Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009

Instrução Normativa04/2008 SLTI/MP

André Luiz Furtado Pacheco, CISA

Comissão Nacional de Energia Nuclear – outubro de 2009

2

• Graduado em Processamento de Dados pela Universidade Católica de Brasília;

• MBA em Controle Externo pela FGV;• Certified Information Systems Auditor – CISA, • Auditor de TI há mais de 15 anos, é Assessor do

Secretário de Fiscalização de Tecnologia da Informação do TCU;

• Realizou a supervisão e a revisão do Manual de Auditoria de Sistemas e da Cartilha de Boas Práticas de Segurança da Informação do TCU;

• Instrutor de Auditoria de TI nos cursos da Organização Latino-Americana e do Caribe das Entidades de Fiscalização Superior – OLACEFS, do TCU e da UniDF;

• Possui larga experiência nas áreas de auditoria, docência e TI.

André Luiz Furtado Pacheco, CISA

3

COBIT

ISO 9000ISO 27002

ITIL

COSO

O quê Como

Governança Corporativa e de TI

Escopo

4

Objetivos da Governança de TI

• assegurar que as ações de TI estejam alinhadas com o negócio da organização, agregando-lhe valor;

• medir o desempenho da área de TI, alocar propriamente os recursos e mitigar os riscos inerentes;

• gerenciar e controlar as iniciativas de TI nas organizações para garantir o retorno de investimentos e a adoção de melhorias nos processos organizacionais

5

Responsabilidade sobre a Governança de TI

Alta administração das organizações

6

Planejar e Organizar

Domínios Cobit

Monitorar eAvaliar

Entregar eAssistir

Adquirir eImplementar

7

Planejar e Organizar (PO)

PO1 Definir um plano estratégico de TI PO2 Definir a arquitetura de informação PO3 Determinar a direção tecnológica PO4 Definir processos, organização e relacionamentos PO5 Gerenciar o investimento em TI PO6 Comunicar metas e diretivas gerenciais PO7 Gerenciar recursos humanos de TI PO8 Gerenciar qualidade PO9 Avaliar e gerenciar riscos PO10 Gerenciar projetos

8

Adquirir e Implementar (AI)

AI1 Identificar soluções AI2 Adquirir e manter aplicações AI3 Adquirir e manter infraestrutura tecnológica AI4 Viabilizar operação e uso AI5 Adquirir recursos de TI AI6 Gerenciar mudanças AI7 Instalar e certificar sistemas e mudanças

9

Entregar e Assistir (DS) DS1 Definir e gerenciar níveis de serviços DS2 Gerenciar serviços de terceiros DS3 Gerenciar performance e capacidade DS4 Garantir continuidade dos serviços DS5 Garantir segurança dos sistemas DS6 Identificar e alocar custos DS7 Educar e treinar usuários DS8 Gerenciar service desk e incidentes DS9 Gerenciar a configuração DS10 Gerenciar problemas DS11 Gerenciar dados DS12 Gerenciar o ambiente físico DS13 Gerenciar a operação

10

Monitorar e Avaliar (ME)

ME1 Monitorar e avaliar o desempenho da TIME2 Monitorar e avaliar os controles internosME3 Assegurar conformidade às normasME4 Prover governança de TI

11

“Na contratação de bens e serviços de TI é essencial a adoção de processo de trabalho formalizado, padronizado e judicioso quanto ao custo, à oportunidade e aos benefícios advindos para a organização. Esse processo melhora o relacionamento com os fornecedores e prestadores de serviços, maximiza a utilização dos recursos financeiros alocados à área de TI e contribui decisivamente para que os serviços de TI dêem o necessário suporte às ações da organização no alcance de seus objetivos e suas metas.” (Acórdão 1.603/2008-TCU-Plenário)

Processo de Contratação de TI

12

Planejamento de Contratações de TI

O Cobit 4.1 em seu objetivo de controle AI5.1 Procurement Control (Controle sobre aquisições) recomenda:

“Desenvolver e seguir um conjunto de procedimentos e padrões consistente com o processo de licitação e a estratégia de aquisição gerais da organização para adquirir infra-estrutura, instalações, hardware, software e serviços de TI necessários ao negócio.”

13

Planejamento de Contratações de TI

O Acórdão 1.603/2008-Plenário TCU:

“9.1. recomendar ao (órgãos/entidades):(...) 9.1.6. envidem esforços visando à implementação de processo de trabalho formalizado de contratação de bens e serviços de TI, bem como de gestão de contratos de TI, buscando a uniformização de procedimentos nos moldes recomendados no item 9.4 do Acórdão 786/2006-TCU-Plenário;”

14

Planejamento de TIBenefício do Planejamento Estratégico de TI:

“O planejamento estratégico torna-se uma importante ferramenta para a tomada de decisão e faz com que os gestores estejam aptos a agir com iniciativa, de forma pró-ativa, contra as ameaças e a favor das oportunidades identificadas nas constantes mudanças que ocorrem.” (Acórdão 1.603/2008-Plenário TCU)

15

Planejamento de TI

Necessidade de Planejamento de TI:

• Constituição Federal, art. 37;• Decreto-Lei 200/1967, art. 6º, I;• IN-4/2008 SLTI/MP, art. 3º;• Acórdão 1.558/2003-Plenário TCU, item 9.3.9;• Acórdão 1.603/2008-Plenário TCU, item 9.4.1;• Cobit 4.1 PO1.4 IT Strategic Plan (Plano Estratégico de TI).

