados s questes sobre o tratamento
dado segurana das informaes sob sua responsabilidade indicam que preciso mais ateno ao
tema. Dentre as nove questes sobre esse assunto, apenas uma obteve mais de 50% de resposta positiva.
O Grfico 4 resume as deficincias encontradas no tratamento de segurana da informao, indicando
para cada questo qual o percentual de rgos/entidades que informaram no executar o controle
associado. O resultado preocupa, pois a prpria prestao do servio de uma instituio pblica aos
cidados depende da confiabilidade das informaes por ela tratadas e ofertadas.
87.2.
A ausncia de plano de continuidade de negcios (PCN) em 88% dos rgos/entidades
pesquisados aponta para a falta de cultura acerca de continuidade de negcios. Isso constitui um alto
risco para a segurana das informaes tratadas por essas instituies governamentais, ao deix-las
vulnerveis perda ou ao comprometimento de informaes em caso de interrupo de servios por
causas naturais ou intencionais.
)
)
)
)
)
% ) 8 %)
%)
%
%
%
%
%)
%
8
4
6
5
4
8
4
0
6
7
7
8
8
4
(8
8
6
(
(
(
(
(
(
s(
e(
N
SI
TI a SI
so
o entes
P
s
e
PC ana i dad
e
r
a
d
c
pa
rm incid sco s
ea
ud ap a c
l
o
a
f
m
o
c
i
de
e r ecfi
e c d a in a d e
ntr
d
d
o
o
i
c
c
.
o
se
st st o
esp
ed
ern n li
a
c
ge
e
a
e
o
g
g
a
ic
r
pr
si f
s
a
cl
Grfico 4 Deficincias na segurana da informao
87.3.
A seu turno, a ausncia de uma gesto de mudanas em 88% dos pesquisados declarada
pelos prprios pesquisados indica que a maior parte desses rgos/entidades corre risco de instabilidade
TC-008.380/2007-1
TC-008.380/2007-1
Numa perspectiva mais atual, espera-se que a rea de TI seja mais estratgica e no simplesmente entregue sistemas, mas fornea
solues de TI um conceito mais amplo que engloba servios, infra-estrutura e sistemas de informao, todos sintonizados com as
prioridades da organizao.
13
rea do conhecimento da informtica, voltada para a especificao, desenvolvimento e manuteno de sistemas, que aplica tecnologias e
prticas de cincia da computao, gerncia de projetos e outras disciplinas, objetivando organizao, produtividade e qualidade.
14
Programa que procura estimular a adoo de normas, mtodos, tcnicas e ferramentas da qualidade e da engenharia de software, bem
como promover a melhoria da qualidade dos processos, produtos e servios de software brasileiros, de modo a tornar as empresas mais
capacitadas a competir em um mercado globalizado. Embora voltado para empresas em geral, uma de suas estratgias fomentar a
qualidade de software em empresas e organismos governamentais.
15
Modelo de qualidade de processo voltado para a realidade do mercado de empresas de desenvolvimento de software no Brasil, compatvel
com outros padres internacionais, como a Capability Maturity Model Integration (CMMI).
TC-008.380/2007-1
cliente; um sistema mal documentado ou cuja documentao no segue um padro ou, ainda, cuja
documentao no atualizada corretamente, fica dependente da manuteno pelo(s) desenvolvedor(es);
um teste mal realizado permite que programas no adequadamente homologados pelo cliente sejam
dados como concludos.
92.5.
Alm disso, o risco para a organizao ainda maior quando se verifica que, dentre os 130
pesquisados que declararam no ter metodologia, 68% informaram que oferecem servio transacional
pela Internet e, portanto, possuem sistemas expostos a aes indevidas, intencionais ou no. Tal
exposio significativa pois, na Internet brasileira, os ataques a servidores web no primeiro trimestre
de 2008 aumentaram 34% em relao ao trimestre anterior, e 519% em relao ao mesmo perodo de
200716.
92.6.
Outro aspecto importante a considerar a terceirizao do servio de desenvolvimento: sem
uma metodologia, no possvel terceirizar todo o processo ou mesmo parte dele sem que isso represente
um risco para a organizao. Como o processo em si no bem definido, no h como medir o servio
prestado ou garantir que no haver perda de conhecimento ou ainda que o resultado seja o adequado
para a organizao.
92.7.
Finalmente, a falta de metodologia dificulta a auditoria do processo de desenvolvimento em
si tanto quanto dos seus produtos, ou seja, aumenta o risco de auditoria. Em ltima instncia, esse
aumento do risco de auditoria representa aumento de risco para a proteo de informaes e dificulta a
melhoria do processo. Nesse contexto, o auditor de TI pode funcionar como indutor da adoo de
metodologia por meio das recomendaes de auditoria. Para isso, necessria a capacitao constante
desse auditor em metodologias de gesto e qualidade em desenvolvimento de sistemas, tais como CMMI,
Rational Unified Process (RUP) e MPS.BR.
Critrios
a) Cobit 4.1 AI2.7 Development of Application Software (Desenvolvimento de Software
Aplicativo Assegurar que os aplicativos sejam desenvolvidos de acordo com as especificaes de
projeto, padres de desenvolvimento e documentao, requisitos de qualidade e padres de aprovao.
Assegurar que todos os aspectos legais e contratuais estejam identificados e tratados para software
aplicativo desenvolvido por terceiros).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 16. O rgo/entidade oferece servios
transacionais via Internet, ou seja, prestao de servio que pode ser executado do incio ao fim pela
Internet com troca bidirecional de informaes entre o rgo/entidade e o cliente? (fl. 37-v);
b) Apndice I, planilha de resultados, pergunta: 19. O desenvolvimento de sistemas segue
alguma metodologia? (fl. 37-v);
c) Apndice I, planilha de resultados, pergunta: 20. O rgo/entidade possui e mantm
inventrio dos principais sistemas informatizados e suas bases de dados? (fl. 37-v).
Efeitos potenciais
a) Processo de desenvolvimento de sistemas lento e sistemas de informao ineficazes;
b) Perda de informaes por causa de sistemas pouco robustos, sujeitos a falhas de
segurana, seja por fraude, seja por uso incorreto;
c) Execuo de contratos de prestao de servios de desenvolvimento sem mtricas
adequadas nem etapas claras com produtos para cada etapa;
d) Sistemas de difcil manuteno, sem documentao, em que apenas quem desenvolveu
detm o conhecimento. Esse caso pode ser ainda mais srio se o desenvolvedor for contratado
externamente.
Concluso
93.
O uso de metodologia de desenvolvimento de sistemas um requisito fundamental para a
produo de software de qualidade. A sua ausncia declarada por 51% dos pesquisados preocupa pelo
risco que representam, para a segurana da informao, produtos de software de baixa qualidade. Alm
disso, outras conseqncias, como maior dificuldade no gerenciamento do processo de desenvolvimento,
seja ele interno ou terceirizado, representa risco de m gesto dos recursos dos rgos/entidades da
Administrao Pblica Federal.
16
primeiro
trimestre
de
2008,
baseada
nas
notificaes
de
incidentes
recebidas
TC-008.380/2007-1
93.1.
Adicionalmente, h que se considerar o perfil delineado por 76% das organizaes que
declararam possuir sistemas transacionais via Internet. Tais sistemas apresentam um risco inerente
relacionado maior exposio a aes indevidas que podem afetar a integridade, a disponibilidade e a
confidencialidade das informaes por eles tratadas. Esse risco aumentado na presena de controles
fracos que afetem diretamente esses sistemas, como o caso da ausncia de metodologia para
desenvolvimento de sistemas ou deficincias nos controles de segurana da informao, ambos
identificados no presente levantamento. Nesse cenrio, a atuao da auditoria de TI pode colaborar
diretamente por meio da recomendao de controles, inclusive aqueles especficos para sistemas
transacionais via Internet. Para tanto, imperativo que o auditor esteja familiarizado com tais
tecnologias, seus riscos e as boas prticas e ferramentas que auxiliam a mitigao desses riscos.
Propostas de encaminhamento
94.
Recomendar Secretaria de Logstica e Tecnologia da Informao (SLTI) do Ministrio do
Planejamento, Oramento e Gesto, ao Conselho Nacional de Justia e ao Conselho Nacional do
Ministrio Pblico que promovam aes com objetivo de disseminar a importncia da adoo de
metodologia de desenvolvimento de sistemas e induzir os rgos/entidades da Administrao Pblica
Federal a realizarem aes para implantao e/ou aperfeioamento dessa metodologia.
7. Gesto de acordos de nveis de servio
95.
A prestao de um bom servio para os cidados , em ltima instncia, o negcio de toda
instituio pblica. A definio do que um bom servio, sintonizando as expectativas dos clientes com
a oferta, exatamente o que constitui um acordo de nvel de servio (SLA, sigla do ingls Service Level
Agreement).
