Acórdão Tcu 2613-2011 - Mpog - Avaliação de Controles de Ti

TRIBUNAL DE CONTAS DA UNIO
TC 024.956/2010-4
GRUPO I CLASSE V Plenrio TC 024.956/2010-4 Natureza: Relatrio de Auditoria. Unidade: Ministrio do Planejamento, Oramento e Gesto MPOG. Responsvel: Joo Bernardo de Azevedo Bringel, secretrio executivo. Advogado constitudo nos autos: no h. Sumrio: RELATRIO DE AUDITORIA. AVALIAO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAO. CONSTATAO DE PRECARIEDADES E OPORTUNIDADES DE MELHORIA. DETERMINAES E RECOMENDAES. RELATRIO A Secretaria de Fiscalizao de Tecnologia da Informao Sefti realizou auditoria no Ministrio do Planejamento, Oramento e Gesto MPOG com o objetivo de avaliar controles gerais de tecnologia da informao TI e verificar se esto de acordo com a legislao pertinente e com as boas prticas de governana de TI. 2. As ocorrncias detectadas foram apresentadas pela equipe de auditoria nos seguintes termos (fls. 122/149): 2 ACHADOS DE AUDITORIA 2.1 Inexistncia do plano estratgico institucional 2.1.1 Situao encontrada: Por meio do item 1 do Anexo I do Ofcio 1-849/2010-Sefti, o qual faz referncia pergunta 2.1 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do planejamento estratgico institucional do MP (fl. 19). O Gestor declarou que o processo de planejamento estratgico institucional formal acompanhado segundo indicadores estabelecidos (Anexo 1, fl. 15v). Como evidncias, o Gestor encaminhou: a) plano estratgico da SOF (Anexo 1, fls. 60-72), com planilhas (Anexo 1, arquivos da pasta 1.1 e 2.1 Segue impresso e mdia\SOF no CD, fl. 18) e uma apresentao sobre o citado plano (Anexo 1, fls. 55-59); e b) apresentaes versando sobre planejamento estratgico de outras reas (SLTI, Seges, SPU, Assec, SPI, SEAIN e SRH) (Anexo 1, fls. 23-54; 73-82). Ocorre que os documentos no evidenciam a existncia de um planejamento estratgico institucional do Ministrio, tendo em vista que: a) todos os documentos encaminhados referem-se especificamente a determinado rgo singular da estrutura do Ministrio (SOF, SLTI, Seges, SPU, Assec, SPI, SEAIN, SRH); b) os documentos, a menos da SOF, no versam sobre negcio, misso, viso, avaliao dos ambientes externo e interno do Ministrio; no declaram objetivos e iniciativas estratgicas do rgo; e no estabelecem indicadores de desempenho do rgo; c) no foi apresentado um planejamento estratgico institucional do MP que agregue todos os rgos integrantes da estrutura do Ministrio; d) somente h evidncias de que a SOF contm documento formal versando sobre planejamento estratgico. As evidncias trazidas pelos demais setores so apenas apresentaes versando sobre aspectos do planejamento estratgico de cada rea; e) a ata de reunio do DSTI, datada de 11/8/2010, registra que ...foi destacado que no Ministrio do Planejamento no h um Plano Estratgico... (Anexo 1, v. 2, fl. 532); e f) o prprio diagnstico do PDTI do MP confirma a Inexistncia de Planejamento Estratgico Organizacional do Ministrio (Anexo 1, fl. 91).
1
Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.
TC 024.956/2010-4
2.1.2 Causas da ocorrncia do achado: a) deficincias de controles; b) inexistncia ou insuficincia de gesto de riscos. 2.1.3 Efeitos/Consequncias do achado: a) ausncia de referencial para verificar o alinhamento estratgico das aes da rea de TI com o negcio da instituio (efeito real); b) risco de a instituio no conseguir atuar de forma eficiente no alcance de seus objetivos finalsticos (efeito potencial). 2.1.4 Critrios: a) Decreto-Lei 200/1967, art. 6, inciso I; art. 7; b) Norma Tcnica MP Gespblica Instrumento para Avaliao da Gesto Pblica Ciclo 2010 critrio de avaliao 2. 2.1.5 Evidncias: a) resposta do MP ao item 2.1 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 1 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) apresentao sobre Planejamento estratgico da SLTI (Anexo 1 Principal fls. 23-35); d) apresentao sobre Seges planejamento 2008/2009 (Anexo 1 Principal fls. 3641); e) apresentao da Secretaria do Patrimnio da Unio (o ttulo da apresentao est ilegvel) (Anexo 1 Principal fls. 42-47); f) apresentao sobre Planejamento estratgico 2008 Assessoria Econmica Assec (Anexo 1 Principal fls. 48-50); g) apresentao sobre Planejamento estratgico da SPI (Anexo 1 Principal fls. 5154); h) apresentao sobre Planejamento estratgico da SOF (Anexo 1 Principal fls. 5559); i) documento intitulado Planejamento Estratgico 2007-2010 da SOF (Anexo 1 Principal fls. 60-72); j) apresentao sobre Planejamento estratgico da Seain (Anexo 1 Principal fls. 73-77); k) apresentao sobre Secretaria de Recursos Humanos Planejamento Estratgico 2008-2010 (Anexo 1 Principal fls. 78-82); l) PDTI-MP, Anexo I da Nota Tcnica DSTI/SLTI/MP 173/2010 (Anexo 1 Principal fls. 89-91); m) ata de Reunio DSTI/SLTI/MP, de 11/8/2010 (Anexo 1 Volume 2 fls. 531532); n) Ofcio SE/MP 684/2010, que encaminhou documentos quanto ao Anexo 2, item 1, do Ofcio 7-849/2010-Sefti (Anexo 1 Volumes 4 e 5 fls. 713-1004); o) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.1.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP encaminhou, em carter restrito, por meio do Ofcio SE/MP 684/2010 (Anexo 1, v. 4, fl. 713), telas de apresentao de agenda de governo, as quais considera constiturem o planejamento estratgico institucional do Ministrio (Anexo 1, v. 45, fls. 714-1004).
2
TC 024.956/2010-4
Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o planejamento estratgico do Ministrio definido em reunies com as unidades responsveis, est consubstanciado nos programas e oramento do Ministrio e acompanhado e avaliado mediante reunies peridicas com os rgos setoriais e central de oramento (Anexo 1, v. 6, fl. 1006-1006v). 2.1.7 Concluso da equipe: Os documentos apresentados pelas reas de TI e pela Secretaria-executiva do MP, incluindo as informaes enviadas em carter restrito acerca da agenda de governo, no constituem um Plano Estratgico Institucional no mbito de todo o MP, como referncia para o alinhamento estratgico das aes da rea de TI com o negcio da instituio. Igualmente, os comentrios do Gestor apresentados em resposta s concluses e propostas do relatrio preliminar no do conta de que exista um plano estratgico institucional do Ministrio. Dessa forma, o MP no adota as boas prticas preconizadas pelo Programa Nacional de Gesto Pblica e Desburocratizao Gespblica , cujo comit gestor institudo no mbito do prprio rgo. Cumpre destacar que a ausncia de referencial de negcio na organizao prejudica a aderncia de modelos de governana corporativa de TI no Ministrio. Considerando o pedido de tratamento restrito s informaes enviadas pelo MP por meio do Ofcio SE/MP 684/2010, recomenda-se a aposio da chancela de sigilo s peas dos presentes autos em que as referidas informaes foram autuadas. 2.1.8 Propostas de encaminhamento: Apor chancela de sigilo aos Volumes 4 e 5 do Anexo 1 dos presentes autos; Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, em ateno ao Decreto-Lei 200/1967, art. 6, I, e art. 7, elabore um plano estratgico institucional, considerando o previsto no critrio de avaliao 2 do Gespblica. 2.2 Falhas no PDTI 2.2.1 Situao encontrada: Por meio do item 2 do Anexo I do Ofcio 1-849/2010-Sefti, o qual faz referncia pergunta 2.3 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do plano diretor de tecnologia da informao do MP (fl. 19). O Gestor declarou que, alm de vincular as aes de TI a indicadores e metas de negcio, o PDTI do MP vincula os custos de TI a atividades e projetos de TI e vincula as aes de TI a indicadores e metas de servios ao cidado (Anexo 1, fl. 15v). Ocorre que o PDTI publicado pelo MP no estabelece indicadores de desempenho, no vincula custos de TI a atividades e projetos de TI e no vincula as aes de TI a indicadores e metas de servios ao cidado (Anexo 1, fls. 90-91). Convm salientar mais duas falhas, essas baseadas no disposto no art. 4, inciso III, da IN SLTI/MP 4/2008, expedida pelo prprio Ministrio (Anexo 1, fls. 90-91): a) o PDTI no alinha necessidades de informao estratgia do rgo; b) o PDTI no dispe de um plano de investimentos. 2.2.2 Causas da ocorrncia do achado: a) deficincias de controles; b) inexistncia ou insuficincia de gesto de riscos. 2.2.3 Efeitos/Consequncias do achado: a) aes de TI no alinhadas ao negcio (efeito potencial). b) dificuldade de a instituio atuar de forma eficiente no alcance de seus objetivos finalsticos (efeito potencial). 2.2.4 Critrios: a) Instruo Normativa SLTI/MP 4/2008, art. 4, inciso III; b) Norma Tcnica ITGI Cobit 4.1, PO1 Planejamento Estratgico de TI.
3
TC 024.956/2010-4
2.2.5 Evidncias: a) resposta do MP ao item 2.2 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 2 do Anexo I do Ofcio 1-849/2010-Sefti. (arquivos em CD) (Anexo 1 Principal fl. 18); c) PDTI-MP, Anexo I da Nota Tcnica DSTI/SLTI/MP 173/2010 (Anexo 1 Principal fls. 89-91); d) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); e) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.2.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do OfcioSE/MP 678/2010 SE/MP 678/2010, que est em elaborao o PDTI para 2011, que apresentar indicadores de desempenho para as equipes definidas no novo organograma proposto para a TI do Ministrio (Anexo 1, v. 3, fl. 684). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o PDTI est sendo revisado visando contemplar j no exerccio de 2011 as recomendaes da proposta sugerida no relatrio preliminar (Anexo 1, v. 6, fl. 1006v). 2.2.7 Concluso da equipe: Conquanto o MP tenha apresentado PDTI aprovado e publicado, o referido plano contm falhas: no estabelece indicadores de desempenho, no vincula custos de TI a atividades e projetos de TI e no apresenta indicadores e metas de servios ao cidado. Alm disso, em desatendimento ao disposto no inciso III do art. 4 da Instruo Normativa SLTI/MP 4/2008, expedida pelo Ministrio, o PDTI do MP no dispe de plano de investimentos e no alinha necessidades de informao estratgia do rgo, sendo que para essa falha, a causa a inexistncia de planejamento estratgico institucional. O processo de reviso do PDTI do MP para 2011, citado pelo Gestor, ainda estava em andamento aps a ao de controle, e, portanto, seus resultados no puderam ser comprovados pela equipe no presente trabalho, o que poder ser realizado em futuro monitoramento das deliberaes do acrdo que vier a ser proferido. 2.2.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, em ateno s disposies contidas no Decreto-Lei 200/1967, art. 6, I, e na Instruo Normativa SLTI/MP 4/2010, art. 4, aperfeioe o processo de planejamento estratgico de TI, observando as diretrizes constantes da Estratgia Geral de Tecnologia da Informao (EGTI) em vigor, e semelhana das orientaes previstas no Cobit 4.1, processo PO1 Planejamento Estratgico de TI. 2.3 Falhas relativas ao comit de TI 2.3.1 Situao encontrada: Por meio do item 2.1 do Anexo I do Ofcio 1-849/2010-Sefti, o qual faz referncia pergunta 1.1 do Questionrio Perfil GovTI-2010, solicitaram-se informaes acerca da organizao e dos relacionamentos da TI (fl. 19). Como resposta, o Gestor declarou que a instituio designou formalmente um comit de TI para auxili-la nas decises relativas gesto e ao uso corporativo da TI (Anexo 1, fl. 15).
4
TC 024.956/2010-4
Da anlise das respostas (Portaria SE/MP 276/2009 e ata da 23 reunio do comit de TI do MP), verifica-se que o rgo no atribuiu ao comit de TI a responsabilidade de acompanhar o estado dos projetos e resolver conflitos por recursos, nem a de monitorar as melhorias implantadas e os nveis de servio acordados entre as reas de TI e as reas usurias do MP (Anexo 1, arquivo \3.1\Portaria SE 276 publicada no BPS de 21-05-2009.pdf no CD, fl. 18). 2.3.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.3.3 Efeitos/Consequncias do achado: a) ausncia de resoluo de conflitos por recursos (efeito real); b) ausncia de acompanhamento de status dos projetos (efeito potencial); c) ausncia de monitoramento das melhorias implantadas (efeito potencial); d) ausncia de monitoramento dos nveis de servio (efeito real). 2.3.4 Critrios: a) Instruo Normativa SLTI/MP 4/2008, art. 4, inciso IV; b) Norma Tcnica ITGI Cobit 4.1, PO4.3 Comit diretor de TI; c) Norma Tcnica ITGI Cobit 4.1, PO4.2 Comit estratgico de TI. 2.3.5 Evidncias: a) resposta do MP ao item 1.1 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 2.1 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); d) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010); e) Ofcio SLTI/MP 1.113/2011, que encaminhou documentos em complementao ao Ofcio SE/MP 152/2011 (Anexo 1 Volume 6 fls. 1011-1054). 2.3.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010, que a partir do segundo semestre de 2010 reformulou a composio da representatividade do comit com o propsito de aprimorar o acompanhamento de projetos de TI e o processo decisrio de priorizao de novas aes e investimentos em TI (Anexo 1, v. 3, fl. 684). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que as atas do comit de TI comprovam o acompanhamento de projetos e monitoramento de melhorias implantadas (Anexo 1, v. 6, fl. 1006v), apresentando evidncias (Anexo 1, v. 6, fls. 1032; 1035; 1037). 2.3.7 Concluso da equipe: No obstante o MP dispor de comit de TI formalizado, constatou-se que o rol de suas atribuies bem como sua atuao no incluem a resoluo de conflitos por recursos e o monitoramento dos nveis de servio de TI. Alm disso, apesar de o comit de TI do MP acompanhar o estado de projetos e monitorar melhorias implantadas, tais atribuies no foram previstas na formalizao do comit, o que gera risco de descontinuidade desse acompanhamento. 2.3.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que aperfeioe a atuao do comit de tecnologia da informao, semelhana das diretrizes do
5
TC 024.956/2010-4
Cobit 4.1, PO4.2 Comit estratgico de TI e PO4.3 Comit diretor de TI, prevendo as seguintes atribuies para o comit de TI: a) acompanhar o estado dos projetos; b) resolver conflitos por recursos; e c) monitorar os nveis de servio e as melhorias implantadas. 2.4 Inexistncia de avaliao do quadro de pessoal de TI 2.4.1 Situao encontrada: Por meio do item 2.7 do Anexo I do Ofcio 1-849/2010-Sefti, solicitaram-se informaes acerca da avaliao do quadro de pessoal de TI do MP (fl. 20). Como resposta, o Gestor encaminhou evidncias de algumas reas de TI do Ministrio Seges, SPU, SOF e DSTI com as seguintes observaes: a) o setor de TI da Seges afirma que no tem informaes suficientes para embasar uma resposta neste sentido (Anexo 1, arquivo \3.7\SEGES resposta tcu 3.7.odt no CD, fl. 18); b) a Coordenao-Geral de Tecnologia da Informao da SPU afirma que a estrutura alocada no suficiente para o desempenho das necessidades da Secretaria, e aduz que baseou a resposta em estudo contido no plano diretor de tecnologia da informao da SPU, elaborado em 2008, citando trecho desse PDTI quanto ao assunto, sem, contudo, apresentar cpia do citado documento (Anexo 1, arquivo \3.7\SPU 3.7.odt no CD, fl. 18); c) a Coordenao-Geral de Tecnologia da Informao da SOF aduz que no foi consolidado estudo que identificasse a demanda por profissionais na rea de TI para a Secretaria. Afirma tambm que foram abertas vagas especficas para a rea de TI em 2009, mas que ainda persiste a demanda por mais profissionais dessa rea (Anexo 1, arquivo \3.7\SOF Item 3.7\SOF 3.7.odt no CD, fl. 18); e d) o DSTI afirmou que existe um projeto de governana de TI em fase final de elaborao, o qual propor nova estrutura organizacional do departamento, identificando as carncias e definindo qualificao (Anexo 1, arquivo \3.7\Item 3.7.odt no CD, fl. 18). Durante a execuo dos trabalhos, o Gestor encaminhou, como resposta complementar, um relatrio sobre anlise quantitativa de pessoal do DSTI (Anexo 1, v. 3, fl. 631), o qual sugere como quantitativo ideal de pessoal para o DSTI um nmero de servidores superior ao informado na resposta do MP ao item 2.4 do Anexo I do Ofcio 1-849/2010-Sefti (Anexo 1, fl. 18). Ocorre que essa anlise quantitativa de pessoal de TI est restrita ao escopo do DSTI e no ao do Ministrio como um todo (Anexo 1, v. 3, fl. 631). 2.4.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.4.3 Efeitos/Consequncias do achado: a) dependncia do servio de empresas terceirizadas (efeito potencial); b) recursos humanos de TI insuficientes para atender s necessidades do negcio (efeito potencial); c) falta de competncias apropriadas na rea de TI (efeito potencial). 2.4.4 Critrios: a) Decreto 5.707/2006, art. 1, inciso III; b) Norma Tcnica ITGI Cobit 4.1, PO4.12 Pessoal de TI. 2.4.5 Evidncias: a) resposta do MP ao questionamento 2.7 do Anexo I ao Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); b) anlise quantitativa de pessoal de TI alinhada proposta do novo organograma do DSTI (Anexo 1 Volume 3 fls. 626-632); c) relatrio executivo de governana de TI Estrutura Organizacional DSTI (Anexo 1 Volume 3 fls. 603-625); d) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710);
TC 024.956/2010-4
e) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.4.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP, por meio do Anexo 2 do Ofcio SE/MP 678/2010, mencionou novamente a anlise quantitativa de pessoal de TI realizada para o DSTI, afirmando que cerca de 50% dos 115 analistas de TI que tiveram sua chamada autorizada no segundo semestre de 2010 foram empossados no MP a partir da citada avaliao. Manifestou tambm que o projeto de governana de TI com a UnB previu a definio de atribuies das novas equipes do DSTI, o que embasou a alocao dos profissionais admitidos nas referidas equipes de TI (Anexo 1, v. 3, fl. 684). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o MP envidar esforos para realizar avaliao do quadro de pessoal de TI, nos moldes da realizada no DSTI, com abrangncia para todo o Ministrio (Anexo 1, v. 6, fl. 1006v). 2.4.7 Concluso da equipe: No obstante as declaraes da SPU e da SOF indiquem a necessidade de servidores para as referidas reas, bem como o fato de a realizao de estudo quantitativo do quadro de pessoal para o DSTI ter embasado a alocao dos profissionais das equipes de TI do DSTI, no foi apresentada evidncia de realizao de avaliao do quadro de pessoal de TI no mbito de todo o Ministrio que justifique o quadro de pessoal adequado para toda a rea de TI do MP. Por oportuno, os comentrios do Gestor no sentido de que o MP envidar esforos para realizar avaliao do quadro de pessoal de TI no mbito de todo o Ministrio confirmam a necessidade de realizao de tal estudo. 2.4.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, em ateno ao Decreto 5.707/2006, art. 1, III, elabore estudo tcnico de avaliao qualitativa e quantitativa do quadro da rea de TI no mbito de todo o Ministrio, com vistas a fundamentar futuros pleitos de ampliao e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, semelhana das prticas contidas no Cobit 4.1, PO4.12 Pessoal de TI. 2.5 Inexistncia de processo de software 2.5.1 Situao encontrada: Por meio do item 4 do Anexo I do Ofcio1-849/2010-Sefti (fl. 20), o qual faz meno pergunta 7.3 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do processo de software que apoie a administrao da qualidade dos produtos de software. Como resposta, o Gestor declarou no questionrio que h um processo informal repetido vrias vezes e que implementa conceitos de qualidade de processo (Anexo 1, fl. 16v). Dentre as evidncias encaminhadas pelo MP, h uma proposta de metodologia de desenvolvimento de sistemas (MDS), elaborada por grupo de trabalho formado por membros de alguns setores do rgo: SLTI, Dest, SOF, SPI, SPOA/CGTI (Anexo 1, \5.1\Proposta de MDS para Comit de TI do MP v15.doc no CD, fl. 18) e um registro em ata de reunio do comit estratgico de TI, de 23/9/2009, afirmando que A MDS foi aprovada pelos participantes, devendo ser formalizada em Resoluo do Comit Estratgico de TI... (Anexo 1, v.3, fl. 634). Cumpre destacar que no foram encaminhadas pelo MP evidncias da publicao da referida MDS.