16

Planejamento de TI

A Constituição Federal estabelece:

“Art. 37. A administração pública direta e indireta de qualquer dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios obedecerá aos princípios de legalidade, impessoalidade, moralidade, publicidade e eficiência...”

17

Planejamento de TI

O Decreto-Lei 200/1967 estabelece:“Art. 6º. As atividades da Administração Federal obedecerão aos seguintes princípios fundamentais:

I - Planejamento.

II - Coordenação.

III - Descentralização.

IV - Delegação de Competência.

V - Controle.”

18

Planejamento de TI

A IN-4/2008 da SLTI/MP estabelece:

“Art. 3º As contratações de que trata esta Instrução Normativa deverão ser precedidas de planejamento, elaborado em harmonia com o Plano Diretor de Tecnologia da Informação - PDTI, alinhado à estratégia do órgão ou entidade.”

19

Planejamento de TIO Acórdão 1.558/2003-Plenário TCU determina que:

“9.3.9. atente para a necessidade de fazer cumprir o princípio constitucional da eficiência e as disposições contidas no art. 6º, I, do Decreto-Lei nº 200/67, implantando, na área de informática, um processo de planejamento que organize as estratégias, as ações, os prazos, os recursos financeiros, humanos e materiais, a fim de eliminar a possibilidade de desperdício de recursos públicos e de prejuízo ao cumprimento dos objetivos institucionais da unidade; ”

20

Planejamento de TIO Acórdão 1.603/2008-Plenário TCU:

“9.4. recomendar ao Ministério do Planejamento, Orçamento e Gestão - MPOG que, nos órgãos/entidades da Administração Pública Federal:

9.4.1. promova ações com o objetivo de disseminar a importância do planejamento estratégico, procedendo, inclusive mediante orientação normativa, à execução de ações voltadas à implantação e/ou aperfeiçoamento de planejamento estratégico institucional, planejamento estratégico de TI e comitê diretivo de TI, com vistas a propiciar a alocação dos recursos públicos conforme as necessidades e prioridades da organização; ”

21

Planejamento de TI

O Cobit 4.1 em seu objetivo de controle PO1.4 IT Strategic Plan (Plano Estratégico de TI) recomenda:

“Criar um plano estratégico que defina, em cooperação com os principais interessados, como as metas de TI contribuirão para os objetivos estratégicos da organização e quais os custos e riscos associados...”

22

Planejamento de TI

Alinhamento entre PEI e PETI:

“O alinhamento de todos os planos, recursos e unidades organizacionais é um fator fundamental para que a estratégia delineada no planejamento possa ser implementada. Assim, o planejamento estratégico de TI tem que estar alinhado com os planos de negócio da organização para o estabelecimento das prioridades e das ações a serem realizadas na área de TI” (Acórdão 1.603/2008-TCU-Plenário)

23

Planejamento de TIAlinhamento entre PEI e PETI:

Cobit 4.1, objetivo de controle PO1.2 Business-IT Alignment (Alinhamento de TI com negócio): “Estabelecer processos de educação bidirecional e de envolvimento recíproco no planejamento estratégico para obtenção de alinhamento e integração entre o negócio e as ações de TI. As prioridades devem ser acordadas mutuamente a partir da negociação das necessidades do negócio e da área de TI .”

24

Planejamento de TIComitê Diretivo de TI:IN-4/2008 da SLTI/MP estabelece em seu art. 4º:“Parágrafo único. A Estratégia Geral de Tecnologia da Informação deverá abranger, pelo menos, os seguintes elementos: ...

IV - orientação para a formação de Comitês de Tecnologia da Informação que envolvam as diversas áreas dos órgãos e entidades, que se responsabilizem por alinhar os investimentos de Tecnologia da Informação com os objetivos do órgão ou entidade e apoiar a priorização de projetos a serem atendidos.”

25

Planejamento de TIComitê Diretivo de TI:

“A existência de um comitê diretivo de TI (IT Steering Committee), que determine as prioridades de investimento e alocação de recursos nos diversos projetos e ações de TI, é de fundamental importância para o alinhamento entre as atividades de TI e o negócio da organização, bem como para a otimização dos recursos disponíveis e a redução do desperdício. O fato desse comitê ser composto por dirigentes de TI e de outras áreas da organização possibilita que as decisões de investimentos sejam obtidas a partir de uma visão mais abrangente, o que reduz os riscos de erro” (Acórdão 1.603/2008-TCU-Plenário).