96.
No caso de um acordo de nvel de servio de TI, ento, definida a qualidade dos servios de
TI em funo das necessidades da organizao, quantificada e especificada para cada servio. Assim, a
disponibilidade da infra-estrutura de rede, o desempenho dos sistemas, o tempo de soluo de problemas
e outros dados semelhantes costumam constituir indicadores dos documentos de acordos de nveis de
servio, e devem ser adequadamente verificados e tratados quando detectadas falhas, de modo a atender
s necessidades do negcio. Sem a definio de tais indicadores, fica difcil responder questo: os
servios de TI da minha organizao esto adequados s necessidades do negcio?. Igualmente, fica
difcil priorizar investimentos e aes na rea de TI sem saber onde o desempenho est mais no limite do
esperado ou mais crtico para o negcio.
97.
Um aspecto particularmente importante a gesto de nveis de servio tambm para servios
contratados. A especificao formal de tais indicadores pode ser o principal instrumento dos gestores
para garantir o cumprimento dos contratos de TI e possibilitar a aplicao de penalidades em casos de
no-atendimento. A necessidade de acordo prvio e mensurao da qualidade de servios de TI citada,
inclusive, em trechos de Acrdos do TCU, como o Acrdo 2.172/2005-TCU-Plenrio 17 e o Acrdo
786/2006-TCU-Plenrio18. O termo acordo de nvel de servio para contratos de TI tambm j
conhecido do TCU, e foi mencionado no Acrdo 1.878/2005-TCU-Plenrio19.
Achado XVIII. Ausncia de gesto de acordos de nveis de servios prestados internamente
98.
A gesto de nveis de servios foi a questo com mais alto percentual de resposta negativa:
89% dos pesquisados informaram no executar a gesto de nveis de servio de TI ofertados aos seus
clientes. Essa resposta coerente com o resultado obtido na verificao de alguns dos processos de
trabalho que apiam a gesto de nveis de servio: o plano de continuidade de negcios (Achado IX 88% de respostas negativas), a gesto de mudanas (Achado XIV - 88% de respostas negativas) e a
gesto de capacidade e compatibilidade (Achado XV - 84% de respostas negativas).
99.
A ausncia da gesto de acordo de nveis de servio em percentual to expressivo indica que
grande parte dos pesquisados no realiza a negociao da qualidade dos servios de TI com os seus
clientes. A conseqncia disso uma dificuldade em ajustar expectativas: as reas de TI no sabem se
17
9.1.11. defina os parmetros que devero ser utilizados para balizar a mensurao da disponibilidade da rede corporativa de
computadores, incluindo o horrio que ser considerado na medio da varivel, a abrangncia da responsabilidade da contratada e a
forma de contabilizao das paradas para manuteno no percentual de disponibilidade, entre outros pontos que venham a ser
considerados cabveis;
18
9.1.2. faa constar do edital a metodologia de mensurao de servios e resultados, inclusive os critrios de controle e remunerao dos
servios executados, relativamente ao item 1.2 do objeto, levando em considerao a determinao contida no item 9.1.1 supra e as
determinaes exaradas nos Acrdos do Plenrio 667/2005, 2.103/2005, 2.171/2005 e 2.172/2005;
19
9.3.22. caso entendam necessrio incluir a exigncia de Acordo de Nvel de Servio no contrato a ser celebrado, especifiquem com
preciso, no edital, discriminadamente (...)
TC-008.380/2007-1
esto atendendo s necessidades de qualidade de servio dos seus clientes, nem tampouco os clientes
sabem, ao pedir um servio de TI, qual o nvel de qualidade que podem esperar. Os resultados podem ser
reas de TI cujos esforos e investimentos no esto sintonizados com as necessidades e expectativas dos
seus clientes.
Critrios
a) Cobit 4.1 DS1 Define and Manage Service Levels (Definir e Gerenciar Nveis de Servio
A comunicao efetiva entre gerente de TI e usurios sobre requisitos de servio possvel por meio de
acordo definido e documentado acerca dos servios de TI e nveis de servio. Esse processo tambm
inclui monitoramento e divulgao tempestiva aos interessados do cumprimento dos nveis de servio.
Esse processo permite um alinhamento entre os servios de TI e os requisitos de negcio relacionados).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 21. efetuada a gesto de acordos de nveis
de servio das solues de TI do rgo/entidade oferecidas a seus clientes? (fl. 37).
Efeitos potenciais
a) Insatisfao dos clientes com a qualidade e desempenho das solues ofertadas por sua
rea de TI;
b) Ausncia de informaes para os gerentes de TI sobre as reais expectativas dos seus
clientes;
c) Inadequao da distribuio dos investimentos em TI em relao s necessidades dos
clientes.
Achado XIX. Ausncia de gesto de acordos de nveis de servios contratados externamente
100.
Um total de 74% dos pesquisados informaram que no executam a gesto de nveis de
servio dos servios contratados, ou seja, mesmo quando o rgo/entidade cliente e no fornecedor,
no h preocupao com a avaliao e o controle dos resultados.
101.
Na verdade, a administrao precisa, por fora da lei, monitorar os seus contratos de TI. De
fato, as questes 31 (sobre verificao de itens predefinidos para atestao das faturas, com 56% de
resposta positiva) e 33 (sobre monitorao tcnica dos contratos, com 90% de resposta positiva)
obtiveram resultados melhores do que a questo sobre nveis de servio. Uma possvel explicao para
esses resultados que talvez exista algum monitoramento dos servios contratados, mas ele nem sempre
se d em funo de um indicador de desempenho. Ou, ainda, quando h tal indicador, ele no
estratgico e sintonizado com o negcio, como o caso do acordo de nvel de servio.
102.
Assim, por exemplo, exige-se no contrato que a provedora de link para Internet fornea
servio velocidade de 4MB/s, em regime 24x7, com 99% de qualidade do servio (isto , tolerado 1%
de falha no fornecimento). Em alguns casos, a falha consiste em no verificar relatrios comprobatrios
do ndice de qualidade para atestao de fatura. Porm, mesmo quando tal ndice verificado, isso no
garantia de que o usurio final foi atendido em suas necessidades, pois no houve verificao nem
acordo prvio de que tais velocidade e qualidade seriam suficientes para o negcio da organizao.
Nesse caso, as organizaes se arriscam a manter contratos de servios que no so efetivos para o seu
negcio, mesmo quando cumprem metas contratuais.
103.
Adicionalmente, como em ltima instncia um servio contratado pela rea de TI visa
atender necessidade dos seus clientes, a ausncia da gesto externa tem as mesmas conseqncias da
sua ausncia da gesto interna dos nveis de servio.
104.
necessrio destacar que o art. 14 da recm publicada IN-4 da Secretaria de Logstica
Tecnologia da Informao (SLTI) do Ministrio do Planejamento, Oramento e Gesto indica o mnimo
que deve constar nos contratos com objetivo de estabelecer nveis de servio.
Critrios
a) Cobit 4.1 DS1 Define and Manage Service Levels (Definir e Gerenciar Nveis de Servio
A comunicao efetiva entre gerente de TI e usurios sobre requisitos de servio possvel por meio de
acordo definido e documentado acerca dos servios de TI e nveis de servio. Esse processo tambm
inclui monitoramento e divulgao tempestiva aos interessados do cumprimento dos nveis de servio.
Esse processo permite um alinhamento entre os servios de TI e os requisitos de negcio relacionados).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 22. efetuada a gesto dos nveis de servio
acordados para os servios de TI prestados ao rgo/entidade? (fl. 37-v).
TC-008.380/2007-1
Efeitos potenciais
a) Insatisfao dos clientes com a qualidade e desempenho das solues de TI contratadas;
b) Realizao e manuteno de contratos de qualidade inadequada e pouco efetivos para o
negcio da organizao;
c) Inadequao da distribuio dos investimentos em TI em relao s necessidades da
organizao;
d) No-aplicao de multas contratuais e pagamento de valores indevidos aos fornecedores.
Concluso
105.
A gesto de acordos de nveis de servio o principal instrumento de negociao de
qualidade de servio entre as gerncias de TI e os seus clientes. A sua ausncia em 89% dos pesquisados
um indcio de que as reas de TI desses rgos/entidades ainda esto distantes dos seus usurios e no
negociam adequadamente com eles sobre a qualidade dos seus servios. As conseqncias mais
provveis para tal cenrio so clientes insatisfeitos e investimentos inadequados.
106.
Alm disso, 74% dos pesquisados informaram que no executam a gesto de nveis de servio
dos servios contratados, ou seja, mesmo quando o rgo/entidade cliente e no fornecedor, no h
preocupao com a avaliao e o controle dos resultados. Assim, como em ltima instncia um servio
contratado pela rea de TI visa atender necessidade dos seus clientes, a ausncia da gesto externa
tem as mesmas conseqncias da sua ausncia da gesto interna dos nveis de servio.