7
TC 024.956/2010-4
Da anlise da MDS, constatou-se que no contempla todos os elementos essenciais de um processo de software, haja vista que: a) no descreve os papis do cliente e do usurio; b) no prev artefatos para aceite de requisitos, nem registro de histrico de mudanas de requisitos, e nem para acompanhamento de projetos; c) no apresenta os modelos dos artefatos da metodologia, limitando-se a indicar que os modelos de artefatos constam de documento complementar, e os citados artefatos no constam da documentao enviada pelo Gestor. Impende citar que no foram encaminhadas evidncias de que a MDS esteja sendo utilizada, visto que o Gestor encaminhou artefatos que no se referem ao processo, quais sejam: especificaes de regras de negcio, especificaes de caso de uso e plano de testes utilizados pela SOF no projeto SIOP (Anexo 1, arquivos da pasta \5.1\SOF\ no CD, fl. 18) e especificaes de regras de negcio, evidncia de homologao e documentos contendo telas de sistema e resultado de homologao utilizados pela SPI em um projeto de software no mbito do Contrato 45/2005 (Anexo 1, arquivos da pasta \5.1\SPI 5.1\ no CD, fl. 18). Analisando-se esses artefatos luz das fases do ciclo de desenvolvimento de software previstas na MDS, constatou-se que no contemplam o previsto nessa metodologia, visto que, a uma, no projeto da SOF foram apresentados somente artefatos que poderiam ser usados na anlise funcional e apenas trs deles, enquanto a MDS elenca pelo menos oito artefatos para essa fase (documento de viso, diagrama de casos de uso, especificao de casos de uso, requisitos de software, regras de negcio, plano de testes, glossrio, documento de mensurao) (fl. 11 do arquivo \5.1\Proposta de MDS para Comit de TI do MP v15.doc no CD, fl. 18), a duas, no projeto da SPI foram encaminhados apenas um artefato que poderia ser considerado na fase de anlise funcional e um na fase de implementao, ao passo que a MDS elenca inmeros outros artefatos nas referidas fases do ciclo de desenvolvimento (fls. 11; 13, do arquivo \5.1\Proposta de MDS para Comit de TI do MP v15.doc no CD, fl. 18). Alm disso, as evidncias revelam que no seguido um modelo nico pelo Ministrio, uma vez que o modelo de artefato para especificao de regras de negcio usado pela SOF distinto do adotado pela SPI. Por fim, cumpre destacar que a MDS no mencionada no quarto e ltimo termo aditivo do Contrato 45/2005 (Anexo 2, v. 8, fls. 1739-1742), o qual abrange a maior parte dos servios de desenvolvimento/manuteno de software prestados ao MP, e foi celebrado posteriormente aprovao da multicitada MDS, e nem no Contrato 74/2010 (Anexo 1, v. 3, fls. 655-676), que sucedeu o Contrato 45/2005. 2.5.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.5.3 Efeitos/Consequncias do achado: a) impropriedade nos contratos 45/2005 e 74/2010, decorrente de que parte do objeto (desenvolvimento e manuteno de software) no est suficientemente definido, pois o processo de software que o definiria (efeito real); b) inexistncia de parmetros de aferio de qualidade para contratao de desenvolvimento de sistemas (efeito real). 2.5.4 Critrios: a) Instruo Normativa SLTI/MP 4/2008, art. 12, inciso II; b) Lei 8.666/1993, art. 6, inciso IX; c) Norma Tcnica ITGI Cobit 4.1, PO8.3 Padres de desenvolvimento e de aquisies; d) Norma Tcnica NBR ISO/IEC 12.207 e 15.504. 2.5.5 Evidncias: a) resposta do MP ao item 7.3 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17);
8
TC 024.956/2010-4
b) resposta do MP ao questionamento 4 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) ata da 16 reunio do comit estratgico de TI do MP, de XX/XX/2009 (Anexo 1 Volume 3 fls. 633-635); d) Quarto termo aditivo ao Contrato 45/2005 (Anexo 2 Volume 8 fls. 1739-1742); e) Contrato 47/2010 (Anexo 1, v. 3, fls. 655-676); f) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); g) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.5.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP, por meio do Anexo 2 do Ofcio SE/MP 678/2010, mencionou novamente a metodologia de desenvolvimento de sistemas (Anexo 1, v. 3, fl. 684), aprovada em reunio do comit estratgico de TI do Ministrio, de 23/9/2009 (Anexo 1, v. 3, fl. 634), j analisada na seo situao encontrada. Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que estaria em andamento projeto no sentido de garantir a aplicabilidade e a formalizao do uso da MDS, com previso de implantao em dezembro de 2011, e que desta forma, entenderia que existe processo de software (Anexo 1, v. 6, fl. 1006v). 2.5.7 Concluso da equipe: A despeito das manifestaes do Gestor, a MDS aprovada em ata de reunio do comit estratgico de TI do MP no contm os elementos essenciais de um processo de software, bem como no foram apresentadas evidncias de que esteja sendo utilizada no rgo, provocando deficincias nos processos de contratao e aferio da qualidade dos artefatos produzidos nessas contrataes. Ademais, o comentrio do Gestor no sentido do andamento de projeto para garantir a aplicabilidade e a formalizao do uso da MDS a ser implantado at dezembro de 2011, confirma que a metodologia ainda no aplicada e no tem seu uso formalizado no Ministrio. Salienta-se que a iniciativa se materializou aps a ao de controle e, portanto, seus resultados no puderam ser comprovados pela equipe no presente trabalho, o que poder ser realizado em futuro monitoramento das deliberaes do acrdo que vier a ser proferido. 2.5.8 Propostas de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, em ateno ao disposto na Lei 8.666/1993, art. 6, IX, e s disposies contidas na Instruo Normativa SLTI/MP 4/2010, art. 13, II, defina um processo de software previamente s futuras contrataes de servios de desenvolvimento ou manuteno de software, vinculando o contrato com o processo de software, sem o qual o objeto no estar precisamente definido. Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, quando do estabelecimento de seu processo de software, considere as Normas NBR ISO/IEC 12.207 e 15.504. 2.6 Inexistncia de processo de gerenciamento de projetos 2.6.1 Situao encontrada: Por meio do item 5 do Anexo I do Ofcio 1-849/2010-Sefti (fls. 20/21), o qual faz meno pergunta 7.4 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do processo de
9
TC 024.956/2010-4
gerenciamento de projetos. Como resposta, o Gestor declarou no questionrio que pratica gerenciamento de projetos, mas no adota qualquer padro interno ou de mercado (Anexo 1, fl. 16v) e encaminhou alguns artefatos que evidenciariam algumas prticas de gerenciamento de projetos implementadas por setores do rgo (SOF, SLTI, SPI e SPU) (Anexo 1, arquivos da pasta \6.1 no CD, fl. 18). Alm disso, o prprio diagnstico do PDTI do Ministrio registra Gerenciamento de processos e de projetos de TI feitos de maneira ad hoc e aponta como soluo a Sistematizao de uma metodologia de gesto de projetos (Anexo 1, fl. 91). 2.6.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.6.3 Efeito/Consequncia do achado: a) elevao do risco de insucesso de projetos relevantes (efeito potencial). 2.6.4 Critrio: a) Norma Tcnica ITGI Cobit 4.1, PO10.2 Estrutura de gerncia de projetos. 2.6.5 Evidncias: a) resposta do MP ao item 7.4 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 5 do Anexo I do Ofcio 1-849/2010-Sefti. (Anexo 1 Principal fl. 18); c) PDTI-MP, Anexo I da Nota Tcnica DSTI/SLTI/MP 173/2010 (Anexo 1 Principal fls. 89-91); d) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); e) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.6.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010, que na proposta de novo modelo organizacional da TI do Ministrio foi recomendada a criao do escritrio de projetos de TI, a qual foi viabilizada com a posse dos novos analistas de TI, estando o escritrio em funcionamento desde novembro de 2010. O representante do auditado afirmou ainda que a descrio dos processos de trabalho do escritrio e o incio do uso de ferramenta de gesto de portflio de projetos estavam em fase final de implantao poca da concluso do relatrio preliminar do presente trabalho (Anexo 1, v. 3, fl. 684). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o escritrio de projetos do DSTI, no formalizado no Regimento Interno do MP poca dos trabalhos de campo, estaria implantando, desde novembro de 2010, processo de gerenciamento de projetos, acompanhando todos os projetos de TI do Ministrio (Anexo 1, v. 6, fl. 1006v). 2.6.7 Concluso da equipe: O MP no possui um processo de gerenciamento de projetos, o que confirmado no diagnstico constante do PDTI do prprio rgo e nos esclarecimentos acima, sob risco de comprometimento da gesto de cada projeto corporativo do rgo. A partir da manifestao do Gestor sobre o relatrio preliminar, verifica-se que o MP j vem adotando providncias no sentido de implantar um processo de gerenciamento de projetos de TI, o que est em consonncia com a proposta sugerida no relatrio preliminar.
10
TC 024.956/2010-4
A despeito disso, a iniciativa manifestada pelo Gestor iniciou-se posteriormente ao perodo da ao de controle e no pde ser comprovada pela equipe no presente trabalho, o que poder ser realizado em futuro monitoramento das deliberaes do acrdo que vier a ser proferido. 2.6.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que implante uma estrutura formal de gerncia de projetos, semelhana das orientaes contidas no Cobit 4.1, processo PO10.2 Estruturas de Gerncia de Projetos e no PMBOK, entre outras boas prticas de mercado. 2.7 Inexistncia do processo de gesto de mudanas 2.7.1 Situao encontrada: Por meio dos itens 6.1 e 6.2 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 21) e da pergunta 7.6 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do processo de gesto de mudanas de TI estabelecido. Como resposta, o Gestor declarou no questionrio que a instituio no implementou corporativamente processo de gesto de mudanas (Anexo 1, fl. 17) e no encaminhou evidncias correspondentes ao referido processo (Anexo 1, fl. 18). 2.7.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.7.3 Efeitos/Consequncias do achado: a) no avaliao do impacto de eventuais mudanas (efeito potencial); b) incidentes de segurana no ambiente de TI do Ministrio (efeito potencial). 2.7.4 Critrios: a) Norma Tcnica ITGI Cobit 4.1, AI6 Gerenciar mudanas; b) Norma Tcnica NBR ISO/IEC 27002, 12.5.1 Procedimentos para controle de mudanas; c) Norma Tcnica NBR ISO/IEC 20000, item 9.2 Gerenciamento de mudanas; d) Norma Tcnica OGC ITIL verso 2 Livro Suporte a Servios. 2.7.5 Evidncias: a) resposta do MP ao item 7.6 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 6.1 do Anexo I do Ofcio 1-849/2010-Sefti. (arquivos em CD) (Anexo 1 Principal fl. 18); c) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); d) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.7.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010- SE/MP 678/2010, que o modelo de contratao com o Serpro define que os servios e processos de gesto de mudanas sejam conduzidos pela contratada, tendo em vista que produo, manuteno e evoluo dos servios estratgicos de TI so integralmente prestados pelo Serpro (Anexo 1, v. 3, fl. 684v). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o processo de gesto de demandas ao Serpro, que controlado pelas unidades do MP, garante que seu atendimento no interrompa os negcios, e que o processo de gesto de mudanas na infraestrutura de TI do MP conduzido pelo DSTI (Anexo 1, v. 6, fl. 1006v).
11
TC 024.956/2010-4
2.7.7 Concluso da equipe: Em relao manifestao do Gestor encaminhada por meio do Ofcio SE/MP 678/2010, ressalta-se que ainda que os servios sejam contratados com o Serpro, o controle e a responsabilidade pelos processos de gesto e governana de TI so dos gestores do MP. Especificamente em relao ao processo de gesto de demandas citado pelo Gestor, destaca-se que a existncia de processo estanque de gesto de demandas a uma das prestadoras de servios de TI, qual seja, o Serpro, difere do processo de gesto de demandas a outra prestadora, por exemplo, a empresa Calandra Solues S.A., conforme ordens de servio utilizadas no Contrato 58/2009 (Anexo 1, v. 3, fl. 600), demonstrando que no h um processo corporativo de gesto das mudanas relacionadas s demandas de servios de TI. Acrescenta-se que a infraestrutura constitui apenas um dos objetos (aplicaes, procedimentos, processos, parmetros de sistema, parmetros de servio e plataformas subjacentes) que devem ter suas mudanas geridas em um processo de gesto de mudanas. Alm disso, o MP no apresentou em sua manifestao evidncia de qualquer dos elementos essenciais de um processo de gesto de mudanas (descrio dos papis dos profissionais envolvidos, bem como atividades e artefatos previstos) no tocante infraestrutura de TI. Portanto, como declarado inicialmente pelo Gestor, o MP no possui processo de gesto de mudanas. 2.7.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que estabelea procedimentos formais de gesto de mudanas, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 27002, semelhana das orientaes contidas no Cobit 4.1, processo AI6 Gerenciar mudanas, e em outras boas prticas de mercado (tais como ITIL e NBR ISO/IEC 20000). 2.8 Inexistncia do processo de gesto de incidentes 2.8.1 Situao encontrada: Por meio dos itens 6.1 e 6.3 do Anexo I do Ofcio 1-849/2010-Sefti e da pergunta 7.6 do Questionrio PerfilGovTI-2010 (fl. 21), solicitaram-se informaes acerca do processo de gesto de incidentes de TI estabelecido. Como resposta, o Gestor declarou no questionrio que a instituio no implementou corporativamente processo de gesto de incidentes (Anexo 1, fl. 17) e no encaminhou evidncias correspondentes ao referido processo (Anexo 1, fl. 18). 2.8.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.8.3 Efeitos/Consequncias do achado: a) ocorrncia de incidentes sem o devido gerenciamento (efeito potencial); b) paralisao dos servios de TI (efeito potencial); c) paralisao das atividades da organizao (efeito potencial). 2.8.4 Critrios: a) Norma Tcnica ITGI Cobit 4.1, DS8 Gerenciar a Central de Servio e os Incidentes; b) Norma Tcnica NBR ISO/IEC 27002, item 13 Gesto de incidentes de segurana da informao; c) Norma Tcnica NBR ISO/IEC 20000, item 8.2 Gerenciamento de incidentes; d) Norma Tcnica OGC ITIL verso 2 Livro Suporte a Servios. 2.8.5 Evidncias: a) resposta do MP ao item 7.6 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 6.1 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710);
12
TC 024.956/2010-4
d) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.8.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010- SE/MP 678/2010, que o modelo de contratao com o Serpro define que os servios e processos de gesto de incidentes sejam conduzidos pela contratada, tendo em vista que produo, manuteno e evoluo dos servios estratgicos de TI so integralmente prestados pelo Serpro (Anexo 1, v.3 , fl. 684v). Por meio da citada comunicao, o Gestor da Secretaria-executiva do MP tambm afirmou que o MP cumpre a Instruo Normativa GSI/PR 1/2008 no que se refere criao da equipe de tratamento e resposta a incidentes em redes computacionais, e atua em parceria com o Serpro conforme processo de trabalho definido (Anexo 1, v. 6, fl. 1013). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que existe equipe setorial na SLTI com atribuio de atender acionamentos relacionados a incidentes nos sistemas setoriais do MP e que as secretarias gestoras dos sistemas estruturantes tm o mesmo papel quanto a incidentes nesses sistemas. Acrescentou que a equipe setorial do DSTI contrata suporte junto ao Serpro para atendimento de incidentes de primeiro e segundo nveis (Anexo 1, v. 6, fls. 1006v-1007). 2.8.7 Concluso da equipe: No que tange manifestao do Gestor encaminhada por meio do Ofcio SE/MP 678/2010, convm ressaltar que os incidentes tratados por equipe de tratamento e resposta a incidentes em redes computacionais so incidentes de segurana da informao, e no incidentes sob a tica de gesto de servios de TI, que trata de uma gama mais ampla de incidentes (vide NBR 20.000). Portanto, como declarado inicialmente pelo Gestor, o MP no possui processo de gesto de incidentes no contexto da gesto de servios de TI. Novamente registra-se que ainda que os servios sejam contratados com o Serpro, o controle e a responsabilidade pelos processos de gesto e governana de TI so dos gestores do MP. A existncia de equipes para atender acionamentos de incidentes em sistemas, no constitui, por si s, um processo de gesto de incidentes no contexto da gesto de servios de TI, o qual demandaria a descrio dos papis dos profissionais envolvidos, das atividades e dos artefatos previstos, tal como a lista de incidentes, que deve conter pelo menos a classificao dos incidentes, datas de abertura e de fechamento do incidente e histrico das aes realizadas em virtude do incidente. 2.8.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que implemente processo de gesto de incidentes de servios de tecnologia da informao, semelhana das orientaes contidas no Cobit 4.1, processo DS8 Gerenciar a central de servios e incidentes, e de outras boas prticas de mercado (tais como NBR ISO/IEC 20000, ITIL e NBR 27002). 2.9 Inexistncia do processo de gesto de configurao 2.9.1 Situao encontrada: Por meio dos itens 6.1 e 6.4 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 21) e da pergunta 7.6 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do processo de gesto de configurao de TI estabelecido. Como resposta, o Gestor declarou no questionrio que a instituio
13
TC 024.956/2010-4
no implementou corporativamente processo de gesto de configurao (Anexo 1, fl. 17) e no encaminhou evidncias correspondentes ao referido processo (Anexo 1, fl. 18). Alm disso, o prprio diagnstico do PDTI do Ministrio registra a Ausncia de sistemtica de gesto dos itens de configurao e aponta como soluo a Gesto sistmica dos itens de configurao de TI (Anexo 1, fl. 91). 2.9.2 Causas da ocorrncia do achado: a) deficincias de controles. 2.9.3 Efeito/Consequncia do achado: a) desatualizao ou deficincia da configurao de TI (efeito potencial); b) incidentes de segurana no ambiente de TI do Ministrio (efeito potencial). 2.9.4 Critrios: a) Norma Tcnica ITGI Cobit 4.1, DS9 Gerenciar configuraes; b) Norma Tcnica NBR ISO/IEC 20000, item 9.1 Gerenciamento de configurao; c) Norma Tcnica OGC ITIL verso 2 Livro Suporte a Servios. 2.9.5 Evidncias: a) resposta do MP ao item 7.6 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 6.1 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) PDTI-MP, Anexo I da Nota Tcnica DSTI/SLTI/MP 173/2010 (Anexo 1 Principal fls. 89-91); d) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); e) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.9.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o MP manifestou, por meio do Ofcio SE/MP 678/2010- SE/MP 678/2010, que o modelo de contratao com o Serpro define que os servios e processos de gesto de configurao sejam conduzidos pela contratada, tendo em vista que produo, manuteno e evoluo dos servios estratgicos de TI so integralmente prestadas pelo Serpro (Anexo 1, v. 3, fl. 684v). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a definio da configurao da infraestrutura de TI do MP gerida pelo DSTI com o apoio do Serpro no mbito do Contrato 74/2010 (Anexo 1, v. 6, fl. 1007). 2.9.7 Concluso da equipe: Em relao manifestao do Gestor encaminhada por meio do Ofcio SE/MP 678/2010, novamente cabe o comentrio sobre impossibilidade de transferncia aos contratados do controle e responsabilidade dos processos de gesto e governana de TI. No que concerne manifestao do Gestor sobre o relatrio preliminar, a configurao da infraestrutura de TI que seria gerida pelo DSTI se refere ao mbito dos itens de configurao dos servios prestados em um contrato especfico, celebrado posteriormente ao perodo da ao de controle e, isoladamente, no constitui um processo corporativo de gesto de configurao. Demais disso, o Gestor no afirmou existir um processo corporativo de gesto de configurao, nem apresentou evidncias da existncia de qualquer dos elementos essenciais desse
14
TC 024.956/2010-4
processo no MP (descrio dos papis envolvidos, das atividades e dos artefatos previstos, tais como base de dados de configurao e ferramenta de gesto de configurao). Dessarte, como declarado inicialmente pelo Gestor, o MP no possui processo de gesto de configurao no contexto da gesto de servios de TI. 2.9.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que implemente processo de gesto de configurao de servios de tecnologia da informao, semelhana das orientaes contidas no Cobit 4.1, processo DS9 Gerenciar configurao e em outras boas prticas de mercado (como ITIL e NBR ISO/IEC 20000). 2.10 Inexistncia de gestor de segurana da informao e comunicaes 2.10.1 Situao encontrada: Por meio do item 7.2 do Anexo I do Ofcio 1-849/2010-Sefti, solicitaram-se informaes acerca da designao formal e evidncias de atuao do gestor de segurana da informao (fl. 22). Da documentao apresentada, a ata da 2 reunio do comit de segurana da informao e comunicaes (CSIC) do rgo menciona que Com a publicao da primeira verso da Posic, ser tambm atribudo o cargo de gestor de segurana... (Anexo 1, fl. 1 do arquivo \8.2 e 8.3\Oficio452nexoI-item8.3\CSIC-2Reuniao.pdf no CD, fl. 18). No entanto, no foram apresentadas evidncias de designao formal nem atuao do gestor de segurana de informao e comunicaes. 2.10.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.10.3 Efeito/Consequncia do achado: a) no otimizao das aes de segurana da informao (efeito potencial). 2.10.4 Critrios: a) Instruo Normativa 1/2008 do Gabinete de Segurana Institucional Presidncia da Repblica, art. 5, inciso IV; art. 7; b) Norma Tcnica Gabinete de Segurana Institucional Presidncia da Repblica Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2; c) Norma Tcnica NBR ISO/IEC 27002, 6.1.3 Atribuio de responsabilidade para segurana da informao. 2.10.5 Evidncias: a) resposta do MP ao questionamento 7.2 do Anexo I do Ofcio 1-849/2010-Sefti (Anexo 1 Principal fl. 18); b) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); c) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.10.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010- SE/MP 678/2010, de 20/12/2010, que estava prevista a publicao da designao do diretor do DSTI para a funo de gestor de segurana da informao e comunicaes (Anexo 1, v. 3 , fl. 684v). Posteriormente, em 4/3/2011, um dos gestores do MP encaminhou mensagem eletrnica (Anexo 1, v. 3, fl. 711) informando que a impropriedade havia sido sanada, por meio da publicao da Portaria SE/MP 56/2011, de 23/2/2011, que designou o diretor do DSTI/SLTI/MP como gestor de segurana da informao e comunicaes no mbito do MP (Anexo 1, v. 3, fl. 712). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da
15
TC 024.956/2010-4
Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), ratificou que a impropriedade havia sido sanada (Anexo 1, v. 6, fl. 1007). 2.10.7 Concluso da equipe: A medida promovida pelo Gestor aps a ao de controle est em conformidade com o disposto na Instruo Normativa GSI/PR 1/2008, art. 5, IV, e art. 7, c/c Norma Complementar 3/IN01/DSIC/GSIPR, item 5.3.7.2, e observa as prticas contidas na NBR ISO/IEC 27.002, item 6.1.3 Atribuio de responsabilidade para segurana da informao, de modo que deixa-se de propor comando Secretaria-executiva do MP quanto a essa questo no presente relatrio. Tendo vista que um dos meios de se atingir o cumprimento tempestivo e eficiente da misso da rea de TI se d a partir do monitoramento dos controles implantados, ser proposta determinao Sefti para que avalie a atuao do gestor de segurana da informao e comunicaes do MP, por ocasio do monitoramento das deliberaes do acrdo que vier a ser proferido. 2.10.8 Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, Secretaria de Fiscalizao de Tecnologia da Informao Sefti que, por ocasio do monitoramento das deliberaes do acrdo que vier a ser proferido, avalie se a atuao do gestor de segurana da informao e comunicaes do MP est em conformidade com o disposto na Instruo Normativa GSI/PR 1/2008, art. 7 2.11 Falhas na poltica de segurana da informao e comunicaes (Posic) 2.11.1 Situao encontrada: Por meio do item 7.1 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 22), o qual faz meno pergunta 7.2 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca da poltica corporativa de segurana da informao (Posic). Como resposta, o Gestor declarou no questionrio que a instituio formalizou aprovou e publicou a Posic do rgo (Anexo 1, fl. 16v) e encaminhou cpia da referida poltica (Anexo 1, fl. 1 do arquivo \8.1\Oficio452nexoIitem8.1_Ref.Quest-item7.2\Posic.pdf no CD, fl. 18). Ocorre que h falhas na Posic/MP, por no conter os seguintes elementos essenciais (referncia a itens da Norma Complementar 03/IN01/DSIC/GSIPR): a) no institui o papel de gestor de segurana da informao e comunicaes e suas responsabilidades (5.3.7.2); b) no estabelece diretrizes gerais sobre auditoria e conformidade, uso de e-mail e acesso internet (5.3.5, letras e, f e g); c) no estabelece competncias e responsabilidades, com procedimentos que definam a estrutura para a gesto da segurana da informao e comunicaes (5.3.7.1); d) no define responsabilidades pela edio de normas especficas, tais como as referentes a penalidades (5.3.6). Apenas menciona genericamente a possibilidade de sanes administrativas, penais e civis por descumprimento ou violao da Posic e a responsabilidade de usurios por atos que comprometam a segurana do sistema da informao (Posic/MP, item 4, inciso V, e item 8, inciso III); e) no estabelece diretrizes gerais sobre tratamento de incidentes de rede (5.3.5, letra b), embora haja disposio no item Regras Gerais prevendo normatizao de procedimentos especficos relacionados ao tema incidentes (Posic/MP, item 6, inciso V); f) no estabelece diretrizes gerais sobre gesto de riscos e controle de acesso (5.3.5, letras c e f). Apenas h a previso de elaborao de procedimentos especficos sobre o primeiro. Para o segundo, no h previso de normas especficas para o tema, mas somente para o tema segurana lgica (Posic/MP, item 6, inciso V); e g) no institui o papel do comit de segurana da informao e comunicaes (CSIC), suas competncias e responsabilidades (item 5.3.7.3), embora a sua publicao (do CSIC) tenha sido enviada como parte da resposta ao item 7.1 anteriormente mencionado. A Posic apenas define
16
TC 024.956/2010-4
o termo CSIC (Posic/MP, item 2, inciso IV) e determina que responsvel por procedimentos especficos (Posic/MP, item 6, inciso V). 2.11.2 Causas da ocorrncia do achado: a) deficincias de controles; b) inexistncia ou insuficincia de gesto de riscos. 2.11.3 Efeitos/Consequncias do achado: a) incompletude das diretrizes mnimas sobre segurana da informao (efeito real); b) falhas nos procedimentos de segurana (efeito potencial). 2.11.4 Critrios: a) Instruo Normativa 1/2008, Gabinete de Segurana Institucional Presidncia da Repblica, art. 5, inciso VII; b) Norma Tcnica Gabinete de Segurana Institucional Presidncia da Repblica Norma Complementar 03/IN01/DSIC/GSIPR; c) Norma Tcnica NBR ISO/IEC 27002, item 5.1 Poltica de segurana da informao. 2.11.5 Evidncias: a) resposta do MP ao item 7.2 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 7.1 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); d) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.11.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010, que foi institudo grupo de trabalho, no mbito do CSIC, com o intuito de elaborar nova verso da poltica de segurana da informao e comunicaes (Anexo 1, v. 3, fl. 684v). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a publicao da Posic revisada, conforme apontamentos do TCU durante a auditoria, estava em fase final de concluso (Anexo 1, v. 6, fl. 1007). 2.11.7 Concluso da equipe: No obstante o MP dispor de uma poltica de segurana da informao e comunicaes (Posic) formalizada (aprovada e publicada), constatou-se que a norma no contempla elementos essenciais, constituindo-se em falhas a serem corrigidas pelo Ministrio. A iniciativa de reviso da Posic do MP informada nas manifestaes do Gestor no foi concluda at o trmino da ao de controle e no pde ser comprovada pela equipe no presente trabalho, o que poder ser realizado em futuro monitoramento das deliberaes do acrdo que vier a ser proferido. 2.11.8 Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, em ateno ao disposto na Instruo Normativa GSI/PR 1/2008, art. 5, VII, adeque a poltica de segurana da informao e comunicaes s prticas contidas na Norma Complementar 3/IN01/DSIC/GSIPR.