26

Planejamento de TI

Comitê Diretivo de TI:Cobit 4.1, objetivo de controle PO4.3 IT Steering Committee (Comitê Diretivo de TI):“Criar um comitê diretivo de TI (ou equivalente) composto de gerentes executivos, de negócios e de TI, para: determinar as prioridades de investimento e alocação de recursos nas ações de TI, alinhadas às estratégias e prioridades da organização; acompanhar o estágio de desenvolvimento dos projetos e resolver conflitos relativos a recursos; e monitorar os níveis de serviço de TI e suas melhorias.”

27

Instruções Normativas• A Secretaria de Logística e Tecnologia da Informação - SLTI

do Ministério do Planejamento editou as Instruções Normativas 02/2008 e 04/2008, as quais contemplam a maior parte das recomendações do TCU quanto à implementação do novo modelo de contratação de serviços de TI (Acórdãos 786/2006-TCU-Plenário, item 9.4, 1480/2007-TCU-Plenário, item 9.1.2.6 e 1999/2007-TCU-Plenário, item 9.4.1.1).

• A IN/SLTI 04/2008 dispõe sobre o processo de contratação de serviços de Tecnologia da Informação pela Administração Pública Federal direta, autárquica e fundacional. Sua vigência iniciou-se em 2 de janeiro de 2009.

• A IN/SLTI 02/2008, que substitui a IN/MARE 18/1997, dispõe sobre regras e diretrizes para a contratação de serviços, continuados ou não. Essa norma aplica-se subsidiariamente à IN/SLTI 04/2008.

28

Desvantagens desse Modelo

(Vide Acórdão 786/2006-TCU-Plenário):

• Ausência de parcelamento do objetoPotencial limitação à competição

Risco de onerar indevidamente o contrato

Risco estratégico (dependência)

Risco na segurança da informação

• Pagamento por homem-hora (HH)Risco exclusivo do contratante

Anti-economicidade: “Paradoxo lucro-incompetência”

Risco de remuneração de horas improdutivas

Antigo modelo de contratação de TI

29

Fases da Contratação


“Art. 7º As contratações de serviços de Tecnologia da Informação deverão seguir três fases: • Planejamento da Contratação, • Seleção do Fornecedor, e• Gerenciamento do Contrato.”

30

Planejamento da Contratação


“Art. 9º A fase de Planejamento da Contratação consiste nas seguintes etapas:

I - Análise de Viabilidade da Contratação;

II - Plano de Sustentação;

III - Estratégia de Contratação; e

IV - Análise de Riscos.”

31

Análise de Viabilidade da Contratação


“Art. 10. A Análise de Viabilidade da Contratação, observado o disposto nos arts. 11 e 12 desta instrução normativa, compreende as seguintes tarefas: • Avaliação da necessidade (Requisitante e TI);• Motivação da contratação (Requisitante);• Especificação dos requisitos (TI);• Identificação das diferentes soluções (TI e Requisitante);• Justificativa da solução escolhida (TI).

32

Análise de Viabilidade da ContrataçãoAvaliação da Necessidade

A área Requisitante, com apoio da área de TI, deve avaliar necessidade de acordo com:• Objetivos estratégicos; e• Necessidades corporativas da instituição.

Considerar:• Alinhamento com PEI e PETI ou PDTI;• Decreto nº 2.271/1997, art. 2º, inciso I;• Acórdão 2.471/2008–Plenário TCU, item 9.1.2;• Cobit 4.1 PO1.2 Business-IT Alignment (Alinhamento de TI com Negócio).

33

Análise de Viabilidade da ContrataçãoMotivação da Contratação

A área Requisitante deve explicitar a motivação da contratação levando em consideração:• Gestor deve motivar seus atos;• Acórdão nº 2.094/2004-TCU-Plenário, item 9.1.1;• Acórdão nº 838/2004-TCU-Plenário, item 9.2.2;• Cobit 4.1 PO5.2 Prioritisation Within IT Budget (Priorização Dentro do Orçamento de TI): Implementar um processo de tomada de decisão para priorizar a alocação de recursos de TI em operações, projetos e manutenção visando maximizar a contribuição da TI para otimizar o retorno de investimentos no portfolio de sistemas e outros serviços e bens de TI.

34

Análise de Viabilidade da ContrataçãoEspecificação dos Requisitos

A área de TI deve levantar:• demandas dos potenciais gestores e usuários do serviço; • soluções disponíveis no mercado; e • análise de projetos similares realizados por outras instituições.

Considerar:• Cobit 4.1 AI1 Identify Automated Solutions (Identificar Soluções Automatizadas), focando em identificar soluções efetivas e tecnicamente viáveis.

