ACORDAO-LEGADO-72671

7/25/2019 ACORDAO-LEGADO-72671

1/47

GRUPO I CLASSE V Plenrio

TC-008.380/2007-1 !o" # $ne%o&'($)*re+$, Le$n)$"en)o e A*i)ori$ro, ier&o& ro& e en)i$e& $ A"ini&)r$4o P56li!$ eer$lIn)ere&&$o, Tri6*n$l e Con)$& $ UnioAo$o !on&)i)*o no& $*)o&, no 9

Sumrio: LEVA(TA:E(TO E AUITORIA. SITUA;

?1. @ feito plane$amento estrat,ico institucional e de )* nos r,os/entidades

?2. ?ual o perfil dos recursos -umanos da "rea de )* (uanto B forma&o+ vnculo com aor,aniza&o e prre(uisitos para ocupa&o de fun&'es comissionadas

?3. o efetuadas a&'es e procedimentos (ue contri#uam para a minimiza&o dos riscos e oaumento no nvel de se,uran&a das informa&'es dos r,os/entidades

?4. desenvolvimento de sistemas se,ue al,uma metodolo,ia s r,os/entidades mantCminvent"rio dos principais sistemas e #ases de dados


2/47

TRI>U(AL E CO(TAS A U(I2005+ GHI */*E9 15;;;1>2007 e no %9ontrol#$ectives for *nformation and related )ec-nolo,J 4.1 69o#it 4.1.2005 o cdi,o de pr"tica para a ,esto da se,uran&a dainforma&o mais adotado em todo o mundo. Essa norma teve sua primeira verso internalizada pela

Associa&o Hrasileira de Gormas )cnicas 6AHG) em setem#ro de 2001+ e conta com a se,unda versoem vi,or desde setem#ro de 2005. Essa norma fornece recomenda&'es em ,esto da se,uran&a dainforma&o para uso dos respons"veis pela implementa&o e manuten&o da se,uran&a em suasor,aniza&'es. )em como propsito prover uma #ase comum para o desenvolvimento de normas de

se,uran&a or,anizacional e das pr"ticas efetivas de ,esto da se,uran&a+ e prover confian&a nosrelacionamentos entre as or,aniza&'es.;. A norma GHI 15;;;1>2007 o cdi,o de pr"tica para a ,esto de continuidade dene,cios+ #aseada na norma in,lesa H* 25;;;>200 e internalizada no Hrasil pela AHG) em outu#ro de2007. eu o#$etivo fornecer um sistema #aseado nas #oas pr"ticas de ,esto de continuidade dene,cios.10. 9o#it+ por sua vez+ um modelo de ,esto orientado a processos e est" dividido em (uatro

,randes ,rupos> !lane$ar e r,anizar 6!lan K r,anise !+ Ad(uirir e *mplementar 6Ac(uire K*mplement A*+ Entre,ar e Assistir 68eliver K upport 8 e Lonitorar e Avaliar 6Lonitor KEvaluate LE+ cu$as iniciais sero utilizadas no decorrer do relatrio para fins de referCncia como

critrios de auditoria. 9o#it se encontra disponvel no site MMM.isaca.or,.Fale salientar (ue se tratade modelo $" amplamente recon-ecido e utilizado+ no Hrasil e no mundo+ no Nm#ito da tecnolo,ia dainforma&o+ tanto por ,erentes de inform"tica (uanto por auditores de )*.11. Ga fase de eDecu&o do levantamento+ os r,os e entidades selecionados rece#eram+ pormeio de correspondCncia oficial+ a identifica&o e a sen-a individual para acesso ao (uestion"rio e+

posteriormente+ via mensa,em eletrOnica+ o linP para o (uestion"rio online. softMare IisP Lana,erapoiou o envio+ a coleta e a ta#ula&o das informa&'es do (uestion"rio.12. 8urante o preenc-imento do (uestion"rio+ foi solicitado aos ,estores de )* dos r,os eentidades (ue aneDassem documentos eletrOnicos para servirem de evidCncias Bs respostas apresentadas.

Em ,eral+ esses documentos solicitados so atos normativos formais da or,aniza&o+ mas poderiam sertam#m atas de reunio ou outras pu#lica&'es internas aceitas e recon-ecidas pelo r,o/entidade.