17
TC 024.956/2010-4
2.12 Inexistncia de classificao da informao 2.12.1 Situao encontrada: Por meio do item 7.6 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 22), o qual faz meno pergunta 7.1 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca da classificao de informaes para o negcio. Como resposta, o Gestor declarou no questionrio que a instituio no classifica a informao (Anexo 1, fl. 16v) e no encaminhou evidncias correspondentes ao item 7.6 do referido ofcio (Anexo 1, fl. 18). 2.12.2 Causas da ocorrncia do achado: a) deficincias de controles; b) inexistncia ou insuficincia de gesto de riscos. 2.12.3 Efeito/Consequncia do achado: a) risco de divulgao indevida de informao restrita (efeito potencial). 2.12.4 Critrios: a) Decreto 4.553/2002, art. 6, 2, inciso II; art. 67; b) Norma Tcnica NBR ISO/IEC 27002, item 7.2 Classificao da informao. 2.12.5 Evidncias: a) resposta do MP ao item 7.1 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 7.6 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); d) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.12.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010, que o processo de classificao da informao est em elaborao, sob conduo da Coordenao de Documentao e Informao (Codin/CGDAP/SPOA) e acompanhamento pelo comit de segurana da informao e comunicaes do MP (Anexo 1, v.3, fl. 684v). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o comit de segurana da informao e comunicaes do MP em conjunto com a CODIN/CGDAP/SPOA/SE/MP ir elaborar agenda de implementao da poltica de classificao da informao no mbito do Ministrio (Anexo 1, v. 6, fl. 1007). 2.12.7 Concluso da equipe: O MP no possui processo de classificao da informao, a fim de propiciar tratamento diferenciado conforme importncia, criticidade e sensibilidade, no observando o comando do Decreto 4.553/2002 e as boas prticas de segurana da informao do item 7.2 da NBR ISO/IEC 27002. Por oportuno, os comentrios do Gestor no sentido de que o MP ir elaborar agenda de implementao da poltica de classificao da informao no mbito do Ministrio confirmam a necessidade de sua implementao. 2.12.8 Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, em ateno ao disposto no Decreto 4.553/2002, art. 6, 2, II, e art. 67, estabelea critrios de classificao das informaes a fim de que possam ter
18
TC 024.956/2010-4
tratamento diferenciado conforme seu grau de importncia, criticidade e sensibilidade, observando as prticas contidas no item 7.2 da NBR ISO/IEC 27.002. 2.13 Inexistncia de inventrio dos ativos de informao 2.13.1 Situao encontrada: Por meio do item 7.5 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 22), o qual faz meno pergunta 7.1 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do inventrio de ativos de informao. Como resposta, o Gestor declarou no questionrio que a instituio inventaria todos os ativos de informao (dados, hardware, software e instalaes) (Anexo 1, fl. 16v). As evidncias apresentadas incluem apenas um grfico estatstico sobre a distribuio de estaes de trabalho por sistemas operacionais, elaborado pelo software Cacic, um software pblico do governo federal resultante do consrcio de cooperao entre a SLTI/MP e a Dataprev, que realiza captura de informaes de configurao de estaes de trabalho, tais como os tipos de softwares utilizados e licenciados, configuraes de hardware, entre outras informaes (Anexo 1, arquivo \8.5\Captura_de_tela.png no CD, fl. 18). Ocorre que as evidncias no so suficientes para comprovar a realizao de inventrio de ativos, uma vez que a mera instalao da ferramenta Cacic no significa que as informaes obtidas pela ferramenta estejam sendo utilizadas para a realizao de um inventrio de ativos de informao. Ademais, verifica-se que as informaes fornecidas pela ferramenta Cacic abrangem apenas ativos fsicos e de software (informaes das estaes de trabalho), no contemplando ativos de informao propriamente ditos, segundo o item 7.1.1 da NBR ISO/IEC 27002, tais como base de dados e arquivos, contratos e acordos, documentao de sistema, procedimentos de suporte ou operao, planos de continuidade do negcio, procedimentos de recuperao etc. Alm disso, a ferramenta no fornece algumas das informaes necessrias que permitem recuperar o ativo de um desastre, tais como: a) tipo do ativo; b) formato; c) informaes sobre cpia de segurana; d) a importncia do ativo para o negcio, e no identifica os responsveis por esses ativos. Por fim, cumpre ressaltar ainda que o prprio diagnstico do PDTI do Ministrio alerta sobre a necessidade de padronizao de servios de infraestrutura, incluindo inventrio do parque, realizado de forma automtica e sistmica (Anexo 1, fl. 91). 2.13.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.13.3 Efeito/Consequncia do achado: a) dificuldade de recuperao de ativo de informao (efeito potencial). 2.13.4 Critrios: a) Norma Tcnica NBR ISO/IEC 27002, item 7.1.1 inventrio de ativos; b) Norma Tcnica Gabinete de Segurana Institucional Presidncia da Repblica Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1. 2.13.5 Evidncias: a) resposta do MP ao item 7.1 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 7.5 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) PDTI-MP, Anexo I da Nota Tcnica DSTI/SLTI/MP 173/2010 (Anexo 1 Principal fls. 89-91); d) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); e) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.13.6 Esclarecimentos dos responsveis:
19
TC 024.956/2010-4
Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010, que o Ministrio est utilizando em todas as estaes de trabalho de sua rede o software Cacic, no apresentando informaes adicionais (Anexo 1, v.3, fl. 684). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o uso do software Cacic est sob gesto do DSTI/SLTI/MP e que foi criada rotina para tratamento dos relatrios gerados pela ferramenta. Acrescentou que os procedimentos de recuperao dos ativos de hardware e software passaram a ser conduzidos pela equipe de tratamento e resposta a incidentes de redes computacionais (ETRI) do MP, constituda em 25/3/2011 (Anexo 1, v. 6, fl. 1007). 2.13.7 Concluso da equipe: As informaes fornecidas pela ferramenta Cacic usada pelo MP abrangem apenas ativos fsicos e de software (informaes das estaes de trabalho), no contemplando ativos de informao propriamente ditos. O Cacic tambm no oferece as informaes necessrias que permitem recuperar o ativo de um desastre. Em face do exposto, o MP no realiza inventrio de seus ativos de informao, dificultando o controle e a recuperao desses ativos. Quanto iniciativa de recuperao dos ativos de hardware e software, mencionada pelo Gestor nos comentrios ao relatrio preliminar, no h informao acerca de como esse procedimento seria realizado. Alm disso, essa iniciativa se iniciou aps a ao de controle, no podendo ser comprovada pela equipe no presente trabalho, o que poder ser realizado em futuro monitoramento das deliberaes do acrdo que vier a ser proferido. 2.13.8 Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, em ateno ao disposto na Instruo Normativa GSI/PR 1/2008, art. 5, VII, c/c Norma Complementar 4/IN01/DSIC/GSIPR, item 5.2.1, estabelea procedimento de inventrio de ativos de informao, de maneira que todos os ativos de informao sejam inventariados e tenham um proprietrio responsvel, observando as prticas contidas no item 7.1 da NBR ISO/IEC 27.002. 2.14 Inexistncia de processo de gesto de riscos de segurana da informao (GRSIC) 2.14.1 Situao encontrada: Por meio do item 7.7 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 22), o qual faz meno pergunta 7.1 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca da gesto de riscos de segurana da informao e comunicaes em vigor. Como resposta, o Gestor declarou no questionrio que a instituio no analisa riscos aos quais a informao crtica para o negcio est submetida, considerando, pelo menos, confidencialidade, integridade e disponibilidade (Anexo 1, fl. 16v) e no encaminhou evidncias correspondentes ao item 7.7 do referido ofcio. Cumpre salientar que o item 6, inciso II, da Posic/MP menciona que a gesto de riscos deve ser considerada como critrio para a confidencialidade, integridade, disponibilidade e autenticidade das informaes, servios, sistemas de informao e recursos computacionais (Anexo 1, arquivo \8.1\Oficio452nexoI-item8.1_Ref.Quest-item7.2\Posic.pdf no CD, fl. 18). 2.14.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.14.3 Efeito/Consequncia do achado: a) desconhecimento das ameaas e dos respectivos impactos relacionados segurana da informao (efeito real). 2.14.4 Critrios:
20
TC 024.956/2010-4
a) Instruo Normativa 1/2008, Gabinete de Segurana Institucional Presidncia da Repblica, art. 5, inciso VII; b) Norma Tcnica Gabinete de Segurana Institucional Presidncia da Repblica Norma Complementar 04/IN01/DSIC/GSIPR; c) Norma Tcnica ITGI Cobit 4.1, PO9.4 Avaliao de riscos; d) Norma Tcnica NBR 27005 Gesto de riscos de segurana da informao. 2.14.5 Evidncias: a) resposta do MP ao item 7.1 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) Posic/MP (Anexo 1, arquivo \8.1\Oficio452nexoI-item8.1_Ref.Questitem7.2\Posic.pdf no CD, fl. 18) (Anexo 1 Principal fl. 18); c) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); d) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.14.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010, que a gesto de riscos de segurana da informao est em discusso no mbito do comit de segurana da informao e comunicaes do Ministrio (Anexo 1, v.3, fl. 684v). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a gesto de riscos de segurana da informao realizada desde julho de 2010 pelo Centro de Tratamento e Resposta a Ataques na Rede do MP Cetra, institudo formalmente pela Portaria SLTI 13/2011, e acompanhada pelo comit de segurana da informao e comunicaes do Ministrio (Anexo 1, v. 6, fl. 1007). 2.14.7 Concluso da equipe: Em que pese o Gestor ter manifestado nos comentrios ao relatrio preliminar que o MP realiza gesto de riscos de segurana da informao desde julho de 2010, no foram apresentadas evidncias de qualquer dos elementos essenciais de um processo de gesto de riscos de segurana da informao (descrio dos papis envolvidos no GRSIC, bem como atividades e artefatos previstos, tais como plano de anlise e avaliao de risco ou plano de tratamento de riscos). Ademais, o Gestor j havia manifestado aps a apresentao dos resultados da auditoria, que a gesto de riscos de segurana da informao estava apenas em discusso no mbito do comit de segurana da informao e comunicaes do Ministrio. Portanto, ante a contradio nas manifestaes e ausncia de evidncias em contrrio, conclui-se que o MP no dispe de processo de gesto de riscos de segurana da informao e comunicaes. Por oportuno, registra-se que a instituio do Cetra no MP, em 25/3/2011, evidencia adoo de medida que poder contribuir para a realizao da gesto de riscos de segurana da informao no Ministrio. 2.14.8 Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, em ateno ao disposto na Instruo Normativa GSI/PR 1/2008, art. 5, VII, c/c Norma Complementar 4/IN01/DSIC/GSIPR, implemente processo de gesto de riscos de segurana da informao. 2.15 Falhas na equipe de tratamento e resposta a incidentes em redes computacionais (ETRI)
21
TC 024.956/2010-4
2.15.1 Situao encontrada: Por meio do item 7.8 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 22), o qual faz meno pergunta 7.1 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca da existncia de uma equipe de tratamento e resposta a incidentes em redes computacionais (ETRI). Como resposta, o Gestor declarou gerenciar os incidentes de segurana da informao (Anexo 1, fl. 16v). Os documentos apresentados evidenciam que a ETRI do MP, chamada de Cetra.MP, foi criada (Anexo 1, fls. 92/95; 100) e est em atuao (Anexo 1, arquivo \8.8\Oficio452nexoIitem8.8_Ref.Quest-item7.2\folder cetra_20100721.pdf no CD, fl. 18; fls. 96-99). Todavia, sua criao no havia sido formalizada. 2.15.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.15.3 Efeito/Consequncia do achado: a) falhas relativas s notificaes e s atividades relacionadas a incidentes de segurana em redes de computadores (efeito potencial). 2.15.4 Critrios: a) Instruo Normativa 1/2008, Gabinete de Segurana Institucional Presidncia da Repblica, art. 5, inciso V; b) Norma Tcnica Gabinete de Segurana Institucional Presidncia da Repblica Norma Complementar 05/IN01/DSIC/GSIPR. 2.15.5 Evidncias: a) resposta do MP ao item 7.1 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 7.8 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) cpia de documento, no formalizado, de criao da ETRI, Anexo II da Nota Tcnica DSTI/SLTI/MP 173/2010 (Anexo 1 Principal fls. 92-95; 100); d) ata da 2 reunio do CSIC, Anexo II da Nota Tcnica DSTI/SLTI/MP 173/2010 (Anexo 1 Principal fls. 95-98); e) informaes do Comit de Segurana da Informao e Comunicaes do MP (Anexo 1 Principal fl. 99); f) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); g) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010); h) Ofcio SLTI/MP 1113/2011, que encaminhou documentos em complementao ao Ofcio SE/MP 152/2011 (Anexo 1 Volume 6 fls. 1011-1054). 2.15.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010, que a publicao da ETRI estava em trmite interno (Anexo 1, v.3, fl. 684v). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a ETRI do MP existe desde julho/2010 e sua formalizao foi realizada pela Portaria 13, de 25 de maro de 2011 (Anexo 1, v. 6, fls. 1007; 1013). 2.15.7 Concluso da equipe: Conquanto existam evidncias da existncia e estruturao da ETRI do MP, ela foi formalmente constituda somente aps a ao de controle.
22
TC 024.956/2010-4
A medida promovida pelo Gestor abrange a proposta sugerida no relatrio preliminar, atendendo ao disposto na Instruo Normativa GSI/PR 1/2008, art. 5, V, e observando as prticas contidas na Norma Complementar 5/IN01/DSIC/GSIPR, motivo pelo qual, deixa-se de propor comando Secretaria-executiva do MP quanto a essa questo no presente relatrio. Tendo em vista que um dos meios de se atingir o cumprimento tempestivo e eficiente da misso da rea de TI se d a partir do acompanhamento dos controles implantados, ser proposta determinao Sefti para que avalie a atuao da ETRI do MP, por ocasio do monitoramento das deliberaes do acrdo que vier a ser proferido. 2.15.8 Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, Secretaria de Fiscalizao de Tecnologia da Informao Sefti que, por ocasio do monitoramento das deliberaes do acrdo que vier a ser proferido, avalie a conformidade da atuao da equipe de tratamento e resposta a incidentes em redes computacionais do MP com o disposto na Norma Complementar 05/IN01/DSIC/GSIPR. 2.16 Inexistncia de plano anual de capacitao 2.16.1 Situao encontrada: Por intermdio dos itens 8.2 e 8.4 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 22), os quais fazem meno pergunta 6.3 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do processo de capacitao de profissionais de TI. Como resposta, o Gestor declarou no questionrio que a instituio elabora e executa um plano de capacitao para atender s necessidades de capacitao em gesto de TI (Anexo 1, fl. 16v). Quatro setores do rgo encaminharam evidncias: a) DSTI: encaminhou um plano anual de capacitao do DSTI para 2010 (Anexo 1, fls. 102-119); b) SOF: encaminhou um plano de capacitao anual (PCA) constitudo de apenas uma lista de cursos e quantidade de vagas (Anexo 1, arquivo \9.4\SOF 9.4.odt no CD, fl. 18); c) SPU: afirmou que no existe um plano formal de capacitao de funcionrios de TI para o setor (Anexo 1, arquivo \9.2\SPU 9.odt no CD, fl. 18); e d) Seges: afirmou que no conta com um plano anual de capacitao especfico para seus profissionais de tecnologia da informao (Anexo 1, arquivo \9.4\ SEGES resposta tcu 9.4.odt no CD, fl. 18). Tambm foi recebido relatrio de execuo de capacitaes que no identifica o perodo a que se refere (Anexo 1, fls. 120-129) nem o plano de capacitao a que se refere. Nenhum dos documentos acima, nem a unio deles, corresponde ao previsto no Decreto 5.707/2006, arts. 5 e 2, c/c Portaria MP 208/2006, art. 2, I, e art. 4 2.16.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.16.3 Efeitos/Consequncias do achado: a) no otimizao do potencial dos recursos humanos (efeito potencial); b) desatualizao do quadro de pessoal em termos de conhecimento/capacitao (efeito potencial). 2.16.4 Critrios: a) Decreto 5.707/2006, art. 5, 2; b) Norma Tcnica ITGI Cobit 4.1, PO7.2 Competncias Pessoais; c) Norma Tcnica ITGI Cobit 4.1, PO7.4 Treinamento do Pessoal; d) Portaria 208/2006, Ministrio do Planejamento, art. 2, inciso I; art. 4 2.16.5 Evidncias: a) cpia de plano anual de capacitao do DSTI, Anexo III da Nota Tcnica DSTI/SLTI/MP 173/2010 (Anexo 1 Principal fls. 102-119);
23
TC 024.956/2010-4
b) cpia de relatrio de execuo de um plano de capacitao, constante do anexo III da Nota Tcnica DSTI/SLTI/MP 173/2010 (Anexo 1 Principal fls. 120-129); c) resposta do MP ao item 6.3 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); d) resposta do MP aos questionamentos 8.2 e 8.4 do Anexo I do Ofcio 1-849/2010Sefti. (arquivos em CD) (Anexo 1 Principal fl. 18); f) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); e) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.16.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP, por meio do Anexo 2 do Ofcio SE/MP 678/2010, trouxe aos autos um relatrio, elaborado pela SPOA/SE/MP, por unidade administrativa do Ministrio, contendo as capacitaes realizadas com e sem nus em 2010 (Anexo 1, v. 3, fls. 687-710), mas no um plano anual de capacitao para o ano de 2010. Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a SPOA encaminha anualmente SRH/MP o relatrio do plano anual de capacitao para o exerccio seguinte, bem como o relatrio de execuo do plano de capacitao do exerccio corrente. Acrescentou que, para o exerccio de 2011, a SRH/MP determinou, por intermdio do SIPEC, que fosse respondido questionrio diretamente em seu portal eletrnico (Anexo 1, v. 6, fl. 1007). 2.16.7 Concluso da equipe: Embora o Gestor da Secretaria-executiva do MP tenha manifestado que anualmente elaborado plano anual de capacitao para o exerccio seguinte, no apresentou evidncias da existncia do plano anual de capacitao de 2010. Dessarte, o MP no apresentou plano anual de capacitao do rgo como um todo, nos moldes preconizados pelo Decreto 5.707/2006, arts. 5 e 2 c/c Portaria MP 208/2006, art. 2, I, e art. 4, criando o risco de no otimizar o potencial de recursos humanos disponveis e desatualizar o quadro de pessoal em termos de conhecimento. 2.16.8 Propostas de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, em ateno s disposies contidas no Decreto 5.707/2006, art. 5, 2, c/c Portaria MP 208/2006, art. 2, I, e art. 4, elabore plano anual de capacitao. Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, quando elaborar o plano anual de capacitao, contemple aes de capacitao voltadas para a gesto de tecnologia da informao, semelhana das prticas contidas no Cobit 4.1, processos PO7.2 Competncias Pessoais e PO7.4 Treinamento do Pessoal. 2.17 Auditoria interna no apoia avaliao da TI 2.17.1 Situao encontrada: Por meio do item 9.2 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 22), o qual faz meno pergunta 1.4 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do processo de monitorao do desempenho da gesto e do uso da TI, em particular sobre a realizao de auditorias de TI por iniciativa da prpria instituio nos ltimos trs anos. Como resposta, o Gestor declarou no questionrio que a instituio realizou auditorias de segurana da informao nos ltimos trs anos (Anexo 1, fl. 15v). Como evidncia, encaminhou
24
TC 024.956/2010-4
relatrios de 2009, expedidos pela Coordenao Geral de Tecnologia da Informao (CGTI), rea de TI existente anteriormente publicao do Decreto 7.063/2010 (Anexo 1, arquivos da pasta \10.2\Oficio452nexoI-item10.2_Ref.Quest-item1.4 no CD, fl. 18). Os documentos apresentados evidenciam avaliaes realizadas pelos prprios gestores, prtica conhecida por controle de auto-avaliao (do ingls Control Self Assessement CSA), e no evidenciam apoio da auditoria interna aos trabalhos realizados. 2.17.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.17.3 Efeito/Consequncia do achado: a) deficincias na governana de TI, gesto de riscos e controles internos (efeito real, evidenciado pelos achados descritos neste relatrio). 2.17.4 Critrio: a) Norma Tcnica ITGI Cobit 4.1, E2 Monitorar e avaliar os controles internos. 2.17.5 Evidncias: a) resposta do MP ao item 1.4 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 9.2 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); d) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.17.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010, que a estrutura regimental do Ministrio, aprovada pelo Decreto 7.063/2010, no prev a realizao de auditoria pela SLTI, nem por outra unidade/entidade do Ministrio (Anexo 1, v.3, fl. 686). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), mencionou que a Controladoria Geral da Unio (CGU) realizou vrias auditorias nos ltimos anos, inclusive com diversas recomendaes que foram incorporadas ao Contrato 74/2010, celebrado com o Serpro (Anexo 1, v. 6, fl. 1007v). 2.17.7 Concluso da equipe: Em que pese o Gestor do MP afirmar que houve auditorias realizadas pelo rgo responsvel pela auditoria interna do MP, a CGU, com incorporao de recomendaes no Contrato 74/2010, no foram trazidas aos autos evidncias da afirmao. Ademais, no se pde evidenciar, segundo as informaes constantes dos autos, que a CGU apoia a avaliao da TI do Ministrio. Registre-se que as boas prticas internacionais (The Institute of Internal Auditors IIA, The International Organisation of Supreme Audit Institutions Intosai, dentre outros) preconizam que a Auditoria Interna um instrumento que deve ser utilizado pelos gestores para avaliar seus processos de governana, riscos e controles internos, incluindo-se na avaliao do processo de governana a avaliao do alcance das metas atribudas gesto da tecnologia da informao. Nas informaes constantes dos autos, no se pde evidenciar a existncia de metas atribudas gesto da tecnologia da informao do MP. Houve uma boa prtica dos gestores do MP ao praticar, em alguma medida, o controle de auto-avaliao.