35

Análise de Viabilidade da ContrataçãoIdentificação das Diferentes Soluções

A área de TI, com apoio da área Requisitante, deve identificar soluções de acordo com: • disponibilidade solução similar em outro órgão/entidade APF; • soluções Portal do Software Público Brasileiro; • capacidade e alternativas do mercado (inclusive software livre ou público); • observância às políticas, premissas e especificações e-Ping (interoperabilidade) e e-Mag (acessibilidade);• aderência à ICP-Brasil, quando houver certificação digital; • custo financeiro estimado; • Cobit 4.1 AI1 Identify Automated Solutions (Identificar Soluções Automatizadas): A necessidade para uma nova aplicação ou função requer uma pré-análise de aquisição ou criação visando assegurar que requisitos de negócio sejam satisfeitos em uma abordagem eficaz e eficiente.

36

Análise de Viabilidade da ContrataçãoJustificativa da Solução EscolhidaA área de TI deve elaborar justificativa:• descrição sucinta, precisa, suficiente e clara da Solução de Tecnologia da Informação¹ escolhida, indicando os serviços que a compõem; • alinhamento em relação às necessidades;

• identificação dos benefícios que serão alcançados com a efetivação da contratação em termos de eficácia, eficiência, efetividade e economicidade.

(1) IN-4, art. 2º, inciso IV: “Solução de TI: todos os serviços, produtos e outros elementos necessários que se integram para o alcance dos resultados pretendidos com a contratação;”

37

Análise de Viabilidade da ContrataçãoJustificativa da Solução Escolhida

Descrição sucinta, precisa, suficiente e clara da Solução de TI

Considerar:

• Acórdão nº 1.558/2003-TCU-Plenário, item 9.3.10;

• Cobit 4.1 AI1.3 Feasibility Study and Formulation of Alternative Courses of Action (Estudo de viabilidade e formulação de soluções alternativas)

38


Alinhamento em relação às necessidadesConsiderar:• Decreto nº 2.271/1997, art. 2º, inciso II; • Acórdão nº 2.094/2004-TCU-Plenário, item 9.1.1;• Acórdão nº 1.558/2003-TCU-Plenário, item 9.3.11;

• Cobit 4.1, PO1.2 Business-IT Alignment (Alinhamento de TI com Negócio)

39


Identificação dos benefícios que serão alcançados com a efetivação da contratação em termos de eficácia, eficiência, efetividade e economicidade

Considerar:• Decreto nº 2.271/1997, art. 2º, inciso III;• Acórdão nº 2.471/2008-TCU-Plenário, item 9.1.2;• Cobit 4.1 PO5.2 Prioritisation Within IT Budget

(Priorização Dentro do Orçamento de TI)

40


A IN-4 no § único art. 10 estabelece que a Análise de Viabilidade da Contratação será aprovada e assinada pela área Requisitante e pela área de TI.

41


No art. 11, os requisitos definidos pela área Requisitante:

I - de software, que independem de arquitetura tecnológica e definem os aspectos funcionais do software; II - de treinamento, com o apoio da área de TI, que definem a necessidade de treinamento presencial ou à distância, carga horária e entrega de materiais didáticos; III - legais, que definem as normas às quais a Solução de TI deve respeitar; IV - de manutenção, que independem de configuração tecnológica e definem a necessidade de serviços de manutenção preventiva, corretiva, evolutiva e adaptativa;

42

Análise de Viabilidade da Contratação (cont.)

No art. 11, os requisitos definidos pela área Requisitante:...V - de prazo, que definem a prioridade da entrega da Solução de TI contratada; VI - de segurança, com o apoio da área de TI; e VII - sociais, ambientais e culturais, que definem requisitos que a Solução de TI deve atender para respeitar necessidades específicas relacionadas a costumes e idiomas, e ao meio-ambiente

43


No art. 12, os requisitos definidos pela área de TI:

I - de arquitetura tecnológica, composta de hardware, softwares básicos, padrões de interoperabilidade, linguagem de programação e interface; II - de projeto, que estabelecem o processo de desenvolvimento de software, técnicas, métodos, forma de gestão e de documentação; III - de implantação, que definem o processo de disponibilização da solução em produção; IV - de garantia e manutenção, que definem a forma como será conduzida a manutenção e a comunicação entre as partes envolvidas;

44


No art. 12, os requisitos definidos pela área de TI:...V - de treinamento, que definem o ambiente tecnológico de treinamentos ministrados e perfil do instrutor; VI - de experiência profissional; VII - de formação, que definem cursos acadêmicos e técnicos, certificação profissional e forma de comprovação; e VIII - de metodologia de trabalho.

45

Plano de SustentaçãoA IN-4/2008 estabelece no art. 13:O Plano de Sustentação, a cargo da área de TI, com o apoio do Requisitante, abrange:

I - segurança da informação;

II - recursos materiais e humanos;

III - transferência de conhecimento;

IV - transição contratual; e

V - continuidade dos serviços em eventual interrupção contratual.

46

Segurança da InformaçãoNBR ISO/IEC 27002Código de prática de segurança da informação

Especial atenção para: • Política de Segurança da Informação (PSI);• Classificação da Informação;• Política de Controle de Acesso (PCA);• Competência definida em Segurança da Informação (SI);• Plano de Continuidade de Negócios (PCN).