Proposta de encaminhamento
107.
Recomendar Secretaria de Logstica e Tecnologia da Informao (SLTI) do Ministrio do
Planejamento, Oramento e Gesto, ao Conselho Nacional de Justia e ao Conselho Nacional do
Ministrio Pblico que promovam aes com objetivo de disseminar a importncia de gesto de nveis de
servio e induzir os rgos/entidades da Administrao Pblica Federal a realizarem aes para
implantao e/ou aperfeioamento de acordos de nveis de servio.
8. Processo de contratao de bens e servios de TI
108.
Na contratao de bens e servios de TI essencial a adoo de processo de trabalho
formalizado, padronizado e judicioso quanto ao custo, oportunidade e aos benefcios advindos para a
organizao. Esse processo melhora o relacionamento com os fornecedores e prestadores de servios,
maximiza a utilizao dos recursos financeiros alocados rea de TI e contribui decisivamente para que
os servios de TI dem o necessrio suporte s aes da organizao no alcance de seus objetivos e suas
metas.
Achado XX. Ausncia de processo formal de trabalho para contrataes de TI
109.
Mesmo que a maioria (54%) dos rgos/entidades pesquisados tenha informado que adota
processo formal de trabalho para contrataes de TI, a situao est longe do ideal, j que um
percentual expressivo de organizaes (46%) no adota processo formal de trabalho para contrataes
de TI.
110.
Deve-se observar que isso no significa deixar de cumprir a legislao especfica.
Entretanto, a falta de um processo de trabalho definido, padronizado, documentado e aprovado para
realizar as contrataes de TI pode trazer conseqncias danosas organizao. Como no existe um
padro oficial e disseminado pela organizao, cada rea pode adquirir os recursos de que necessita de
uma forma diferente. Dessa maneira, a organizao se expe a riscos desnecessrios e que poderiam ser
evitados com a adoo de um processo de trabalho formalizado.
111.
Devido complexidade da legislao de licitaes vigente, o primeiro risco de que,
eventualmente, no sejam observados todos os dispositivos legais e normativos. Provavelmente, nem
todos os responsveis pelas contrataes de TI so especialistas no assunto e, caso no haja um processo
formal de trabalho, em algumas aquisies, dispositivos legais podem deixar de ser observados. Alm
disso, improvvel que todos os responsveis acompanhem as alteraes normativas e estejam
atualizados sobre as mudanas na interpretao da legislao e na jurisprudncia da rea. O mais
seguro para a organizao que o processo de contratao esteja padronizado e disponvel para todos
os responsveis para minorar a ocorrncia de dvidas e falhas nas aquisies de TI. Deve-se reforar
que muitas falhas no processo de aquisio tm srias repercusses no processo de gesto dos contratos
durante sua vigncia e, em alguns casos, mesmo aps seu encerramento devido a pendncias judiciais.
112.
Outro risco decorrente da no-existncia de processo formal a realizao de aquisies
desnecessrias, com baixa qualidade ou que no estejam alinhadas s necessidades do negcio a mdio
TC-008.380/2007-1
e longo prazos. Dessas situaes decorrem, normalmente, desperdcio de recursos. Em alguns casos,
inclusive, a ocorrncia de fraudes e desvios fica facilitada exatamente pela falta ou dificuldade de
controle sobre processos no padronizados.
113.
O item 9.4 do Acrdo 786/2006-TCU-Plenrio recomendou Secretaria de Logstica e
Tecnologia da Informao do Ministrio do Planejamento, Oramento e Gesto (SLTI) que elaborasse
um modelo de licitao e contratao de servios de informtica para a Administrao Pblica Federal
e promovesse a implantao dele nos diversos rgos e entidades sob sua coordenao mediante
orientao normativa. Em atendimento a esse acrdo, durante o processo de reviso deste relatrio, a
SLTI publicou a Instruo Normativa n. 4, de 19 de maio de 2008. A IN-4 da SLTI dispe sobre o
processo de contratao de servios de TI pela Administrao Pblica Federal direta, autrquica e
fundacional. A norma contempla as fases de planejamento da contratao, seleo do fornecedor e
gerenciamento do contrato e entrar em vigor no dia 2 de janeiro de 2009.
Critrios
a) Cobit 4.1 AI5.1 Procurement Control (Controle sobre aquisies Desenvolver e seguir
um conjunto de procedimentos e padres consistente com o processo de licitao e a estratgia de
aquisio gerais da organizao para adquirir infra-estrutura, instalaes, hardware, software e
servios de TI necessrios ao negcio).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 23. O rgo/entidade adota processo formal
de trabalho na contratao de bens e servios de TI? (fl. 37-v).
Efeitos potenciais
a) Aquisies de TI no alinhadas s necessidades de mdio e longo prazos da organizao;
b) Contratao de bens e servios de TI que no atendem qualidade necessria ao bom
desenvolvimento do negcio do rgo/entidade;
c) Descumprimento de leis e normas relativas s licitaes de TI;
d) Problemas na gesto dos contratos decorrentes de aquisies de TI por falta de requisitos
previamente estabelecidos na licitao;
e) Desperdcio de recursos.
Achado XXI. Ausncia de anlise de custo/benefcio da soluo de TI contratada
114.
Para se obter uma boa gesto necessria a otimizao dos recursos disponveis. No caso
especfico da rea de TI, essa preocupao se torna essencial tendo em vista as rpidas e constantes
mudanas tecnolgicas. Assim, imperativo que qualquer contratao de soluo de TI seja precedida
de estudo de viabilidade e de anlise de custo/benefcio. Apesar dessa mxima no ser contestada,
apenas pouco mais da metade (53%) dos rgos/entidades pesquisados realiza essa anlise.
115.
importante notar que toda contratao de TI deve ser anteriormente aprovada levando-se
em conta os aspectos tcnicos, sua funcionalidade, sua viabilidade, seu alinhamento com o planejamento
estratgico e se os benefcios advindos compensam o seu custo. As contrataes de TI, alm de
referendadas pela rea de TI, devem ser aprovadas pelo gestor da rea afetada. Em alguns casos,
quando envolverem valores elevados, assuntos relevantes ou quando envolverem diversas reas da
organizao, a contratao deve ser aprovada pelo comit diretivo de TI (Achado III).
116.
Os artigos 10 a 12 da recm publicada IN-4 da SLTI (item 113) indicam atividades que
devero ser executadas para anlise de viabilidade da contratao.
Critrios
a) Cobit 4.1 AI1.3 Feasibility Study and Formulation of Alternative Courses of Action
(Estudo de viabilidade e formulao de solues alternativas Desenvolver um estudo de viabilidade
que examine a possibilidade da implementao dos requisitos. A gerncia do negcio, apoiada pela
gerncia de TI, deve avaliar a viabilidade e as solues alternativas e fazer uma recomendao ao
patrocinador da ao);
b) Cobit 4.1 AI1.4 Requirements and Feasibility Decision and Approval (Deciso e
aprovao dos requisitos e da viabilidade Verificar se o processo requer que o patrocinador da ao
formalize sua aprovao dos requisitos funcionais e tcnicos e dos relatrios de estudo de viabilidade em
etapas chave predeterminadas. O patrocinador da ao deve tomar a deciso final no que diz respeito
escolha da soluo e da forma de sua aquisio).
TC-008.380/2007-1
Evidncias
a) Apndice I, planilha de resultados, pergunta: 24. Na elaborao do projeto bsico das
contrataes de TI feita anlise de custo/benefcio da soluo a ser contratada ? (fl. 37-v).
Efeitos potenciais
a) Contratao de bens e servios de TI com custos acima do necessrio;
b) Solues alternativas satisfatrias e a um custo mais baixo no identificadas;
c) Desperdcio de recursos.
Achado XXII. Ausncia de explicitao dos benefcios nas contrataes de TI
117.
Apesar de seu importante papel na consecuo dos objetivos institucionais nas organizaes,
a tecnologia da informao no pode ser encarada como um fim em si mesma. Todas as aes de TI
devem concorrer para que a organizao alcance seus objetivos e metas.
118.
O Tribunal, em diversos acrdos, tem destacado a importncia e determinado a necessidade
da harmonia entre as contrataes de TI e o planejamento estratgico dos rgos/entidades federais. O
item 9.3.11 do Acrdo 1.558/2003-TCU-Plenrio taxativo: ao proceder a licitao de bens e servios
de informtica, elabore previamente minucioso planejamento, realizado em harmonia com o
planejamento estratgico da unidade e com o seu plano diretor de informtica, (...). Na mesma direo
o item 9.1.1 do Acrdo 2.094/2004-TCU-Plenrio: todas as aquisies devem ser realizadas em
harmonia com o planejamento estratgico da instituio (...).