25
TC 024.956/2010-4
2.17.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que promova aes para que a auditoria interna apoie a avaliao da TI, semelhana das orientaes contidas no Cobit 4.1, ME2 Monitorar e avaliar os controles internos. 2.18 Falhas na avaliao da gesto de TI 2.18.1 Situao encontrada: Por meio do item 9.1 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 22), o qual faz meno pergunta 1.2 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do processo de monitorao do desempenho da gesto e do uso da TI, em particular sobre a atuao da alta administrao no desempenho organizacional da gesto e do uso da TI. O Gestor respondeu no questionrio (Anexo 1, fl. 15) que: a) estabeleceu objetivos (diretrizes) de desempenho de gesto e de uso corporativos de TI; b) recebe e avalia regularmente informaes sobre o desempenho relativo gesto e ao uso corporativos de TI. Como evidncias, o Gestor encaminhou relatrios de auditoria anual de contas e relatrios de gesto de algumas das reas do MP, todos do exerccio de 2008 (Anexo 1, arquivos da pasta \10.1\ no CD, fl. 18). Os relatrios de auditoria de contas no tratam de gesto de TI e os relatrios de gesto incluem atividades executadas pela gesto de TI, o que evidencia um acompanhamento a posteriori das aes realizadas, mas no uma avaliao da gesto de TI como preconizam as boas prticas, por conta da ausncia de elementos essenciais, tais como: definio de indicadores e metas da gesto da TI; realizao de avaliao propriamente dita da gesto de TI, materializada por relatrios de desempenho que avaliem o alcance ou no das metas estipuladas; e determinao de aes corretivas, caso necessrio. 2.18.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.18.3 Efeitos/Consequncias do achado: a) dificuldades de identificao de possibilidades de melhoria da gesto de TI (efeito potencial); b) dificuldades de identificao de problemas nos servios de TI (efeito potencial); c) decises gerenciais baseadas em informaes incompletas ou errneas (efeito potencial). 2.18.4 Critrios: a) Norma Tcnica ITGI Cobit 4.1, ME1.5 Relatrios gerenciais; b) Norma Tcnica ITGI Cobit 4.1, ME1.4 Avaliar o desempenho; c) Norma Tcnica ITGI Cobit 4.1, ME1.6 Aes corretivas; d) Norma Tcnica ITGI Cobit 4.1, ME2 Monitorar e avaliar os controles internos. 2.18.5 Evidncias: a) resposta do MP ao item 1.2 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 9.1 do Anexo I do Ofcio 1-849/2010-Sefti. (arquivos em CD) (Anexo 1 Principal fl. 18); c) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); d) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.18.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios
26
TC 024.956/2010-4
utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010, que as falhas da avaliao da gesto da TI esto relacionadas a falhas no contedo do PDTI do Ministrio, notadamente a inexistncia de indicadores de desempenho. Afirmou ainda que estava em elaborao o PDTI para 2011, com a previso de incluso de indicadores de desempenho para as equipes definidas no novo organograma proposto para a TI do MP (Anexo 1, v. 3,fl. 685). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o PDTI do MP estava sendo revisado visando contemplar as recomendaes do TCU (Anexo 1, v. 6, fl. 1007v). 2.18.7 Concluso da equipe: O MP apresenta falhas na avaliao de sua gesto de TI, pela ausncia de elementos essenciais, tais como mencionado ao final do item 2.18.1. Essas falhas dificultam a identificao de possibilidades de melhoria na gesto de TI, o que pode conduzir a decises gerenciais baseadas em informaes incompletas ou errneas. O processo de reviso do PDTI do MP para 2011, citado pelo Gestor nos comentrios ao relatrio preliminar, ainda estava em andamento aps a ao de controle, e, portanto, seus resultados no puderam ser comprovados pela equipe no presente trabalho, o que poder ser realizado, em futuro monitoramento das deliberaes do acrdo que vier a ser proferido. 2.18.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que aperfeioe o processo de avaliao da gesto de TI, semelhana das orientaes contidas no Cobit 4.1, itens ME1.4 Avaliao de desempenho, ME1.5 Relatrios gerenciais, ME1.6 Aes corretivas e ME2 Monitorar e avaliar os controles internos. 2.19 Falhas nos controles que promovam o cumprimento da Instruo Normativa SLTI/MP 4/2008 2.19.1 Situao encontrada: Por meio do item 10 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 23), o qual faz meno pergunta 7.10 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do processo de contratao de bens e servios de TI, incluindo informar se h controles no rgo que promovam o cumprimento da Instruo Normativa SLTI/MP 4/2008, com a apresentao de evidncias de que este controle utilizado e monitorado. Como resposta, o Gestor afirmou que as aquisies de TI esto centralizadas no DSTI, que monitora os processos de contrataes de TI (Anexo 1, arquivo \11.2\Item 11.2 no CD, fl. 18). Em adio, encaminhou um documento referente ao planejamento da contratao de servidores e equipamentos de armazenamento para a SOF e um fluxograma de um escritrio de aquisies de tecnologia da informao (Anexo 1, arquivos da pasta \11.1\ no CD, fl. 18). Dessa forma, por meio dos itens 1 e 2 do Ofcio de Requisio 3-849/2010-Sefti (fl. 26), a equipe de auditoria solicitou as seguintes informaes adicionais: 1) cpia de documento formal que expresse as atribuies do escritrio de aquisies, bem como descrio de sua localizao na estrutura organizacional no MP; e 2) descrio dos controles existentes no rgo para promover o cumprimento do processo de planejamento de contrataes de bens e servios de TI de acordo com o disposto na Instruo Normativa SLTI/MP 4/2008, identificando as etapas realizadas, os modelos de documentos produzidos e as reas responsveis por sua realizao. Como resposta ao novo ofcio, o Gestor: a) informou que a proposta para a criao de uma estrutura de escritrio de projetos de aquisies, numa parceria do DSTI com a Universidade de Braslia (UnB), encontrava-se em andamento e, para atender ao disposto no Decreto 7.063/2010, encontrava-se em fase de
27
TC 024.956/2010-4
estruturao uma equipe interna no sentido do exerccio da competncia do DSTI de aprovar as proposies para aquisio de bens e servios de informtica (Anexo 1, fl. 138), encaminhando; b) fluxo do processo de aquisio do DSTI (Anexo 1, fls. 139-145); e c) documentos relativos a um processo de planejamento de aquisio de rack para servidores (Anexo 1, fls. 146-163). Quanto ao escritrio de aquisies, verifica-se que a proposta para a sua criao encontrava-se em andamento, at a poca da concluso dos trabalhos de campo, conforme resposta do Gestor (Anexo 1, fl. 138), denotando que o escritrio de projetos no estava formalmente criado dentro da estrutura organizacional do DSTI. Quanto s demais evidncias apresentadas, se referem aplicao de controles no planejamento de contrataes especficas, o que no demonstra que tais controles estejam formalizados e sejam aplicados no processo de contratao de bens e servios de TI do rgo. Ademais, mesmo se coubesse anlise somente no escopo dos referidos planejamentos de contrataes, cumpre destacar que a aplicao dos controles foi insuficiente, visto que os documentos de anlise de viabilidade da contratao desses planejamentos no identificam os benefcios que sero alcanados com a efetivao da contratao em termos de eficcia, eficincia, efetividade e economicidade (Anexo 1, fls. 7-17 do arquivo \11.1\PLANEJAMENTO_CONTRATACAO_SOF Servidores v2.odt no CD, fl. 18; 159v-162). 2.19.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.19.3 Efeito/Consequncia do achado: a) falhas no cumprimento do processo de planejamento previsto na IN SLTI/MP 4/2008 (efeito real, conforme achado relatado adiante). 2.19.4 Critrio: a) Instruo Normativa SLTI/MP 4/2008, art. 10. 2.19.5 Evidncias: a) resposta do MP ao item 7.10 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 10 do Anexo I do Ofcio 1-849/2010-Sefti. (arquivos em CD) (Anexo 1 Principal fl. 18); c) definio das atribuies do escritrio de aquisies, integrante do Anexo I da Nota Tcnica DSTI/SLTI/MP 174/2010 (Anexo 1 Principal fls. 138-145); d) documentos referentes a processos de aquisio de bens de TI, como o fluxo do processo de aquisio, Anexo II da Nota Tcnica DSTI/SLTI/MP 174/2010 (Anexo 1 Principal fls. 139-163); e) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); f) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.19.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010, que estava em andamento projeto de aprimoramento e descrio do processo de trabalho do escritrio de aquisies de TI (Anexo 1, v. 3, fl. 685). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que foi iniciado em maro de 2011 projeto
28
TC 024.956/2010-4
de definio de metodologia, processos e controles no mbito do escritrio de aquisies em TI, a ser formalizado na estrutura organizacional do DSTI/SLTI/MP (Anexo 1, v. 6, fl. 1007v). 2.19.7 Concluso da equipe: H falhas nos controles que promovam o cumprimento da Instruo Normativa SLTI/MP 4/2008, uma vez que as evidncias apresentadas ora se referem a processos de planejamento de contrataes especficas de bens de TI com falhas, no demonstrando que os controles foram formalizados, ora se referem a um fluxo de processo de aquisies de um escritrio de aquisies do DSTI, cujo processo de criao ainda estaria em andamento durante a ao de controle. O projeto citado pelo Gestor iniciou-se aps a ao de controle, de modo que seus resultados, no tocante ao aperfeioamento dos controles que promovam o cumprimento da Instruo Normativa SLTI/MP 4/2008, no puderam ser comprovados pela equipe de auditoria no presente trabalho, o que poder ser realizado em futuro monitoramento das deliberaes do acrdo que vier a ser proferido. 2.19.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que aperfeioe os controles destinados a promover o cumprimento do processo de planejamento previsto na Instruo Normativa SLTI/MP 4/2010. 2.20 Inexistncia dos estudos tcnicos preliminares 2.20.1 Situao encontrada: O projeto bsico do Contrato 45/2005 informa que o MP responsvel por diversos sistemas de gesto administrativa do governo federal e que, devido ausncia de quadros especializados no Ministrio, a contratao dos servios com o Serpro traria segurana, por ser a empresa reconhecida por operar com elevados requisitos nesse sentido. Declara ainda que a contratao se justificaria para evitar o risco de perda de continuidade da gesto de processos estratgicos e para possibilitar a integrao dos sistemas existentes no mbito do MP, haja vista que os servios j eram prestados pelo Serpro, de forma continuada, tambm por dispensa de licitao (Anexo 2, fls. 6-7). Quanto aos pressupostos de segurana da informao, argumenta-se, de plano, que no constam dos autos estudos que demonstrem que somente o Serpro poderia satisfazer tais requisitos de segurana. Nesse sentido, h servios dentre os contratados, como o de provimento de infraestrutura de redes, que poderiam ser licitados, desde que positivadas clusulas de segurana que garantissem a disponibilidade, integridade, confidencialidade e no repdio da informao. No que tange ao dimensionamento dos servios, constam dos autos analisados somente as quantidades a serem contratadas, informadas no projeto bsico (Anexo 2, fls. 29-31) e na proposta comercial do Serpro (Anexo 2, fls. 128; 136; 142; 154; 160; 164; 168; 170; 172v; 174; 175v; 180v), sem que haja memria de clculo que as justifique. Tambm no h nos autos analisados demonstrativo de resultados a serem alcanados com a referida contratao, em termos de economicidade e de melhor aproveitamento dos recursos humanos, materiais ou financeiros disponveis. Assim, por intermdio dos itens 1 e 2.a) do Ofcio de Requisio 4-849/2010-Sefti (fl. 27), a equipe de auditoria solicitou a apresentao de estudos tcnicos preliminares elaborao do projeto bsico, conforme preconiza a Lei 8666/1993, art. 6, IX, a exemplo do demonstrativo de resultados na forma do disposto no Decreto 2.271/1997. Em resposta, o Gestor da Subsecretaria de Planejamento, Oramento e Gesto do MP declarou que: a) os servios objeto do Contrato 45/2005 no se tratavam de servios novos que ensejariam a realizao de estudos tcnicos preliminares, e sim a continuidade de servios que j vinham sendo prestados pelo Serpro, mas que mesmo assim, a SLTI havia promovido avaliao tcnica global dos servios, a qual contm elementos/informaes para sustentao do projeto bsico (Anexo 1, fl. 198), encaminhando o documento (Anexo 1, v. 1, fls. 205-206), que j constava dos presentes autos (Anexo 2, fls. 100v-101);
29
TC 024.956/2010-4
b) os servios de informtica previstos no Decreto 2.271/1997 privilegiam o simples pagamento da mo de obra e os servios contratados com o Serpro, por serem baseados na entrega de produtos, no esto sujeitos aos dispositivos mencionados no citado Decreto (Anexo 1, fls. 198199). Quanto ao item a da manifestao do Gestor, destaca-se que: 1) o fato de os servios j estarem sendo prestados pela contratada no mbito de contratos anteriores no exime o rgo da realizao dos estudos tcnicos preliminares; 2) a anlise da SLTI foi realizada posteriormente elaborao do projeto bsico e aborda aspectos acerca da justificativa para a escolha da empresa (Anexo 1, v. 1, fl. 205), j tratados no projeto bsico (Anexo 2, fls. 6-7), no contemplando as justificativas da necessidade e do dimensionamento dos servios, nem demonstrativo dos resultados a serem alcanados. O item b da manifestao do Gestor tambm no prospera, haja vista que o citado Decreto no especifica que os servios de informtica elencados em seu art. 1, 1, privilegiem o simples pagamento da mo de obra, e, em sentido inverso manifestao do Gestor, o multicitado Decreto dispe que: a) vedada a incluso de dispositivos contratuais que permitam a caracterizao exclusiva do objeto como fornecimento de mo de obra (art. 4, II); b) sempre que a prestao do servio puder ser avaliada por unidade quantitativa de servio, esta ser utilizada na aferio dos resultados (art. 3, 1), situao na qual se enquadram os servios objeto do referido contrato. 2.20.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.20.3 Efeitos/Consequncias do achado: a) risco da ocorrncia de aquisies ou contrataes que no atendam necessidade do rgo (efeito potencial); b) falhas no termo de referncia ou projeto bsico (efeito real, conforme achado relatado adiante). 2.20.4 Critrio: a) Lei 8.666/1993, art. 6, inciso IX. 2.20.5 Evidncias: a) projeto bsico do Contrato 45/2005 (Anexo 2 Principal fls. 6-99); b) Nota Informativa GAB/SPOA/MP 2/2010 (Anexo 1 Principal fls. 197-203); c) Anexo I da Nota Informativa GAB/SPOA/MP 2/2010 (Anexo 1 Volume 1 fls. 204-206); d) Nota Tcnica SLTI/MP s/n, de 17/10/2005 (Anexo 2 Principal fls. 100v-101); e) proposta comercial do Serpro (Anexo 2 Principal fls. 102-180); f) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.20.6 Esclarecimentos dos responsveis: Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o contrato analisado foi celebrado antes da vigncia da Instruo Normativa SLTI/MP 4/2008 e, portanto, no previa a existncia dos estudos tcnicos preliminares. Acrescentou que o Contrato 74/2010 substituiu o contrato 45/2005 e atende plenamente a referida instruo (Anexo 1, v. 6, fl. 1007v). 2.20.7 Concluso da equipe: Embora o processo administrativo mencione a necessidade de prestao dos servios de TI, no apresenta estudos que a demonstrem. Alm disso, no consta do referido processo ou dos documentos contidos na manifestao do Gestor justificativa quanto quantidade dos servios a
30
TC 024.956/2010-4
serem contratados, nem demonstrao dos resultados a serem alcanados em termos de economicidade e de melhor aproveitamento dos recursos disponveis, o que desatende ao disposto no Decreto 2.271/1997, incisos II e III, ao qual o Contrato 45/2005 est sujeito. A elaborao do projeto bsico deveria ter sido baseada em estudos tcnicos preliminares, conforme preconiza a Lei 8.666/1993, em seu art. 6, inciso IX, uma vez que o dispositivo deve ser seguido independentemente da data de vigncia da Instruo Normativa SLTI/MP 4/2008. Os estudos tcnicos preliminares devem trazer elementos que evidenciem viabilidade tcnica e possibilite a avaliao do custo contratual, dentre outros. Como exemplo de contedo esperado dos estudos tcnicos preliminares, podemos citar o previsto na etapa de anlise da viabilidade da contratao, definido pelo art. 10 da Instruo Normativa SLTI/MP 4/2008. Dessa forma, ressalta-se que a elaborao dos estudos tcnicos preliminares est prevista desde a vigncia da Lei 8.666/1993, art. 6, inciso IX, e no somente para contratos posteriores ao advento da Instruo Normativa SLTI/MP 4/2008. Como consta desse relatrio encaminhamento no sentido de determinar que o MP estabelea controles que garantam a produo dos artefatos previstos na instruo normativa, no mbito de seus processos de contratao de servios de TI, ser proposto apenas dar cincia SE/MP sobre a ausncia de estudos tcnicos preliminares ao projeto bsico referente ao Contrato 45/2005, decorrente do descumprimento do inciso IX, art. 6, da Lei 8.666/1993. 2.20.8 Proposta de encaminhamento: Dar cincia Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto sobre a ausncia de estudos tcnicos preliminares elaborao do projeto bsico referente ao Contrato 45/2005, o que afronta o disposto na Lei 8.666/1993, art. 6, IX. 2.21 Falhas no cumprimento do processo de planejamento de acordo com a Instruo Normativa SLTI/MP 4/2008 2.21.1 Situao encontrada: Foram realizados testes substantivos no Contrato 58/2009 (anexo 3, v. 1, fls. 294-305), celebrado com a empresa Calandra Solues S.A. em 1/1/2009, por inexigibilidade de licitao, amparada no caput do art. 25 da mesma lei, com o objetivo de avaliar o cumprimento do processo de planejamento de acordo com a Instruo Normativa SLTI/MP 4/2008, e constatadas as seguintes impropriedades: a) a anlise de riscos no levou em considerao as informaes obtidas durante a etapa de elaborao da estratgia da contratao, pois o documento referente estratgia da contratao (Anexo 3, v.1, fl. 222-231) foi elaborado posteriormente (setembro de 2009) ao documento de anlise de riscos da contratao (julho de 2009) (Anexo 3, fls. 14-15); b) falhas no contedo do documento sobre estratgia da contratao, tais como: emprego do indicador Horas (Anexo 3, v.1, fl. 223) para mensurar nmero de solicitaes realizadas/nmero de solicitaes atendidas para o servio de suporte remoto; contedo da seo Critrio Tcnicos de Julgamento da Proposta (Anexo 3, v. 1, fl. 231) versando apenas sobre a indicao de gestor do contrato; c) o documento versando sobre anlise de riscos no foi assinado pelo gestor do contrato (Anexo 3, fl. 15), o qual teve sua indicao como gestor realizada no mesmo dia da data do documento (Anexo 3, fl. 16). 2.21.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.21.3 Efeitos/Consequncias do achado: a) risco da ocorrncia de aquisies ou contrataes que no atendam necessidade do rgo (efeito potencial); b) falhas no termo de referncia ou projeto bsico (efeito potencial). 2.21.4 Critrio: a) Instruo Normativa SLTI/MP 4/2008, arts. 9, 11, 12, 13, 14, 15 e 16.
31
TC 024.956/2010-4
2.21.5 Evidncias: a) Contrato 58/2009 (Anexo 3 Volume 1 fls. 294-305); b) projeto bsico do Contrato 58/2009 (Anexo 3 Principal fls. 17-21); c) anlise de risco da fase de planejamento da contratao 58/2009 (Anexo 3 Principal fls. 14-15); d) indicao do gestor na fase de planejamento da contratao 58/2009 (Anexo 3 Principal fl. 16); e) estratgica da contratao elaborada na fase de planejamento da contratao 58/2009 (Anexo 3 Volume 1 fls. 222-231); f) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.21.6 Esclarecimentos dos responsveis: Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que poca da apresentao de seus comentrios as recomendaes da Instruo Normativa SLTI/MP 4/2010 estavam sendo atendidas pela equipe responsvel pela contratao (Anexo 1, v. 6, fl. 1007v). 2.21.7 Concluso da equipe: A partir dos testes substantivos realizados no processo referente ao Contrato 58/2009, a equipe concluiu pela existncia de falhas no cumprimento do processo de planejamento de acordo com a Instruo Normativa SLTI/MP 4/2008, quais sejam: a) a anlise de riscos no levou em considerao as informaes obtidas durante a etapa estratgia da contratao; b) falhas na elaborao do documento sobre estratgia da contratao; e c) falta de assinatura do documento versando sobre anlise de riscos pelo Gestor do contrato o qual foi teve sua indicao como gestor realizada no mesmo dia da data do documento. O atendimento Instruo Normativa SLTI/MP 4/2010 citado pelo Gestor refere-se a momento posterior ao de controle, e no pde ser comprovado pela equipe de auditoria no presente trabalho, o que poder ser realizado em futuro monitoramento das deliberaes do acrdo que vier a ser proferido. 2.21.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que planeje as contrataes de servios de tecnologia da informao executando o processo previsto na Instruo Normativa SLTI/MP 4/2010, observando a sequncia lgico-temporal entre as tarefas e os ritos de aprovao dos artefatos produzidos ao longo do processo. 2.22 Impropriedades na contratao 2.22.1 Situao encontrada: Foram realizados testes substantivos no Contrato 45/2005 celebrado com o Serpro, por dispensa de licitao, com fundamento no inciso XVI do art. 24 da Lei 8.666/1993 e no Contrato 58/2009 celebrado com a empresa Calandra Solues S.A., por inexigibilidade de licitao, amparada no caput do art. 25 da mesma lei, com o objetivo de avaliar a aderncia da contratao com a legislao , nos quais foram constatadas as seguintes impropriedades: I Relativo ao Contrato 45/2005: a) no divisibilidade do objeto, estando presentes a viabilidade tcnica e econmica; O contrato tem por objeto a prestao de servios de desenvolvimento e manuteno de sistema, produo, atendimento aos usurios, treinamento, correio eletrnico, assessoramento tcnico, rede multisservios, acesso discado rede de comunicao, Infovia Braslia, rede corporativa, administrao do ambiente de tecnologia da informao, suporte tcnico e assistncia
32
TC 024.956/2010-4
tcnica para manuteno corretiva de hardware, os quais so tecnicamente divisveis (Anexo 2, v.1, fl. 235). Consta do projeto bsico que a unificao dos contratos anteriores celebrados entre o MP e o Serpro teve como objetivo inicial racionalizar o trmite administrativo e proporcionar ganhos de controle, permitindo uma viso padronizada e consolidada dos servios (Anexo 2, fl. 8). No entanto, o que se observa que os servios contratados possuem naturezas distintas, utilizam diferentes mtricas (Anexo 2, v.1, fls. 274-279), em sua maioria no apresentam qualquer relao entre si, e nem houve ganhos de escala com a contratao conjunta. Alm disso, os servios contratados tm sua gesto realizada de forma separada, no refletindo a viso padronizada informada pelo MP. b) ausncia de elementos bsicos na fundamentao do objetivo da contratao; No consta do processo administrativo indicao precisa de com quais elementos (objetivos, iniciativas e aes) das estratgias institucionais e de tecnologia da informao a contratao est alinhada (Decreto-Lei 200/1967, art. 6, inciso I, c/c itens 9.3.11 doAcrdo 1.558/2003, 9.1.1 do Acrdo 2.094/2004 e 9.1.9 do Acrdo 2.023/2005, todos do Plenrio). Por meio do item 2.b do Ofcio 4/849/2010-Sefti (fl. 27), foi solicitado ao MP informaes acerca do alinhamento da contratao com o seu planejamento de longo prazo. Em atendimento ao citado ofcio, o Gestor declarou que a contratao encontra-se alinhada com o PDTI do Ministrio e com os objetivos de longo prazo constantes do Plano Plurianual (PPA) (Anexo 1, fl. 199). No entanto, verifica-se que no foi formalizado plano estratgico institucional pelo MP at a data de concluso desse trabalho e que o PDTI do Ministrio foi elaborado e publicado somente em 2009, portanto, em momento posterior contratao. c) desconformidades nos pareceres jurdicos; Os pareceres jurdicos que analisaram as minutas do Contrato 45/2005 (Anexo 2, v. 1, fl. 222) e do primeiro termo aditivo (Anexo 2, v. 2, fl. 461) no questionaram o fato de as respectivas justificativas de preo apresentadas pela Administrao (Anexo 2, v. 1, fls. 214-216, Anexo 2, v. 2, fls. 458-459) basearem-se somente em preos globais praticados pela contratada (Anexo 2, v. 1, fls. 184-213, Anexo 1, v. 1-2, fls. 341-447), sem a realizao de pesquisa dos preos no mercado, conforme dispe o art. 24, inciso VIII, da Lei 8.666/1993. Alm disso, o parecer jurdico que analisou a minuta do segundo termo aditivo (Anexo 2, v. 3, fl. 764) no questionou a justificativa de preo apresentada pela Administrao, a qual apenas informou que os valores do contrato encontravam-se razoveis em relao aos preos praticados no mercado (Anexo 2, v. 3, fl. 756), sem que tivesse sido realizada qualquer estimativa de preos que fundamentasse a argumentao de vantagem para a prorrogao, seja no mercado ou na Administrao Pblica. d) insuficincia de clusulas contratuais; H falhas em requisitos essenciais de contratao (necessrios e suficientes), sem os quais se compromete a boa execuo do objeto pretendido, uma vez que no esto presentes a vinculao a processo de software e a processo de gerenciamento de projetos. Como o MP no dispe de processo de software (Anexo 1, fls. 16v e 18), o Contrato 45/2005 (Anexo 2, v.1, fls. 235-411) e o projeto bsico (Anexo 2, fls. 6-99) no vinculam processo de software do contratante nos servios de desenvolvimento e manuteno de sistemas. Como o MP no possui processo de gerenciamento de projetos (Anexo 1, fl. 16v e 18), o Contrato 45/2005 no define como se dar o processo de gerenciamento de projetos por parte do contratante para o rol de servios a serem prestados, a exemplo da clusula quinta das definies e dos nveis de servios bsicos, item 5.1 (administrao e operao de correio eletrnico, que inclui desenvolvimento de projetos para ampliao da capacidade dos servidores) (Anexo 2, v. 1, fl. 349). II Com relao ao Contrato 58/2009: a) ausncia de elementos bsicos na fundamentao do objetivo da contratao; No h indicao precisa de quais elementos (objetivos, iniciativas e aes) das estratgias institucionais e de tecnologia da informao a contratao est alinhada (Decreto-Lei 200/1967, art.