8evese o#servar (ue as informa&'es coletadas foram declaradas pelos ,estores e no verificadas pelae(uipe $unto aos r,os/entidades. Alm disso+ nesse primeiro momento+ no foi avaliada a pertinCncia ea (ualidade dos documentos produzidos e aneDados pelos r,os/entidades.
http://www.isaca.org/http://www.isaca.org/http://www.isaca.org/


3/47

TRI>U(AL E CO(TAS A U(I


4/47

Planejamento Estratgico Institucional

53%

47%

Sim No

19% 81%

40%

0%



5/47



6/47

TRI>U(AL E CO(TAS A U(I Acrdo 7/2005)9=!len"rio1T

Acrdo 2.023/2005)9=!len"rio2T e Acrdo 7 ou por(ue lidam cominforma&'es privile,iadas+ ou por(ue tratam da fiscaliza&o dos contratos+ ou por(ue delas depende ofuncionamento do prprio setor e das demais unidades (ue utilizam seus servi&os+ ou por(ue envolvem a tomadade deciso so#re a realiza&o de despesas de vulto na a(uisi&o de #ens e contrata&o de servi&os. ?uando essasatividades no so re,ularmente eDecutadas+ as c-ances de serem causados pre$uzos B Administra&o aumentamconsideravelmente. !ortanto+ no razo"vel (ue esses encar,os se$am eDercidos por servidores sem (ualifica&oou+ dado o conflito de interesses+ se$am %dele,ados a pessoal terceirizado em razo das deficiCncias no (uadro dor,o p#lico.

1%;..1. adote providCncias no sentido de dotar a 9oordena&o:eral de Loderniza&o e *nform"tica 9:L*/L8*9 dos meios necess"rios para realizar+ deforma independente+ o plane$amento+ a especifica&o+ a superviso e o controle da eDecu&o dos servi&os de inform"tica terceirizados+ preferencialmentemediante o preenc-imento de car,os ou+ en(uanto no for reestruturada a coordenadoria de inform"tica do Linistrio+ mediante a contrata&o de empresaespecializada especificamente para esse fim+ distinta e independente das empresas prestadoras dos demais servi&osT2

%;.. determinar ao Linistrio do )ra#al-o e Empre,o e ao Linistrio do !lane$amento+ r&amento e :esto (ue avaliem a situa&o de terceiriza&o depessoal na "rea de )ecnolo,ia da *nforma&o do L)E e envidem esfor&os no sentido de diminuir o nvel de terceiriza&o+ principalmente para ocupar car,osestrat,icos com pessoal de carreira dentro da Administra&o !#licaT3 %;.


7/47



8/47

TRI>U(AL E CO(TAS A U(I %o (uanto podemos terceirizar. =ma ,rande (uantidade de

terceirizados e de outros cola#oradores eDternos representa um aumento do risco or,anizacional+especialmente se associado a controles fracos+ terceiriza&o da %inteli,Cncia da or,aniza&o ou deatividades estrat,icas. ozin-a+ entretanto+ apenas um indcio de (ue pode -aver dificuldade na ,estodesses cola#oradores e um alerta para o auditor so#re a necessidade de considerar crtica a ineDistCnciade controles so#re eles.42. e,uindo esse raciocnio+ verificouse (ue dentre os 70 r,os pes(uisados 62;S com "reade )* composta de menos de 1/3 de servidores do (uadro+ 3S tam#m no tCm plane$amento estrat,icode )* 6:r"fico 2. Ao mesmo tempo em (ue aumenta o risco de ausCncia de controles+ a ausCncia de

plane$amento aponta uma potencial dificuldade de aloca&o de recursos -umanos necess"rios Brealiza&o das a&'es de )*.43. inalmente+ a maior (uantidade de cola#oradores eDternos ao (uadro dos r,os/entidades

pes(uisados aumenta o risco de perda de con-ecimento or,anizacional+ na medida em (ue essecon-ecimento este$a depositado em indivduos sem vnculo e menos compromissados com a or,aniza&o.?uanto menor o (uadro de servidores+ maior a pro#a#ilidade de (ue al,um con-ecimento fi(ue somenteentre os cola#oradores eDternos e+ portanto+ maior o risco de (ue esse con-ecimento se perca.