119.
Assim, toda contratao de TI deve ter seus benefcios para a organizao explicitados, ou
seja, deve ser justificada em que medida ir colaborar para a consecuo dos objetivos institucionais.
Apesar desse entendimento j consolidado, 40% dos rgos e entidades pesquisados ainda no se
preocupam em justificar e destacar os benefcios esperados para a organizao. Por outro lado, a letra
c do inciso V do art. 10 da recm publicada IN-4 da SLTI (item 113) determina que a justificativa da
soluo escolhida contenha a identificao dos benefcios que sero alcanados com a efetivao da
contratao em termos de eficcia, eficincia, efetividade e economicidade.
Critrios
a) Cobit 4.1 AI1.3 Feasibility Study and Formulation of Alternative Courses of Action
(Estudo de viabilidade e formulao de solues alternativas Desenvolver um estudo de viabilidade
que examine a possibilidade da implementao dos requisitos. A gerncia do negcio, apoiada pela
gerncia de TI, deve avaliar a viabilidade e as solues alternativas e fazer uma recomendao ao
patrocinador da ao);
b) Cobit 4.1 AI1.4 Requirements and Feasibility Decision and Approval (Deciso e
aprovao dos requisitos e da viabilidade Verificar se o processo requer que o patrocinador da ao
formalize sua aprovao dos requisitos funcionais e tcnicos e dos relatrios de estudo de viabilidade em
etapas chave predeterminadas. O patrocinador da ao deve tomar a deciso final no que diz respeito
escolha da soluo e da forma de sua aquisio);
c) Acrdo 1.558/2003-TCU-Plenrio, item 9.3.11;
d) Acrdo 2.094/2004-TCU-Plenrio, item 9.1.1.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 25. Na elaborao do projeto bsico das
contrataes de TI so explicitados os benefcios da contratao em termos de negcio do
rgo/entidade e no somente em termos de TI? (fl. 37-v).
Efeitos potenciais
a) Aquisies de TI no alinhadas s necessidades de mdio e longo prazos da organizao;
b) Contratao de bens e servios de TI com desempenho abaixo do esperado e/ou
requerido;
c) Contratao de bens e servios de TI no integrados infra-estrutura de TI existente;
d) Desperdcio de recursos.
Achado XXIII. No-exigncia de demonstrativo de formao de preo antes da
adjudicao
120.
O valor de muitas contrataes de TI resultado da soma de valores de diversos
componentes. Especialmente na contratao de uma soluo de TI, os custos dos componentes podem
variar ao longo do tempo de durao do contrato de maneira diferente. Tome-se como exemplo uma
TC-008.380/2007-1
Estratagema ilegal, utilizado por participante de licitao, em que o equilbrio do contrato alterado substancialmente, normalmente em
favor das empresas contratadas, pela supresso de quantitativos de itens com subpreo e acrscimos de quantitativos de itens com
sobrepreo, de forma isolada ou conjunta. Ambos procedimentos so amparados por estudos tcnicos que comprovam a necessidade de
alterao dos quantitativos, normalmente evidenciados na execuo dos servios em decorrncia de deficincias do projeto bsico e/ou dos
estudos prvios contratao.
TC-008.380/2007-1
128.
Apesar da Lei n. 8.666/1993 determinar algumas aes que devem ser obrigatoriamente
realizadas, no h a indicao do que deve constar de processo de trabalho para gesto dos contratos.
Entretanto, para todos os contratos e, especialmente, para os contratos de TI, a sua boa gesto
essencial para se atingir os objetivos esperados. Para se gerir adequadamente os riscos inerentes s
atividades de TI, a adoo de processo formal de trabalho de suma importncia. Esse processo de
trabalho deve ser definido, padronizado, documentado, aprovado e divulgado para toda a organizao.
Achado XXIV. Ausncia de processo formal de trabalho para gesto de contratos de TI
129.
A maioria (55%) dos rgos/entidades participantes do levantamento afirmou que no
adota processo formal de trabalho para gesto de contratos de TI. Essa situao merece ser observada
com ateno.
130.
A ausncia desse processo de trabalho pode causar problemas ao bom funcionamento da
rea de TI da organizao. Se os contratos de TI, que garantem os servios de infra-estrutura de TI, o
desenvolvimento de aplicativos e o atendimento aos usurios, por exemplo, no forem bem geridos, todas
as atividades de TI sero afetadas. Alm disso, todas as atividades da organizao que dependem de
servios de TI podero sofrer com interrupes ou nveis de servio abaixo do desejado e comprometer
metas e objetivos da instituio.
131.
Caso a organizao no consiga exigir dos seus fornecedores uma prestao de servio
adequada sua necessidade, muitos projetos e atividades correm risco de no serem realizados no prazo
necessrio, acarretando perdas ou desperdcio de recursos. Eventualmente, tambm, alguma
determinao legal poder deixar de ser cumprida, o que tornar a organizao vulnervel em termos
jurdicos e na prestao de contas.
132.
interessante notar que 78% das organizaes consultadas afirmaram que designam
formalmente um gestor para cada contrato de TI. Esse gestor pode, eventualmente, ser a mesma pessoa
do representante da administrao previsto no art. 67 da Lei n. 8.666/1993. Entretanto, observa-se
que, apesar de 78% das organizaes pesquisadas terem um gestor designado para o contrato, boa parte
desses gestores no dispe de um processo de trabalho formalmente definido. Assim, o bom desempenho
da funo depende da capacidade e conhecimento individual do gestor, quando deveria ser uma
atividade impessoal que qualquer funcionrio habilitado pudesse exercer de acordo com o processo de
trabalho padro.
133.
A recm publicada IN-4 da SLTI dedica toda a Seo III ao gerenciamento do contrato
(item 113).
Critrios
a) Lei n. 8.666/1993, Captulo III Dos Contratos;
b) Cobit 4.1 AI5.1 Procurement Control (Controle sobre aquisies Desenvolver e seguir
um conjunto de procedimentos e padres consistente com o processo de licitao e a estratgia de
aquisio gerais da organizao para adquirir infra-estrutura, instalaes, hardware, software e
servios de TI necessrios ao negcio).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 28. O rgo/entidade adota processo formal
de trabalho na gesto de contratos de bens e servios de TI? (fl. 37-v);
b) Apndice I, planilha de resultados, pergunta: 29. H designao formal do gestor de cada
contrato relativo a bens e servios de TI? (fl. 37-v).
Efeitos potenciais
a) Descumprimento de leis e normas relativas gesto de contratos de TI;
b) Problemas na gesto dos contratos de TI;
c) Baixa qualidade dos servios prestados;
d) No-aplicao de multas previstas nos contratos;
e) Interrupes na execuo de contratos de TI;
f) Interrupo de processos que sustentam o negcio da organizao;
g) No-concluso de projetos importantes para se atingir as metas da organizao;
h) Desperdcio de recursos.
TC-008.380/2007-1
TC-008.380/2007-1
Achado XXVI. No-definio prvia de itens para atestao tcnica das faturas de
contratos de TI
137.
Praticamente metade (53%) dos rgos/entidades que participaram do levantamento afirmou
que atesta as faturas apresentadas com base em itens previamente definidos. Por outro lado, 47% das
organizaes pesquisadas no definem previamente um critrio para avaliao se as faturas
apresentadas correspondem realidade e se no contm erros.
138.
Esse procedimento especfico deve constar do processo formal de trabalho para gesto dos
contratos de TI. A sua ausncia pode dificultar o trabalho do responsvel por atestar tecnicamente a
realizao do servio. Caso esse responsvel tenha que atestar muitas faturas e essas faturas tenham
muitos itens a serem verificados, o risco de que sejam aprovados pagamentos indevidos bastante
razovel.
139.
No levantamento, 90% das organizaes consultadas disseram que fazem o monitoramento
tcnico dos contratos de TI. Foram informadas, tambm, a quantidade de contratos de TI e a quantidade
de profissionais que executam essa tarefa. Em 17% dos rgos/entidades pesquisados cada profissional
monitora tecnicamente, em mdia, mais de cinco contratos de TI. A maior quantidade calculada foi de
14,7 contratos por pessoa e a menor foi de 0,5 contrato por pessoa. Deve-se ter sempre em mente que
essas informaes devem ser analisadas com cuidado porque esses contratos podem variar do
fornecimento de um nico item simples de ser controlado ao complexo controle de uma fbrica de
software.