33
TC 024.956/2010-4
6, inciso I, c/c itens 9.3.11 do Acrdo 1.558/2003, 9.1.1 do Acrdo 2.094/2004 e 9.1.9 do Acrdo 2.023/2005, todos do Plenrio). b) falhas no mtodo de mensurao dos servios; No foi definido no projeto bsico (Anexo 3, fls. 17-21) ou no contrato (Anexo 3, v. 1, fls. 294-305) um modelo de ordem de servio (OS) para mensurao dos servios prestados, o que descumpre a Lei 8.666/1993, art. 6, inciso IX, e est em desconformidade com a jurisprudncia desta Corte, constante dos itens 9.4.3 e 9.4.4 do Acrdo 786/2006-TCU-Plenrio. c) insuficincia de clusulas contratuais; H insuficincia de clusulas contratuais no tocante a: i) clusulas de segurana da informao; ii) vinculao a processo de software; iii) gesto de projetos; e iv) valor do contrato, em desacordo com o disposto na Lei 8.666/1993, art. 6, inciso IX, letra d. i) O contrato no contm clusula de segurana da informao para acordos com terceiros (Anexo 3, v. 1, fls. 294-305); ii) no h vinculao do contrato (Anexo 3, v. 1, fls. 294-305) ou do projeto bsico (Anexo 3, fls. 17-21) com processo de software nos servios de desenvolvimento e manuteno de sistemas; iii) no h vinculao do contrato ou do projeto bsico com metodologia de gesto de projetos, para os servios de assessoramento tcnico especializado por projetos (Anexo 3, v. 1, fls. 294-305); iv) a clusula nona do contrato estabelece o valor total do ajuste (Anexo 3, v. 1, fl. 300), no havendo clusula que especifique o valor previsto para cada um dos servios que compem o objeto, quais sejam: assessoramento tcnico especializado, suporte remoto e manuteno evolutiva, sendo a prestao do assessoramento tcnico especializado em duas modalidades: servios contnuos e por projetos (Anexo 3, v. 1, fl. 294). O contrato detalha apenas o valor dos servios a serem prestados por projetos, sem dimensionar os valores para os servios contnuos e de manuteno evolutiva (Anexo 3, v. 1, fl. 297). d) falhas nas clusulas de penalidades. As clusulas de penalidades do Contrato 58/2009 so genricas (Anexo 3, v. 1, fl. 302). No se observa procedimentos para calcular o valor da sano, impossibilitando, assim, enquadrar a sano em cada possvel caso de descumprimento contratual. Alm disso, o contrato no estabelece as sanes de advertncia, de suspenso temporria de participao em licitao e de declarao de inidoneidade para licitar ou para contratar com a Administrao Pblica, conforme determina o art. 87, I, III e IV, da Lei 8.666/1993. 2.22.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.22.3 Efeito/Consequncia do achado: a) risco da ocorrncia de aquisies ou contrataes que no atendam necessidade do rgo (efeito potencial). 2.22.4 Critrios: a) Instruo Normativa SLTI/MP 4/2008, art. 9; art. 17; b) Norma Tcnica NBR ISO/IEC 27002, 6.2.3 Identificando segurana da informao nos acordos com terceiros; c) so tambm considerados critrios para este achado, de maneira geral, a Lei 8.666/1993 e a IN SLTI/MP 4/2008. 2.22.5 Evidncias: a) resposta do MP aos itens 7.3 e 7.4 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP aos Questionamentos 4 e 5 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) projeto bsico do Contrato 45/2005 (Anexo 2 Principal fls. 6-99); d) proposta comercial do Serpro (Anexo 2 Principal fls. 102-180);
34
TC 024.956/2010-4
e) Contrato 45/2005 (Anexo 2 Volume 1 fls. 235-411); f) projeto bsico do Contrato 58/2009 (Anexo 3 Principal fls. 17-21); g) Contrato 58/2009 (Anexo 3 Volume 1 fls. 294-305); h) Nota Informativa GAB/SPOA/MP 2/2010 (Anexo 1 Principal fls. 197-203); i) anexos da Nota Informativa GAB/SPOA/MP 2/2010 (Anexo 1 Volumes 1 e 2 fls. 204-530); j) pesquisa de preos do Contrato 45/2005 (Anexo 2 Volume 1 fls. 184-211); k) pesquisa de preos do primeiro aditivo ao Contrato 45/2005 (Anexo 1 Volumes 1 e 2 fls. 341-447); l) Ofcio SUNMP/MPCTR 31405/2004 (Anexo 2 Volume 1 fls. 211v-213); m) Despacho CGLOG/SPOA/MP 105/2005 (Anexo 2 Volume 1 fls. 214-216); n) Despacho s/n, de 30/10/2006 (Anexo 2 Volume 2 fls. 458-459); o) Despacho CGLOG/SPOA/SE/MP 97/2007(Anexo 2 Volume 3 fls. 756-757); p) parecer jurdico da minuta do Contrato 45/2005 (Anexo 2 Volume 1 fls. 217225); q) parecer jurdico da minuta do primeiro termo aditivo ao Contrato 45/2005 (Anexo 2 Volume 2 fls. 460-462); r) parecer jurdico da minuta do segundo termo aditivo ao Contrato 45/2005 (Anexo 2 Volume 3 fls. 759-766); s) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.21.6 Esclarecimentos dos responsveis: Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o Contrato 45/2005, encerrado em 31/10/2010, foi substitudo pelo Contrato 74/2010, o qual foi celebrado atendendo as etapas previstas na Instruo Normativa SLTI/MP 4/2008. Acrescentou que o Contrato 58/2009 foi encerrado em fevereiro/2011 e ser formalizado novo contrato, que da mesma forma atender as recomendaes do TCU (Anexo 1, v. 6, fl. 1007v). 2.22.7 Concluso da equipe: A partir dos testes substantivos realizados no processo referente ao Contrato 45/2005, a equipe chegou s seguintes concluses: a) a divisibilidade do objeto da contratao tcnica e economicamente vivel, tendo em vista que os servios possuem naturezas distintas, utilizam diferentes mtricas, em sua maioria no apresentam qualquer relao entre si, e que no houve ganhos de escala com a contratao conjunta. Alm disso, os servios tm sua gesto contratual realizada de forma separada, o que no reflete a viso padronizada informada pelo MP. A no divisibilidade do objeto afronta o art. 23, 1, da Lei 8.666/1993; b) em face dos esclarecimentos apresentados, persiste a ausncia de indicao precisa de com quais elementos (objetivos, iniciativas e aes) das estratgias institucionais e de tecnologia da informao a contratao est alinhada, uma vez que no foi formalizado plano estratgico institucional pelo MP at a data de concluso desse trabalho e que o PDTI do Ministrio foi elaborado e publicado somente em 2009, portanto, em momento posterior contratao, o que afronta o disposto no Decreto-Lei 200/1967, art. 6, inciso I c/c itens 9.3.11 do Acrdo 1.558/2003, 9.1.1 do Acrdo 2.094/2004 e 9.1.9 do Acrdo 2.023/2005, todos do Plenrio; c) quanto s desconformidades na elaborao dos pareceres jurdicos, considera-se que deveria ter sido apontada a necessidade de realizao de pesquisa de preos no mercado no que tange s minutas do Contrato 45/2005 e de seus dois primeiros termos aditivos;
35
TC 024.956/2010-4
d) insuficincia de clusulas contratuais, pela ausncia de vinculao a processo de software para servios de desenvolvimento e manuteno de sistemas e pela ausncia de vinculao a um processo de gerenciamento para os projetos executados no mbito dos servios do contrato, decorrente do descumprimento da Lei 8.666/1993, art. 6, inciso IX, letra d. A partir dos testes substantivos realizados no processo referente ao Contrato 58/2009, a equipe chegou s seguintes concluses: a) no h indicao precisa de com quais elementos (objetivos, iniciativas e aes) das estratgias institucionais e de Tecnologia da Informao a contratao est alinhada (Decreto-Lei 200/1967, art. 6, inciso I c/c itens 9.3.11 do Acrdo 1.558/2003, 9.1.1 do Acrdo 2.094/2004 e 9.1.9 do Acrdo 2.023/2005, todos do Plenrio); b) h falhas no mtodo de mensurao dos servios, tendo em vista que no foi definido no projeto bsico ou no contrato um modelo de ordem de servio (OS) para mensurao dos servios prestados, o que afronta o disposto na Lei 8.666/1993, art. 6, inciso IX, e est em desconformidade com a jurisprudncia desta Corte, constante dos itens 9.4.3 e 9.4.4 do Acrdo 786/2006-TCU-Plenrio; c) h insuficincia de clusulas contratuais no tocante segurana da informao, gesto de projetos, a processo de software e ao valor do contrato, o que afronta o disposto na Lei 8.666/1993, art. 6, inciso IX, letra d; d) as clusulas de penalidades do contrato so genricas e no fazem previso de sanes de: advertncia, suspenso temporria de participao em licitao, e declarao de inidoneidade para licitar ou para contratar com a Administrao Pblica, conforme determina o art. 87, I, III e IV, da Lei 8.666/1993. 2.22.8 Proposta de encaminhamento: Dar cincia Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto sobre as seguintes impropriedades identificadas no processo de contratao do Contrato 45/2005: a) no divisibilidade do objeto, estando presentes a viabilidade tcnica e econmica, o que afronta o disposto no art. 23, 1, da Lei 8.666/1993; b) ausncia de elementos bsicos na fundamentao do objetivo da contratao, o que afronta o disposto no Decreto-Lei 200/1967, art. 6, I, c/c itens 9.3.11 do Acrdo 1.558/2003, 9.1.1 do Acrdo 2.094/2004 e 9.1.9 do Acrdo 2.023/2005, todos do Plenrio; c) desconformidades nos pareceres jurdicos, o que afronta o disposto no art. 38, VI, e pargrafo nico, c/c o art. 26, III, todos da Lei 8.666/1993, por no ter sido apontada a necessidade de realizao de pesquisa de preos no mercado no que tange s minutas do Contrato 45/2005 e de seus dois primeiros termos aditivos; d) insuficincia de clusulas contratuais, pela ausncia de vinculao a processo de software para servios de desenvolvimento e manuteno de sistemas e pela ausncia de vinculao a um processo de gerenciamento para os projetos executados no contrato, o que afronta o disposto na Lei 8.666/1993, art. 6, IX, letra d; Dar cincia Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto sobre as seguintes impropriedades identificadas no processo de contratao do Contrato 58/2009: a) ausncia de elementos bsicos na fundamentao do objetivo da contratao, o que afronta o disposto no Decreto-Lei 200/1967, art. 6, I, c/c itens 9.3.11 do Acrdo 1.558/2003, 9.1.1 do Acrdo 2.094/2004 e 9.1.9 do Acrdo 2.023/2005, todos do Plenrio; b) falhas no mtodo de mensurao dos servios, tendo em vista que no foi definido no projeto bsico ou no contrato um modelo de ordem de servio (OS) para mensurao dos servios prestados, o que afronta o disposto na Lei 8.666/1993, art. 6, IX, e est em desconformidade com a jurisprudncia desta Corte, constante dos itens 9.4.3 e 9.4.4 do Acrdo 786/2006-TCU-Plenrio; c) insuficincia de clusulas contratuais, no tocante segurana da informao, gesto de projetos, a processo de software e ao valor do contrato, o que afronta o disposto na Lei 8.666/1993, art. 6, IX, letra d;
36
TC 024.956/2010-4
d) no definio objetiva das penalidades e da frmula de clculo dos valores correspondentes a serem aplicados a cada caso de descumprimento contratual, o que afronta o disposto no art. 55, VII, da Lei 8.666/1993. 2.23 Falhas nos controles que promovam a regular gesto contratual 2.23.1 Situao encontrada: Por meio do item 11 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 23), o qual faz meno pergunta 7.11 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do processo de gesto de contratos de TI, em particular, sobre a existncia de algum tipo de controle na fiscalizao da execuo de contratos de TI que permita identificar se todas as obrigaes do contratado foram cumpridas (p.ex., produtos foram entregues, obrigaes previdencirias e trabalhistas, manuteno das condies de habilitao e pontuao, quando for o caso), apresentando evidncias de que este controle utilizado e monitorado. Como resposta, o Gestor encaminhou apenas casos concretos de aplicao de controles na execuo do Contrato 45/2005, celebrado entre o MP e o Serpro (Anexo 1, arquivos das pastas \12.1 e \12.2 no CD, fl. 18). Dessa forma, por meio do item 3 do Ofcio de Requisio 3-849/2010-Sefti (fl. 26), a equipe de auditoria solicitou descrio dos controles existentes no rgo para promover a regular gesto contratual, identificando as etapas realizadas, os modelos de documentos produzidos e as reas responsveis por sua realizao (fl. 26). Em resposta, o Gestor reenviou as informaes apresentadas no Ofcio 1-849/2010-Sefti, adicionando mais algumas evidncias, que, conjuntamente, so as seguintes: a) afirmao da Seges de que no possui metodologia definida para ateste de execuo dos servios, aduzindo que o ateste realizado, mas no est definido formalmente (Anexo 1, fl. 18); b) controles aplicados pela SPI na gesto do contrato com o Serpro para a prestao de servios nos sistemas Sispac e SIGPlan (Anexo 1, arquivos da pasta \12.1\12.1 SPI no CD, fl. 18); c) descrio textual da atuao do DSTI e de algumas outras reas de TI, de unidades de negcio e do Serpro na gesto do contrato (Anexo 1, fl. 165); d) uma sequncia de e-mails versando sobre homologao de uma demanda especfica da SRH/MP, registrada em sistema de controle de demandas, cujo endereo http://demandas.serpro.gov.br (Anexo 1, fls. 166-169); e) checklist elaborado pelo DSTI para ateste de uma fatura, bem como planilhas contendo demonstrativos de faturamento apresentados pela contratada no ano de 2010 e relao de demandas associadas no mbito de servios prestados especificamente ao DSTI (Anexo 1, fls. 170180); f) duas atas de reunio realizadas entre a SOF e o Serpro acerca de uma demanda especfica (Anexo 1, fls. 181-187); e g) descrio dos controles usados pela SPU na gesto do contrato com o Serpro (Anexo 1, fls. 188-191). Ocorre que os documentos apresentados no evidenciam a existncia de um controle formalizado de gesto de contratos de TI, pois se referem apenas aplicao de controles em algumas demandas de um contrato especfico de TI, o que caracteriza um controle ad hoc, ou seja, que pode ou no ser implementado, a depender da pessoa que execute o processo. 2.23.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.23.3 Efeito/Consequncia do achado: a) ineficincia no acompanhamento da execuo contratual, podendo resultar na(o) qualidade/prazo insatisfatria(o) de servios e produtos entregues (efeito potencial). 2.23.4 Critrios: a) Instruo Normativa SLTI/MP 4/2008, art. 20;
37
TC 024.956/2010-4
b) Norma Tcnica ITGI Cobit 4.1, ME3.3 Avaliar a conformidade com requisitos externos; c) Norma Tcnica ITGI Cobit 4.1, DS2.4 Monitorar o desempenho do fornecedor; d) Norma Tcnica ITGI Cobit 4.1, AI5.2 Gerir contratos com fornecedores. 2.23.5 Evidncias: a) resposta do MP ao item 7.11 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 11 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) Anexo III da Nota Tcnica DSTI/SLTI/MP 174/2010 (Volume Principal, fls. 164191); d) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); e) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.23.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP admitiu falhas no tocante gesto contratual, afirmando que o novo contrato com o Serpro, Contrato 74/2010, assinado em 29/10/2010, viabilizar um novo modelo de gesto contratual, cujos processos esto em reviso no Ministrio (Anexo 1, v.3, fl. 685). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o Contrato 74/2010 foi aditivado para incluir em seu anexo h roteiro de mtricas publicado pelo Sistema de Administrao dos Recursos de Informao e Informtica (Sisp). Acrescentou que o DSTI criou equipe chamada escritrio de mtricas para apoiar as reas de TI do MP na contagem de pontos por funo (Anexo 1, v. 6, fls. 1007v-1008). 2.23.7 Concluso da equipe: Em que pese a apresentao de casos concretos de aplicao de controles no Contrato 45/2005, no houve padronizao entre as reas de TI do MP quanto aos controles aplicados na gesto contratual do referido ajuste. Ademais, esses controles no so sistematizados formalmente, de forma a serem aplicados no apenas nos contratos com o Serpro, mas em todas as contrataes de bens e servios de TI. Registre-se que a implementao de controles ad hoc gera riscos de descontinuidade na sua aplicao. Portanto, no possvel inferir que todas as contrataes seguem o disposto na seo de gesto contratual positivada na Instruo Normativa SLTI/MP 4/2008. A criao de equipe para apoiar as reas de TI do MP na contagem de pontos por funo, conforme a manifestao do Gestor sobre o relatrio preliminar, ocorreu posteriormente ao perodo da ao de controle e no pde ser comprovada pela equipe no presente trabalho, o que poder ser realizado em futuro monitoramento das deliberaes do acrdo que vier a ser proferido. 2.23.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que aperfeioe os controles que promovam a regular gesto contratual e que permitam identificar se todas as obrigaes do contratado foram cumpridas antes do ateste do servio. 2.24 Impropriedades na gesto contratual 2.24.1 Situao encontrada:
38
TC 024.956/2010-4
Foram tambm realizados testes substantivos no Contrato 45/2005 e no Contrato 58/2009, com o objetivo de avaliar a aderncia da gesto contratual com a legislao, tendo sido constatadas as seguintes impropriedades: I Relativas ao Contrato 45/2005: a) inexistncia de designao formal de preposto; No consta dos autos analisados a designao formal de preposto para representar a contratada durante a execuo contratual. Dessa forma, por meio do item 3 do Ofcio 4-849/2010-Sefti (fl. 27), foi solicitado ao Ministrio cpia da designao formal do preposto. Em resposta, o Gestor afirmou que o Serpro designou o Senhor Iran Martins Porto Junior (Anexo 1, v. 1, fls. 207-212), o qual foi aceito pela Administrao e vinha sendo acionado em todas as ocasies em que houve necessidade de interlocuo com a contratada (Anexo 1, fls. 199-200). Todavia, a designao apresentada pelo MP ocorreu em 1/4/2008, quando o contrato j se encontrava na vigncia de seu terceiro termo aditivo, no apresentando designao de preposto para o perodo de 31/10/2005 a 31/3/2008. b) falha na designao formal dos fiscais do contrato; Na celebrao inicial e nos trs primeiros termos aditivos, os fiscais foram formalmente designados, mas de maneira intempestiva, pois os prprios atos de designao referentes ao perodo inicial e ao primeiro termo aditivo previam efeitos retroativos, e os referentes ao segundo e ao terceiro termos aditivos foram posteriores ao incio da vigncia e sequer previram efeitos retroativos (Anexo 2, v. 4, fls. 1022-1024; Anexo 2, v. 7, fls. 1592-1595), conforme a seguir: i) o primeiro ato de designao do supervisor para a vigncia inicial do contrato, qual seja a Portaria MP 59/2006, de 21/3/2006 (Anexo 2, v. 2, fl. 422), previu efeitos retroativos a 1/11/2005; ii) o primeiro ato de designao do supervisor e dos fiscais para a vigncia do primeiro termo aditivo, qual seja, a Portaria MP 182/2007, de 30/3/2007 (Anexo 2, v. 3, fls. 697-699), previu efeitos retroativos a 1/11/2006; iii) a Portaria MP 120/2008, de 3/4/2008 (Anexo 2, v. 4, fls. 1022-1024) foi o primeiro ato de designao do supervisor e dos fiscais para a vigncia do segundo termo aditivo; portanto, intempestivo; iv) tambm foi intempestivo o primeiro ato de designao do supervisor e dos fiscais para a vigncia do terceiro termo aditivo, qual seja, a Portaria MP 510/2008, de 19/12/2008, conforme disposto na Portaria MP 44/2009, de 28/1/2009 (Anexo 2, v. 7, fls. 1592-1595). c) ateste de servios por servidor no designado como fiscal do contrato; Verificou-se que servios do primeiro termo aditivo foram atestados por servidores no designados na portaria de designao dos fiscais do contrato (Anexo 2, v. 3, fls. 697-700), a exemplo do ocorrido durante os meses de maio e junho de 2007 para os servios prestados SPOA/SE/MP (Anexo 2, v. 3 , fls. 702-704) e do ocorrido no ms de julho do mesmo ano para os servios prestados SRH/MP (Anexo 2, v. 4 , fl. 1004). d) liquidao de despesas em conta contbil indevida; Verificou-se que despesas referentes a todos os diversos servios distintos de TI prestados no mbito do Contrato 45/2005 foram liquidadas no elemento/subelemento 39.57 Servios tcnicos profissionais de TI (Anexo 2, v. 9-12, fls. 1876; 1916; 1950; 2047; 2095; 2158; 2194; 2290; 2328; 2378; 2402; 2433; 2472; 2512; 2652; 2696), mesmo aps alterao no Plano de Contas, o qual passou a abarcar subelementos especficos para a prestao de servios de tecnologia da informao. Assim, as despesas referentes a tais servios deveriam ser sido separadas e alocadas nas contas devidas, conforme orientaes constantes da Seo 021100 Outros Procedimentos a Macrofuno 021130 DESPESAS COM TI, do Manual Siafi Web. e) falha na alterao do objeto. O parecer da consultoria jurdica do MP anterior celebrao do terceiro termo aditivo (Anexo 2, v. 4, fls. 1080-1081) apontou que o limite de 25% para alteraes contratuais deve ser calculado com base no custo unitrio dos servios a serem adicionados ou suprimidos, e no apenas
39
TC 024.956/2010-4
no valor total do contrato, conforme o disposto no item 9.4.21 do Acrdo 1.330/2008-TCUPlenrio, recomendando que fossem juntados aos autos esclarecimentos quanto ao percentual de acrscimo da maneira determinada por essa Corte de Contas. Contudo, a Administrao, aduzindo que a principal caracterstica do contrato o fato de no se dispor dos elementos que proporcionem o exato dimensionamento do quantitativo que ser executado (Anexo 2, v. 6, fls. 1334-1337), prosseguiu com a contratao, sem demonstrar a alterao no valor do contrato em termos dos custos unitrios dos servios adicionados ou suprimidos. II Relativas ao Contrato 58/2009: a) ausncia de designao formal do preposto da contratada; No consta dos autos analisados a designao formal de preposto para representar a contratada durante a execuo contratual. Dessa forma, por meio do item 8 do Ofcio 4-849/2010-Sefti (fl. 27), foi solicitado ao Ministrio cpia da designao formal do preposto, em conformidade com o disposto no art. 68 da Lei 8.666/1993. Em resposta, o Gestor informou que o dispositivo legal supra no determina a necessidade de designao formal de preposto e informou que a contratada indicou a Senhora Juliana Kamimura para atuar na condio de preposta da empresa, aduzindo que o fato foi aceito pela Administrao (Anexo 1, fl. 200). Preliminarmente, registre-se que, contrariamente ao afirmado pelo gestor, a designao de representante da contratada deve ser formal. Essa formalidade condio para que o administrador pblico pratique, nos termos do art. 38 da Lei 8.666/1993, o ato administrativo de aceitar o preposto (ou recus-lo). No mesmo sentido, a formalidade da indicao do preposto pela contratada condio para que este (preposto) represente a contratada junto Administrao no mbito do contrato, por exemplo, assinando documentos e dando encaminhamento a demandas da contratante. Haja vista os esclarecimentos do Gestor e o fato de ele no ter encaminhado qualquer evidncia da referida designao, depreende-se que no foi realizada uma designao formal do preposto da contratada. b) falhas na mensurao dos servios; Apesar da omisso no projeto bsico e no contrato quanto definio de um modelo de ordem de servio (OS) para mensurao dos servios prestados, foi adotado um modelo na execuo contratual dos servios de assessoramento tcnico especializado, os quais so prestados por projetos ou por servios contnuos. Ocorre que as OS utilizadas na execuo contratual dos servios prestados por projetos no distinguem a estimativa de esforo da quantidade de esforo realizado, no permitindo a comparao e o controle entre o estimado e o efetivamente executado, a exemplo das OS MP043/2010 (Anexo 1, v.3, fl. 583) e MP044/2010 (Anexo 1, v.3, fl. 568), relativas fase de elaborao do projeto HOLOGRAMA na dimenso SLTI. Verificam-se ainda outras falhas na utilizao das OS, quais sejam: 1) algumas OS referentes ao projeto HOLOGRAMA tm a informao de esforo preenchida com o valor do custo do homem-hora, em vez da quantidade de horas, a exemplo das OS MP044/2010, MP043/2010 (Anexo 1, v.3, fls. 568; 583) e MP042/2010 (Anexo 1, v.3, arquivo \OS Holograma\OS-MP42 HOLOGRAMA_SLTI_ELABORACAO_CONVENIOS.doc no CD, fl. 600) (em todas elas, o esforo total registrado foi de 140 homens/hora, quando o total de horas 100); 2) nas OS referentes a servios contnuos, que so remunerados por homem-hora (Anexo 3, v. 1, fl. 295), as atividades previstas so genricas e idnticas, bem como so idnticos os produtos e quantitativos de homens-hora para diversos meses, a exemplo das OS MP07/2009, MP16/2010, MP18/2010 e MP045/2010 (Anexo 1, v.3, fl. 600). Apesar da falha, cumpre salientar que nos processos de pagamento analisados, as quantidades de homem-hora foram confrontadas
40
TC 024.956/2010-4