Devem constar dos editais e contratos !!

47

Segurança da InformaçãoLegislação, Jurisprudência e Boas Práticas• Decreto nº 3.505/2000 (PSI);• IN-01 GSI/PR de 13.06.2008 (PSI e SI);• Acórdão nº 1.603/2008-TCU-Plenário;• Acórdão nº 1.092/2007-TCU-Plenário (PSI, PCA, Classificação da Informação, SI e PCN);• Acórdão nº 2.023/2005-TCU-Plenário (PSI, PCA, Classificação da Informação e SI);• Acórdão nº 71/2007-TCU-Plenário (PSI, PCA e SI);• Cobit 4.1, objetivo de controle DS5.2 IT Security Plan (Plano de Segurança de TI).

48

Recursos Materiais e Humanos

Levantamento e definição dos recursos materiais e humanos próprios necessários para dar suporte à contratação.

49

Transferência de ConhecimentosManutenção do conhecimento no Órgão/Entidade

Especial atenção para: • Contratação dos Serviços;• Gestão do Contrato;• Acórdão nº 1.603/2008-TCU-Plenário;

• Cobit 4.1 AI4.4 Knowledge Transfer to Operations and Support Staff (Transferência de Conhecimentos para Equipes de Operação e Suporte)

Deve constar dos editais e contratos !!

50

Transição Contratual

Previsão das atividades necessárias para a execução da transição contratual sem traumas. Observar que:• é fase essencial;• há superposição de contratos;• contrato vigente somente deve ser encerrado quando novo contrato estiver em vigor;• deve haver definição de responsabilidades.


51

Continuidade dos Serviços

• Garantia de que os serviços providos e/ou suportados pela solução de TI terão continuidade mesmo que haja interrupção da execução contratual; • Deve estar inserido na Gestão de Continuidade de Negócios; • Aderente ao Plano de Continuidade de Negócios;


52

Continuidade dos ServiçosAcórdão nº 1.603/2008-TCU-Plenário:

• “... ausência de plano de continuidade de negócios (PCN) em cerca de 88% dos pesquisados.”• “Sem planejamento dessa natureza, a organização fica vulnerável quando da (...) interrupções de serviços. Eventos que poderiam ser resolvidos sem grande perda, acabam por comprometer toda a base atual e histórica de informações da organização.”

53

Continuidade dos Serviços

Deve ser observado: • Acórdão nº 1.603/2008-TCU-Plenário;• Cobit 4.1 DS4 Ensure Continuous Service (Garantir a Continuidade do Serviço – A necessidade de prover serviços contínuos de TI requer desenvolvimento, manutenção e teste de planos de continuidade de TI, armazenamento de cópias de segurança em local alternativo e treinamento periódico de planejamento de continuidade);

54

Continuidade dos ServiçosDeve ser observado ainda: • NBR 15999-1:2007, item 8.6 – Planos de Continuidade de Negócios: o propósito de um plano de continuidade de negócios (PCN) é permitir que uma organização recupere ou mantenha suas atividades em caso de uma interrupção das operações normais de negócios;• NBR ISO/IEC 27002, item 14.1.3 – Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação: convém que os planos sejam desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio.

55

Continuidade dos ServiçosEfeitos reais e potenciais• Vulnerabilidade à ocorrência de interrupção de serviços;• Perda de dados, inclusive históricos, de difícil recuperação;• Dificuldade no restabelecimento das operações normais quando da ocorrência de interrupção de serviços;• Vulnerabilidade a fraudes e erros durante a interrupção de serviços;

• Paralisação de funções essenciais de governo e/ou de Estado.

56

Estratégia de ContrataçãoA IN-4/2008 em seu art.14 estabelece as seguintes tarefas:I – indicação do tipo de serviço, considerando o mercado e as soluções existentes no momento da licitação (TI); II – indicação dos termos contratuais (TI e Requisitante);III – definição da estratégia de independência do órgão ou entidade contratante com relação à contratada (TI);IV – indicação do Gestor do Contrato (TI);

57

Estratégia de ContrataçãoA IN-4/2008 em seu art.14 estabelece as seguintes tarefas:V – definição das responsabilidades da contratada, que não poderá se eximir do cumprimento integral do contrato no caso de subcontratação (TI); VI – elaboração do orçamento detalhado (TI e área competente);VII – indicação da fonte de recursos para a contratação e a estimativa do impacto econômico-financeiro no orçamento do Órgão/Entidade (Requisitante);VIII – definição dos critérios técnicos de julgamento da proposta para a fase de Seleção do Fornecedor (TI).