9ritriosa Acrdo 140/2005)9=!len"rioT# 9o#it 4.1 !7.5 8ependence =pon *ndividuals 68ependCncia em *ndivduos Linimizar

a ocorrCncia de dependCncia crtica em indivduos c-ave por meio de a(uisi&o de con-ecimento6documenta&o+ compartil-amento de con-ecimento+ plane$amento de sucesso e e(uipe reserva.

EvidCncias

a ApCndice *+ planil-a de resultados+ per,unta> 4. R" servidores/empre,ados do (uadro (ueatuam na "rea de )* desse r,o/entidade 6fl. 37Efeitos potenciaisa 8ependCncia do r,o/entidade de servidores/empre,ados al-eios ao (uadro para

eDecu&o de atividades crticas para o ne,cioT# Aumento de custo para a Administra&o em contratos onde o contratado no pode ser

facilmente su#stitudo sem perda de continuidade de servi&os de )*Tc *no#servNncia da poltica de se,uran&a da informa&o da empresa em fun&o da

necessidade de manipula&o de informa&'es si,ilosas por terceirizadosTd 9onflito de interesses na fiscaliza&o de contratos+ (uando feita por outros terceirizados.

&c'ado V. &us(ncia de formao es)ec"fica em %I

44. e,undo as informa&'es levantadas no (uestion"rio+ somente 37S dos servidores (ue atuamnas "reas de )* dos r,os/entidades pes(uisados possuem forma&o especfica em )* 6incluindo a(uidoutorado+ mestrado+ ps,radua&o lato sensue nvel superior. A falta de especializa&o preocupa em


9/47

TRI>U(AL E CO(TAS A U(I . Esse r,o/entidade con-ece o ,rau de

forma&o daspessoas (ue atuam na "rea de )* 6fl. 37Efeitos potenciaisa HaiDa (ualidade dos servi&os de )* em fun&o da #aiDa (ualifica&o da e(uipe de )*T# Xr,o/entidade dependente de prestadora de servi&os de )*.

&c'ado VI. Inobservncia das com)et(ncias necess-rias )ara funes comissionadas

4


10/47

TRI>U(AL E CO(TAS A U(I 4. R" servidores/empre,ados do (uadro (ue

atuam na "rea de )* desse r,o/entidade 6fl. 37# ApCndice *+ planil-a de resultados+ per,unta> . Esse r,o/entidade con-ece o ,rau de

forma&o das pessoas (ue atuam na "rea de )* 6fl. 37c ApCndice *+ planil-a de resultados+ per,unta> 7. R" carreiras especficas para a "rea de )*

no plano de car,os do r,o/entidade 6fl. 37Efeitos potenciaisa *nsuficiCncia de servidores para atuar na "rea de )*.

37

38

33

30

18


11/47



12/47

TRI>U(AL E CO(TAS A U(I "rea especfica para tratamento de se,uran&a+ "reaespecfica para tratamento de incidentes+ evidCncias de ,esto centralizada para mudan&as+ capacidadee compati#ilidade de solu&'es de )*.2. A infraestrutura para a ade(uada ,esto da se,uran&a da informa&o na or,aniza&o tratada no item .1 da GHI */*E9 177;;>2005. 9ada r,o/entidade deve adotar a estruturaor,anizacional (ue mais se ade(Ue B cultura e ao taman-o da institui&o+ asse,urando+ contudo+ (ue aimplementa&o dos controles de se,uran&a da informa&o ten-a uma coordena&o (ue permeie toda aor,aniza&o. Assim+ as or,aniza&'es podem at usar um frum $" eDistente 6por eDemplo+ um consel-o dediretores+ desde (ue este assuma tam#m+ de forma eDplcita+ as atividades de ,esto da se,uran&a dainforma&o. mais fre(Uente tem sido o uso de um frum especfico 6por eDemplo+ um ,rupo especfico

para ,erenciar a se,uran&a da informa&o ou mesmo um ,estor individual 6(ue con-ecido nomercado como 9 9-ief ecuritJ fficer.3. o#$etivo do processo de ,esto de incidentes de se,uran&a asse,urar (ue se$a aplicadotratamento consistente e efetivo para os incidentes+ (ue incluem desde fal-as de sistemas at viola&'esintencionais da poltica de se,uran&a. !ara isso+ -" (ue se desi,nar claramente as responsa#ilidades notratamento de incidentes+ #em como os procedimentos a serem adotados+ em sintonia com outras