com os quantitativos constantes das OS, sendo pagos somente os quantitativos aceitos no ateste dos servios (Anexo 3, v. 1, fls. 352; 384). c) liquidao de despesas em conta contbil indevida; O MP vem empregando o elemento de despesa 3.3.3.9.0.39.05 Servios tcnicos profissionais (Anexo 3, v. 1. fls. 362; 394), no mbito do presente contrato, mesmo aps alterao no Plano de Contas, que passou a abarcar subelementos especficos para a prestao de servios de tecnologia da informao. d) falha na prorrogao. No foi realizada pesquisa de preo no processo de prorrogao do contrato capaz de comprovar vantajosidade para a Administrao, mesmo que a consultoria jurdica do MP tenha recomendado sua realizao por meio de parecer anterior celebrao do primeiro termo aditivo (Anexo 1, v. 3, fls. 641-642). 2.24.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.24.3 Efeitos/Consequncias do achado: a) servios em desacordo com o contratado (efeito potencial); b) pagamentos sem que tenham sido produzidos os resultados esperados (efeito potencial). 2.24.4 Critrios: a) Lei 8.666/1993, art. 66; b) so tambm considerados critrios para este achado, de maneira geral, a Lei 8.666/1993 e a Instruo Normativa SLTI/MP 4/2008, art. 20. 2.24.5 Evidncias: a) Nota Informativa GAB/SPOA/MP 2/2010 (Anexo 1 Principal fls. 197-203); b) anexos da Nota Informativa GAB/SPOA/MP 2/2010 (Anexo 1 Volumes 1 e 2 fls. 204-530); c) Contrato 58/2009 (Anexo 3 Volume 1 fls. 294-305); d) Portaria SPOA/MP 59/2006, de 21/3/2006 (Anexo 2 Volume 2 fl. 422); e) Portaria SPOA/MP 182/2007, de 30/3/2007 (Anexo 2 Volume 3 fls. 697-700); f) Portaria SPOA/MP 120/2008, de 3/4/2008 (Anexo 2 Volume 4 fls. 1022-1024); g) Portaria SPOA/MP 44/2009, de 28/1/2009 (Anexo 2 Volume 7 fls. 1592-1595); h) Nota tcnica CGTI/SPOA s/n, de 10/7/2007, referente a ateste de servios realizados no ms de maio de 2007 do Anexo IV do Contrato 45/2005 Anexo IV (Anexo 2 Volume 3 fl. 702); i) Nota tcnica CGTI/SPOA/MP 23/2007, referente a ateste de servios realizados no ms de junho de 2007 do Anexo IV do Contrato 45/2005 Anexo IV (Anexo 2 Volume 3 fl. 703); j) Memorando CGCON/SPOA/MP 53/2007 (Anexo 2 Volume 3 fl. 704); k) Memorando COSUC/CGCON/SPOA/MP 44/2007 (Anexo 2 Volume 4 fl. 1004); l) parecer jurdico da minuta do terceiro termo aditivo ao Contrato 45/2005 (Anexo 2 Volume 4 fls. 1078-1085); m) Nota tcnica COGEC/CGCON/SPOA/SE/MP 36/2008 (Anexo 2 Volume 6 fls. 1300-1341); n) Ordem de servio MP 044/2010, referente ao Contrato 58/2009 (Anexo 1 Volume 3 fls. 567-569); o) Ordem de servio MP 043/2010, referente ao Contrato 58/2009 (Anexo 1 Volume 3 fls. 582-584); p) Ordens de servio referentes ao Contrato 58/2009 (Anexo 1 Volume 3 fl. 600); q) processos de pagamento dos Anexos do Contrato 45/2005, referentes aos meses de abril, junho e julho de 2010 (Anexo 2, v. 9-12, fls. 1809-2698);
41
TC 024.956/2010-4
r) Processo de pagamento 03110.007905/2010-31 Contrato 58/2009 (Anexo 3 Volume 1 fls. 338-368); s) Processo de pagamento 03110.007897/2010-23 Contrato 58/2009 (Anexo 3 Volume 1 fls. 369-400); t) Parecer jurdico da minuta do primeiro termo aditivo ao Contrato 58/2009 (Anexo 1 Volume 3 fls. 640-645); u) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.24.6 Esclarecimentos dos responsveis: Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas: I O Gestor da Secretaria-executiva do MP, por meio do Anexo I da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou em relao ao Contrato 45/2005 que: a) as designaes dos prepostos tm sido realizadas imediatamente aps a assinatura dos contratos, porm no apresentou evidncias (Anexo 1, v. 6, fl. 1009); b) as portarias de designao dos fiscais tm sido publicadas imediatamente aps a assinatura dos contratos (Anexo 1, v. 6, fl. 1009), e encaminhou todas as portarias de designao dos fiscais (Anexo 1, v. 6, fls. 1098-1176); c) nos processos de pagamento examinados, todas as faturas foram atestadas por servidor formalmente designado (Anexo 1, v. 6, fl. 1009); d) a conta contbil 3.3.3.9.0.39.57 utilizada no Contrato 45/2005 indica o registro de despesa com servios prestados por profissionais de TI, exceto quando puder ser classificada em conta especfica. Acrescentou que incorporou a alterao no Plano de Contas e que tem orientado as unidades do Ministrio para que detalhem o tipo de servio executado (Anexo 1, v. 6, fl. 1009v); e) a justificativa para o questionamento da consultoria jurdica a respeito da ausncia de declarao das modificaes propostas ultrapassarem o limite de 25% encontra-se nos itens 25 a 31 da Nota Tcnica COGEC/CGCON/SPOA/SE/MP 36/2008 (Anexo 1, v. 6, fls. 1090-1093). Convm destacar que a justificativa apresentada pelo Gestor (Anexo 2, v. 6, fls. 1334-1337) nesse item j foi analisada na letra e do item 2.24.1do relatrio preliminar (fl. 99); II O Gestor da Secretaria-executiva do MP, por meio do Anexo I da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou em relao ao Contrato 58/2009 que: a) as designaes dos prepostos tm sido realizadas imediatamente aps a assinatura dos contratos (Anexo 1, v. 6, fl. 1009v), mas encaminhou apenas designaes de fiscais do contrato (Anexo 1, v. 6, fls. 1177-1180); b) o fato de que na OS inexista a estimativa prvia para fins de comparao posterior no significou que os produtos entregues estejam em desconformidade com as especificaes do contrato. Acrescentou que as constataes apontadas sero levadas em considerao por ocasio do novo contrato sucessor daquele vencido (Anexo 1, v. 6, fl. 1010); c) no entendimento da rea de execuo oramentria e financeira a despesa seria classificada como servios tcnicos profissionais. Acrescentou que com as alteraes ocorridas no Plano de Contas, a SPOA/MP tem buscado no exerccio de 2011 obter o detalhamento da despesa junto s reas demandantes (Anexo 1, v. 6, fl. 1010); d) houve pesquisa de preo em trs rgos em que a Calandra presta o mesmo servio, e que a pesquisa foi realizada nas empresas em que a Calandra presta servio, tendo em vista tratar-se de software exclusivo (Anexo 1, v. 6, fl. 1010). 2.24.7 Concluso da equipe: Em sntese, os comentrios do gestor:
42
TC 024.956/2010-4
a) negam a inexistncia de nomeao tempestiva dos prepostos dos dois contratos, a despeito das evidncias apresentadas no relatrio preliminar, sem apresentar argumentos ou evidncias em contrrio; b) negam a inexistncia de nomeao tempestiva dos fiscais dos dois contratos, a despeito das evidncias apresentadas no relatrio preliminar, sem apresentar argumentos ou evidncias em contrrio; c) negam o ateste de servios por servidor no designado como fiscal do contrato 45/2005, a despeito das evidncias apresentadas no relatrio preliminar, sem apresentar argumentos ou evidncias em contrrio; d) reconhecem a necessidade de aperfeioar a contabilizao das despesas com tecnologia da informao, conforme falhas apontadas nos dois contratos; e) trazem argumento j analisado no item 2.24.1 do relatrio preliminar com respeito alterao do objeto no terceiro termo aditivo do contrato 45/2005; f) informam que se pretende corrigir as falhas nas OS por ocasio do novo contrato que suceder o contrato 58/2009; g) informam que a pesquisa de preos para o Contrato 58/2009 foi feita, mas o que se questionou foi a ausncia de pesquisa para a prorrogao do referido contrato, fato no contestado na manifestao do Gestor do MP. A partir dos testes substantivos realizados no processo de execuo do Contrato 45/2005 e da anlise dos comentrios do Gestor ao relatrio preliminar, a equipe chegou s seguintes concluses: a) ausncia de designao formal de preposto da contratada durante os perodos de vigncia da celebrao inicial do contrato, de seus dois primeiros termos aditivos e de parte do terceiro termo aditivo, o que afronta o disposto no art. 68 da Lei 8.666/1993; b) falha na designao formal do fiscal do contrato, tendo em vista a intempestividade dos atos de designao para os perodos de vigncia da celebrao inicial do contrato e dos trs primeiros termos aditivos, o que afronta o disposto no art. 58, III, c/c o art. 67 da Lei 8.666/1993; c) ateste de servios do primeiro termo aditivo por servidor no designado formalmente como fiscal do contrato, o que afronta o disposto no art. 67 da Lei 8.666/1993; d) Despesas referentes a todos os diversos servios distintos de TI prestados no mbito do Contrato 45/2005 foram liquidadas no subelemento de despesa 3.3.3.9.0.39.57, , as quais deveriam ser separadas e alocadas nas contas devidas, conforme alterao no Plano de Contas, que passou a abarcar subelementos especficos para a prestao de servios de tecnologia da informao; e) falha na alterao do objeto, em razo da no demonstrao de que a alterao do valor do contrato na celebrao do terceiro termo aditivo respeitou o limite de 25% em termos dos custos unitrios dos servios adicionados ou suprimidos, em face do disposto no item 9.4.21 do Acrdo 1.330/2008-TCU-Plenrio, o que afronta o disposto no art. 65, 1, da Lei 8.666/1993. A partir dos testes substantivos realizados no processo de execuo do Contrato 58/2009 e da anlise dos comentrios do Gestor ao relatrio preliminar, a equipe chegou s seguintes concluses: a) ausncia de designao formal de preposto da contratada, o que afronta o disposto no art. 68 da Lei 8.666/1993; b) falhas na mensurao dos servios, tendo em vista que o instrumento de ordem de servio adotado no contm a estimativa prvia do volume de servios demandados, para fins de comparao e controle, bem como o fato de que as atividades previstas em algumas OS referentes a servios contnuos prestados em diversos meses so genricas e idnticas, bem como so idnticos os produtos e quantitativos de homens-hora, contrariamente ao que foi atestado, o que afronta o art. 20, II, b, da IN SLTI/MP 4/2008, e est em desconformidade com a jurisprudncia do TCU constante dos itens 9.4.3 e 9.4.4 do Acrdo 786/2006-TCU-Plenrio;
43
TC 024.956/2010-4
c) liquidao de despesas em conta contbil indevida, uma vez que foi empregado o subelemento de despesa 3.3.3.9.0.39.05 Servios tcnicos profissionais (Anexo 3, v.1, fls. 357; 362; 389; 394), no mbito do presente contrato, mesmo aps alterao no Plano de Contas, que passou a abarcar subelementos especficos para a prestao de servios de tecnologia da informao; d) Previamente celebrao inicial do contrato, foi realizada pesquisa de preos balizada em contratos com as empresas IBOPE, ARACRUZ Celulose S.A. e com o BNDES, empresas privadas e pblica em que a Calandra prestou servio semelhante (Anexo 3, fls. 23-78). No entanto, na prorrogao do contrato no foi realizada pesquisa de preo capaz de comprovar vantajosidade para a Administrao, o que vai de encontro ao art. 6, IX, alnea f; art. 7, 2, II; art. 26, pargrafo nico, III, todos da Lei 8.666/1993. 2.24.8 Propostas de encaminhamento: Considerando tratar-se de desconformidades em contrato de rgo da APF com o Serpro, objeto de apurao especfica em outro processo deste TMS (TC 022.241/2010-8), propomos dar cincia Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto, sobre as seguintes impropriedades identificadas na execuo do Contrato 45/2005: a) no designao formal de um preposto aceito pela Administrao para representar a contratada durante os perodos de vigncia da celebrao inicial do contrato, de seus dois primeiros termos aditivos e de parte do terceiro termo aditivo, o que afronta o disposto no art. 68 da Lei 8.666/1993; b) falha na designao formal do fiscal do contrato, tendo em vista a intempestividade dos atos de designao para os perodos de vigncia da celebrao inicial do contrato e dos trs primeiros termos aditivos, o que afronta o disposto no art. 58, III, c/c o art. 67 da Lei 8.666/1993; c) ateste de servios do primeiro termo aditivo por servidor no designado formalmente como fiscal do contrato, o que afronta o disposto no art. 67 da Lei 8.666/1993; d) adoo de elemento de despesa desconforme com o Plano de Contas Aplicado ao Setor Pblico Administrao Pblica Federal, o que afronta o disposto nas orientaes constantes da Seo 021100 Outros Procedimentos da Macrofuno 021130 DESPESAS COM TI, do Manual Siafi Web; e) ausncia de declarao de que as modificaes propostas para a celebrao do terceiro termo aditivo encontravam-se dentro do limite de 25%, em face do disposto no item 9.4.21 do Acrdo 1.330/2008-TCU-Plenrio, o que afronta o disposto no art. 65, 1, da Lei 8.666/1993. Dar cincia Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto sobre as seguintes impropriedades identificadas na execuo do Contrato 58/2009: a) no designao formal de um preposto aceito pela Administrao para representar a contratada na execuo do contrato, o que afronta o disposto no art. 68 da Lei 8.666/1993; b) falhas na mensurao dos servios constantes das ordens de servio, por ausncia da estimativa prvia do volume de servios demandados e por especificao genrica e idntica dos servios contnuos com produtos e quantitativos de homens-hora tambm idnticos para diversos meses, o que afronta o disposto no art. 20, II, b, da IN SLTI/MP 4/2008 e est em desconformidade com a jurisprudncia do TCU constante dos itens 9.4.3 e 9.4.4 do Acrdo 786/2006-TCU-Plenrio; c) adoo de elemento de despesa desconforme com o Plano de Contas Aplicado ao Setor Pblico Administrao Pblica Federal, o que afronta o disposto nas orientaes constantes da Seo 021100 Outros Procedimentos da Macrofuno 021130 DESPESAS COM TI, do Manual Siafi Web; d) no realizao de pesquisa de preos na prorrogao do contrato, o que afronta o disposto no art. 6, IX, alnea f; art. 7, 2, II; art. 26, pargrafo nico, III, todos da Lei 8.666/1993. 2.25 Falhas no controle da execuo do oramento de TI 2.25.1 Situao encontrada:
44
TC 024.956/2010-4
Por meio do item 3.3 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 20) e da pergunta 7.15 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do controle peridico da execuo dos gastos da rea de TI do ano corrente, em funo da disponibilidade oramentria. Como resposta, o Gestor declarou que a execuo da despesa de TI acompanhada pela rea de TI e pela alta administrao da instituio, e que a classificao das despesas de TI de responsabilidade da rea contbil/oramentria da instituio (Anexo 1, fl. 17). No entanto, as evidncias encaminhadas pelo Gestor do conta de que somente a SOF e o DSTI apresentam algum procedimento de controle da execuo dos gastos de TI. Em relao SOF, verificou-se procedimento de controle da disponibilidade oramentria para despesas de TI de 2010 (arquivo \4.1\SOF Item 4.1\ACOMP EXECUO TI SOF 2010.xls no CD, fl. 18) e relativo ao DSTI, procedimento de controle de gastos de TI no mbito do Contrato 45/2005 (arquivo \4.1\Demonstrativo de faturamento DSTI nov09 a out10.xls no CD, fl. 18), ainda que no seja em funo da disponibilidade oramentria. No foram apresentadas evidncias de que as demais reas de TI do MP ou a rea contbil/oramentria do MP ou a alta administrao do rgo possuem algum controle no que tange execuo dos gastos constantes do oramento de TI do Ministrio (arquivos da pasta \4.1\ no CD, fl. 18). Outrossim, os controles apresentados no tratam o risco de alocao de despesas de TI em subelementos de despesa que no estejam em conformidade com as orientaes constantes da Seo 021100 Outros Procedimentos da Macrofuno 021130 DESPESAS COM TI, do Manual Siafi Web, poca definidos pela Portaria 467/2009 STN, especficos para a prestao de servios de tecnologia da informao, uma vez que o controle do DSTI no se d em funo da disponibilidade oramentria e o controle da SOF no detalha as despesas em nvel de subelementos. 2.25.2 Causa da ocorrncia do achado: a) Deficincias de controles. 2.25.3 Efeito/Consequncia do achado: a) Desconhecimento da disponibilidade oramentria do setor de TI (efeito potencial). 2.25.4 Critrios: a) Lei 4320/1964, art. 75, inciso III; b) Norma Tcnica MP Gespblica Instrumento para Avaliao da Gesto Pblica Ciclo 2010 critrio de avaliao 7.3; c) Norma Tcnica ITGI Cobit 4.1, PO5.4 Gerncia de custos. 2.25.5 Evidncias: a) resposta do MP ao item 7.15 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 3 do Anexo I ao Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.25.6 Esclarecimentos dos responsveis: Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a Coordenao-Geral de Planejamento, Oramento e Finanas da SPOA/MP a responsvel pela gesto do oramento do Ministrio, inclusive, o de TI. Quanto ausncia de tratamento do risco de alocao de despesa de TI em subelementos de despesa que no estejam em conformidade com aqueles definidos na Portaria 467/2009 STN, o Gestor da Secretaria-executiva do MP manifestou que acata a recomendao do TCU e que o Ministrio estaria aprimorando seus controles para adequao ao disposto nas normas legais (Anexo 1, v. 6, fl. 1008). 2.25.7 Concluso da equipe:
45
TC 024.956/2010-4
Constataram-se falhas no controle da execuo do oramento de TI do MP, porquanto: a) a menos dos controles da SOF e do DSTI, no foram apresentadas evidncias de controle da disponibilidade oramentria para despesas de TI do MP; e b) os controles apresentados no tratam o risco de alocao de despesa de TI em subelementos de despesa que no estejam em conformidade com as orientaes constantes da Seo 021100 Outros Procedimentos da Macrofuno 021130 DESPESAS COM TI, do Manual Siafi Web, poca definidos pela Portaria 467/2009 STN. 2.25.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, em ateno s disposies contidas na Lei 4.320/1964, art. 75, inciso III, aperfeioe os procedimentos de controle da execuo oramentria, a fim de se obter prontamente informaes acerca dos gastos e da disponibilidade de recursos de TI do Ministrio como um todo. 3 ACHADOS NO DECORRENTES DA INVESTIGAO DE QUESTES DE AUDITORIA 3.1 TI descentralizada e sem coordenao 3.1.1 Situao encontrada: Apesar de haver a participao das vrias reas de TI do MP nas reunies do Comit Estratgico de TI (Anexo 1, v. 3, fl. 633), foram verificadas evidncias que configuram que a estrutura de TI do Ministrio descentralizada e sem coordenao efetiva: a) as respostas do MP a diversos questionamentos do Anexo I do Ofcio 1-849/2010Sefti foram organizadas por setor de TI, e abrangem somente setores especficos e no o Ministrio como um todo (Anexo 1, fl. 18); b) o DSTI/SLTI/MP foi criado em 2009 (Anexo 1, v. 3, fl. 633v), com a misso de coordenar aes de TI no mbito do MP (art. 33 do atual regimento interno contido no Decreto 7.063/2010). No entanto, Relatrio Executivo de Governana de TI do DSTI registra a necessidade de definio de novo organograma para o MP, prevendo a incluso de processo de relacionamento entre as unidades de TI e a incorporao das unidades de TI da SOF, SRH, SPU, COINF e Seges, estrutura formal do DSTI (Anexo 1, v. 3, fl. 611v), tendo em vista que as reas setoriais de TI mantm seu foco principal nas demandas especficas de suas reas de negcio, no estando totalmente alinhadas ao DSTI (Anexo 1, v. 3, fl. 614). Alm disso, o diagnstico do PDTI do Ministrio apontou falhas relacionadas descentralizao, associadas falta de coordenao efetiva de TI no rgo (Anexo 1, fl. 918), registrando, entre outras, as seguintes concluses quanto a governana de TI, gerenciamento da informao, modelagem de processos de negcio e capacitao de recursos humanos: a) gesto de TI despadronizada entre as unidades do Ministrio; b) gerenciamento de processos e projetos de TI feitos de maneira ad hoc; c) parcerias de solues de TI formalizadas isoladamente; d) equipes de TI atuando isoladamente dentro de cada secretaria, sem uma viso corporativa do Ministrio. 3.1.2 Causa da ocorrncia do achado: a) deficincias de controles. 3.1.3 Efeitos/Consequncias do achado: a) ausncia de referencial para estabelecer diretrizes de aes das reas de TI na instituio (efeito real); b) despadronizao e descoordenao de aes nas reas de TI (efeito real); c) ineficincia no suporte ao alcance dos objetivos finalsticos do rgo (efeito potencial). 3.1.4 Critrios: a) Decreto 7.063/2010, art. 33; b) Norma Tcnica ITGI Cobit 4.1 PO4.10 Superviso. 3.1.5 Evidncias:
46
TC 024.956/2010-4
a) PDTI-MP, Anexo I da Nota Tcnica DSTI/SLTI/MP 173/2010 (Anexo 1 Principal fls. 89-91); b) relatrio executivo de governana de TI estrutura organizacional DSTI (Anexo 1 Volume 3 fls. 603-625); c) ata da 16 reunio do Comit Estratgico de Tecnologia da Informao (Anexo 1, v. 3, fls. 633-635); d) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 3.1.6 Esclarecimentos dos responsveis: Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que com a concluso do projeto de governana de TI do DSTI/SLTI/MP e com a posse de novos analistas de TI, simultaneamente em dezembro de 2010, o departamento iniciou a atuao de equipes especializadas com vistas ao exerccio de atribuies de coordenao e superviso das atividades de TI do MP. Acrescentou que as referidas equipes do DSTI e suas atribuies seriam oficializadas em novo regimento interno do Ministrio (Anexo 1, v. 6, fl. 1008). 3.1.7 Concluso da equipe: O Ministrio do Planejamento, Oramento e Gesto tem aes de TI executadas de forma descentralizada e sem possuir coordenao das mesmas, ante a ausncia de diretrizes para os diferentes setores de TI do Ministrio. Ratificam esse entendimento as medidas em curso apresentadas pelo Gestor. A descentralizao uma opo vlida e no contraria as boas prticas de governana de TI, para atender aos objetivos de negcio. Dessa forma, a TI adequa-se s necessidades da organizao sem perder eficincia nas aes e sem prejuzos governana de TI. No entanto, em que pese o fato de que a estrutura de TI deva refletir as necessidades do negcio, no razovel que a estrutura praticada pela organizao privilegie aes descoordenadas, sob risco de ineficincia de aes dos seus setores de TI. A ausncia de coordenao de TI pode gerar impacto negativo sobre todas as atividades de TI do Ministrio, o que inclui prejuzos eficincia e economicidade, com a falta de padronizao de contratos, de modelos de desenvolvimento e de aquisio de solues, bem como com a ausncia de coordenao das atividades de: capacitao, segurana da informao, tratamento de incidentes, planejamento de contrataes de TI, organizao e oramento de TI, gesto de projetos e de servios e monitorao de desempenho da gesto e do uso da TI. Por oportuno, registra-se que h previso normativa para que o DSTI/SLTI/MP execute essa funo de coordenao, o que no ocorria na prtica. A atuao de equipes especializadas, ainda no formalizadas, com vistas ao exerccio de atribuies de coordenao e superviso das atividades de TI, conforme manifestado pelo Gestor, iniciou-se posteriormente ao perodo do presente trabalho e, dessa forma, seus resultados no puderam ser comprovados pela equipe de auditoria, o que poder ser realizado em futuro monitoramento das deliberaes do acrdo que vier a ser proferido. 3.1.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, em ateno ao disposto no Decreto 7.063/2010, art. 33, adote medidas para que o DSTI/SLTI/MP exera efetivamente suas atribuies de coordenao e superviso das atividades de Tecnologia da Informao no mbito de todo o Ministrio. 4 CONCLUSO As seguintes constataes foram identificadas neste trabalho: Questo 1 Inexistncia do plano estratgico institucional (item 2.1)
47
TC 024.956/2010-4
Falhas no PDTI (item 2.2) Falhas relativas ao comit de TI (item 2.3) Inexistncia de avaliao do quadro de pessoal de TI (item 2.4) Questo 4 Falhas no controle da execuo do oramento de TI (item 2.25) Questo 5 Inexistncia de processo de software (item 2.5) Questo 6 Inexistncia de processo de gerenciamento de projetos (item 2.6) Questo 7 Inexistncia do processo de gesto de mudanas (item 2.7) Inexistncia do processo de gesto de incidentes (item 2.8) Inexistncia do processo de gesto de configurao (item 2.9) Questo 8 Inexistncia de gestor de segurana da informao e comunicaes (item 2.10) Falhas na poltica de segurana da informao e comunicaes (Posic) (item 2.11) Inexistncia de classificao da informao (item 2.12) Inexistncia de inventrio dos ativos de informao (item 2.13) Inexistncia de processo de gesto de riscos de segurana da informao (GRSIC) (item 2.14) Falhas na equipe de tratamento e resposta a incidentes em redes computacionais (ETRI) (item 2.15) Questo 9 Inexistncia de plano anual de capacitao (item 2.16) Questo 10 Auditoria interna no apoia avaliao da TI (item 2.17) Falhas na avaliao da gesto de TI (item 2.18) Questo 11 Falhas nos controles que promovam o cumprimento da IN4 (item 2.19) Inexistncia dos estudos tcnicos preliminares (item 2.20) Falhas no cumprimento do processo de planejamento de acordo com a IN4 (item 2.21) Impropriedades na contratao (item 2.22) Questo 12 Falhas nos controles que promovam a regular gesto contratual (item 2.23) Impropriedades na gesto contratual (item 2.24) Foi identificado ainda o seguinte achado no vinculado a questo de auditoria: TI descentralizada e sem coordenao (item 3.1) Entre os benefcios estimados desta fiscalizao pode-se mencionar, principalmente, a induo melhoria nos controles internos do rgo e da governana de TI, cujas deficincias foram evidenciadas pelas falhas e impropriedades identificadas e relatadas neste processo. A presente fiscalizao constituiu uma das catorze auditorias de avaliao de controles gerais, as quais foram sendo realizadas no mbito de um dos Temas de Maior Significncia definidos pelo TCU (TMS 6 gesto e uso de TI) no ano de 2010, e teve como objetivo avaliar os controles gerais de TI na Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto. Constatou-se que no h um processo de planejamento estratgico institucional que abranja todo o MP, o que provoca falta de viso unificada e afeta, sobremaneira, o planejamento estratgico de TI do Ministrio, o qual no tem como alinhar as necessidades de informao estratgia do rgo. Como consequncia, podem-se gerar prejuzos economicidade e eficincia, com gastos desnecessrios e a reduo da efetividade dos recursos investidos. Quanto estrutura organizacional, merece destaque o fato de a estrutura de TI do MP ser descentralizada e no possuir uma coordenao e superviso efetiva, como referncia para o estabelecimento de diretrizes para os diferentes setores de TI do Ministrio. Em que pese as boas prticas de governana de TI afirmarem que a estrutura de TI deva refletir as necessidades do negcio, no razovel que a estrutura praticada pela organizao privilegie aes descoordenadas, sob risco de ineficincia de aes dos seus setores de TI. A ausncia de coordenao de TI pode gerar impacto negativo sobre todas as atividades de TI do Ministrio, o que inclui prejuzos eficincia e economicidade, decorrentes da falta de padronizao de contratos, de modelos de desenvolvimento e de processo de aquisio de solues, bem como da ausncia de coordenao das atividades de: capacitao, segurana da informao, tratamento de incidentes, planejamento de contrataes de TI, organizao e oramento de TI, gesto de projetos e de servios e monitorao