58

Tipo de Serviço

I – indicação do tipo de serviço, considerando o mercado e as soluções existentes no momento da licitação (TI);

59

Termos ContratuaisII – indicação dos termos contratuais (TI e Requisitante):a) fixação de procedimentos e de critérios de mensuração dos serviços prestados, abrangendo métricas, indicadores e valores; b) definição de metodologia de avaliação da adequação às especificações funcionais e da qualidade dos serviços; c) quantificação ou estimativa prévia do volume de serviços demandados, para comparação e controle; d) regras para aplicação de multas e demais sanções administrativas; e) garantia de inspeções e diligências, quando aplicável, e sua forma de exercício;

60

Termos Contratuais (cont.)II – indicação dos termos contratuais (TI e Requisitante):f) definição de direitos autorais e de propriedade intelectual; g) termo de compromisso, contendo declaração de manutenção de sigilo e ciência das normas de segurança vigentes no órgão ou entidade, a ser assinado pelo representante legal do fornecedor e seus empregados diretamente envolvidos na contratação; h) cronograma de execução física e financeira; i) forma de pagamento, que deverá ser efetuado em função dos resultados obtidos; e j) definição de mecanismos formais de comunicação a serem utilizados para troca de informações entre a contratada e a Administração;

61

Estratégia de Independência

III – definição da estratégia de independência do órgão ou entidade contratante com relação à contratada (TI):a) forma de transferência de tecnologia; e b) direitos de propriedade intelectual e direitos autorais da Solução de Tecnologia da Informação, documentação, modelo de dados e base de dados, justificando os casos em que tais direitos não vierem a pertencer à Administração Pública;

62

Gestor do Contrato

IV – indicação do Gestor do Contrato (TI):No art. 2, III - Gestor do Contrato: servidor com capacidade gerencial, técnica e operacional relacionada ao objeto da contratação;

63

Responsabilidades da Contratada

V – definição das responsabilidades da contratada, que não poderá se eximir do cumprimento integral do contrato no caso de subcontratação (TI);

64

Orçamento Detalhado

VI – elaboração do orçamento detalhado (TI e área competente), fundamentado em pesquisa no mercado, a exemplo de: contratações similares, valores oficiais de referência, pesquisa junto a fornecedores outarifas públicas.

65

Fonte de Recursos

VII – indicação da fonte de recursos para a contratação e a estimativa do impacto econômico-financeiro no orçamento do Órgão/Entidade (Requisitante);

66

Critérios Técnicos de JulgamentoVIII – definição dos critérios técnicos de julgamento da proposta para a fase de Seleção do Fornecedor (TI), observando o seguinte:a) utilização de critérios correntes no mercado; b) a Análise de Viabilidade da Contratação; c) vedação da indicação de entidade certificadora, exceto nos casos previamente dispostos em normas do governo federal;d) o fator desempenho não pode ser pontuado com base em atestados relativos à duração de trabalhos realizados pelo licitante;

67

Critérios Técnicos de Julgamento

VIII – definição dos critérios técnicos de julgamento da proposta para a fase de Seleção do Fornecedor (TI), observando o seguinte:e) quando necessário para a comprovação da aptidão, pode se considerar mais de um atestado relativo ao mesmo quesito de capacidade técnica; f) vedação da pontuação progressiva de mais de um atestado para o mesmo quesito de capacidade técnica; e g) os critérios de pontuação devem ser justificados em termos do benefício que trazem para o contratante.

68

Estratégia de ContrataçãoA IN-4/2008 estabelece:• Restrições quanto à aferição de esforço por meio da métrica homens-hora (§ 1º)• Que é vedado contratar por postos de trabalho alocados (§ 2º)• Vedações e recomendações quanto às licitações do tipo técnica e preço (§s 3º e 4º)• A Estratégia de Contratação deverá ser aprovada e assinada pelo Requisitante e pela área de TI (§ 5º)

69

Análise de RiscosA IN-4/2008 estabelece no art. 16. que a Análise de Riscos deverá ser elaborada pelo Gestor do Contrato, com o apoio da área de TI e do Requisitante observando:

I - identificação dos principais riscos que possam comprometer o sucesso do processo de contratação;

II - identificação dos principais riscos que possam fazer com que os serviços prestados não atendam às necessidades do contratante, podendo resultar em nova contratação;

III - identificação das possibilidades de ocorrência e dos danos potenciais de cada risco identificado;

70

Análise de RiscosA IN-4/2008 estabelece no art. 16. que a Análise de Riscos deverá ser elaborada pelo Gestor do Contrato, com o apoio da área de TI e do Requisitante observando:

...

IV - definição das ações a serem tomadas para amenizar ou eliminar as chances de ocorrência do risco;

V - definição das ações de contingência a serem tomadas caso o risco se concretize; e VI - definição dos responsáveis pelas ações de prevenção dos riscos e dos procedimentos de contingência.

71

Análise de RiscosAcórdão nº 1.603/2008-TCU-Plenário:• “A ausência da análise de riscos na área de TI, informada por 75% dos órgãos/entidades pesquisados, é um indício de que as ações de segurança não são executadas de maneira sintonizada com as necessidades do negócio dessas organizações. Isto porque, sem análise de riscos, não há como o gestor priorizar ações e investimentos com base em critérios claros e relacionados com o negócio da organização.”• “Além disso, o desconhecimento dos riscos na área de TI aumenta a exposição às ameaças de acesso indevido, indisponibilidade e perda de integridade (intencional, como no caso das fraudes, ou por falhas) das informações sob responsabilidade dessas organizações.”