diretrizes+ como o plano de continuidade de ne,cio e a classifica&o das informa&'es. A eDistCncia deuma "rea especfica uma recomenda&o para a operacionaliza&o desses controles+ no s pela GHI*/*E9 177;;>2005+ como tam#m por v"rias diretrizes para ,overnan&a de )*.4. utros processos de infraestrutura relacionados com a se,uran&a so a ,esto centralizadade mudan&as e a ,esto de capacidade e compati#ilidade. Ga ,esto centralizada de mudan&as+ -"controle r,ido das mudan&as no am#iente operacional para ,arantir a esta#ilidade do am#iente e aauditoria das altera&'es realizadas. controle inade(uado de modifica&'es nos sistemas e nos recursosde processamento da informa&o uma causa comum de fal-as de se,uran&a ou de sistema.5. W" a ,esto de capacidade e compati#ilidade visa principalmente ,arantir a disponi#ilidadedas informa&'es+ ao verificar continuamente se as solu&'es de )* suportam ade(uadamente a demanda

por informa&'es sem so#recarre,ar os sistemas+ ,erar descontinuidade de opera&o e/ou fal-as no nvel

de servi&o acordado.. inalmente+ os r,os/entidades foram instados a apresentar as evidCncias de (ue estariampreocupados em realizar o tratamento dos riscos relacionados ao processamento das informa&'es so#sua responsa#ilidade por meio das solu&'es de )*. tratamento dos riscos inclui a identifica&o+ a(uantifica&o e a classifica&o dos riscos (uanto B sua prioridade+ com #ase em critrios sintonizadoscom o ne,cio da or,aniza&o. s resultados dessa an"lise devem orientar as a&'es de ,esto e as

prioridades para o ,erenciamento dos riscos de se,uran&a da informa&o e para a implementa&o doscontroles selecionados. !or isso+ a an"lise de risco estrat,ica na ,esto da se,uran&a e deve ser feitaem #ases peridicas para ,arantir a ade(ua&o entre ,esto e ne,cio.

&c'ado VIII. &us(ncia de )ol"tica de segurana da informao em vigor

7. A ausCncia de poltica de se,uran&a da informa&o 6!* formalmente definida na

or,aniza&o foi declarada por 4S dos r,os/entidades pes(uisados. 9omo esse documento dediretrizes um dos primeiros passos na constru&o de uma ,esto da se,uran&a da informa&o+ tal

10 8ecreto nQ 4.553 de 27 de dezem#ro de 2002 esta#elece um es(uema de classifica&o da informa&o (uanto ao si,ilo e tem alcanceso#re muitas institui&'es pes(uisadas. Esse documento+ porm+ uma norma B (ual o es(uema de classifica&o especfico deve aderir.


13/47

TRI>U(AL E CO(TAS A U(I2007+ item o propsito de um

plano de continuidade de ne,cios 6!9G permitir (ue uma or,aniza&o recupere ou manten-a suasatividades em caso de uma interrup&o das opera&'es normais de ne,cios.

# 9o#it 4.1 84 Ensure 9ontinuous ervice 6:arantir a 9ontinuidade do ervi&o Anecessidade de prover servi&os contnuos de )* re(uer desenvolvimento+ manuten&o e teste de planos decontinuidade de )*+ armazenamento de cpias de se,uran&a em local alternativo e treinamento peridicode plane$amento de continuidade.

c GHI */*E9 177;;>2005+ item 14.1.3 8esenvolvimento e implementa&o de planos de

continuidade relativos B se,uran&a da informa&o> convm (ue os planos se$am desenvolvidos eimplementados para a manuten&o ou recupera&o das opera&'es e para asse,urar a disponi#ilidade dainforma&o no nvel re(uerido e na escala de tempo re(uerida+ aps a ocorrCncia de interrup&'es ou

fal-as dos processos crticos do ne,cio.