48
Questo 2 Questo 3
TC 024.956/2010-4
de desempenho da gesto e do uso da TI. Registre-se que h previso normativa de setor dentro do MP para executar essas atividades de coordenao e superviso, o que de fato no ocorria. Outro aspecto relevante da organizao de TI do MP diz respeito ao aspecto quantitativo e qualitativo de seus profissionais. No obstante algumas das reas de TI apontarem a necessidade de servidores, constatou-se a inexistncia de uma avaliao do quadro de pessoal de TI no mbito de todo o Ministrio. Sem esse estudo, no h como o MP justificar a necessidade de pessoal com perfil adequado para executar as atividades prprias de TI. Sobre o aspecto de formao de profissionais de TI, os trabalhos identificaram ainda a ausncia de um plano de capacitao dos servidores do rgo para o ano de 2010 e, em decorrncia disso, a inexistncia de aes de capacitao para a rea de gesto de TI da instituio. O MP no possui processo de software estabelecido e nem processo de gerenciamento de projetos, o que causa deficincias ou vulnerabilidades nos processos de contratao, nos projetos corporativos do rgo e nos servios de TI fornecidos para os usurios finais. A ausncia desses processos, adaptados s necessidades do rgo e aplicados aos projetos de construo de software, configura fator de risco para a definio, a gesto e o acompanhamento dos resultados obtidos. No foram definidos processos de gesto de mudanas, gesto de configurao e gesto de incidentes, o que pode acarretar falha na entrega e gesto dos servios de TI. Considerando os diversos sistemas estruturantes geridos pelo Ministrio, a ausncia de gesto dos servios de TI eleva o risco de interrupo ou mau funcionamento desses sistemas. Situao como essa pode configurar prejuzo eficcia e eficincia na execuo das aes do MP. No caso, registra-se que ainda que a produo, manuteno e evoluo dos servios estratgicos de TI do MP sejam integralmente prestadas pelo Serpro, o controle e a responsabilidade pelos processos de gesto e governana de TI so dos gestores do MP e no da contratada. A contratada at pode executar boa parte desses processos, mas ainda assim o contratante quem deve manter seu controle e superviso, atividades indelegveis luz do Decreto-Lei 200/1967, art. 10, 7 Quanto segurana da informao, o MP vem adotando medidas com vistas adequao legislao vigente, uma vez que aprovou e publicou poltica de segurana da informao e comunicaes (Posic), instituiu comit de segurana da informao e comunicaes (CSIC), nomeou gestor de segurana da informao e comunicaes, e instituiu equipe de tratamento e resposta a incidentes em redes computacionais (ETRI). No entanto, h falhas na Posic; no h processos de segurana da informao destinados a classificar e a inventariar os ativos de informao; e no h procedimentos de gesto de riscos de segurana da informao. Tais lacunas configuram exigncias previstas em normas tcnicas elaboradas pelo Gabinete de Segurana Institucional da Presidncia da Repblica, que fornece diretrizes sobre segurana da informao a rgos e entidades da Administrao Pblica Federal. Em face da relevncia do tema, a ausncia de elementos que permitam a boa gesto de segurana da informao configura situao incompatvel com uma razovel governana de TI. Como parte do escopo do trabalho, foram fiscalizados dois contratos de TI do MP, sob os aspectos da conformidade do processo de contratao e da gesto contratual. Dessa anlise, foram constatadas vrias impropriedades, algumas consideradas estruturais (ausncia de estudos tcnicos preliminares e falhas no cumprimento do processo de planejamento de acordo com a Instruo Normativa SLTI/MP 4/2008) e outras pontuais (falhas na execuo dos contratos). Em virtude da gravidade dos indcios e da potencialidade de efeitos negativos, as seguintes impropriedades verificadas na anlise do Contrato 45/2005 e no constantes deste relatrio sero tratadas no TC 022.241/2010-8, auditoria especfica do TMS 6 gesto e uso de TI, que avalia contratos do Serpro com a Administrao Pblica Federal, quais sejam: falhas nos critrios de mensurao dos servios, modelo de pagamento no vinculado a resultados, falhas na justificativa de preo, desconformidade na aplicao dos critrios de medio, dificuldade de rastrear servios executados, entre outros. Foi evidenciada boa prtica dos gestores do MP, que realizaram avaliao por iniciativa prpria, prtica conhecida como controle de auto-avaliao.
49
TC 024.956/2010-4
Ao final dos trabalhos de campo, para fins de estabelecimento de correlao entre a situao de governana de TI declarada pelo MP em resposta ao Questionrio PerfilGovTI-2010, no mbito do TC 009.329/2010-2 (Anexo 1, fls. 3-8), e a situao evidenciada in loco no presente trabalho, esta equipe de auditoria respondeu o citado questionrio com base na avaliao de controles gerais realizada. Foram constatadas divergncias nas questes 1.3, 2.3, 6.3 e 7.11, em que a opinio da equipe sobre a resposta diferente da do auditado e reflete uma situao de governana pior que a declarada pelo gestor no mbito do TC 012.538/2009-1 que subsidiou o Acrdo 2.308/2010-TCU-Plenrio. Cabe ressaltar que foi pressuposta boa-f nos itens que refletem uma situao de governana pior que a declarada pelo gestor. Tambm foram constatadas divergncias nas questes 2.2, 2.4 e 7.15, em que a opinio da equipe reflete uma situao de governana melhor que a declarada pelo gestor no mbito do citado acrdo. papel vital da governana de TI atuar de modo a atingir os resultados esperados da rea de TI por parte da alta administrao do rgo. Isso se d a partir da criao e do acompanhamento de processos e controles que tm como objetivo, entre outros, diminuir os riscos das operaes, visando fazer com que a rea de TI cumpra tempestiva e eficientemente sua misso. Quanto menos instrumentos de controle houver para a gesto da TI, maiores so as chances do surgimento de situaes que afetem negativamente o funcionamento da TI e, por conseguinte, do prprio rgo ao qual ela d suporte. Sob essa premissa e considerando os achados relatados na fiscalizao, entende-se que h forte correlao entre as falhas associadas Governana de TI e as impropriedades encontradas nos contratos analisados. Quando se analisa algumas das impropriedades nos contratos, o que se identifica so os efeitos de processos mal executados. Uma das causas dos problemas reside, por certo, na ausncia ou falha em controles dos procedimentos internos de contratao de servios de TI. Essa relao de causa e efeito pode ser evidenciada, no sentido de que difcil estabelecer controles em processos de contratao sem que: a) haja justificativa para a contratao do objeto pretendido alinhada com os objetivos estratgicos e de TI do rgo impossvel em virtude da inexistncia de plano estratgico institucional e plano diretor de tecnologia da informao poca dos processos de contratao analisados; b) haja padronizao do rol e da qualidade esperada dos produtos de software a serem entregues pelas contratadas e padronizao das atividades de gesto a serem desempenhadas pelo rgo, com vistas a especificar adequadamente as suas necessidades nas contrataes de servios de manuteno e desenvolvimento de sistemas objetivo impossvel de ser alcanado sem a utilizao de processos de software e de gerenciamento de projetos; c) haja definio de clusulas relativas a aspectos de segurana da informao nas contrataes de servios de TI prejudicado em razo da no instituio de processos de classificao da informao e de gesto de riscos de segurana da informao. Portanto, a melhoria de processos de governana de TI no MP essencial para que os riscos de ocorrncias especficas na operao da TI que possam ocasionar falhas (inclusive as relacionadas aos processos de contratao e gesto contratual) sejam tratados antecipadamente. Isso possvel por meio do apoio da alta administrao, da criao e reviso peridica de controles internos e do aumento quantitativo e qualitativo de recursos humanos. Cabe destacar que aps a reunio de encerramento realizada no MP, com a presena da coordenao do TMS 6, da equipe de fiscalizao, do Gestor da Secretaria-executiva do MP e principais gestores das demais das reas envolvidas, em que foram discutidos os resultados preliminares e apresentados os critrios utilizados, o Ministrio foi instado a manifestar-se, por intermdio do Ofcio 7-849/2010-Sefti (fl. 45), no prazo de cinco dias, sobre a avaliao das respostas enviadas pelo rgo ao Questionrio PerfilGovTI-2010 aps anlise das evidncias, e sobre a avaliao de seus controles gerais de TI. Assim, os gestores ficaram cientes das falhas e impropriedades encontradas, sua manifestao sobre os achados foi incorporada nas sees
50
TC 024.956/2010-4
esclarecimentos dos responsveis, e sua anlise foi considerada nas concluses dos achados do relatrio preliminar desta auditoria. Posteriormente, as concluses e propostas do relatrio preliminar foram consideradas pela SE/MP, a qual teceu comentrios pontuais a cada um dos 26 achados, incorporados e analisados neste relatrio final. A esse respeito, cabe salientar que as concluses e propostas contidas no presente relatrio, que foram referenciadas pela SE/MP nos itens da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, consistem, de fato, na opinio da Sefti, que poder ou no ser acolhida pelo Relator do processo, Ministro Aroldo Cedraz, sendo que, somente aps o julgamento do processo pelo colegiado do Tribunal, que se poder falar em deliberao do TCU. Registrem-se as iniciativas que j vm sendo adotadas pelo MP, posteriormente ao de controle, no sentido de melhorar alguns processos de governana de TI e de adequ-los legislao vigente, a exemplo daquelas comprovadas pela equipe quanto aos achados 2.10 e 2.15. Alm dessas, o Gestor citou medidas, iniciadas aps a ao de controle ou no concludas at o trmino da fiscalizao, referentes aos achados 2.2, 2.5, 2.6, 2.11, 2.18, 2.19, 2.23 e 3.1, cujos resultados no puderam ser comprovados pela equipe no presente trabalho, o que poder ser realizado em futuro monitoramento das deliberaes do acrdo que vier a ser proferido. Tais iniciativas reforam a necessidade de serem implantados ou revisados processos e controles visando a induzir o alcance, pela rea de TI, dos resultados esperados por parte da alta administrao do rgo. Registre-se, ainda, que o presente trabalho faz parte de um diagnstico da gesto e do uso de TI dos entes pblicos e que os fatos aqui relatados sero considerados em conjunto com as concluses das demais fiscalizaes de avaliao de controles gerais de TI, no mbito do processo referente fiscalizao consolidadora do TMS 6 gesto e uso de TI (Fiscalis 471/2010). Por fim, tendo em vista as competncias definidas para a CGU, rgo responsvel pela auditoria interna do MP, e o fato de o escopo do presente trabalho ser a avaliao de controles gerais de TI, sustenta-se a proposta de encaminhar cpia do Acrdo que vier a ser proferido, bem como do Relatrio e Voto que o fundamentarem CGU. 3. Por tais motivos, a Sefti, em pareceres uniformes (fls. 149/153), sugeriu a esta Corte: I. recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que: I.1. em ateno ao Decreto-Lei 200/1967, art. 6, I, e art. 7, elabore um plano estratgico institucional, considerando o previsto no critrio de avaliao 2 do Gespblica; (2.1) I.2. em ateno s disposies contidas no Decreto-Lei 200/1967, art. 6, I, e na Instruo Normativa SLTI/MP 4/2010, art. 4, aperfeioe o processo de planejamento estratgico de TI, observando as diretrizes constantes da Estratgia Geral de Tecnologia da Informao (EGTI) em vigor, e semelhana das orientaes previstas no Cobit 4.1, processo PO1 Planejamento Estratgico de TI; (2.2) I.3. aperfeioe a atuao do comit de tecnologia da informao, semelhana das diretrizes do Cobit 4.1, PO4.2 Comit estratgico de TI e PO4.3 Comit diretor de TI, prevendo as seguintes atribuies para o comit de TI: a) acompanhar o estado dos projetos; b) resolver conflitos por recursos; e c) monitorar os nveis de servio e as melhorias implantadas; (2.3) I.4. em ateno ao Decreto 5.707/2006, art. 1, III, elabore estudo tcnico de avaliao qualitativa e quantitativa do quadro da rea de TI no mbito de todo o Ministrio, com vistas a fundamentar futuros pleitos de ampliao e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, semelhana das prticas contidas no Cobit 4.1, PO4.12 Pessoal de TI; (2.4) I.5. quando do estabelecimento de seu processo de software, considere as Normas NBR ISO/IEC 12.207 e 15.504; (2.5)
51
TC 024.956/2010-4
I.6. implante uma estrutura formal de gerncia de projetos, semelhana das orientaes contidas no Cobit 4.1, processo PO10.2 Estruturas de Gerncia de Projetos e no PMBOK, dentre outras boas prticas de mercado; (2.6) I.7. estabelea procedimentos formais de gesto de mudanas, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 27002, semelhana das orientaes contidas no Cobit 4.1, processo AI6 Gerenciar mudanas, e em outras boas prticas de mercado (tais como ITIL e NBR ISO/IEC 20000); (2.7) I.8. implemente processo de gesto de incidentes de servios de tecnologia da informao, semelhana das orientaes contidas no Cobit 4.1, processo DS8 Gerenciar a central de servios e incidentes, e de outras boas prticas de mercado (tais como NBR ISO/IEC 20000, ITIL e NBR 27002); (2.8) I.9. implemente processo de gesto de configurao de servios de tecnologia da informao, semelhana das orientaes contidas no Cobit 4.1, processo DS9 Gerenciar configurao e em outras boas prticas de mercado (como ITIL e NBR ISO/IEC 20000); (2.9) I.10. quando elaborar o plano anual de capacitao, contemple aes de capacitao voltadas para a gesto de tecnologia da informao, semelhana das prticas contidas no Cobit 4.1, processos PO7.2 Competncias Pessoais e PO7.4 Treinamento do Pessoal; (2.16) I.11. promova aes para que a auditoria interna apoie a avaliao da TI, semelhana das orientaes contidas no Cobit 4.1, ME2 Monitorar e avaliar os controles internos; (2.17) I.12. aperfeioe o processo de avaliao da gesto de TI, semelhana das orientaes contidas no Cobit 4.1, itens ME1.4 Avaliao de desempenho, ME1.5 Relatrios gerenciais, ME1.6 Aes corretivas e ME2 Monitorar e avaliar os controles internos; (2.18) I.13. aperfeioe os controles destinados a promover o cumprimento do processo de planejamento previsto na Instruo Normativa SLTI/MP 4/2010; (2.19) I.14. planeje as contrataes de servios de tecnologia da informao executando o processo previsto na Instruo Normativa SLTI/MP 4/2010, observando a sequncia lgicotemporal entre as tarefas e os ritos de aprovao dos artefatos produzidos ao longo do processo; (2.21) I.15. aperfeioe os controles que promovam a regular gesto contratual e que permitam identificar se todas as obrigaes do contratado foram cumpridas antes do ateste do servio; (2.23) I.16. em ateno s disposies contidas na Lei 4.320/1964, art. 75, inciso III, aperfeioe os procedimentos de controle da execuo oramentria, a fim de se obter prontamente informaes acerca dos gastos e da disponibilidade de recursos de TI do Ministrio como um todo; (2.25) I.17. em ateno ao disposto no Decreto 7.063/2010, art. 33, adote medidas para que o DSTI/SLTI/MP exera efetivamente suas atribuies de coordenao e superviso das atividades de Tecnologia da Informao no mbito de todo o Ministrio; (3.1) II. determinar, com fulcro na Lei 8.443/1992, art. 43, I, Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que: II.1. em ateno ao disposto na Lei 8.666/1993, art. 6, IX, e s disposies contidas na Instruo Normativa SLTI/MP 4/2010, art. 13, II, defina um processo de software previamente s futuras contrataes de servios de desenvolvimento ou manuteno de software, vinculando o contrato com o processo de software, sem o qual o objeto no estar precisamente definido; (2.5) II.2. em ateno ao disposto na Instruo Normativa GSI/PR 1/2008, art. 5, VII, adeque a poltica de segurana da informao e comunicaes s prticas contidas na Norma Complementar 3/IN01/DSIC/GSIPR; (2.11) II.3. em ateno ao disposto no Decreto 4.553/2002, art. 6, 2, II, e art. 67, estabelea critrios de classificao das informaes a fim de que possam ter tratamento diferenciado conforme seu grau de importncia, criticidade e sensibilidade, observando as prticas contidas no item 7.2 da NBR ISO/IEC 27.002; (2.12) II.4. em ateno ao disposto na Instruo Normativa GSI/PR 1/2008, art. 5, VII, c/c Norma Complementar 4/IN01/DSIC/GSIPR, item 5.2.1, estabelea procedimento de inventrio de
52
TC 024.956/2010-4
ativos de informao, de maneira que todos os ativos de informao sejam inventariados e tenham um proprietrio responsvel, observando as prticas contidas no item 7.1 da NBR ISO/IEC 27.002; (2.13) II.5. em ateno ao disposto na Instruo Normativa GSI/PR 1/2008, art. 5, VII, c/c Norma Complementar 4/IN01/DSIC/GSIPR, implemente processo de gesto de riscos de segurana da informao; (2.14) II.6. em ateno s disposies contidas no Decreto 5.707/2006, art. 5, 2, c/c Portaria MP 208/2006, art. 2, I, e art. 4, elabore plano anual de capacitao; (2.16) II.7. no prazo de trinta dias, a contar da cincia do acrdo que vier a ser proferido, encaminhe plano de ao para a implementao das medidas contidas no Decisum, contendo: i. para cada determinao, o prazo e o responsvel (nome, cargo e CPF) pelo desenvolvimento das aes; ii. para cada recomendao, cuja implementao seja considerada conveniente e oportuna, o prazo e o responsvel (nome, cargo e CPF) pelo desenvolvimento das aes; iii. para cada recomendao cuja implementao no seja considerada conveniente ou oportuna, justificativa da deciso; III. dar cincia Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto sobre: III.1. a ausncia de estudos tcnicos preliminares elaborao do projeto bsico referente ao Contrato 45/2005, o que afronta o disposto na Lei 8.666/1993, art. 6, IX; (2.20); III.2. as seguintes impropriedades identificadas no processo de contratao do Contrato 45/2005 (2.22): i. no divisibilidade do objeto, estando presentes a viabilidade tcnica e econmica, o que afronta o disposto no art. 23, 1, da Lei 8.666/1993; ii. ausncia de elementos bsicos na fundamentao do objetivo da contratao, o que afronta o disposto no Decreto-Lei 200/1967, art. 6, I, c/c itens 9.3.11 do Acrdo 1.558/2003, 9.1.1 do Acrdo 2.094/2004 e 9.1.9 do Acrdo 2.023/2005, todos do Plenrio; iii. desconformidades nos pareceres jurdicos, o que afronta o disposto no art. 38, VI, e pargrafo nico, c/c o art. 26, III, todos da Lei 8.666/1993, por no ter sido apontada a necessidade de realizao de pesquisa de preos no mercado no que tange s minutas do Contrato 45/2005 e de seus dois primeiros termos aditivos; iv. insuficincia de clusulas contratuais, pela ausncia de vinculao a processo de software para servios de desenvolvimento e manuteno de sistemas e pela ausncia de vinculao a um processo de gerenciamento para os projetos executados no contrato, o que afronta o disposto na Lei 8.666/1993, art. 6, IX, letra d; III.3. as seguintes impropriedades identificadas no processo de contratao do Contrato 58/2009 (2.22): i. ausncia de elementos bsicos na fundamentao do objetivo da contratao, o que afronta o disposto no Decreto-Lei 200/1967, art. 6, I, c/c itens 9.3.11 do Acrdo 1.558/2003, 9.1.1 do Acrdo 2.094/2004 e 9.1.9 do Acrdo 2.023/2005, todos do Plenrio; ii. falhas no mtodo de mensurao dos servios, tendo em vista que no foi definido no projeto bsico ou no contrato um modelo de ordem de servio (OS) para mensurao dos servios prestados, o que afronta o disposto na Lei 8.666/1993, art. 6, IX, e est em desconformidade com a jurisprudncia desta Corte, constante dos itens 9.4.3 e 9.4.4 do Acrdo 786/2006-TCU-Plenrio; iii. insuficincia de clusulas contratuais, no tocante segurana da informao, gesto de projetos, a processo de software e ao valor do contrato, o que afronta o disposto na Lei 8.666/1993, art. 6, IX, letra d; iv. no definio objetiva das penalidades e da frmula de clculo dos valores correspondentes a serem aplicados a cada caso de descumprimento contratual, o que afronta o disposto no art. 55, VII, da Lei 8.666/1993;
53
TC 024.956/2010-4
III.4. as seguintes impropriedades identificadas na execuo do Contrato 45/2005 (2.24): i. no designao formal de um preposto aceito pela Administrao para representar a contratada durante os perodos de vigncia da celebrao inicial do contrato, de seus dois primeiros termos aditivos e de parte do terceiro termo aditivo, o que afronta o disposto no art. 68 da Lei 8.666/1993; ii. falha na designao formal do fiscal do contrato, tendo em vista a intempestividade dos atos de designao para os perodos de vigncia da celebrao inicial do contrato e dos trs primeiros termos aditivos, o que afronta o disposto no art. 58, III, c/c o art. 67 da Lei 8.666/1993; iii. ateste de servios do primeiro termo aditivo por servidor no designado formalmente como fiscal do contrato, o que afronta o disposto no art. 67 da Lei 8.666/1993; iv. adoo de elemento de despesa desconforme com o Plano de Contas Aplicado ao Setor Pblico Administrao Pblica Federal, o que afronta o disposto nas orientaes constantes da Seo 021100 Outros Procedimentos da Macrofuno 021130 DESPESAS COM TI, do Manual Siafi Web; v. ausncia de declarao de que as modificaes propostas para a celebrao do terceiro termo aditivo encontravam-se dentro do limite de 25%, em face do disposto no item 9.4.21 do Acrdo 1.330/2008-TCU-Plenrio, o que afronta o disposto no art. 65, 1, da Lei 8.666/1993; III.5. as seguintes impropriedades identificadas na execuo do Contrato 58/2009 (2.24): i. no designao formal de um preposto aceito pela Administrao para representar a contratada na execuo do contrato, o que afronta o disposto no art. 68 da Lei 8.666/1993; ii. falhas na mensurao dos servios constantes das ordens de servio, por ausncia da estimativa prvia do volume de servios demandados e por especificao genrica e idntica dos servios contnuos com produtos e quantitativos de homens-hora tambm idnticos para diversos meses, o que afronta o disposto no art. 20, II, b, da IN SLTI/MP 4/2008 e est em desconformidade com a jurisprudncia do TCU constante dos itens 9.4.3 e 9.4.4 do Acrdo 786/2006-TCU-Plenrio; iii. adoo de elemento de despesa desconforme com o Plano de Contas Aplicado ao Setor Pblico Administrao Pblica Federal, o que afronta o disposto nas orientaes constantes da Seo 021100 Outros Procedimentos da Macrofuno 021130 DESPESAS COM TI, do Manual Siafi Web; iv. no realizao de pesquisa de preos na prorrogao do contrato, o que afronta o disposto no art. 6, IX, alnea f; art. 7, 2, II; art. 26, pargrafo nico, III, todos da Lei 8.666/1993; IV. Determinar, com fulcro na Lei 8.443/1992, art. 43, I, Secretaria de Fiscalizao de Tecnologia da Informao Sefti que, por ocasio do monitoramento das deliberaes do acrdo que vier a ser proferido, avalie a conformidade: IV.1. da atuao do gestor de segurana da informao e comunicaes do MP com o disposto na Instruo Normativa GSI/PR 1/2008, art. 7; (2.10) IV.2. da atuao da equipe de tratamento e resposta a incidentes em redes computacionais do MP com o disposto na Norma Complementar 05/IN01/DSIC/GSIPR; (2.15) V. apor chancela de sigilo aos Volumes 4 e 5 do Anexo 1 dos presentes autos; (2.1) VI. Encaminhar cpia do Acrdo que vier a ser proferido, bem como do Relatrio e Voto que o fundamentarem Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto; VII. Encaminhar cpia do Acrdo que vier a ser proferido, bem como do Relatrio e Voto que o fundamentarem Controladoria Geral da Unio; VIII. arquivar o presente processo. o Relatrio.