Critrios
a) Cobit 4.1 DS2.4 Supplier Performance Monitoring (Monitoramento de Desempenho de
Fornecedores Estabelecer um processo para monitorar a entrega dos servios de forma a garantir que
o fornecedor esteja cumprindo os requisitos do negcio e continue seguindo os termos acordados no
contrato e no SLA. Esse processo deve garantir, tambm, que o desempenho do fornecedor seja
compatvel com o de fornecedores alternativos e com as condies do mercado).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 31. H verificao de itens predefinidos que
embasem a atestao tcnica dos bens e servios de TI contratados referentes a cada fatura
apresentada? (fl. 37-v);
b) Apndice I, planilha de resultados, pergunta: 33. feita monitorao tcnica dos
contratos relativos a bens e servios de TI? Quantos funcionrios realizam esta atividade? Quantos
contratos relativos a bens e servios de TI esto em vigor? (fl. 38).
Efeitos potenciais
a) Descumprimento de leis e normas relativas gesto de contratos de TI;
b) Pagamentos indevidos;
c) No-aplicao de multas previstas nos contratos;
d) Desperdcio de recursos.
Achado XXVII. Monitorao administrativa dos contratos de TI feita pela rea de TI
140.
A monitorao administrativa dos contratos deve ser feita em cumprimento ao disposto no
inciso XIII do art. 55, c/c o art. 29, da Lei n. 8.666/1993. Tal monitorao envolve a verificao de
aspectos trabalhistas (encargos, subordinao direta, desvio de funo, no-verificao da
impessoalidade, ingerncia administrativa), aspectos fiscais (regularidade cadastral), manuteno das
condies de habilitao na licitao, atendimento aos normativos internos do rgo ou entidade e
regularidade dos recolhimentos de contribuies sociais.
141.
Nem todos os profissionais de TI esto aptos a realizar a monitorao administrativa, sem
uma preparao especfica, por ser uma atividade que requer o acompanhamento da legislao e
jurisprudncia da rea de licitaes e contratos. Alm disso, essa atividade pode tomar um tempo
elevado devido quantidade de documentos e requisitos burocrticos a serem observados. Se a atividade
for realizada por pessoa no preparada devidamente ou que no esteja atualizada nessa matria, o risco
de problemas futuros para a organizao considervel. Levando tudo isso em considerao, a
monitorao administrativa deve ser realizada por setor especializado que no precisa necessariamente
estar ligado rea de TI.
142.
Das organizaes consultadas, em menos da metade (45%) a monitorao administrativa
realizada por setor especializado no vinculado rea de TI. Nos outros 55% dos rgos/entidades
TC-008.380/2007-1
TC-008.380/2007-1
Concluso
146.
O processo formal de trabalho para gesto dos contratos de TI uma necessidade que menos
da metade (45%) das organizaes consultadas adota. Mesmo a maioria (90%) realizando a
monitorao tcnica, apenas 78% designam formalmente um gestor para cada contrato e somente 53%
definem previamente os itens a serem verificados para atestar as faturas apresentadas. A monitorao
administrativa ainda realizada pela rea de TI em 55% das organizaes pesquisadas.
147.
Um percentual pequeno (35%) das organizaes consultadas realiza periodicamente reunies
com os contratados para avaliao da execuo de cada contrato de TI. Somente 43% exigem, em
contrato, que o conhecimento seja transferido pelos prestadores de servio aos servidores do
rgo/entidade .
148.
Os rgos/entidades da Administrao Pblica Federal devem ser encorajados a adotar
processo formal de trabalho para gesto dos contratos de TI para minimizar os riscos de
descumprimento da legislao, desperdcio de recursos, interrupo de servios de TI, baixa qualidade
de servios contratados, entre outros.
Proposta de encaminhamento
149.
Recomendar ao Conselho Nacional de Justia e ao Conselho Nacional do Ministrio Pblico
que promovam aes com objetivo de disseminar a importncia de processo de trabalho formalizado de
gesto de contratos de TI e induzir, mediante orientao normativa nos moldes recomendados pelo item
9.4 do Acrdo 786/2006-TCU-Plenrio, os rgos do Poder Judicirio e do Ministrio Pblico a
realizarem aes para implantao e/ou aperfeioamento desse processo de gesto.
10. Processo oramentrio de TI
150.
No Brasil, apesar do processo oramentrio ser regulamentado na rea pblica, para se
prever adequadamente o valor necessrio para a rea de TI, so necessrios dois elementos essenciais:
planejamento e controle.
151.
O planejamento estratgico de TI (Achado II), aliado com os planos de ao e as decises do
comit diretivo de TI (Achado III), indica quais gastos devero ser realizados, a prioridade na execuo
financeira e como se dar a expanso dos servios de TI. O controle das atividades de TI, por sua vez,
indica as aes que atingem os resultados esperados e aquelas que precisam ser modificadas para
alcanar os objetivos determinados. O acompanhamento dos gastos de TI um dos componentes
essenciais para o controle eficiente das aes de TI. A partir da anlise das informaes obtidas no
acompanhamento do planejamento e das atividades de TI, pode-se fazer uma previso oramentria
apropriada para a rea de TI. Entretanto, a falta do conhecimento detalhado dos gastos de TI prejudica
tal previso.
152.
Nesse aspecto, observou-se que uma quantidade razovel de organizaes participantes do
levantamento teve dificuldade de responder rapidamente o total de gastos com TI e como est distribudo
esse gasto. Deve-se ressaltar que, sobre esse assunto, o Tribunal j se manifestou no Acrdo 371/2008TCU-Plenrio, com determinaes Secretaria do Tesouro Nacional (STN) do Ministrio da Fazenda,
ao Departamento de Coordenao e Governana das Empresas Estatais (Dest) e Secretaria de
Oramento Federal (SOF) do Ministrio do Planejamento, Oramento e Gesto. Com a finalidade de
permitir a identificao clara, objetiva e transparente da previso e da execuo dos gastos em TI, foi
determinado que elaborassem e encaminhassem ao TCU proposta de alterao do Oramento Geral da
Unio e do Programa de Dispndios Globais (PDG). No mesmo Acrdo, o Tribunal props a criao de
uma ou mais aes que agreguem as despesas relacionadas a TI, de elemento de despesa que identifique
execuo de despesas com bens e servios de TI e de rubricas prprias de TI tanto para despesas
correntes como para despesas de capital.
Achado XXIX. No-considerao das aes planejadas para o prximo ano quando da
solicitao de oramento para a rea de TI
153.
Apesar da maioria (61%) dos rgos/entidades participantes do levantamento afirmar que,
em 2006, foram levadas em considerao as aes previstas para o exerccio seguinte na solicitao do
oramento para 2007, um percentual significativo (39%) no utilizou essas informaes.
154.
A partir desses dados, pode-se supor que 39% das organizaes consultadas, quando da
solicitao de oramento para a rea de TI em 2007, ou repetiram os valores do ano anterior ou
simplesmente aplicaram um percentual de aumento linear sobre as despesas realizadas ou, ainda,
acrescentaram um valor ao total do ano anterior sem a utilizao de um critrio transparente.
TC-008.380/2007-1
155.
Diante disso, verifica-se que a elaborao do oramento para a rea de TI nem sempre
utiliza os insumos necessrios obteno de resultado mais prximo da realidade.
Critrios
a) Cobit 4.1 PO5.3 IT Budgeting (Oramento de TI Estabelecer e implementar prticas
para elaborar um oramento que reflita as prioridades estabelecidas na lista de projetos de TI e inclua
os custos atuais de operao e manuteno da infra-estrutura existente. As prticas devem dar suporte
ao desenvolvimento de um oramento geral para TI, assim como o desenvolvimento de oramentos
especficos para os projetos com nfase especfica nos componentes de TI. As prticas devem permitir
reviso do andamento, refinamento das informaes e aprovao do oramento geral para TI e dos
oramentos especficos dos projetos).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 35. A solicitao do oramento para a rea
de TI, encaminhada em 2006, foi feita com base nas aes da rea de TI planejadas para 2007? (fl. 38).
Efeitos potenciais
a) Recursos insuficientes para a rea de TI;
b) Interrupo de servios de TI por falta de recursos necessrios;
c) No-alcance de metas estabelecidas para a organizao por falta de suporte da rea
de TI.
Achado XXX. No-alocao dos recursos previstos no oramento s aes constantes do
planejamento de TI no incio do ano
156.
Apesar de 82% dos rgos/entidades consultados afirmarem que controlam os gastos de TI,
um percentual considervel (21%) no enviou informaes sobre o total de gastos com TI e uma parcela
significativa, mesmo enviando os dados, informou que teve dificuldade em obter esses valores.
157.
Alm disso, pouco menos da metade (49%) das organizaes consultadas disse que no 1
trimestre de 2007 fez a alocao oramentria s aes constantes do planejamento de TI. Esse quadro
um indcio de que 51% dos pesquisados no exerce o controle sobre os gastos de TI a partir do
oramento aprovado e das aes planejadas. Provavelmente, essas organizaes apenas atendem o que a
legislao determina e no realizam um controle eficiente sobre os gastos de TI.