14/47

TRI>U(AL E CO(TAS A U(I 10. EDiste plano de continuidade de ne,cios

em vi,or 6fl. 37.Efeitos reais e potenciaisa Fulnera#ilidade das or,aniza&'es B ocorrCncia de desastres e interrup&o de servi&osT# !erda de dados+ inclusive -istricos+ de difcil recupera&oTc 8ificuldade no resta#elecimento das opera&'es normais (uando da ocorrCncia de

interrup&o de servi&osTd Fulnera#ilidade a fraudes e erros durante a interrup&o de servi&osTe !aralisa&o de fun&'es essenciais de ,overno e/ou de Estado.

&c'ado 7. &us(ncia de classificao das informaes

72. =m total de


15/47

TRI>U(AL E CO(TAS A U(I2005+ item 11.1.1 !oltica de controle de acesso> convm (ue apoltica de controle de acesso se$a esta#elecida+ documentada e analisada criticamente+ tomandosecomo #ase os re(uisitos de acesso dos ne,cios e se,uran&a da informa&o.

EvidCnciasa ApCndice *+ planil-a de resultados+ per,unta 14. EDistem procedimentos definidos (ue

disciplinem o controle de acesso 6l,ico e fsico a recursos computacionais 6fl. 37.Efeitos potenciaisa !erfil de acesso a informa&'es eDcessivamente permissivo para determinados usu"rios ou

,rupos de usu"riosT# 9oncesso ou altera&o do acesso a recurso para pessoas no autorizadas+ visando

fraudesTc 8ivul,a&o no autorizada de informa&o reservada ou si,ilosa.


16/47

TRI>U(AL E CO(TAS A U(I2005 para resolu&o r"pida de incidentes em )*+ no eDiste "rea especfica

para ,erCncia de incidentes em 7S dos r,os/entidades pes(uisados+ se,undo declara&'es dos

,estores. )al resultado representa um risco de (ue eventuais incidentes envolvendo a disponi#ilidade+ ainte,ridade ou o si,ilo das informa&'es no ten-am tratamento ade(uado e consistente.


17/47

TRI>U(AL E CO(TAS A U(I2005+ item 13.2 :esto de incidentes de se,uran&a da informa&oe mel-orias> convm (ue responsa#ilidades e procedimentos este$am definidos para o manuseio efetivo

de eventos de se,uran&a da informa&o e fra,ilidades+ uma vez (ue estes ten-am sido notificados.9onvm (ue um processo de mel-oria contnua se$a aplicado Bs respostas+ monitoramento+ avalia&o e

,esto total de incidentes de se,uran&a da informa&o.EvidCnciasa ApCndice *+ planil-a de resultados+ per,unta 15. EDiste uma "rea especfica para ,erCncia

de incidentes de se,uran&a 6fl. 37T# ApCndice *+ planil-a de resultados+ per,unta> 1. Xr,o/Entidade oferece servi&os

transacionais via *nternet+ ou se$a+ presta&o de servi&o (ue pode ser eDecutado do incio ao fim pela*nternet com troca #idirecional de informa&'es entre o Xr,o/Entidade e o cliente 6fl. 37v.

Efeitos potenciaisa )ratamento de incidentes ineDistente+ inade(uado ou inconsistenteT# *neDistCncia de re,istro -istrico de incidentes+ o (ue dificulta o aprendizado e o

tratamento das causasTc Laior risco de (ue indisponi#ilidades+ perdas de inte,ridade ou acessos indevidos ten-am

maior impacto so#re as informa&'es e+ conse(Uentemente+ so#re o ne,cio da or,aniza&o.&c'ado 7IV. &us(ncia de gesto de mudanas

2005+ item 12.5.1 !rocedimentos para controle de mudan&as>

convm (ue a implementa&o de mudan&as se$a controlada utilizando procedimentos formais de controlede mudan&as.

EvidCnciasa ApCndice *+ planil-a de resultados+ per,unta 17. @ feita a ,esto de mudan&as 6fl. 37v.

Efeitos potenciaisa 9omprometimento da disponi#ilidade das informa&'es nos sistemas e da esta#ilidade do

am#iente de )* devido B realiza&o de mudan&as nocriteriosasT# *mpossi#ilidade de restaurar uma situa&o anterior a uma mudan&a malsucedida+ pela

falta de cuidado com a preserva&o do estado anterior e de re,istro preciso dos passos eDecutadosTc Altera&o do nvel de prote&o de uma ou v"rias informa&'es de forma no avaliada+ no

prevista ou no aprovada pelo ,estor da informa&o como efeito de mudan&a em um recurso de )*.