54
TC 024.956/2010-4
VOTO Na sesso de 8/9/2010 (acrdo 2.308/2010 Plenrio), apresentei a este colegiado o resultado consolidado do levantamento efetuado pela Secretaria de Fiscalizao de Tecnologia da Informao Sefti, em 2010, para avaliar a governana de tecnologia da informao em 315 rgos e entidades das administraes direta e indireta dos trs poderes da Unio. 2. Destaquei, naquela oportunidade, a importncia da atuao desta Corte com relao matria, eis que, a partir da identificao de pontos vulnerveis, ser possvel ao Tribunal, em primeiro lugar, atuar como indutor do aperfeioamento da governana de TI no setor pblico e, em segundo lugar, identificar e disseminar entre as unidades jurisdicionadas os bons exemplos e modelos identificados. 3. Apontei, ainda, as concluses mais significativas do levantamento, que permitiu constatar, em sntese, que: a) mais de 60% das organizaes no possuem planejamento estratgico de TI; b) algumas organizaes continuam a ter sua TI totalmente controlada por pessoas estranhas a seus quadros de pessoal; c) so graves os problemas de segurana da informao, j que informaes crticas no so protegidas adequadamente; d) metade das organizaes no possui mtodo ou processo para desenvolvimento de softwares e para aquisio de bens e servios de informtica, o que gera riscos de irregularidades em contrataes; e) a atuao sistemtica da alta administrao com respeito TI ainda incipiente; f) mais da metade das organizaes est no estgio inicial de governana de TI, e apenas 5% encontram-se em estgio aprimorado. 4. Neste momento, trago considerao deste Plenrio mais um trabalho concernente matria: a auditoria realizada pela Sefti no Ministrio do Planejamento, Oramento e Gesto MPOG, com o intuito de avaliar controles gerais de governana de TI naquela entidade. 5. As principais ocorrncias detectadas no presente trabalho assemelham-se s verificadas no levantamento consolidado e confirmam a preciso daquele estudo. Basicamente, constatou-se no MPOG: a) inexistncia de Plano Estratgico Institucional; b) falhas no Plano Diretor de Tecnologia da Informao; c) falhas relativas ao Comit de TI; d) inexistncia de avaliao do quadro de pessoal de TI; e) inexistncia de processo de desenvolvimento de software; f) inexistncia de processo de gerenciamento de projetos; g) inexistncia de processo de gesto de mudanas; h) inexistncia de processo de gesto de incidentes; i) inexistncia de processo de gesto de configurao de servios de TI; j) inexistncia de gestor de segurana de informao e comunicaes; k) falhas na poltica de segurana de informao e comunicaes; l) inexistncia de classificao de informao; m) inexistncia de inventrio de ativos de informao; n) inexistncia de processo de gesto de riscos de segurana da informao; o) falhas na equipe de tratamento e resposta a incidentes em redes computacionais; p) inexistncia de plano anual de capacitao; q) inexistncia de apoio da auditoria interna avaliao da TI; r) falhas na avaliao da gesto de TI; s) falhas nos controles destinados a promover o cumprimento da IN SLTI/MPOG 4/2010; t) inexistncia de estudos tcnicos preliminares; u) falhas no cumprimento do processo de planejamento definido na IN SLTI/MPOG 4/2010;
1
TC 024.956/2010-4
v) impropriedades em contrataes; w) falhas em controles destinados a promover regular gesto contratual; x) impropriedades na gesto contratual; y) falhas no controle da execuo do oramento de TI; z) TI descentralizada e sem coordenao. 6. Em razo das ocorrncias acima apontadas, a unidade tcnica apresentou uma srie de determinaes, recomendaes e notificaes que contribuiro para saneamento das ocorrncias e para aperfeioamento da governana de TI do MPOG. 7. Assim, por considerar papel deste Tribunal a constante induo de melhoria da gesto estatal e por estar integralmente de acordo com as medidas aventadas pela Sefti especialmente no tocante ao crucial tema da segurana da informao, que reputo essencial para adequado funcionamento das organizaes pblicas e para defesa da intimidade dos cidados que com elas interagem acolho as manifestaes daquela Secretaria e voto pela adoo da minuta de acrdo que trago ao escrutnio deste colegiado. Sala das Sesses, em 28 de setembro de 2011. AROLDO CEDRAZ Relator
TC 024.956/2010-4
ACRDO N 2613/2011 TCU Plenrio 1. Processo TC 024.956/2010-4 2. Grupo I Classe V Relatrio de Auditoria. 3. Responsvel: Joo Bernardo de Azevedo Bringel, secretrio executivo. 4. Unidade: Ministrio do Planejamento, Oramento e Gesto MPOG. 5. Relator: Ministro Aroldo Cedraz. 6. Representante do Ministrio Pblico: no atuou. 7. Unidade Tcnica: Secretaria de Fiscalizao de Desestatizao Sefti. 8. Advogado constitudo nos autos: no h. 9. Acrdo: VISTOS, relatados e discutidos estes autos de relatrio de auditoria realizada para avaliar controles gerais de tecnologia da informao no Ministrio do Planejamento, Oramento e Gesto MPOG. ACORDAM os Ministros do Tribunal de Contas da Unio, reunidos em sesso do Plenrio, ante as razes expostas pelo relator e com base nos arts. 42, 1, e 43, I, da Lei 8.443/1992, e nos arts. 245, 1, e 250, inciso III, do Regimento Interno, em: 9.1. recomendar Secretaria Executiva do Ministrio do Planejamento, Oramento e Gesto que: 9.1.1 em ateno ao Decreto-Lei 200/1967, art. 6, I, e art. 7, elabore plano estratgico institucional, considerando o critrio de avaliao 2 do Gespblica; 9.1.2. em ateno ao Decreto-Lei 200/1967, art. 6, I, e Instruo Normativa SLTI/MP 4/2010, art. 4, aperfeioe o processo de planejamento estratgico de TI, observando as diretrizes da Estratgia Geral de Tecnologia da Informao em vigor e semelhana das orientaes do Cobit 4.1, processo PO1 Planejamento Estratgico de TI; 9.1.3. aperfeioe a atuao do comit de tecnologia da informao, semelhana das diretrizes do Cobit 4.1, PO4.2 Comit estratgico de TI e PO4.3 Comit diretor de TI, prevendo as seguintes atribuies para aquele comit: a) acompanhar o estado dos projetos; b) resolver conflitos por recursos; e c) monitorar os nveis de servio e as melhorias implantadas; 9.1.4. em ateno ao Decreto 5.707/2006, art. 1, III, elabore estudo tcnico de avaliao qualitativa e quantitativa do quadro da rea de TI de todo o Ministrio, com vistas a fundamentar futuros pleitos de ampliao e preenchimento de vagas de servidores efetivos qualificados, objetivando melhor atendimento de necessidades institucionais, semelhana das prticas do Cobit 4.1, PO4.12 Pessoal de TI; 9.1.5. ao estabelecer seu processo de software, considere as Normas NBR ISO/IEC 12.207 e 15.504; 9.1.6. implante estrutura formal de gerncia de projetos, semelhana das orientaes do Cobit 4.1, processo PO10.2 Estruturas de Gerncia de Projetos e no PMBOK, entre outras boas prticas de mercado; 9.1.7. estabelea procedimentos formais de gesto de mudanas, de acordo com o item 12.5.1 da NBR ISO/IEC 27002, semelhana das orientaes do Cobit 4.1, processo AI6 Gerenciar mudanas, e de outras boas prticas de mercado, como ITIL e NBR ISO/IEC 20000; 9.1.8. implemente processo de gesto de incidentes de servios de tecnologia da informao, semelhana do Cobit 4.1, processo DS8 Gerenciar a central de servios e incidentes, e de outras boas prticas de mercado, como NBR ISO/IEC 20000, ITIL e NBR 27002; 9.1.9. implemente processo de gesto de configurao de servios de tecnologia da informao, semelhana do Cobit 4.1, processo DS9 Gerenciar configurao, e de outras boas prticas de mercado, como ITIL e NBR ISO/IEC 20000;
TC 024.956/2010-4
9.1.10. ao elaborar o plano anual de capacitao, contemple aes de capacitao para gesto de tecnologia da informao, semelhana do Cobit 4.1, processos PO7.2 Competncias Pessoais e PO7.4 Treinamento do Pessoal; 9.1.11. promova aes para que a auditoria interna apoie a avaliao da TI, semelhana do Cobit 4.1, ME2 Monitorar e avaliar os controles internos; 9.1.12. aperfeioe o processo de avaliao da gesto de TI, semelhana do Cobit 4.1, itens ME1.4 Avaliao de desempenho, ME1.5 Relatrios gerenciais, ME1.6 Aes corretivas e ME2 Monitorar e avaliar os controles internos; 9.1.13. aperfeioe controles destinados a promover o cumprimento do processo de planejamento previsto na Instruo Normativa SLTI/MPOG 4/2010; 9.1.14. planeje contrataes de servios de TI com uso do processo previsto na IN SLTI/MPOG 4/2010, observando a sequncia lgico-temporal entre tarefas e ritos de aprovao dos artefatos produzidos ao longo do processo; 9.1.15. aperfeioe controles que promovam regular gesto contratual e que permitam identificar se todas as obrigaes do contratado foram cumpridas antes da atestao do servio; 9.1.16. em ateno Lei 4.320/1964, art. 75, III, aperfeioe procedimentos de controle da execuo oramentria, a fim de obter prontamente informaes acerca de gastos e disponibilidade de recursos de TI do Ministrio como um todo; 9.1.17. em ateno ao Decreto 7.063/2010, art. 33, adote medidas para que o DSTI/SLTI/MPOG exera efetivamente suas atribuies de coordenao e superviso das atividades de TI de todo Ministrio; 9.2. determinar Secretaria Executiva do Ministrio do Planejamento, Oramento e Gesto que: 9.2.1. em ateno Lei 8.666/1993, art. 6, IX, e IN SLTI/MPOG 4/2010, art. 13, II, defina processo de software previamente a futuras contrataes de servios de desenvolvimento ou manuteno de software, vinculando o contrato com o processo de software, sem o qual o objeto no estar precisamente definido; 9.2.2. em ateno IN GSI/PR 1/2008, art. 5, VII, ajuste a poltica de segurana da informao e comunicaes Norma Complementar 3/IN01/DSIC/GSIPR; 9.2.3. em ateno ao Decreto 4.553/2002, art. 6, 2, II, e art. 67, estabelea critrios de classificao de informaes, a fim de que possam ter tratamento diferenciado conforme seu grau de importncia, criticidade e sensibilidade, observando o item 7.2 da NBR ISO/IEC 27.002; 9.2.4. em ateno IN GSI/PR 1/2008, art. 5, VII, c/c a Norma Complementar 4/IN01/DSIC/GSIPR, item 5.2.1, estabelea procedimento de inventrio de ativos de informao, de maneira a que todos os ativos de informao sejam inventariados e tenham proprietrio responsvel, observando o item 7.1 da NBR ISO/IEC 27.002; 9.2.5. em ateno IN GSI/PR 1/2008, art. 5, VII, c/c a Norma Complementar 4/IN01/DSIC/ GSIPR, implemente processo de gesto de riscos de segurana da informao; 9.2.6. em ateno ao Decreto 5.707/2006, art. 5, 2, c/c a Portaria MPOG 208/2006, art. 2, I, e art. 4, elabore plano anual de capacitao; 9.2.7. no prazo de 30 (trinta) dias a contar da cincia deste acrdo, encaminhe Sefti plano de ao para implementao das medidas contidas nesta deciso, com indicao: 9.2.7.1. para cada determinao, do prazo e do responsvel (nome, cargo e CPF) pelo desenvolvimento das aes; 9.2.7.2. para cada recomendao cuja implementao seja considerada conveniente e oportuna, do prazo e do responsvel (nome, cargo e CPF) pelo desenvolvimento das aes; 9.2.7.3. para cada recomendao cuja implementao no seja considerada conveniente ou oportuna, da justificativa da deciso; 9.3. dar cincia Secretaria Executiva do Ministrio do Planejamento, Oramento e Gesto:
2
TC 024.956/2010-4
9.3.1. da ausncia de estudos tcnicos preliminares elaborao do projeto bsico referente ao contrato 45/2005, o que afronta a Lei 8.666/1993, art. 6, IX; 9.3.2. das seguintes impropriedades no processo de celebrao do contrato 45/2005: 9.3.2.1. no diviso do objeto, apesar da viabilidade tcnica e econmica, o que afronta o art. 23, 1, da Lei 8.666/1993; 9.3.2.2. ausncia de elementos bsicos na fundamentao do objetivo da contratao, o que afronta o Decreto-Lei 200/1967, art. 6, I, c/c os itens 9.3.11 do acrdo 1.558/2003, 9.1.1 do acrdo 2.094/2004 e 9.1.9 do acrdo 2.023/2005, todos do Plenrio; 9.3.2.3. desconformidades nos pareceres jurdicos, o que afronta os arts. 38, VI, e pargrafo nico, e 26, III, da Lei 8.666/1993, por no ter sido apontada a necessidade de realizao de pesquisa de preos no mercado no que tange s minutas do contrato 45/2005 e de seus dois primeiros termos aditivos; 9.3.2.4. insuficincia de clusulas contratuais, pela ausncia de vinculao a processo de software para servios de desenvolvimento e manuteno de sistemas e pela ausncia de vinculao a um processo de gerenciamento para os projetos executados no contrato, o que afronta a Lei 8.666/1993, art. 6, IX, letra d; 9.3.3. das seguintes impropriedades no processo de celebrao do contrato 58/2009: 9.3.3.1. ausncia de elementos bsicos na fundamentao do objetivo da contratao, o que afronta o Decreto-Lei 200/1967, art. 6, I, c/c os itens 9.3.11 do acrdo 1.558/2003, 9.1.1 do acrdo 2.094/2004 e 9.1.9 do acrdo 2.023/2005, todos do Plenrio; 9.3.3.2. falhas no mtodo de mensurao dos servios, tendo em vista que no foi definido, no projeto bsico ou no contrato, um modelo de ordem de servio para mensurao dos servios prestados, o que afronta a Lei 8.666/1993, art. 6, IX, e est em desconformidade com a jurisprudncia desta Corte, nos termos dos itens 9.4.3 e 9.4.4 do acrdo 786/2006 Plenrio; 9.3.3.3. insuficincia de clusulas contratuais no tocante segurana da informao, gesto de projetos, a processo de software e ao valor do contrato, o que afronta a Lei 8.666/1993, art. 6, IX, letra d; 9.3.3.4. ausncia de definio objetiva das penalidades e da frmula de clculo dos valores correspondentes a serem aplicados a cada caso de descumprimento contratual, o que afronta o art. 55, VII, da Lei 8.666/1993; 9.3.4. das seguintes impropriedades na execuo do contrato 45/2005: 9.3.4.1. ausncia de designao formal de preposto, aceito pela Administrao, para representar a contratada durante os perodos de vigncia da celebrao inicial do contrato, de seus dois primeiros termos aditivos e de parte do terceiro termo aditivo, o que afronta o art. 68 da Lei 8.666/1993; 9.3.4.2. falha na designao formal do fiscal do contrato, tendo em vista a intempestividade dos atos de designao para os perodos de vigncia da celebrao inicial do contrato e dos trs primeiros termos aditivos, o que afronta os arts. 58, III, e art. 67 da Lei 8.666/1993; 9.3.4.3. atestao de servios do primeiro termo aditivo por servidor no designado formalmente como fiscal do contrato, o que afronta o art. 67 da Lei 8.666/1993; 9.3.4.4. adoo de elemento de despesa desconforme com o Plano de Contas Aplicado ao Setor Pblico Administrao Pblica Federal, o que afronta a Seo 021100 Outros Procedimentos da Macrofuno 021130 DESPESAS COM TI, do Manual Siafi Web; 9.3.4.5. ausncia de declarao de que as modificaes propostas para a celebrao do terceiro termo aditivo encontravam-se dentro do limite de 25%, em face do item 9.4.21 do acrdo 1.330/2008 Plenrio, o que afronta o art. 65, 1, da Lei 8.666/1993; 9.3.5. das seguintes impropriedades na execuo do contrato 58/2009: 9.3.5.1. ausncia de designao formal de preposto, aceito pela Administrao, para representar a contratada na execuo do contrato, o que afronta o art. 68 da Lei 8.666/1993; 9.3.5.2. falhas na mensurao dos servios constantes das ordens de servio, por ausncia da estimativa prvia do volume de servios demandados e por especificao genrica e idntica dos servios contnuos com produtos e quantitativos de homens-hora tambm idnticos para diversos meses, o
3
TC 024.956/2010-4
que afronta o art. 20, II, b, da IN SLTI/MPOP 4/2008 e est em desconformidade com a jurisprudncia do TCU, nos termos dos itens 9.4.3 e 9.4.4 do acrdo 786/2006 Plenrio; 9.3.5.3. adoo de elemento de despesa desconforme com o Plano de Contas Aplicado ao Setor Pblico Administrao Pblica Federal, o que afronta a Seo 021100 Outros Procedimentos da Macrofuno 021130 DESPESAS COM TI, do Manual Siafi Web; 9.3.5.4. ausncia de realizao de pesquisa de preos na prorrogao do contrato, o que afronta o art. 6, IX, f, o art. 7, 2, II, e o art. 26, pargrafo nico, III, da Lei 8.666/1993; 9.4. determinar Secretaria de Fiscalizao de Tecnologia da Informao que, por ocasio do monitoramento das deliberaes contidas neste acrdo, avalie a conformidade: 9.4.1. da atuao do gestor de segurana da informao e comunicaes do MPOG com a IN GSI/PR 1/2008, art. 7; 9.4.2. da atuao da equipe de tratamento e resposta a incidentes em redes computacionais do MPOG com a Norma Complementar 05/IN01/DSIC/GSIPR; 9.5. apor chancela de sigilo aos volumes 4 e 5 do anexo 1 destes autos; 9.6. encaminhar cpia deste acrdo e do relatrio e do voto que o fundamentaram Secretaria Executiva do Ministrio do Planejamento, Oramento e Gesto e Controladoria Geral da Unio; 9.7. arquivar o presente processo. 10. Ata n 40/2011 Plenrio. 11. Data da Sesso: 28/9/2011 Ordinria. 12. Cdigo eletrnico para localizao na pgina do TCU na Internet: AC-2613-40/11-P. 13. Especificao do quorum: 13.1. Ministros presentes: Augusto Nardes (na Presidncia), Valmir Campelo, Walton Alencar Rodrigues, Aroldo Cedraz (Relator), Raimundo Carreiro, Jos Jorge e Jos Mcio Monteiro. 13.2. Ministro-Substituto convocado: Augusto Sherman Cavalcanti. 13.3. Ministro-Substituto presente: Andr Lus de Carvalho.
(Assinado Eletronicamente) (Assinado Eletronicamente)
AUGUSTO NARDES Vice-Presidente, no exerccio da Presidncia Fui presente:

(Assinado Eletronicamente)
AROLDO CEDRAZ Relator
LUCAS ROCHA FURTADO Procurador-Geral

Acórdão Tcu 2613-2011 - Mpog - Avaliação de Controles de Ti

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Acórdão Tcu 2613-2011 - Mpog - Avaliação de Controles de Ti

Uploaded by

Copyright:

Available Formats

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.

TRIBUNAL DE CONTAS DA UNIO