Critrios
a) Cobit 4.1 PO5.3 IT Budgeting (Oramento de TI Estabelecer e implementar prticas
para elaborar um oramento que reflita as prioridades estabelecidas na lista de projetos de TI e inclua
os custos atuais de operao e manuteno da infra-estrutura existente. As prticas devem dar suporte
ao desenvolvimento de um oramento geral para TI, assim como o desenvolvimento de oramentos
especficos para os projetos com nfase especfica nos componentes de TI. As prticas devem permitir
reviso do andamento, refinamento das informaes e aprovao do oramento geral para TI e dos
oramentos especficos dos projetos).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 36. No 1 trimestre de 2007 foi feita a
alocao oramentria s aes constantes do planejamento? (fl. 38);
b) Apndice I, planilha de resultados, pergunta: 37. Ao longo do exerccio financeiro h
controle dos gastos e da disponibilidade oramentria? (fl. 38).
Efeitos potenciais
a) Recursos insuficientes para a rea de TI;
b) Interrupo de servios de TI por falta de recursos necessrios;
c) No-alcance de metas estabelecidas para a organizao por falta de suporte da rea
de TI.
Concluso
158.
O controle sobre os gastos de TI de suma importncia para o melhor aproveitamento dos
recursos disponveis, a solicitao de recursos financeiros adequados necessidade da rea de TI e o
atendimento das aes consideradas prioritrias. Esse processo de trabalho est ligado aos processos de
planejamento e contratao de bens e servios de TI.
159.
Apesar de 82% dos rgos/entidades pesquisados afirmarem que realizam essa atividade, foi
observado que, em muitos casos, as informaes sobre gastos de TI foram de difcil obteno. Esse fato
TC-008.380/2007-1
denota a necessidade de melhoria no controle de gastos de TI. Assim, espera-se que os rgos/entidades
elaborem suas propostas oramentrias para a rea de TI com base nas aes que efetivamente
pretendam realizar e alinhadas aos objetivos de negcio. Alm disso, os rgos/entidades devem manter
acompanhamento da execuo dos gastos de TI para que saibam, precisamente, quanto foi gasto, em que
aes e qual a disponibilidade para gastos futuros.
Proposta de encaminhamento
160.
Recomendar Secretaria de Logstica e Tecnologia da Informao (SLTI) do Ministrio do
Planejamento, Oramento e Gesto, ao Conselho Nacional de Justia e ao Conselho Nacional do
Ministrio Pblico que promovam aes com objetivo de garantir que as propostas oramentrias para a
rea de TI dos rgos/entidades da Administrao Pblica Federal sejam elaboradas com base nas
atividades que efetivamente pretendam realizar e alinhadas aos objetivos de negcio.
11. Auditoria de tecnologia da informao
161.
A rea de TI foi considerada, por muito tempo, uma caixa preta, sobre a qual a
administrao tinha pouco controle e da qual no se sabia ao certo o que esperar como benefcio para a
organizao. Com o aumento da importncia estratgica das reas de TI, essa situao no pde mais se
sustentar. H uma busca pela aplicao de modelos de governana de TI 21, com o objetivo de tornar as
reas de TI controlveis, com resultados mensurveis e orientadas aos objetivos do negcio da
organizao.
162.
Nessa perspectiva, a auditoria de TI consiste em verificar um ou vrios aspectos da
governana de TI de uma organizao. Note-se que essa ainda uma definio ampla e abrange vrios
tipos e perspectivas para auditorias. Assim, uma auditoria de TI pode, por exemplo, avaliar apenas
controles de acesso lgico ao ambiente de TI, por meio de anlise de vulnerabilidade. J se for realizada
com um objetivo mais gerencial, a auditoria pode avaliar se os processos de TI ligados ao
desenvolvimento de sistemas, por exemplo, esto sendo executados conforme a poltica da empresa e
esto gerando sistemas eficazes. Outra possibilidade uma auditoria para verificar a integridade e
fidedignidade das informaes armazenadas nas bases de dados da organizao. Ou, ainda, pode-se
verificar se a contratao de bens e servios de TI feita de acordo com as normas da organizao e a
legislao vigente.
163.
Em termos gerais, a auditoria de TI , assim, uma ferramenta para avaliar a conformidade, a
qualidade, a eficcia e a efetividade de uma rea de TI. Por isso mesmo, h uma tendncia em
incluir/valorizar atividades de auditoria peridica como instrumento para gesto. Um reflexo dessa
tendncia o fato de que uma das principais mudanas quando da atualizao do Cobit verso 3.0 para
a verso 4.0, em 2005, foi o incremento e reorganizao do domnio de monitorao, que passou a se
chamar Monitorao e Avaliao, como descrito no Apndice V do Cobit 4.1, que sinaliza que esse
domnio passou a ser visto como parte do processo de melhoria da governana de TI.
164.
Por isso, foram includas nesse levantamento questes para verificar se esse tipo de auditoria
realizado nos rgos/entidades pesquisados da Administrao Pblica Federal. Alguns dentre os
rgos/entidades pesquisados tm, por fora de legislao, a obrigao de executar periodicamente
auditorias independentes em vrias reas, inclusive em TI.
165.
Outro objetivo verificar se os rgos/entidades possuem a figura do auditor interno de TI.
Esse papel , em muitos aspectos, complementar ao auditor externo: o auditor interno no apenas
verifica a abrangncia e efetividade dos controles internos de TI22 em sua auditoria, como tambm
agente de melhoria desses controles e, assim, pode ser um agente de melhoria da prpria gesto.
Anexo XXXI. Inexecuo de auditoria de TI pelos rgos/entidades
166.
Somente 40% dos pesquisados declarou ter realizado auditoria de TI nos ltimos cinco anos
no seu rgo/entidade. O Grfico 5 estratifica a quantidade de auditorias de TI realizadas nessas 101
organizaes.
21
Segundo a definio contida no Cobit 4.1, governana de TI um conjunto composto de liderana, estruturas organizacionais e processos
que garantem que a rea de TI da organizao apia e expande os objetivos e estratgias da organizao.
22
Polticas, procedimentos, prticas e estruturas organizacionais desenhadas para garantir o efetivo alinhamento da TI ao seu prprio
modelo de governana, e que os desvios sejam prevenidos ou detectados e corrigidos.
TC-008.380/2007-1
de 1 a 5 auditorias
de 6 a 10 auditorias
68%
mais de 10 auditorias
TC-008.380/2007-1
TC-008.380/2007-1
TC-008.380/2007-1
182.
Na gesto dos contratos de TI, a situao no confortvel j que mais da metade (55%) das
organizaes consultadas no adotam processo formal de trabalho para essa atividade. Alm disso, um
percentual expressivo (65%) das organizaes consultadas no realiza periodicamente reunies com os
contratados para avaliao da execuo de cada contrato de TI e, 57% no exigem, em contrato, que o
conhecimento seja transferido pelos prestadores de servio aos servidores do rgo/entidade. Assim, os
rgos/entidades da Administrao Pblica Federal devem ser encorajados a adotar processo formal de
trabalho para gesto dos contratos de TI para minimizar os riscos de descumprimento da legislao,
desperdcio de recursos, interrupo de servios de TI e baixa qualidade de servios contratados.
183.
Sobre auditorias de TI, 60% dos pesquisados declararam no ter realizado auditorias de TI
nos ltimos cinco anos. Dentre os rgos/entidades que realizam esses trabalhos, a maioria (68%)
executou de uma a cinco auditorias nos ltimos cinco anos. Tal resultado indica que a realizao de
auditorias de TI em bases peridicas no uma realidade entre os pesquisados e, portanto, esse recurso
no utilizado de maneira contnua para melhoria da governana de TI.
184.
Em paralelo aos itens relacionados governana, foram identificados os principais sistemas
utilizados pelos rgos/entidades da Administrao Pblica Federal pesquisados e as bases de dados
associadas. Com essas informaes, o planejamento das fiscalizaes da Sefti contar com subsdios
valiosos para seu aprimoramento.
185.
Diante do quadro apresentado, observa-se que a situao da governana de TI na
Administrao Pblica Federal bastante heterognea do ponto de vista dos seus diversos aspectos. Os
aspectos que de alguma forma so regulados por leis e normas (processo oramentrio e contratao e
gesto de bens e servios de TI), somados a planejamento estratgico, desenvolvimento de sistemas,
gesto de nveis de servio e auditoria de TI, apresentam algum desenvolvimento, apesar de estarem
longe do ideal. A questo de estrutura de pessoal de TI bastante diversa e est atrelada natureza
jurdica da organizao.
186.