18/47

TRI>U(AL E CO(TAS A U(I 1


19/47



20/47



21/47



22/47

TRI>U(AL E CO(TAS A U(I 1. r,o/entidade oferece servi&ostransacionais via *nternet+ ou se$a+ presta&o de servi&o (ue pode ser eDecutado do incio ao fim pela

*nternet com troca #idirecional de informa&'es entre o r,o/entidade e o cliente 6fl. 37vT# ApCndice *+ planil-a de resultados+ per,unta> 1;. desenvolvimento de sistemas se,ue

al,uma metodolo,ia 6fl. 37vTc ApCndice *+ planil-a de resultados+ per,unta> 20. r,o/entidade possui e mantm

invent"rio dos principais sistemas informatizados e suas #ases de dados 6fl. 37v.Efeitos potenciaisa !rocesso de desenvolvimento de sistemas lento e sistemas de informa&o ineficazesT# !erda de informa&'es por causa de sistemas pouco ro#ustos+ su$eitos a fal-as de

se,uran&a+ se$a por fraude+ se$a por uso incorretoTc EDecu&o de contratos de presta&o de servi&os de desenvolvimento sem mtricasade(uadas nem etapas claras com produtos para cada etapaT

d istemas de difcil manuten&o+ sem documenta&o+ em (ue apenas (uem desenvolveudetm o con-ecimento. Esse caso pode ser ainda mais srio se o desenvolvedor for contratadoeDternamente.

*oncluso

;3. uso de metodolo,ia de desenvolvimento de sistemas um re(uisito fundamental para aprodu&o de softMare de (ualidade. A sua ausCncia declarada por 51S dos pes(uisados preocupa pelorisco (ue representam+ para a se,uran&a da informa&o+ produtos de softMare de #aiDa (ualidade. Almdisso+ outras conse(UCncias+ como maior dificuldade no ,erenciamento do processo de desenvolvimento+

se$a ele interno ou terceirizado+ representa risco de m" ,esto dos recursos dos r,os/entidades daAdministra&o !#lica ederal.

1N Estatsticas do 9EI).#r para o primeiro trimestre de 200


23/47

TRI>U(AL E CO(TAS A U(I %os

servi&os de )* da min-a or,aniza&o esto ade(uados Bs necessidades do ne,cio. *,ualmente+ fica

difcil priorizar investimentos e a&'es na "rea de )* sem sa#er onde o desempen-o est" mais no limite doesperado ou mais crtico para o ne,cio.;7. =m aspecto particularmente importante a ,esto de nveis de servi&o tam#m para servi&oscontratados. A especifica&o formal de tais indicadores pode ser o principal instrumento dos ,estores

para ,arantir o cumprimento dos contratos de )* e possi#ilitar a aplica&o de penalidades em casos denoatendimento. A necessidade de acordo prvio e mensura&o da (ualidade de servi&os de )* citada+inclusive+ em trec-os de Acrdos do )9=+ como o Acrdo 2.172/2005)9=!len"rio17e o Acrdo7


24/47

TRI>U(AL E CO(TAS A U(I 21. @ efetuada a ,esto de acordos de nveis

de servi&o das solu&'es de )* do r,o/entidade oferecidas a seus clientes 6fl. 37.Efeitos potenciaisa *nsatisfa&o dos clientes com a (ualidade e desempen-o das solu&'es ofertadas por sua

"rea de )*T# AusCncia de informa&'es para os ,erentes de )* so#re as reais eDpectativas dos seus

clientesTc *nade(ua&o da distri#ui&o dos investimentos em )* em rela&o Bs necessidades dos

clientes.&c'ado 7I7. &us(ncia de gesto de acordos de n"veis de servios contratados e?ternamente