72

Análise de RiscosDeve ser observado: • Acórdão nº 1.603/2008-TCU-Plenário;• Cobit 4.1 PO9.4 Risk Assessment (Análise de Riscos – Avaliar periodicamente a probabilidade e o impacto de todos os riscos identificados, usando métodos qualitativos e quantitativos. A probabilidade e o impacto associados com o risco inerente e residual devem ser determinados individualmente por categoria);

• NBR ISO/IEC 27002, item 4.1 – Analisando/avaliando os riscos de segurança da informação: convém que as análises/avaliações de riscos identifiquem, quantifiquem e priorizem os riscos com base em critérios relevantes para a organização, e que os resultados orientem e determinem as ações de gestão apropriadas e as prioridades para o gerenciamento dos riscos de segurança da informação, e para a implementação dos controles selecionados, de maneira a proteger contra estes riscos.

73

Análise de Riscos• Identificação dos principais riscos:

que possam comprometer o sucesso do processo de contratação;

que possam fazer com que os serviços prestados não atendam às necessidades do contratante, podendo resultar em nova contratação;

• Identificação das possibilidades de ocorrência e dos danos potenciais de cada risco identificado;

74

Análise de Riscos

• definição das ações a serem tomadas:para amenizar ou eliminar as chances de ocorrência do risco;

caso o risco se concretize; e

• definição dos responsáveis pelas ações de prevenção dos riscos e dos procedimentos de contingência.

75

• Os serviços somente poderão ser licitados quando houver projeto básico aprovado pela autoridade competente (Lei 8.666/93, art. 7º, I e § 2º, I e IN/SLTI 02/2008, art. 14).

• O objeto da contratação deve estar precisamente caracterizado e quantificado no projeto básico (Lei 8.666/93, arts. 7º, § 4º; 8º; 14; 15, § 7º; 55).

• O projeto básico deve conter, no que couber, o detalhamento previsto no art. 6º, IX, da Lei 8.666/93, devendo a sua definição ser precisa, suficiente e clara.

• São vedadas especificações excessivas, irrelevantes ou desnecessárias que limitem ou frustrem a competição ou a realização do fornecimento (Decreto 3.555/2000, art. 8º, I e IN/SLTI 02/2008, art. 16).

Projeto Básico

76

Nos projetos básicos de serviços serão considerados principalmente os seguintes requisitos (art. 12 da Lei 8.666/1993):

• segurança;• funcionalidade e adequação ao interesse público;• economia na execução, conservação e operação;• possibilidade de emprego de mão-de-obra, materiais,

tecnologia e matérias-primas existentes no local para execução, conservação e operação;

• facilidade na execução, conservação e operação, sem prejuízo da durabilidade do serviço;

• adoção das normas técnicas, de saúde e de segurança adequadas.

Projeto Básico

77

A IN/SLTI 04/2008, que cuida especificamente da contratação de serviços da área de TI, prevê, em seu art. 17, que o Projeto Básico deverá conter, no mínimo, as seguintes informações:

• definição do objeto; • fundamentação da contratação; • requisitos do serviço; • modelo de prestação dos serviços; • elementos para gestão do contrato; • estimativa de preços; • indicação do tipo de serviço; • critérios de seleção do fornecedor; e • adequação orçamentária.(Vide Acórdão 2.471/2008-Plenário, item 9.1.1)

Projeto Básico

78

Art. 19. A fase de Seleção do Fornecedor observará as normas pertinentes, incluindo o disposto • na Lei nº 8.666, de 1993, • na Lei nº 10.520, de 2002, • no Decreto nº 2.271, de 1997, • no Decreto nº 3.555, de 2000, • no Decreto nº 3.931, de 2001, e • no Decreto nº 5.450, de 2005.

Seleção de Fornecedor

79

Encerrado o procedimento licitatório e contratado o vencedor do certame para o fornecimento do objeto, inicia-se a fase de execução contratual.

Nessa fase, compete à Administração garantir que o contratado cumpra os termos contratuais, de forma que o objeto do contrato seja fornecido nas condições e prazos estabelecidos..

Gerenciamento do Contrato

80

A gestão contratual compreende uma série de atividades envolvendo:

• solicitação dos serviços;• acompanhamento;• fiscalização da execução;• avaliação da qualidade e aderência às

especificações;• ateste da realização dos trabalhos;• aplicação de penalidades;• pagamento.

Gerenciamento do Contrato

81

Processo de Gestão Contratual

Acórdão 1.603/2008-TCU-Plenário:

“Para se gerir adequadamente os riscos inerentes às atividades de TI, a adoção de processo formal de trabalho é de suma importância. Esse processo de trabalho deve ser definido, padronizado, documentado, aprovado e divulgado para toda a organização.”

82


• Lei nº 8.666/1993, Capítulo III;

• IN-04/2008, Seção III;

• Acórdão 1.603/2008-TCU-Plenário;

• Cobit 4.1 AI5.1 Procurement Control (Controle sobre aquisições) – desenvolver e seguir um conjunto de procedimentos e padrões consistente com o processo de licitação e a estratégia de aquisição gerais da organização para adquirir infra-estrutura, instalações, hardware, software e serviços de TI necessários ao negócio.

83

Processo de Gestão Contratual• Início da Execução Contratual

• Execução Contratual• Monitoração Técnica (eficiência/efetividade)

• Atestação Técnica

• Monitoração Administrativa

• Autorização de Pagamento

• Encerramento e Transição Contratual• O registro das tarefas acima deverá compor o Histórico

de Gestão do Contrato

84

Início da Execução Contratual• Elaboração, pelo Gestor do Contrato, de um plano de

inserção da contratada que contemple: • o repasse de conhecimentos necessários para a

execução dos serviços à contratada; e • a disponibilização de infra-estrutura à contratada,

quando couber• Reunião inicial entre o Gestor do Contrato, Área de TI,

Requisitante e a contratada, cuja pauta observará, pelo menos: • assinatura do termo de compromisso de manutenção de

sigilo e ciência das normas de segurança vigentes no órgão ou entidade; e

• esclarecimentos relativos a questões operacionais e de gerenciamento do contrato.

85

Início da Execução ContratualReunião de alinhamento de expectativas

• Checagem de compreensão do objetivo, do objeto, do modelo de prestação de serviços, do modelo de gestão, das obrigações e das penalidades

• Releitura do Edital, Contrato e termos da proposta vencedora

• Manutenção das condições habilitatórias e pontuadas

• Confirmação de cronogramas (etapas, faturamento, etc.)

86

Encaminhamento Formal de Demandas Encaminhamento formal de demandas pelo Gestor do

Contrato ao preposto da contratada por meio de Ordens de Serviço, que conterão:

• definição e especificação dos serviços a serem realizados; • volume de serviços solicitados e realizados segundo as

métricas definidas; • resultados esperados; • o cronograma de realização dos serviços, incluídas todas as

tarefas significativas e seus respectivos prazos; • avaliação da qualidade dos serviços realizados e as

justificativas do avaliador; e • identificação dos responsáveis pela solicitação, avaliação da

qualidade e ateste dos serviços realizados, que não podem ter vínculo com a empresa contratada;

87

Monitoramento da Execução A cargo do Gestor do Contrato, com apoio Requisitante e

da Área de TI, que consiste em: • recebimento mediante análise da avaliação dos serviços,

com base nos critérios previamente definidos; • ateste para fins de pagamento; • identificação de desvios e encaminhamento de demandas

de correção; • encaminhamento de glosas e sanções; • verificação de aderência às normas do contrato; • verificação da manutenção da necessidade, economicidade

e oportunidade da contratação; • verificação da manutenção das condições classificatórias,

pontuadas e da habilitação técnica;

88

Monitoramento da Execução

(continuação): • manutenção do Plano de Sustentação; • comunicação às autoridades competentes sobre a

proximidade do término do contrato, com pelo menos 60 (sessenta) dias de antecedência;

• manutenção dos registros de aditivos; • encaminhamento às autoridades competentes de

eventuais pedidos de modificação contratual; e • manutenção de registros formais de todas as ocorrências

da execução do contrato, por ordem histórica.

89

Processo de Gestão ContratualExecução contratual

Monitoração técnica (eficiência e efetividade) Reuniões periódicas, quando conveniente Procedimentos de verificação de nível de

serviço Notificação de desvios de normalidade Encaminhamento de proposta de apenação

(glosas e sanções) Capacitação e disponibilidade de

fiscalizadores

90


Execução contratual Atestação técnica

Registro (para eventual auditoria) da verificação de execução

Registro das notificações/apenações e seu andamento

Propostas de glosa

91

penalidades cabíveis e valores das multas

• as penalidades estão previstas no art. 87 da Lei nº 8.666/1993 e art. 7º da Lei nº 10.520/2002;

• o contrato deverá especificar as condições de aplicação da multa e respectivos valores.


92

Processo de Gestão ContratualExecução contratual

Monitoração Administrativa (legalidade e economicidade) Aspectos trabalhistas (encargos, subordinação direta,

desvio de função, pessoalidade indevida, ingerência administrativa)

Aspectos fiscais (regularidade cadastral) Manutenção das condições habilitatórias/pontuadas Atendimento aos normativos internos Verificação da vantajosidade do preço (estabelecer

periodicidade e método para verificação)

93


Execução contratual Autorização de pagamento

Mensuração do serviço prestado Registro (para eventual auditoria) da

mensuração

94

Obrigado

[email protected]

(61) 3316-5900

www.tcu.gov.br/fiscalizacaoti

95

www.tcu.gov.br

Valores

ÉticaJustiça

EfetividadeIndependência

Profissionalismo

Documents

Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009