O aspecto em que a situao da governana de TI est mais crtica no que diz respeito ao
tratamento da segurana da informao. Conclui-se que essa uma rea em que o TCU pode, e deve,
atuar como indutor do processo de aperfeioamento da governana de TI. O Tribunal j acertou,
inclusive, ao editar, em 2003 e 2007, a Cartilha de Segurana da Informao para servir como
orientao sobre o tema. Outra maneira de induzir a melhoria no tratamento da segurana a
realizao de auditorias de TI com foco em segurana da informao, que podero fornecer subsdios
valiosos para os gestores sobre os principais controles que devem ser implementados visando garantir a
confiabilidade, a integridade e a disponibilidade das informaes tratadas pelos rgos/entidades da
Administrao Pblica Federal.
187.
Assim, existe um campo vasto para atuao deste Tribunal na rea de governana de TI na
Administrao Pblica Federal. Se essa atuao for realizada de forma consistente e constante, os
resultados sero promissores tendo em vista que poder haver melhoria generalizada em todos os
aspectos da governana de TI. Esse fato repercutir na gesto pblica como um todo e trar benefcios
para o Pas e os cidados.
13. Proposta de encaminhamento
188.
Ante o exposto, submetemos os autos considerao superior, com fulcro no art. 43, inciso I,
da Lei n. 8.443/1992, c/c o art. 250, incisos II e III, do Regimento Interno do TCU, com as seguintes
propostas:
I - recomendar ao Conselho Nacional de Justia que:
a) promova aes com o objetivo de disseminar a importncia do planejamento estratgico e
induzir, mediante orientao normativa, os rgos do Poder Judicirio a realizarem aes para
implantao e/ou aperfeioamento de planejamento estratgico institucional, planejamento estratgico
de TI e comit diretivo de TI (pargrafos 17 a 32);
b) promova as aes cabveis quanto estrutura de pessoal de TI nos rgos do Poder
Judicirio (pargrafos 34 a 52);
c) promova aes com objetivo de disseminar a importncia do gerenciamento da segurana
da informao e induzir, mediante orientao normativa, os rgos do Poder Judicirio a realizarem
aes para implantao e/ou aperfeioamento da gesto da continuidade do negcio, da gesto de
mudanas, da gesto de capacidade, da classificao da informao, da gerncia de incidentes, da
TC-008.380/2007-1
anlise de riscos de TI, da rea especfica para gerenciamento da segurana da informao, da poltica
de segurana da informao e dos procedimentos de controle de acesso (pargrafos 54 a 87.11);
d) promova aes com objetivo de disseminar a importncia da adoo de metodologia de
desenvolvimento de sistemas e induzir os rgos do Poder Judicirio a realizarem aes para
implantao e/ou aperfeioamento dessa metodologia (pargrafos 89 a 93.1);
e) promova aes com objetivo de disseminar a importncia de gesto de nveis de servio e
induzir os rgos do Poder Judicirio a realizarem aes para implantao e/ou aperfeioamento de
acordos de nveis de servio (pargrafos 95 a 106);
f) promova aes com objetivo de disseminar a importncia de processo de trabalho
formalizado de contratao de bens e servios de TI e induzir, mediante orientao normativa nos
moldes recomendados pelo item 9.4 do Acrdo 786/2006-TCU-Plenrio, os rgos do Poder Judicirio
a realizarem aes para implantao e/ou aperfeioamento do processo de contratao de TI
(pargrafos 108 a 125);
g) promova aes com objetivo de disseminar a importncia de processo de trabalho
formalizado de gesto de contratos de TI e induzir, mediante orientao normativa nos moldes
recomendados pelo item 9.4 do Acrdo 786/2006-TCU-Plenrio, os rgos do Poder Judicirio a
realizarem aes para implantao e/ou aperfeioamento desse processo de gesto (pargrafos 127 a
148);
h) promova aes com objetivo de garantir que as propostas oramentrias para a rea de
TI dos rgos do Poder Judicirio sejam elaboradas com base nas atividades que efetivamente
pretendam realizar e alinhadas aos objetivos de negcio (pargrafos 150 a 159);
i) promova aes para estimular a realizao de auditorias de TI nos rgos do Poder
Judicirio (pargrafos 161 a 172.1);
II - recomendar ao Conselho Nacional do Ministrio Pblico que:
a) promova aes com objetivo de disseminar a importncia do planejamento estratgico e
induzir, mediante orientao normativa, os rgos do Ministrio Pblico a realizarem aes para
implantao e/ou aperfeioamento de planejamento estratgico institucional, planejamento estratgico
de TI e comit diretivo de TI (pargrafos 17 a 32);
b) promova as aes cabveis quanto estrutura de pessoal de TI nos rgos do Ministrio
Pblico (pargrafos 34 a 52);
c) promova aes com objetivo de disseminar a importncia do gerenciamento da segurana
da informao e induzir, mediante orientao normativa, os rgos do Ministrio Pblico a realizarem
aes para implantao e/ou aperfeioamento da gesto da continuidade do negcio, da gesto de
mudanas, da gesto de capacidade, da classificao da informao, da gerncia de incidentes, da
anlise de riscos de TI, da rea especfica para gerenciamento da segurana da informao, da poltica
de segurana da informao e dos procedimentos de controle de acesso (pargrafos 54 a 87.11);
d) promova aes com objetivo de disseminar a importncia da adoo de metodologia de
desenvolvimento de sistemas e induzir os rgos do Ministrio Pblico a realizarem aes para
implantao e/ou aperfeioamento dessa metodologia (pargrafos 89 a 93.1);
e) promova aes com objetivo de disseminar a importncia de gesto de nveis de servio e
induzir os rgos do Ministrio Pblico a realizarem aes para implantao e/ou aperfeioamento de
acordos de nveis de servio (pargrafos 95 a 106);
f) promova aes com objetivo de disseminar a importncia de processo de trabalho
formalizado de contratao de bens e servios de TI e induzir, mediante orientao normativa nos
moldes recomendados pelo item 9.4 do Acrdo 786/2006-TCU-Plenrio, os rgos do Ministrio
Pblico a realizarem aes para implantao e/ou aperfeioamento do processo de contratao de TI
(pargrafos 108 a 125);
g) promova aes com objetivo de disseminar a importncia de processo de trabalho
formalizado de gesto de contratos de TI e induzir, mediante orientao normativa nos moldes
recomendados pelo item 9.4 do Acrdo 786/2006-TCU-Plenrio, os rgos do Ministrio Pblico a
realizarem aes para implantao e/ou aperfeioamento desse processo de gesto (pargrafos 127 a
148);
TC-008.380/2007-1
h) promova aes com objetivo de garantir que as propostas oramentrias para a rea de
TI dos rgos do Ministrio Pblico sejam elaboradas com base nas atividades que efetivamente
pretendam realizar e alinhadas aos objetivos de negcio (pargrafos 150 a 159);
i) promova aes para estimular a realizao de auditorias de TI nos rgos do Ministrio
Pblico (pargrafos 161 a 172.1);
III - recomendar ao Gabinete de Segurana Institucional da Presidncia da Repblica que
promova aes com objetivo de disseminar a importncia do gerenciamento da segurana da informao
e induzir, mediante orientao normativa, os rgos/entidades da Administrao Pblica Federal a
realizarem aes para implantao e/ou aperfeioamento da gesto da continuidade do negcio, da
gesto de mudanas, da gesto de capacidade, da classificao da informao, da gerncia de
incidentes, da anlise de riscos de TI, da rea especfica para gerenciamento da segurana da
informao, da poltica de segurana da informao e dos procedimentos de controle de acesso
(pargrafos 54 a 87.11);
IV - recomendar Controladoria-Geral da Unio que realize regularmente auditorias de TI
e/ou promova aes para estimular a realizao dessas auditorias nos rgos/entidades da
Administrao Pblica Federal (pargrafos 161 a 172.1);
V - recomendar ao Ministrio do Planejamento, Oramento e Gesto que promova as aes
cabveis quanto estrutura de pessoal de TI nos rgos/entidades da Administrao Pblica Federal
(pargrafos 34 a 52);
VI - recomendar Secretaria de Logstica e Tecnologia da Informao (SLTI) do Ministrio
do Planejamento, Oramento e Gesto que:
a) promova aes com objetivo de disseminar a importncia do planejamento estratgico e
induzir, mediante orientao normativa, os rgos/entidades da Administrao Pblica Federal a
realizarem aes para implantao e/ou aperfeioamento de planejamento estratgico institucional,
planejamento estratgico de TI e comit diretivo de TI (pargrafos 17 a 32);
b) promova aes com o objetivo de disseminar a importncia da adoo de metodologia de
desenvolvimento de sistemas e induzir os rgos/entidades da Administrao Pblica Federal a
realizarem aes para implantao e/ou aperfeioamento dessa metodologia (pargrafos 89 a 93.1);
c) promova aes com o objetivo de disseminar a importncia de gesto de nveis de servio
e induzir os rgos/entidades da Administrao Pblica Federal a realizarem aes para implantao
e/ou aperfeioamento de acordos de nveis de servio (pargrafos 95 a 106);
d) promova aes com objetivo de garantir que as propostas oramentrias para a rea de
TI dos rgos/entidades da Administrao Pblica Federal sejam elaboradas com base nas atividades
que efetivamente pretendam realizar e alinhadas aos objetivos de negcio (pargrafos 150 a 159);
VII - recomendar Diretoria-Geral do Senado Federal e Diretoria-Geral da Cmara dos
Deputados que adotem as providncias contidas no item I no mbito de suas Casas Legislativas;
VIII - recomendar Secretaria-Geral da Presidncia (Segepres) e Secretaria-Geral de
Administrao (Segedam) que adotem as providncias contidas no item I no mbito deste Tribunal;
IX - determinar Secretaria-Geral de Controle Externo (Segecex) que oriente suas unidades
tcnicas para considerarem as informaes armazenadas na Sefti quando forem executar aes de
controle em governana de TI (pargrafos 12, 13, 16, 92.2 e 179.3);
X - assinar prazo de 30 dias, com fulcro no 1 do art. 42 da Lei n. 8.443/1992, para que os
integrantes da lista disponvel no Apndice III deste relatrio enviem, em meio magntico, conforme
orientao da Sefti, as informaes necessrias para resposta ao questionrio utilizado neste
levantamento;
XI - remeter cpias do Acrdo que vier a ser adotado nestes autos, acompanhado dos
respectivos Relatrio e Voto, e deste Relatrio de Levantamento:
a) Comisso de Cincia, Tecnologia, Inovao, Comunicao e Informtica do Senado
Federal;
b) Subcomisso Permanente de Servios de Informtica do Senado Federal;
c) Diretoria-Geral do Senado Federal;
d) Secretaria Especial de Informtica do Senado Federal (Prodasen);
e) Comisso de Fiscalizao Financeira e Controle da Cmara dos Deputados;
f) Comisso de Trabalho, de Administrao e Servio Pblico da Cmara dos Deputados;
TC-008.380/2007-1
TC-008.380/2007-1
Realmente, a partir dos dados obtidos, deduziu-se que 39% das organizaes consultadas,
quando da solicitao de oramento para a rea de TI em 2007, ou repetiram os valores do ano anterior
ou simplesmente aplicaram um percentual de aumento linear sobre as despesas realizadas ou, ainda,
acrescentaram um valor ao total do ano anterior sem a utilizao de um critrio transparente.