100. =m total de 74S dos pes(uisados informaram (ue no eDecutam a ,esto de nveis deservi&o dos servi&os contratados+ ou se$a+ mesmo (uando o r,o/entidade cliente e no fornecedor+no -" preocupa&o com a avalia&o e o controle dos resultados.101. Ga verdade+ a administra&o precisa+ por for&a da lei+ monitorar os seus contratos de )*. 8e

fato+ as (uest'es 31 6so#re verifica&o de itens predefinidos para atesta&o das faturas+ com 5S deresposta positiva e 33 6so#re monitora&o tcnica dos contratos+ com ;0S de resposta positivao#tiveram resultados mel-ores do (ue a (uesto so#re nveis de servi&o. =ma possvel eDplica&o para

esses resultados (ue talvez eDista al,um monitoramento dos servi&os contratados+ mas ele nem semprese dC em fun&o de um indicador de desempen-o. u+ ainda+ (uando -" tal indicador+ ele no estrat,ico e sintonizado com o ne,cio+ como o caso do acordo de nvel de servi&o.102. Assim+ por eDemplo+ eDi,ese no contrato (ue a provedora de lin@para *nternet forne&a

servi&o B velocidade de 4LH/s+ em re,ime 24D7+ com ;;S de (ualidade do servi&o 6isto + tolerado 1Sde fal-a no fornecimento. Em al,uns casos+ a fal-a consiste em no verificar relatrios compro#atriosdo ndice de (ualidade para atesta&o de fatura. !orm+ mesmo (uando tal ndice verificado+ isso no ,arantia de (ue o usu"rio final foi atendido em suas necessidades+ pois no -ouve verifica&o nemacordo prvio de (ue tais velocidade e (ualidade seriam suficientes para o ne,cio da or,aniza&o.

Gesse caso+ as or,aniza&'es se arriscam a manter contratos de servi&os (ue no so efetivos para o seune,cio+ mesmo (uando cumprem metas contratuais.

103. Adicionalmente+ como em ltima instNncia um servi&o contratado pela "rea de )* visaatender B necessidade dos seus clientes+ a ausCncia da ,esto eDterna tem as mesmas conse(UCncias dasua ausCncia da ,esto interna dos nveis de servi&o.104. @ necess"rio destacar (ue o art. 14 da recm pu#licada *G4 da ecretaria de Vo,stica)ecnolo,ia da *nforma&o 6V)* do Linistrio do !lane$amento+ r&amento e :esto indica o mnimo(ue deve constar nos contratos com o#$etivo de esta#elecer nveis de servi&o.

9ritriosa 9o#it 4.1 81 8efine and Lana,e ervice Vevels 68efinir e :erenciar Gveis de ervi&o

A comunica&o efetiva entre ,erente de )* e usu"rios so#re re(uisitos de servi&o possvel por meio deacordo definido e documentado acerca dos servi&os de )* e nveis de servi&o. Esse processo tam#minclui monitoramento e divul,a&o tempestiva aos interessados do cumprimento dos nveis de servi&o.

Esse processo permite um alin-amento entre os servi&os de )* e os re(uisitos de ne,cio relacionados.EvidCnciasa ApCndice *+ planil-a de resultados+ per,unta> 22. @ efetuada a ,esto dos nveis de servi&o

acordados para os servi&os de )* prestados ao r,o/entidade 6fl. 37v.


25/47



26/47



27/47

TRI>U(AL E CO(TAS A U(I 24. Ga ela#ora&o do pro$eto #"sico das

contrata&'es de )* feita an"lise de custo/#enefcio da solu&o a ser contratada 6fl. 37v.Efeitos potenciaisa 9ontrata&o de #ens e servi&os de )* com custos acima do necess"rioT# olu&'es alternativas satisfatrias e a um custo mais #aiDo no identificadasT

c 8esperdcio de recursos.&c'ado 77II. &us(ncia de e?)licitao dos benef"cios nas contrataes de %I

117. Apesar de seu importante papel na consecu&o dos o#$etivos institucionais nas or,aniza&'es+a tecnolo,ia da informa&o no pode ser encarada como um fim em si mesma. )odas as a&'es de )*devem concorrer para (ue a or,aniza&o alcance seus o#$etivos e metas.11


28/47



29/47



30/47

TRI>U(AL E CO(TAS A U(I 30. R" realiza&o de reunio peridica com

o contratado para avaliar o andamento de cada contrato relativo a #ens e servi&os de )* 6fl. 37v.Efeitos potenciaisa 8escumprimento de leis e normas relativas B ,esto de contratos de )*T# !ro#lemas na ,esto dos contratos de )*Tc HaiDa (ualidade dos servi&os prestadosTd Goaplica&o de multas previstas nos contratosTe *nterrup&'es na eDecu&o de contratos de )*T

f *nterrup&o de processos (ue sustentam o ne,cio da or,aniza&oT, Goconcluso de pro$etos importantes para se atin,ir as metas da or,aniza&oT- 8esperdcio de recursos.


31/47



32/47



33/47



34/47



35/47

TRI>U(AL E CO(TAS A U(I o auditor interno no apenasverifica a a#ran,Cncia e efetividade dos controles internos de )*22 em sua auditoria+ como tam#m a,ente de mel-oria desses controles e+ assim+ pode ser um a,ente de mel-oria da prpria ,esto.

&ne?o 777I. Ine?ecuo de auditoria de %I )elos rgosAentidades

1. omente 40S dos pes(uisados declarou ter realizado auditoria de )* nos ltimos cinco anosno seu r,o/entidade. :r"fico 5 estratifica a (uantidade de auditorias de )* realizadas nessas 101or,aniza&'es.

21e,undo a defini&o contida no 9o#it 4.1+ ,overnan&a de )* um con$unto composto de lideran&a+ estruturas or,anizacionais e processos(ue ,arantem (ue a "rea de )* da or,aniza&o apia e eDpande os o#$etivos e estrat,ias da or,aniza&o.22 !olticas+ procedimentos+ pr"ticas e estruturas or,anizacionais desen-adas para ,arantir o efetivo alin-amento da )* ao seu prpriomodelo de ,overnan&a+ e (ue os desvios se$am prevenidos ou detectados e corri,idos.


36/47

TRI>U(AL E CO(TAS A U(I convm (ue o enfo(ue da or,aniza&o para ,erenciar a se,uran&a da informa&o e a suaimplementa&o 6... se$a analisado criticamente+ de forma independente+ a intervalos plane$ados+ ou(uando ocorrerem mudan&as si,nificativas relativas B implementa&o da se,uran&a da informa&o.

EvidCnciasa ApCndice *+ planil-a de resultados+ per,unta> 3;. oi realizada al,uma auditoria de )* nos

ltimos cinco anos no r,o/entidade 6fl. 3


37/47



38/47



39/47



40/47

TRI>U(AL E CO(TAS A U(Ia promova a&'es com o#$etivo de disseminar a importNncia do plane$amento estrat,ico e

induzir+ mediante orienta&o normativa+ os r,os do Linistrio !#lico a realizarem a&'es paraimplanta&o e/ou aperfei&oamento de plane$amento estrat,ico institucional+ plane$amento estrat,icode )* e comitC diretivo de )* 6par",rafos 17 a 32T

# promova as a&'es ca#veis (uanto B estrutura de pessoal de )* nos r,os do Linistrio!#lico 6par",rafos 34 a 52Tc promova a&'es com o#$etivo de disseminar a importNncia do ,erenciamento da se,uran&a

da informa&o e induzir+ mediante orienta&o normativa+ os r,os do Linistrio !#lico a realizarema&'es para implanta&o e/ou aperfei&oamento da ,esto da continuidade do ne,cio+ da ,esto demudan&as+ da ,esto de capacidade+ da classifica&o da informa&o+ da ,erCncia de incidentes+ daan"lise de riscos de )*+ da "rea especfica para ,erenciamento da se,uran&a da informa&o+ da polticade se,uran&a da informa&o e dos procedimentos de controle de acesso 6par",rafos 54 a


41/47


a B 9omisso de 9iCncia+ )ecnolo,ia+ *nova&o+ 9omunica&o e *nform"tica do enadoederalT

# B u#comisso !ermanente de ervi&os de *nform"tica do enado ederalT

c B 8iretoria:eral do enado ederalTd B ecretaria Especial de *nform"tica do enado ederal 6!rodasenTe B 9omisso de iscaliza&o inanceira e 9ontrole da 9Nmara dos 8eputadosT

f B 9omisso de )ra#al-o+ de Administra&o e ervi&o !#lico da 9Nmara dos 8eputadosT


42/47



43/47



44/47



45/47



46/47



47/47

TRI>U(AL E CO(TAS A U(IUGARI(

Pro!*r$or-Ger$lD e" e%er!!io

Documents

ACORDAO-LEGADO-72671