Da mesma forma, no tocante contratao de bens e servios de TI, apurou-se que percentual
expressivo de entes (46%) no adota processo de trabalho formalizado e padronizado, que demonstre o
custo, a oportunidade e os benefcios a serem obtidos pela organizao.
Tal cenrio remete inevitavelmente alocao indevida de recursos de TI por desarmonia com
as prioridades da organizao.
Constatou-se tambm que mais da metade dos entes pesquisados no adota processo formal
de trabalho para gesto de contratos de tecnologia da informao, o que pode acarretar baixa qualidade
dos servios prestados, interrupo na execuo de contratos e, em ltima instncia, o desperdcio de
recursos.
Quanto estrutura de pessoal de TI, alm de quantitativo deficiente de servidores efetivos,
com significativo percentual de colaboradores externos nos rgos/entidades pesquisados, foi identificado
ainda percentual elevado de funcionrios sem formao especfica no setor. Como bem assinalado pela
unidade tcnica, tal circunstncia aumenta o risco de perda de conhecimento organizacional, porquanto
apreendido por trabalhadores no compromissados com a instituio.
Merece registro, ainda, os percentuais elevados dos rgos/entidades pesquisados que no
executam seja gesto de acordos de nveis de servios prestados internamente (89%), seja gesto de
acordos de nveis de servios contratados externamente (74%). Conforme salientado, a partir desses
ajustes que se estabelece a qualidade dos servios de TI em funo das necessidades da organizao,
devendo neles integrar como indicadores, entre outros, a disponibilidade da infra-estrutura de rede, o
desempenho dos sistemas e o tempo de soluo de problemas.
No se pode ignorar que os fatos evidenciados neste Levantamento de Auditoria preocupam,
pois sugerem um quadro inquietante da governana de TI na Administrao Pblica Federal.
Contudo, h que v-los com cautela, j que a prpria equipe de fiscalizao registrou que as
informaes coletadas foram declaradas pelos gestores e no verificadas pela equipe junto aos
rgos/entidades, no tendo sido tambm, nesse primeiro momento, avaliada a pertinncia e a qualidade
dos documentos produzidos e anexados pelos rgos/entidades. Ainda que reconhea o carter preliminar
dos trabalhos, penso que maior solidez dos resultados adviria com uma correspondente confirmao dos
fatos em algumas entidades selecionadas por amostragem estatstica.
Nada obstante, diante das informaes coligidas e da relevncia da gesto e do uso de
Tecnologia da Informao TI para que os diversos rgos e entidades da Administrao Pblica Federal
consigam cumprir suas misses, considero imprescindvel a realizao de fiscalizaes com o objetivo de
verificar in loco a situao das reas consideradas mais crticas. Faz-se necessria, ademais, a atualizao
regular das informaes coletadas neste levantamento de modo a permitir que o Tribunal tenha condies
de acompanhar a evoluo da situao ento encontrada. Nesse sentido, acrescentei determinao Sefti
a respeito.
Ante o exposto, VOTO por que seja adotada a deliberao que ora submeto apreciao deste
Plenrio.
Sala das Sesses Ministro Luciano Brando Alves de Souza, em 13 de agosto de 2008.
GUILHERME PALMEIRA
Ministro-Relator
TC-008.380/2007-1
TC008.380/2007-1
Natureza: Levantamento de Auditoria
rgo: Diversos rgos e entidades da Administrao Pblica Federal
Resumo processo
RELATOR: GUILHERME PALMEIRA
DECLARAO DE VOTO
Considerando a relevncia do tema, louvo a iniciativa deste tribunal em
determinar a realizao de levantamento com o objetivo de coletar informaes acerca
dos processos de aquisio de bens e servios de TI, de segurana da informao, de
gesto de recursos humanos de TI, e das principais bases de dados e sistemas da
Administrao Pblica Federal.
O Relatrio produzido pela Sefti teve como principal objetivo obter
informaes para elaborao de mapa com a situao da governana de TI na
Administrao Pblica Federal.
No percurso do alcance desse objetivo, o Tribunal identificou as seguintes
lacunas:
a) ausncia de planejamento estratgico institucional
b) quantidade reduzida e deficincia de qualificao de servidores na rea
de TI
c) ausncia de carreira especfica para a rea;
d) ausncia de poltica de segurana da informao, dentre outras.
O resultado alcanado pelo presente processo justifica, assim, a atuao
deste Tribunal como instrumento de aperfeioamento da gesto publica. Some-se a isso a
significncia dos recursos empregados pela Administrao Federal na rea de tecnologia
da informao, que, segundo dados do Siafi de 2007, ultrapassam a soma de seis bilhes
de reais por ano.
Vejo, portanto, com satisfao, o conjunto de recomendaes sugerido pelo
relator da matria, o qual, certamente, se devidamente implementado, trar grande
contribuio para o alcance da governana adequada de TI no setor pblico federal.
Com esse breve comentrio, manifesto minha concordncia com o voto
proferido pelo relator, ao tempo em que parabenizo a equipe tcnica que atuou no
processo.
AROLDO CEDRAZ
Ministro-Relator
TC-008.380/2007-1
TC-008.380/2007-1
TC-008.380/2007-1
9.11. autorizar, a partir da data do acrdo que vier a ser proferido, a divulgao das informaes
consolidadas constantes deste levantamento em sumrios executivos e informativos;
9.12. arquivar os presentes autos na Secretaria de Fiscalizao de Tecnologia da Informao - Sefti.
10. Ata n 32/2008 Plenrio
11. Data da Sesso: 13/8/2008 Ordinria
12. Cdigo eletrnico para localizao na pgina do TCU na Internet: AC-1603-32/08-P
13. Especificao do qurum:
13.1. Ministros presentes: Walton Alencar Rodrigues (Presidente), Marcos Vinicios Vilaa, Valmir
Campelo, Guilherme Palmeira (Relator), Ubiratan Aguiar, Benjamin Zymler, Augusto Nardes, Aroldo
Cedraz e Raimundo Carreiro.
13.2. Auditores presentes: Augusto Sherman Cavalcanti, Marcos Bemquerer Costa e Andr Lus de
Carvalho.
GUILHERME PALMEIRA
Relator
Fui presente: