Acórdão tcu 2746 2010 - susep-mf - avaliação de controles de ti

Quarta-feira, 25 de Maio de 2011.

Pesquisa número: 3Pesquisa refinada: {tagRefQ}

Expressão de Pesquisa: "AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DAINFORMAÇÃO"

Bases pesquisadas: Acórdãos; Decisões; Relações; AtasDocumento da base: AcórdãoDocumentos recuperados: 11Documento Mostrado: 1

Identificação

Acórdão 2746/2010 - Plenário

Número Interno do Documento

AC-2746-38/10-P

Grupo/Classe/Colegiado

GRUPO I / CLASSE V / Plenário

Processo

014.088/2010-0

Natureza

Relatório de Auditoria

Entidade

Entidade: Superintendência de Seguros Privados do Ministério da Fazenda - Susep/MF

Interessados

Responsável: Paulo dos Santos, superintendente (CPF 757.618.908-87)

Sumário

RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DAINFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES DEMELHORIA. IRREGULARIDADES JÁ TRATADAS EM OUTRO PROCESSO. DETERMINAÇÕES,RECOMENDAÇÕES E ALERTAS

Assunto

Relatório de Auditoria

Ministro Relator

AROLDO CEDRAZ

Representante do Ministério Público

não atuou

Unidade Técnica

9ª Secretaria de Controle Externo - Secex/9

Advogado Constituído nos Autos

não há

Relatório do Ministro Relator

A 9ª Secretaria de Controle Externo - Secex/9 realizou auditoria na Superintendência de

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?p=1&doc=1&t...

1 de 31 25/5/2011 13:01

Seguros Provados do Ministério da Fazenda - Susep/MF, no período de 20/5 a 9/7/2010, com o objetivode avaliar controles gerais de tecnologia da informação - TI e verificar se estão de acordo com alegislação pertinente e com as boas práticas de governança de TI.

2. As ocorrências detectadas foram apresentadas pela equipe de auditoria nos seguintestermos (fls. 100/132):

"3 - ACHADOS DE AUDITORIA3.1 - Falhas no Plano Estratégico Institucional3.1.1 - Situação encontrada:Por intermédio do item 1 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se

informações acerca do Plano Estratégico Institucional da SUSEP.Como resposta, foi enviado o Planejamento Estratégico 2005, com atualização aprovada

em 2010 e projeto de novo Planejamento Estratégico para o período 2011-2015.Todavia , no plano enviado não constavam indicadores e metas definidos para o

cumprimento dos objetivos estratégicos.3.1.2 - Objetos nos quais o achado foi constatado:Plano Planejamento Estratégico Institucional3.1.3 - Causas da ocorrência do achado:Deficiências de controles3.1.4 - Efeitos/Conseqüências do achado:Ausência de referencial para verificar o alinhamento estratégico das ações da área de TI

com o negócio da instituição. (efeito potencial)Risco de a instituição não conseguir atuar de forma eficiente no atingimento dos seus

objetivos finalísticos. (efeito potencial)3.1.5 - Critérios:Constituição Federal, art. 37, caputDecreto Lei 200/1967, art. 6º, inciso I; art. 7º3.1.6 - Evidências:Resposta ao item 1.2 do Ofício nº 393/2010-Sefti, constante do Ofício SUSEP/SEGER nº

370/2010. (folhas 12/13 do Anexo 1 - Principal)Plano Estratégico de 2005 (folhas 36/73 do Anexo 1 - Principal)Alteração do Plano Estratégico de 2005 realizada em 2010 (folhas 74/79 do Anexo 1 -

Principal)Aprovação da Alteracão do Plano Estratégico de 2005 (folhas 80/81 do Anexo 1 - Principal)Projeto de Planejamento Estratégico de 2011-2015 (folhas 81/92 do Anexo 1 - Principal)Resposta ao item 1.2 do Ofício nº 393/2010-Sefti, constante de DVD. (folha 93 do Volume

Principal)3.1.7 - Esclarecimentos dos responsáveis:Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de

fiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-lao mais prontamente possível.

3.1.8 - Conclusão da equipe:Diante do exposto, evidencia-se a existência da irregularidade retratada.3.1.9 - Proposta de encaminhamento:Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção ao

disposto na Constituição Federal, art. 37, caput (princípio da eficiência), aperfeiçoe o Processo dePlanejamento Estratégico Institucional, considerando o disposto no critério de avaliação nº 2 daGespública.

3.2 - Falhas no processo de Planejamento Estratégico Institucional3.2.1 - Situação encontrada:Por intermédio do item 1 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se

informações acerca do Processo de Planejamento Estratégico Institucional da SUSEP.A resposta da SUSEP não evidenciou as partes envolvidas na elaboração do Plano

Estratégico.Tampouco houve divulgação satisfatória do referido plano, uma vez que apenas foi

disponibilizado para o público interno por meio da intranet da entidade.Outrossim, constatou-se não haver o desdobramento do indigitado plano, inexistindo


2 de 31 25/5/2011 13:01

planos de ação para sua consecução.Não há, por fim, acompanhamento da execução do Plano Estratégico.3.2.2 - Objetos nos quais o achado foi constatado:Plano Planejamento Estratégico Institucional3.2.3 - Causas da ocorrência do achado:Deficiências de controles3.2.4 - Efeitos/Conseqüências do achado:Risco de as ações de TI não estarem alinhadas ao negócio. (efeito potencial)3.2.5 - Critérios:Constituição Federal, art. 37, caputDecreto Lei 200/1967, art. 6º, inciso I; art. 7º3.2.6 - Evidências:Resposta ao item 1.2 do Ofício nº 393/2010-Sefti, constante do Ofício SUSEP/SEGER nº

370/2010. (folhas 12/13 do Anexo 1 - Principal)Plano Estratégico de 2005 (folhas 36/73 do Anexo 1 - Principal)Alteração do Plano Estratégico de 2005 realizada em 2010 (folhas 74/79 do Anexo 1 -

Principal)Aprovação da Alteracão do Plano Estratégico de 2005 (folhas 80/81 do Anexo 1 - Principal)Projeto de Planejamento Estratégico de 2011-2015 (folhas 81/92 do Anexo 1 - Principal)Resposta ao item 1.2 do Ofício nº 393/2010-Sefti, constante de DVD. (folha 93 do Volume




disposto na Constituição Federal, art. 37, caput (princípio da eficiência), aperfeiçoe o Processo dePlanejamento Estratégico Institucional, considerando o disposto no critério de avaliação nº 2 daGespública.

3.3 - Inexistência do PDTI3.3.1 - Situação encontrada:Por intermédio do item 2 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se

informações acerca do Plano Diretor de Tecnologia da Informação (PDTI) da SUSEP.Como resposta, foi enviado o PDTI da entidade, de março de 2010.Todavia, o aludido plano não contempla as seguintes áreas: necessidades de informação

alinhada à estratégia do órgão ou entidade, plano de investimentos, contratações de serviços, aquisiçãode equipamentos, quantitativo e capacitação de pessoal, gestão de risco, obrigatórias segundo a IN nº4/2008 - SLTI.

Como não foram atendidos os mencionados requisitos mínimos da norma em comentopelo documento apresentado, então este não pode ser considerado para todos os efeitos um PDTI.

3.3.2 - Objetos nos quais o achado foi constatado:Plano Plano Diretor de Tecnologia da Informação - PDTI3.3.3 - Causas da ocorrência do achado:Deficiências de controles3.3.4 - Efeitos/Conseqüências do achado:Ações de TI não alinhadas ao negócio. (efeito potencial)3.3.5 - Critérios:Constituição Federal, art. 37, caputDecreto Lei 200/1967, art. 6º, inciso I; art. 7ºInstrução Normativa 4/2008, SLTI/MPOG, art. 2º, inciso X; art. 3º; art. 4º, inciso IIINorma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI3.3.6 - Evidências:Documento apresentado como PDTI (folha 93 do Volume Principal)


3 de 31 25/5/2011 13:01

3.3.7 - Esclarecimentos dos responsáveis:Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de


3.3.8 - Conclusão da equipe:Diante do exposto, evidencia-se a existência da irregularidade retratada.3.3.9 - Proposta de encaminhamento:Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à

Superintendência de Seguros Privados (Susep), que, em atenção ao previsto na Instrução Normativa nº04/2008 - SLTI/MPOG, art. 3º, elabore e aprove um Plano Diretor de Tecnologia da Informação - PDTI,observando as diretrizes constantes na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4, III, e aspráticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI.

3.4 - Inexistência de comitê de TI3.4.1 - Situação encontrada:Por intermédio do item 3 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se

informações acerca do comitê de TI da SUSEP.No próprio item 1.1 do "Questionário: Perfil GovTI 2010", o auditado informou a

inexistência do referido comitê.3.4.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 20103.4.3 - Causas da ocorrência do achado:Deficiências de controles3.4.4 - Efeitos/Conseqüências do achado:Sobreposição de ações de TI por parte das áreas de negócio que integrariam o comitê de

TI. (efeito potencial)Definição das ações de TI sem garantia da participação das principais áreas de negócio da

instituição. (efeito potencial)3.4.5 - Critérios:Constituição Federal, art. 37, caputInstrução Normativa 4/2008, SLTI/MPOG, art. 4º, inciso IVNorma Técnica - ITGI - Cobit 4.1, PO4.3 - Comitê diretor de TINorma Técnica - ITGI - Cobit 4.1, PO4.2 - Comitê estratégico de TI3.4.6 - Evidências:Resposta da auditada ao item 1.1 do Questionário: Perfil GovTI 2010 (folhas 4/9 do

Volume Principal)3.4.7 - Esclarecimentos dos responsáveis:Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de



Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução Normativa nº04/2008 - SLTI/MPOG, art. 4º, IV, implante Comitê de Tecnologia da Informação que envolva asdiversas áreas da Susep, e que se responsabilize por alinhar os investimentos de Tecnologia daInformação com os objetivos institucionais e por apoiar a priorização de projetos a serem implantados,considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.33 - Comitêdiretor de TI .

3.5 - Inexistência de avaliação do quadro de pessoal de TI.3.5.1 - Situação encontrada:Por intermédio do item 3 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se

informações acerca da avaliação do quadro de pessoal de TI da SUSEP.Como resposta, o gestor informou que não existem controles para avaliar periodicamente

a adequação e suficiência do quadro de pessoal de TI, bem como as competências necessárias para osprofissionais de TI.


4 de 31 25/5/2011 13:01

3.5.2 - Objetos nos quais o achado foi constatado:Ofício SUSEP/SEGER nº 370/20103.5.3 - Causas da ocorrência do achado:Deficiências de controles3.5.4 - Efeitos/Conseqüências do achado:Dependência do serviço de empresas terceirizadas (efeito potencial)Recursos humanos de TI insuficientes para atender às necessidades do negócio. (efeito

potencial)Falta de competênicas apropriadas na área de TI. (efeito potencial)3.5.5 - Critérios:ACÓRDÃO 71/2007, item 9.2.23, Tribunal de Contas da União, PlenárioDecreto 5707/2006, art. 1º, inciso III; art. 3º, inciso IIINorma Técnica - ITGI - Cobit 4.1, PO4.12 - Pessoal de TI3.5.6 - Evidências:Resposta ao item 3 do Ofício TCU-Sefti nº 393/2010, constante do Ofício SUSEP/SEGER nº

370/2010 (folhas 14/17 do Anexo 1 - Principal)Resposta ao item 3 do Ofício TCU-Sefti nº 393/2010, constante de DVD (folha 93 do

Volume Principal)3.5.7 - Esclarecimentos dos responsáveis:Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de


3.5.8 - Conclusão da equipe:Diante do exposto, evidencia-se a existência da irregularidade retratada.3.5.9 - Proposta de encaminhamento:Recomendar à Superintendência de Seguros Privados (Susep) que, com fundamento no

disposto na Constituição Federal, art. 37, caput (princípio da eficiência), em atenção ao Decreto nº5.707/2006, art. 1º, inciso III, elabore estudo técnico de avaliação qualitativa e quantitativa do quadroda área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas deservidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidadesinstitucionais, observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI.

3.6 - Inexistência de controle da execução do orçamento de TI.3.6.1 - Situação encontrada:Por intermédio do item 4 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se

informações acerca do controle de execução de orçamento de TI da SUSEP.Na resposta apresentada, não há evidências de que o referido controle seja levado a

efeito.Em reunião com a equipe, os gestores afirmaram não haver um controle institucionalizado

de execução do orçamento, o qual é realizado por meio do SIAFI.3.6.2 - Objetos nos quais o achado foi constatado:Ofício SUSEP/SEGER nº 370/20103.6.3 - Causas da ocorrência do achado:Deficiências de controles3.6.4 - Efeitos/Conseqüências do achado:Desconhecimento da disponibilização orçamentária do setor de TI. (efeito potencial)3.6.5 - Critérios:Lei 4320/1964, art. 75, inciso IIINorma Técnica - MPOG - Gespública - Instrumento para Avaliação da Gestão Pública -

Ciclo 2010 - critério de avaliação 7.3Norma Técnica - ITGI - Cobit 4.1, PO5.4 - Gerência de custos3.6.6 - Evidências:Resposta ao item 4 do Ofício TCU-Sefti nº 393/2010, constante do Ofício SUSEP/SEGER nº

370/2010 (folha 17 do Anexo 1 - Principal)Resposta ao item 4 do Ofício TCU-Sefti nº 393/2010, constante de DVD (folha 93 do

Volume Principal)3.6.7 - Esclarecimentos dos responsáveis:


5 de 31 25/5/2011 13:01

Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe defiscalização e os auditados, estes admitiram a existência da falha apontada, prontificando-se a saná-lao mais prontamente possível.


Superintendência de Seguros Privados (Susep), que, em atenção às disposições contidas na Lei nº4.320/64, art. 75, inciso III, implante controle da execução orçamentária, a fim de se obterprontamente informações acerca dos gastos e da disponibilidade de recursos de TI.

3.7 - Inexistência de processo de software.3.7.1 - Situação encontrada:Por intermédio do item 5 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se

informações acerca do processo de software da SUSEP.Como resposta, foi remetida uma tabela que estabele a documentação mínima necessária

para o desenvolvimento de sistemas de informação e módulos. Todavia, o documento enviado nãoapresenta os elementos essenciais para ser considerado um processo de software normatizado,aprovado e publicado pela entidade e, assim, considerado obrigatório no âmbito da SUSEP.

3.7.2 - Objetos nos quais o achado foi constatado:Ofício SUSEP/SEGER nº 370/20103.7.3 - Causas da ocorrência do achado:Deficiências de controles3.7.4 - Efeitos/Conseqüências do achado:Deficiência no processo de contratação, decorrente da inexistência de metodologia que

assegure boa contratação de desenvolvimento de sistemas. (efeito potencial)Inexistência de parâmetros de aferição de qualidade para contratação de desenvolvimento

de sistemas. (efeito potencial)3.7.5 - Critérios:Instrução Normativa 4/2008, SLTI/MPOG, art. 12, inciso IILei 8666/1993, art. 6º, inciso IXNorma Técnica - ITGI - Cobit 4.1, PO8.3 - Padrões de desenvolvimento e de aquisições.3.7.6 - Evidências:CEDEN - Documentaçao mínima necessária para os sistemas de informação e módulos

desenvolvidos pela equipe. (folha 93 do Volume Principal)3.7.7 - Esclarecimentos dos responsáveis:Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de



Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Lei nº 8.666/93, art.6º, inc. IX, e às disposições contidas na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 12, II,defina um processo de software previamente às futuras contratações de serviços de desenvolvimentoou manutenção de software, vinculando o contrato com o processo de software, sem o qual o objetonão estará precisamente definido.

Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência), quando do estabelecimento deseu processo de software, considere as Normas NBR ISO/IEC 12.207 e 15.504.

3.8 - Inexistência de processo de gerenciamento de projetos.3.8.1 - Situação encontrada:Por intermédio do item 6 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se

informações acerca do processo de gerencimento de projetos da SUSEP.Em resposta ao aludido item, o qual faz referência à pergunta 7.4 do Questionário

PerfilGovTI 2010, o gestor informou a inexistência de processo de gerenciamento de projetos no âmbito


6 de 31 25/5/2011 13:01

da entidade.3.8.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 20103.8.3 - Causas da ocorrência do achado:Deficiências de controles3.8.4 - Efeitos/Conseqüências do achado:Risco de insucesso de projetos/processos relevantes, pela falta de estrutura de gestão de

projetos. (efeito potencial)3.8.5 - Critérios:Norma Técnica - ITGI - Cobit 4.1, PO10.2 - Estrutura de gerência de projetos3.8.6 - Evidências:Resposta ao item 7.4 do Questionário PerfilGovTI 2010. (folhas 4/9 do Volume Principal)3.8.7 - Esclarecimentos dos responsáveis:Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de



disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implante uma estrutura formalde gerência de projetos, observando as orientações contidas no Cobit 4.1, processo PO10.2 - Estruturasde Gerência de Projetos e do PMBOK, dentre outras boas práticas de mercado.

3.9 - Inexistência do processo de gestão de incidentes.3.9.1 - Situação encontrada:Por intermédio do item 7 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se

informações acerca do processo de gestão de incidentes da SUSEP.Em resposta ao aludido intem, o qual faz referência à pergunta 7.6 do Questionário

PerfilGovTI 2010, o gestor informou não haver processo de gestão de incidentes no âmbito da entidade.3.9.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 20103.9.3 - Causas da ocorrência do achado:Deficiências de controles3.9.4 - Efeitos/Conseqüências do achado:Ocorrência de incidentes sem o devido gerenciamento. (efeito potencial)3.9.5 - Critérios:Constituição Federal, art. 37, caputNorma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar incidentes e service desk.Norma Técnica - NBR - ISO/IEC 27002, item 10.1.2 - Gestão de mudanças.3.9.6 - Evidências:Resposta ao item 7.6 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal)3.9.7 - Esclarecimentos dos responsáveis:Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de



disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente processo de gestãode incidentes de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit4.1, processo DS8 - Gerenciar a central de serviços e incidentes e de outras boas práticas de mercado(como a NBR ISO/IEC 20.000 e a NBR 27.002).

3.10 - Inexistência do processo de gestão de configuração3.10.1 - Situação encontrada:Por intermédio do item 7 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se


7 de 31 25/5/2011 13:01

informações acerca do processo de gestão de configuração da SUSEP.Em resposta ao aludido item, o qual faz referência à pergunta 7.6 do Questionário

PerfilGovTI 2010, o gestor informou não haver processo de gestão de configuração no âmbito daentidade.

3.10.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 20103.10.3 - Causas da ocorrência do achado:Deficiências de controles3.10.4 - Efeitos/Conseqüências do achado:Desatualização ou deficiência da configuração de TI. (efeito potencial)3.10.5 - Critérios:Norma Técnica - ITGI - Cobit 4.1, DS9 - Gerenciar Configurações.3.10.6 - Evidências:Resposta ao item 7.6 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal)3.10.7 - Esclarecimentos dos responsáveis:Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de



disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente processo de gestãode configuração de serviços de tecnologia da informação, à semelhança das orientações contidas noCobit 4.1, processo DS9 - Gerenciar configuração e de outras boas práticas de mercado (como a NBRISO/IEC 20.000).

3.11 - Inexistência do processo de gestão de mudanças.3.11.1 - Situação encontrada:Por intermédio do item 7 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se

informações acerca do processo de gestão de mudanças da SUSEP.Em resposta ao aludido item, o qual faz referência à pergunta 7.6 do Questionário

PerfilGovTI 2010, o gestor informou não haver processo de gestão de mudanças no âmbito da SUSEP.3.11.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 20103.11.3 - Causas da ocorrência do achado:Deficiências de controles3.11.4 - Efeitos/Conseqüências do achado:Não avaliação do impacto de eventuais mudanças. (efeito potencial)Solicitações de mudanças não controladas. (efeito potencial)3.11.5 - Critérios:Norma Técnica - ITGI - Cobit 4.1, AI6 - Gerenciar mudanças.Norma Técnica - NBR - ISO/IEC 27002, 12.5.1 - Procedimentos para controle de

mudanças3.11.6 - Evidências:Resposta ao item 7.6 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal)3.11.7 - Esclarecimentos dos responsáveis:Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de



disposto na Constituição Federal, art. 37, caput (princípio da eficiência), estabeleça procedimentosformais de gestão de mudanças, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC17.799:2005, à semelhança das orientações contidas no Cobit 4.1, processo AI6 - Gerenciar mudanças


8 de 31 25/5/2011 13:01

e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000).3.12 - Inexistência de Gestor de Segurança da Informação e Comunicações.3.12.1 - Situação encontrada:Por intermédio do Ofício de Requisição nº 623/2010-2, de 14/06/2010, solicitaram-se

informações acerca do Gestor de Segurança da Informação e Comunicações da SUSEP.Em resposta, enviada por meio da Comunicação Interna nº 34, da CGETI para a AUDIT,

datada de 17/06/2010, a entidade informou não ter designado até aquela data o referido gestor.3.12.2 - Objetos nos quais o achado foi constatado:Comunicação Interna nº 34/2010 - SUSEP3.12.3 - Causas da ocorrência do achado:Deficiências de controles3.12.4 - Efeitos/Conseqüências do achado:Não otimização das ações de segurança da informação. (efeito potencial)3.12.5 - Critérios:Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da

República, art. 5º, inciso IV; art. 7ºNorma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma

Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2Norma Técnica - NBR - ISO/IEC 27002, 6.1.3 - Atribuição de responsabilidade para

segurança da informação.3.12.6 - Evidências:Comunicação Interna nº 34, de CGETI para AUDIT, de 17/06/2010 (folhas 25/26 do Anexo

1 - Principal)3.12.7 - Esclarecimentos dos responsáveis:Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de



Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução NormativaGSI/PR nº 01/2008, art. 5º, IV e art. 7º, c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2,nomeie Gestor de Segurança da Informação e Comunicações, observando as práticas contidas na NBRISO/IEC 27.002, item 6.1.3 - Atribuição de responsabilidade para segurança da informação.

3.13 - Inexistência de Comitê de Segurança da Informação e Comunicações.3.13.1 - Situação encontrada:Por intermédio do Ofício de Requisição nº 623/2010-2, de 14/06/2010, solicitaram-se

informações acerca do Comitê de Segurança da Informação e Comunicações da SUSEP.Em resposta, enviada por meio da Comunicação Interna nº 34, da CGETI para a AUDIT,

datada de 17/06/2010, a entidade informou não ter instituído até aquela data o referido comitê.3.13.2 - Objetos nos quais o achado foi constatado:Comunicação Interna nº 34/2010 - SUSEP3.13.3 - Causas da ocorrência do achado:Deficiências de controles3.13.4 - Efeitos/Conseqüências do achado:Não otimização das ações de segurança da informação. (efeito potencial)3.13.5 - Critérios:Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da

República, art. 5º, inciso VINorma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma

Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3Norma Técnica - NBR - ISO/IEC 27002, item 6.1.2 - Coordenação de segurança da

informação3.13.6 - Evidências:Comunicação Interna nº 34, de CGETI para AUDIT, de 17/06/2010 (folhas 25/26 do Anexo


9 de 31 25/5/2011 13:01




Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução NormativaGSI/PR nº 01/2008, art. 5º, VI c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, instituaComitê de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC27.002, item 6.1.2 - Coordenação de segurança da informação.

3.14 - Inexistência de Política de Segurança da Informação e Comunicações (POSIC).3.14.1 - Situação encontrada:Por intermédio do item 8 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se

informações acerca da Política de Segurança da Informação e Comunicações (POSIC) da SUSEP.Em resposta ao aludido item, o qual faz referência à pergunta 7.2 do Questionário

PerfilGovTI 2010, o gestor informou não haver POSIC no âmbito da entidade.3.14.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 20103.14.3 - Causas da ocorrência do achado:Deficiências de controles3.14.4 - Efeitos/Conseqüências do achado:Falhas nos procedimentos de segurança. (efeito potencial)3.14.5 - Critérios:Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da

República, art. 5º, inciso VIINorma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma

Complementar 03/IN01/DSIC/GSIPRNorma Técnica - NBR - ISO/IEC 27002, item 5.1 - Política de segurança da informação3.14.6 - Evidências:Resposta ao item 7.2 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal)3.14.7 - Esclarecimentos dos responsáveis:Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de



Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução NormativaGSI/PR nº 01/2008, art. 5º, VII, implante Política de Segurança da Informação e Comunicações,observando as práticas contidas na Norma Complementar 03/IN01/DSIC/GSIPR.

3.15 - Inexistência de equipe de tratamento e resposta a incidentes em redescomputacionais (ETRI).

3.15.1 - Situação encontrada:Por intermédio do Ofício de Requisição nº 623/2010-2, de 14/06/2010, solicitaram-se

informações acerca da equipe de tratamento e resposta a incidentes em redes computacionais (ETRI)da SUSEP.

Em resposta, enviada por meio da Comunicação Interna nº 34, da CGETI para a AUDIT,datada de 17/06/2010, a entidade informou não ter instituído até aquela data a referida equipe.

3.15.2 - Objetos nos quais o achado foi constatado:Comunicação Interna nº 34/2010 - SUSEP3.15.3 - Causas da ocorrência do achado:Deficiências de controles


10 de 31 25/5/2011 13:01

3.15.4 - Efeitos/Conseqüências do achado:Falhas relativas às notificações e às atividades relacionadas a incidentes de segurança em

redes de computadores. (efeito potencial)3.15.5 - Critérios:Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da

República, art. 5º, inciso VNorma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma

Complementar 05/IN01/DSIC/GSIPR3.15.6 - Evidências:Comunicação Interna nº 34, de CGETI para AUDIT, de 17/06/2010 (folhas 25/26 do Anexo




Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução NormativaGSI/PR nº 01/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes em redescomputacionais, observando as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR.

3.16 - Inexistência de classificação da informação.3.16.1 - Situação encontrada:Por intermédio do item 8 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se

informações acerca da classificação da informação no âmbito da SUSEP.Em resposta ao aludido item, o qual faz referência à pergunta 7.1 do Questionário

PerfilGovTI 2010, o gestor informou não haver na entidade procedimento de classificação deinformação para o negócio.

3.16.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 20103.16.3 - Causas da ocorrência do achado:Deficiências de controles3.16.4 - Efeitos/Conseqüências do achado:Risco de divulgação indevida de informação restrita. (efeito potencial)3.16.5 - Critérios:ACÓRDÃO 2023/2005, item 9.1.4, Tribunal de Contas da União, PlenárioDecreto 4553/2002, art. 6º, § 2º, inciso I; art. 6º, § 2º, inciso II; art. 67Norma Técnica - NBR - ISO/IEC 27002, item 7.2 - Classificação da informação.3.16.6 - Evidências:Resposta ao item 7.1 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal)3.16.7 - Esclarecimentos dos responsáveis:Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de



Superintendência de Seguros Privados (Susep), que, em atenção ao disposto no Decreto nº 4553/2002,art. 6º, § 2º, inciso II e art. 67, crie critérios de classificação das informações a fim de que possam tertratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observando aspráticas contidas no item 7.2 da NBR ISO/IEC 27.002.

3.17 - Inexistência de inventário dos ativos de informação.3.17.1 - Situação encontrada:Por intermédio do item 8 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se


11 de 31 25/5/2011 13:01

informações acerca do inventário dos ativos de informação da SUSEP.Em resposta ao aludido item, o qual faz referência à pergunta 7.1 do Questionário

PerfilGovTI 2010, o gestor informou ainda não ter sido levado a efeito aquele inventário.3.17.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 20103.17.3 - Causas da ocorrência do achado:Deficiências de controles3.17.4 - Efeitos/Conseqüências do achado:Dificuldade de recuperação de ativo de informação. (efeito potencial)3.17.5 - Critérios:Norma Técnica - NBR - ISO/IEC 27002, item 7.1.1 - inventário de ativos.Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma

Complementar 04/IN01/DSIC/GSIPR, item 5.2.13.17.6 - Evidências:Resposta ao item 7.1 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal)3.17.7 - Esclarecimentos dos responsáveis:Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de



Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução NormativaGSI/PR nº 01/2008, art. 5º, VII c/c Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1,estabeleça procedimento de inventário de ativos de informação, de maneira que todos os ativos deinformação sejam inventariados e tenham um proprietário responsável, observando as práticascontidas no item 7.1 da NBR ISO/IEC 27.002.

3.18 - Inexistência de processo de gestão de riscos de segurança da informação (GRSIC).3.18.1 - Situação encontrada:Por intermédio do item 8 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se

informações acerca do processo de gestão de riscos de segurança da informação (GRSIC) da SUSEP.Em resposta ao aludido item, o qual faz referência à pergunta 7.1 do Questionário

PerfilGovTI 2010, o gestor informou não haver, no âmbito da entidade, análise de riscos aos quais ainformação crítica para o negócio está submetida, considerando-se, pelo menos, confidencialidade,integridade e disponibilidade.

3.18.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 20103.18.3 - Causas da ocorrência do achado:Deficiências de controles3.18.4 - Efeitos/Conseqüências do achado:Desconhecimento das ameaças e respectivos impactos relacionados à segurança da

informação. (efeito potencial)3.18.5 - Critérios:Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da

República, art. 5º, inciso VIINorma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma

Complementar 04/IN01/DSIC/GSIPRNorma Técnica - ITGI - Cobit 4.1, PO9.4 - Avaliação de riscos.Norma Técnica - NBR - 27005 - Gestão de riscos de segurança da informação3.18.6 - Evidências:Resposta ao item 7.1 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal)3.18.7 - Esclarecimentos dos responsáveis:Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de



12 de 31 25/5/2011 13:01


Superintendência de Seguros Privados (Susep), que, em atenção ao disposto na Instrução NormativaGSI/PR nº 01/2008, art. 5º, VII c/c Norma Complementar 04/IN01/DSIC/GSIPR, implemente processode gestão de riscos de segurança da informação.

3.19 - Plano anual de capacitação não contempla a área de gestão de TI.3.19.1 - Situação encontrada:Por intermédio do Ofício de Requisição nº 623/2010-2, de 14/06/2010, solicitaram-se

informações acerca do Plano Anual de Capacitação de 2010 da SUSEP.Em resposta, enviada por meio de documentação retirada do Processo Administrativo nº

15414.004240/2009-35, que trata do programa anual de capacitação de pessoal para o exercício de2010, pode-se constatar que a entidade elaborou o indigitado plano.

Todavia, o plano não contempla a contento treinamentos específicos para a área de gestãode TI.

3.19.2 - Objetos nos quais o achado foi constatado:Plano Anual de Capacitação para 20103.19.3 - Causas da ocorrência do achado:Deficiências de controles3.19.4 - Efeitos/Conseqüências do achado:Desatualização do quadro de pessoal da área de tecnologia da informação. (efeito

potencial)3.19.5 - Critérios:Decreto 5707/2006, art. 5º, § 2ºNorma Técnica - ITGI - Cobit 4.1, PO7.2-Competências PessoaisNorma Técnica - ITGI - Cobit 4.1, PO7.4 - Treinamento do Pessoal3.19.6 - Evidências:Extrato do Processo Administrativo nº 15414.004240/2009-35 (folhas 51/76 do Anexo 1 -




disposto na Constituição Federal, art. 37, caput (princípio da eficiência), quando elaborar o próximoPlano Anual de Capacitação, contemple ações de capacitação voltadas para a gestão de tecnologia dainformação, observando as práticas contidas no Cobit 4.1, processos PO7.2 - Competências Pessoais ePO7.4 - Treinamento do Pessoal.

3.20 - Inexistência de avaliação da gestão de TI.3.20.1 - Situação encontrada:Por intermédio do item 9 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se

informações acerca da avaliação da gestão de TI pela Alta Administração da SUSEP.Em resposta ao aludido item, o qual faz referência à pergunta 1.2 do Questionário

PerfilGovTI 2010, o gestor informou não existir no âmbito da entidade a referida avaliação.3.20.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 20103.20.3 - Causas da ocorrência do achado:Deficiências de controles3.20.4 - Efeitos/Conseqüências do achado:Impossiblidade de verificação de possibilidades de melhoria. (efeito potencial)Decisões gerenciais baseadas em informações incompletas ou errôneas. (efeito potencial)Problemas não identificados nos serviços de TI. (efeito potencial)


13 de 31 25/5/2011 13:01

3.20.5 - Critérios:Norma Técnica - ITGI - Cobit 4.1, ME1.5 - Relatórios gerenciaisNorma Técnica - ITGI - Cobit 4.1, ME1.4 - Avaliar o desempenhoNorma Técnica - ITGI - Cobit 4.1, ME1.6 - Ações corretivas3.20.6 - Evidências:Resposta ao item 1.2 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal)3.20.7 - Esclarecimentos dos responsáveis:Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de



disposto na Constituição Federal, art. 37, caput (princípio da eficiência), estabeleça um processo deavaliação da gestão de TI, observando as orientações contidas no Cobit 4.1, itens ME1.4 - Avaliação dedesempenho, ME1.5 Relatórios gerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar oscontroles internos.

3.21 - Auditoria interna não apóia avaliação da TI.3.21.1 - Situação encontrada:Por intermédio do item 9 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se

informações para aferir se a auditoria interna apóia a avaliação da TI da SUSEP.Em resposta ao aludido item, o qual faz referência à pergunta 1.4 do Questionário

PerfilGovTI 2010, o gestor informou não ter sido realizada auditoria de TI por iniciativa própria dainstituição nos últimos três anos, o que evidencia ausência de avaliação desta área por parte daAuditoria Interna.

3.21.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 20103.21.3 - Causas da ocorrência do achado:Deficiências de controles3.21.4 - Efeitos/Conseqüências do achado:Deficiências na governança de TI, gestão de riscos e controles internos. (efeito potencial)3.21.5 - Critérios:Norma Técnica - ITGI - Cobit 4.1, E2 - Monitorar e avaliar os controles internos.3.21.6 - Evidências:Resposta ao item 1.4 do Questionário PerfilGovTI 2010 (folhas 4/9 do Volume Principal)3.21.7 - Esclarecimentos dos responsáveis:Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de



disposto na Constituição Federal, art. 37, caput (princípio da eficiência), promova ações para que aauditoria interna apoie a avaliação da TI, observando as orientações contidas no Cobit 4.1, ME2 -Monitorar e avaliar os controles internos.

3.22 - Inexistência de controles que promovam o cumprimento da IN43.22.1 - Situação encontrada:Por intermédio do item 10 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se

informações acerca dos controles que promovam o cumprimento da Instrução Normativa nº 4/2008 -SLTI/MPOG no âmbito da SUSEP.

Como resposta, a entidade enviou check list de caráter genérico a ser observado comvistas à aferição dos procedimentos prescritos na Lei nº 8.666/93.

Contudo, aquele instrumento de verificação não se presta à averiguação do cumprimentoda instrução normativa supramencionada, não havendo, na entidade, qualquer outro documento


14 de 31 25/5/2011 13:01

destinado a tal fim.3.22.2 - Objetos nos quais o achado foi constatado:Ofício SUSEP/SEGER nº 370/20103.22.3 - Causas da ocorrência do achado:Deficiências de controles3.22.4 - Efeitos/Conseqüências do achado:Descumprimento de requisitos exigidos pela IN4/2008 - SLTI/MPOG. (efeito potencial)3.22.5 - Critérios:Norma Técnica - ITGI - Cobit 4.1, ME3.3 - Avaliar a conformidade com requisitos externosNorma Técnica - ITGI - Cobit 4.1, AI5.4 - Adquirir recursos de TI.Norma Técnica - ITGI - Cobit 4.1, AI5.3 - Selecionar fornecedorNorma Técnica - ITGI - Cobit 4.1, AI1 - Identificar soluções automatizadas3.22.6 - Evidências:check list para contratação pela Lei nº 8.666/93 (folha 93 do Volume Principal)3.22.7 - Esclarecimentos dos responsáveis:Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de



disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente controles quepromovam o cumprimento do processo de planejamento previsto na Instrução Normativa nº 4/2008-SLTI/MPOG.

3.23 - Descumprimento do processo de planejamento de acordo com a IN43.23.1 - Situação encontrada:A contratação do SERPRO, realizada por intermédio do Contrato nº 18/2009, no valor de

R$ 5.241.736,00, cujo objeto é a prestação de serviços continuados e especializados em Tecnologia daInformação, foi levada a efeito sem que tenha sido elaborado estudo que contemplasse os quatroartefatos estabelecidos na IN nº 04/2008-SLTI/MPOG, que são: I - Análise de Viabilidade daContratação; II - Plano de Sustentação; III - Estratégia de Contratação; e IV - Análise de Riscos.

3.23.2 - Objetos nos quais o achado foi constatado:Processo de dispensa 15414.002777/2009 - Contratação do SERPRO para prestação de

serviços de informática3.23.3 - Causas da ocorrência do achado:Deficiências de controles3.23.4 - Efeitos/Conseqüências do achado:Risco da ocorrência de aquisições ou contratações que não atendam à necessidade do

órgão (efeito potencial)Falhas no Termo de Referência ou Projeto Básico. (efeito potencial)3.23.5 - Critérios:Instrução Normativa 4/2008, SLTI/MPOG, art. 9º; art. 11; art. 12; art. 13; art. 14; art.

15; art. 163.23.6 - Evidências:Processo de dispensa de licitação nº 15414.002777/2009-61 (folhas 1/56 do Anexo 3 -




Superintendência de Seguros Privados (Susep), que planeje as contratações de serviços de tecnologia


15 de 31 25/5/2011 13:01

da informação executando o processo previsto na IN nº 04/2008-SLTI/MPOG, observando a sequêncialógico-temporal entre as tarefas e os ritos de aprovação dos artefatos produzidos ao longo do processo.

3.24 - Irregularidades na contratação3.24.1 - Situação encontrada:Com o objetivo de avaliar a aderência do procedimento licitatório adotado com a

legislação vigente, foram realizados testes substantivos nos Contratos nº 17/2006, de valor mensal R$67.711,85, cujo objeto é a contratação de empresa especializada na manutenção de serviços deinformática para a execução de consultoria, desenvolvimento e manutenção de sistemas relacionadosao Formulário de Informações Periódicas para o Mercado Segurador (FIPSUSEP) e ao Sistema deArmazenamento e Processamento de Informações e Estatísticas do Mercado Segurador (SAPIEMS), enº 18/2009, no valor total de R$ 5.241.736,00, cujo objeto é a prestação de serviços continuados eespecializados em Tecnologia da Informação, tendo sido constatadas as seguintes impropriedades:

I - Com relação ao Contrato nº 17/2006:a) interposição de mão-de-obra e conseqüente pagamento não vinculado a resultadosO ajuste foi formalizado visando ao fornecimento exclusivo de mão-de-obra interposta,

em vez de prestação de serviços específicos, em desacordo com os arts. 3º e 4º, II, do Decreto nº2.271/97; art. 6º da IN nº 04/2008- SLTI; Enunciado nº 331 do TST; art. 37, II, da ConstituiçãoFederal; item 9.3.1 do Acórdão/TCU nº 1.329/07 - Plenário e itens 9.3.3 e 9.3.7 do Acórdão/TCU nº1.558/03 - Plenário.

b) ausência de elementos básicos na fundamentação do objetivo da contrataçãoNão há indicação precisa de com quais elementos (objetivos, iniciativas e ações) das

estratégias institucionais e de Tecnologia da Informação a contratação pretendida está alinhada(Decreto-Lei nº 200/1967, art. 6º, inciso I c/c itens 9.1.1 do Acórdão nº 1.558/2003, 9.3.11 do Acórdãonº 2.094/2004 e 9.1.9 do Acórdão nº 2.023/2005, todos do Plenário).

c) insuficiência de cláusulas contratuaisO contrato não contém cláusula de segurança da informação, conforme prevê o item 6.2.3

- "identificando segurança da informação nos acordos com terceiros" da NBR 27002.Não há vinculação da contratação, que trata de desenvolvimento e manutenção de

software, a um Processo de Desenvolvimento de Software, em desconformidade com o art. 12, II, daIN nº 04/2008 - SLTI.

d) ausência das áreas de negócio e administrativa na gestão do contratoApenas a área de TI atua na gestão do contrato, infringindo os arts. 20, III, e 23 da IN nº

04/2008 - SLTI e o princípio da eficiência insculpido no art. 37 da Constituição Federal.e) opção indevida por outra modalidade de licitação em detrimento do pregãoFoi adotada a modalidade de licitação concorrência do tipo técnica e preço, quando

deveria ter sido empregado o pregão.A licitação de bens e serviços de tecnologia da informação considerados comuns, ou seja,

aqueles que possuam padrões de desempenho e de qualidade objetivamente definidos pelo edital, combase em especificações usuais no mercado, deve ser obrigatoriamente realizada pela modalidadePregão, preferencialmente na forma eletrônica. Quando, eventualmente, não for viável utilizar essaforma, deverá ser anexada a justificativa correspondente (Lei nº 10.520/2002, art. 1º; Lei nº8.248/1991, art. 3º, § 3º; Decreto nº 3.555/2000, anexo II; Decreto nº 5.450/2005, art. 4º, e Acórdãonº 1.547/2004 - Primeira Câmara).

f) desconformidades nos pareceres jurídicosTodas as irregularidades apontadas na presente contratação poderiam ter sido evitadas se

verificadas por ocasião da elaboração dos pareceres jurídicos pertinentes.g) exigências editalícias restritivas ao caráter competitivo da licitaçãoA licitação exigia a comprovação de que o profissional já mantivesse vínculo com a

licitante, seja como empregado contratado ou sócio da empresa. Tal imposição exclui da licitaçãoempresas com profissionais ainda não contratados, mas à disposição para levar a efeito o serviço. Estaúltima situação, inclusive, acaba por abarcar a maioria das empresas, afinal estas não vão contratarnovos empregados sem a garantia de aumento da demanda de seus serviços, o que somente seconcretiza com a vitória no certame. Sendo assim, a exigência em comento pode acarretar reduçãoconsiderável do número de empresas habilitadas, além de beneficiar a atual contratada, que já contanos seus quadros de pessoal com profissionais executando o serviço licitado.

A equipe também verificou que houve alteração de peso das propostas técnica e de preço


16 de 31 25/5/2011 13:01

de uma licitação para a outra. Na licitação anterior do mesmo serviço, os pesos eram iguais - 50% paracada, enquanto que no presente certame o peso da proposta técnica aumentou para 70% e o da depreço diminuiu para 30%. Tal modificação vem beneficiar a empresa que já havia ganhado a licitaçãoanterior e se encontrava prestando o serviço na SUSEP, pois essa contratada à época da nova licitação,em virtude da execução do contrato anterior, acabava por apresentar todos os requisitos para obter apontuação técnica máxima, fato que prejudica a competitividade de outras licitantes que nunca foramcontratadas pela SUSEP para realizar os serviços licitados, já que teriam que comprovar preço bemmais baixo para se sagrarem vencedoras.

II - Com relação ao Contrato nº 18/2009:a) ausência de elementos básicos na fundamentação do objetivo da contrataçãoNão há indicação precisa de com quais elementos (objetivos, iniciativas e ações) das

estratégias institucionais e de Tecnologia da Informação a contratação pretendida está alinhada(Decreto-Lei nº 200/1967, art. 6º, inciso I c/c itens 9.1.1 do Acórdão nº 1.558/2003, 9.3.11 do Acórdãonº 2.094/2004 e 9.1.9 do Acórdão nº 2.023/2005, todos do Plenário).

b)impertinência de cláusulas contratuaisA cláusula décima terceira - "do reajuste de preços" estabelece que o reajustamento será

realizado considerando a Política de Preços da Contratada e não índice que reproduza a variação anualde preços do setor, infringindo o art. 40, XI, da Lei nº 8.666/93.

A cláusula décima nona - "sanções administrativas" não estabelece as sanções desuspensão temporária de participação em licitação e impedimento de contratar com a Administração,por prazo não superior a 2 (dois) anos, e de declaração de inidoneidade para licitar ou contratar com aAdministração Pública, conforme determina o art. 87, III e IV, da Lei nº 8.666/93.

O parágrafo segundo da cláusula vigésima primeira - "da propriedade intelectual" prevêque "os programas de computador, soluções em tecnologia da informação e comunicação ecomponentes que venham a ser desenvolvidos pela contratada, para realizar integração entre osserviços objeto deste contrato, constituirão propriedade intelectual da contratada", quando deveriampertencer exclusivamente à contratante, uma vez que o não fornecimento dos códigos-fonte dosprogramas desenvolvidos acarreta total dependência da contratada.

c) insuficiência de cláusulas contratuaisA cláusula sétima - "da segurança dos serviços" não contempla os requisitos previstos no

item 6.2.3 - "identificando segurança da informação nos acordos com terceiros" da NBR 27002.d) não divisibilidade do objeto, estando presentes a viabilidade técnica e econômica.O objeto do contrato inclui serviços de consultoria em tecnologia da informação, de

produção de sistemas, de administração de rede local, de administração de rede de longa distância, deadministração de correio eletrônico e de emissão de certificado digital, os quais são tecnicamentedivisíveis.

A não divisibilidade do objeto afronta o art. 23, § 1º, da Lei nº 8.666/1993, e já foi objetode pronunciamento do Tribunal, conforme Acórdãos nº 1.331/2003 e nº 2.471/2008, ambos do Plenário.

e) ausência das áreas de negócio e administrativa na gestão do contratoApenas a área de TI atua na gestão do contrato, infringindo o art. 20, III, e 23 da IN nº

04/2008 - SLTI e o princípio da eficiência insculpido no art. 37 da Constituição Federal.f) ausência de cláusula de garantia contratualNão consta do contrato qualquer cláusula referente a garantia contratual, o que viola o

estabelecido no art. 55, VI, da Lei nº 8.666/93.g) ausência de estimativa de custos globais e unitáriosNão foi efetuada pesquisa de preços preliminar ao certame, tendo sido utilizada como

referência contratação anterior com o SERPRO, o que vai de encontro à jurisprudência pacífica destaCasa de Contas no sentido da obrigatoriedade de tal pesquisa em momento anterior ao procedimentolicitatório.

h) falhas na contratação diretaNão foram especificadas, no processo de dispensa de licitação, a razão da escolha do

fornecedor ou executante e a justificativa do preço, em dissonância com o art. 26, II e III, da Lei nº8.666/93.

i) desconformidades nos pareceres jurídicosTodas as irregularidades apontadas na presente contratação poderiam ter sido evitadas se

verificadas por ocasião da elaboração dos pareceres jurídicos pertinentes.


17 de 31 25/5/2011 13:01

j) irregularidades no DFP da licitanteHá serviços que estão sendo executados em razão da presente contratação sem que haja

detalhamento dos custos unitários de cada serviço, o que afronta o art. 7º, § 2º, II, da Lei nº 8.666/93.3.24.2 - Objetos nos quais o achado foi constatado:Contrato 17/2006 - Contrato para desenvolvimento e manutenção dos Sistemas FIPSUSEP

e SAPIEMSContrato 18/2009 - Contratação do SERPRO para prestação de serviços de informáticaProcesso de dispensa 15414.002777/2009 - Contratação do SERPRO para prestação de

serviços de informáticaProcesso licitatório 15414.004138/2005 - Concorrência para contratação de serviços

referentes ao desenvolvimento e manutenção dos sistemas FIPSUSEP e SAPIEMS3.24.3 - Causas da ocorrência do achado:Deficiências de controlesImperíciaInexistência ou insuficiência de segregação de funçõesInexistência de controles3.24.4 - Efeitos/Conseqüências do achado:Risco da ocorrência de aquisições ou contratações que não atendam à necessidade do

órgão (efeito potencial)3.24.5 - Critérios:ACÓRDÃO 2471/2008, item 9.1, Tribunal de Contas da União, PlenárioACÓRDÃO 2471/2008, item 9.2, Tribunal de Contas da União, PlenárioInstrução Normativa 4/2008, SLTI/MPOG, art. 9º; art. 17São também considerados critérios para este achado, de maneira geral, a Lei nº

8.666/1993 e a IN 04/2008 - SLTI/MPOG.3.24.6 - Evidências:Comunicação Interna 29/2009 (folha 2 do Anexo 3 - Principal)Clausula décima à clausula vigésima primeira do Contrato 18/2009 (folhas 65/69 do Anexo

3 - Principal)Clausula sétima à clausula nona do Contrato 18/2009 (folha 62 do Anexo 3 - Principal)Clausulas primeira e segunda do Contrato 18/2009 (folhas 57/59 do Anexo 3 - Principal)Ato de designação nº 71/2009 (folha 70 do Anexo 3 - Principal)Clausula décima nona à clausula vigésima do Contrato 18/2009 (folhas 66/67 do Anexo 3 -

Principal)Informação do Processo Nº 15414.002777/2009-61 (folha 3 do Anexo 3 - Principal)Edital de licitação da Concorrência nº 1/2006 (folhas 58/118 do Anexo 2 - Principal)Contrato nº 17/2006 (folhas 247/256 do Anexo 2 - Volume 1)Pagamentos realizados no âmbito do Contrato nº 17/2006 (folhas 439/1155 do Anexo 2 -

Volume 2)Projeto básico da Concorrência nº 1/2006 (folhas 76/93 do Anexo 2 - Principal)Ato de designação nº 072/2007 (folha 323 do Anexo 2 - Volume 1)Ato de designação nº 042/2008 (folha 391 do Anexo 2 - Volume 1)Ato de designação nº 98/2010 (folha 438 do Anexo 2 - Volume 2)Parecer/PRGER/Assuntos Administrativos nº 23.952/2006 (folhas 33/34 do Anexo 2 -

Principal)Parecer/PRGER/Assuntos Administrativos nº 24.261/2006 (folhas 49/50 do Anexo 2 -

Principal)Edital de licitação da Concorrência Técnica e Preço nº 01/2002 (folhas 1167/1223 do Anexo

2 - Volume 5)Ato de designação nº 044/2006 (folha 443 do Anexo 2 - Volume 2)Ato de designação nº 063/2009 (folha 431 do Anexo 2 - Volume 2)3.24.7 - Esclarecimentos dos responsáveis:Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de


3.24.8 - Conclusão da equipe:


18 de 31 25/5/2011 13:01

Diante do exposto, evidencia-se a existência das irregularidades retratadas.3.24.9 - Proposta de encaminhamento:Alertar a Superintendência de Seguros Privados (Susep) quanto à:Interposição de mão-de-obra e conseqüente pagamento não vinculado a resultados,

decorrentes do descumprimento dos arts. 3º e 4º, II, do Decreto nº 2.271/97; art. 6º da IN nº04/2008- SLTI; Enunciado nº 331 do TST; art. 37, II, da Constituição Federal; item 9.3.1 doAcórdão/TCU nº 1.329/07 - Plenário e itens 9.3.3 e 9.3.7 do Acórdão/TCU nº 1.558/03 - Plenário,conforme tratado no item I, alínea a, do tópico "situação encontrada" do achado "Irregularidades nacontratação";

Ausência de elementos básicos na fundamentação do objetivo da contratação, decorrentedo descumprimento do Decreto-Lei nº 200/1967, art. 6º, inciso I c/c itens 9.1.1 do Acórdão nº1.558/2003, 9.3.11 do Acórdão nº 2.094/2004 e 9.1.9 do Acórdão nº 2.023/2005, todos do Plenário,conforme tratado no item I, alínea b, e no item II, alínea a do tópico "situação encontrada" do achado"Irregularidades na contratação";

Insuficiência de cláusulas contratuais, decorrente do descumprimento do item 6.2.3 -"identificando segurança da informação

nos acordos com terceiros" da NBR 27002 e do art. 12, II, da IN nº 04/2008 - SLTI,conforme tratado no item I, alínea c, e no item II, alínea c do tópico "situação encontrada" do achado"Irregularidades na contratação";

Ausência das áreas de negócio e administrativa na gestão do contrato, decorrente dodescumprimento dos arts. 20, III, e 23 da IN nº 04/2008 - SLTI e do princípio da eficiência insculpido noart. 37 da Constituição Federal, conforme tratado no item I, alínea d, e no item II, alínea e do tópico"situação encontrada" do achado "Irregularidades na contratação";

Opção indevida por outra modalidade de licitação em detrimento do pregão, decorrentedo descumprimento da Lei nº 10.520/2002, art. 1º; Lei nº 8.248/1991, art. 3º, § 3º; Decreto nº3.555/2000, anexo II; Decreto nº 5.450/2005, art. 4º, e Acórdão nº 1.547/2004 - Primeira Câmara,conforme tratado no item I, alínea e, do tópico "situação encontrada" do achado "Irregularidades nacontratação";

Desconformidades nos pareceres jurídicos, decorrentes do descumprimento do art. 38, VI,e parágrafo único da Lei nº 8.666/93, conforme tratado no item I, alínea f, e item II, alínea i do tópico"situação encontrada" do achado "Irregularidades na contratação";

Exigências editalícias restritivas ao caráter competitivo da licitação, decorrentes dodescumprimento do art. 3º, § 1º, I, da Lei nº 8.666/93, conforme tratado no item I, alínea g, do tópico"situação encontrada" do achado "Irregularidades na contratação";

Impertinência de cláusulas contratuais, decorrente do descumprimento do art. 40, XI, edo art. 87, III e IV, c/c o art. 55, VII, da Lei nº 8.666/93, conforme tratado no item II, alínea b, dotópico "situação encontrada" do achado "Irregularidades na contratação";

Não divisibilidade do objeto, estando presentes a viabilidade técnica e econômica,decorrente do descumprimento do art. 23, § 1º, da Lei nº 8.666/1993 e dos Acórdãos nº 1.331/2003 enº 2.471/2008, ambos do Plenário, conforme tratado no item II, alínea d, do tópico "situaçãoencontrada" do achado "Irregularidades na contratação";

Ausência de cláusula de garantia contratual, decorrente do descumprimento do art. 55, VI,da Lei nº 8.666/93, conforme tratado no item II, alínea f, do tópico "situação encontrada" do achado"Irregularidades na contratação";

Ausência de estimativa de custos globais e unitários, decorrente do descumprimento doart. 40, § 2º, inciso II, c/c o art. 43, inciso IV da Lei nº 8.666/93 e do item 9.1.14 do Acórdão/TCU nº1.382/2009 - Plenário, conforme tratado no item II, alínea g, do tópico "situação encontrada" doachado "Irregularidades na contratação";

Falhas na contratação direta, decorrentes do descumprimento do art. 26, II e III, da Leinº 8.666/93, conforme tratado no item II, alínea h, do tópico "situação encontrada" do achado"Irregularidades na contratação"; e

Ausência de detalhamento dos custos unitários de cada serviço constante doDemonstrativo de Formação de Preços da contratada, decorrente do descumprimento do art. 7º, § 2º,II, da Lei nº 8.666/93, conforme tratado no item II, alínea j, do tópico "situação encontrada" do achado"Irregularidades na contratação".

3.25 - Inexistência de controles que promovam a regular gestão contratual


19 de 31 25/5/2011 13:01

3.25.1 - Situação encontrada:Por intermédio do item 11 do Ofício nº 393/2010 - Sefti, de 07/05/2010, solicitaram-se

informações acerca dos controles que promovam a regular gestão dos contratos de TI da SUSEP.Como resposta, a entidade informou, no Ofício SUSEP/SEGER nº 370/2010, que "existem

procedimentos mínimos adotados, porém não existe um documento formal".Sendo assim, inexiste um procedimento uniforme normatizado pela entidade, o que

evidencia a ausência daqueles controles de gestão.3.25.2 - Objetos nos quais o achado foi constatado:Ofício SUSEP/SEGER nº 370/20103.25.3 - Causas da ocorrência do achado:Deficiências de controles3.25.4 - Efeitos/Conseqüências do achado:Risco de inificiência no acompanhamento da execução contratual, podendo resultar na

qualidade/prazo insatisfatórios de serviços e produtos entregues. (efeito potencial)3.25.5 - Critérios:ACÓRDÃO 669/2008, item 9.1.15, Tribunal de Contas da União, PlenárioInstrução Normativa 4/2008, SLTI/MPOG, art. 20Norma Técnica - ITGI - Cobit 4.1, ME3.3 - Avaliar a conformidade com requisitos externosNorma Técnica - ITGI - Cobit 4.1, DS2.4 - Monitorar o desempenho do fornecedorNorma Técnica - ITGI - Cobit 4.1, AI5.2 - Gerir contratos com fornecedores3.25.6 - Evidências:Resposta ao item 11.1 do Ofício TCU-Sefti nº 393/2010 (folhas 4/9 do Volume Principal)3.25.7 - Esclarecimentos dos responsáveis:Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de



Superintendência de Seguros Privados (Susep), que, no prazo de 30 (trinta) dias a contar da ciência doAcórdão que vier a ser proferido, encaminhe plano de ação para a implementação das medidascontidas no Decisum, indicando, para cada determinação ou recomendação, o prazo e o responsável(nome, cargo e CPF) pelo desenvolvimento das ações.

Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente controles quepromovam a regular gestão contratual e que permitam identificar se todas as obrigações do contratadoforam cumpridas antes do ateste do serviço.

3.26 - Irregularidades na gestão contratual3.26.1 - Situação encontrada:Com o objetivo de avaliar a aderência da gestão do contrato com a legislação vigente,

foram realizados testes substantivos nos Contratos nº 17/2006, de valor mensal R$ 67.711,85, cujoobjeto é a contratação de empresa especializada na manutenção de serviços de informática para aexecução de consultoria, desenvolvimento e manutenção de sistemas relacionados ao Formulário deInformações Periódicas para o Mercado Segurador (FIPSUSEP) e ao Sistema de Armazenamento eProcessamento de Informações e Estatísticas do Mercado Segurador (SAPIEMS), e nº 18/2009, no valortotal de R$ 5.241.736,00, cujo objeto é a prestação de serviços continuados e especializados emTecnologia da Informação, tendo sido constatadas as seguintes impropriedades:

I - Com relação ao Contrato nº 17/2006:a) impossibilidade de rastrear serviços executados e desconformidade na aplicação dos

critérios de mediçãoComo a contratação se caracteriza por fornecimento de mão-de-obra, não existe controle

mais específico sobre os serviços que estão sendo realizados no âmbito da contratação, sendo pago omesmo valor todos os meses.

b) falha na designação formal do fiscal do contratoO fiscal foi formalmente designado, mas de maneira intempestiva, pois o próprio ato de


20 de 31 25/5/2011 13:01

designação previa que este tinha efeitos retroativos.c) adoção de elemento de despesa desconforme com o Plano de Contas Aplicado ao Setor

Público - Administração Pública FederalA SUSEP vem empregando o elemento de despesa 3.3.3.9.0.37.01 - Apoio Administrativo,

Técnico e Operacional no âmbito do presente contrato, mesmo após alteração no Plano de Contas, quepassou a abarcar elementos específicos para a prestação de serviços de tecnologia da informação.

d) não manutenção, durante a execução do contrato, de todas as condições de habilitaçãoe qualificação exigidas na licitação

O Desenvolvedor b, segundo o item 6.3 do Projeto Básico, deveria apresentar acomprovação de conclusão do ensino médio com formação técnica em programação de carga horáriamínima de 360 horas ou de conclusão do ensino superior em Informática/Ciências daComputação/Tecnólogo em Processamento de Dados ou de conclusão do ensino superior em qualquerárea, desde que também demonstrasse estar realizando Especialização em Análise de Sistemas comcarga horária mínima de 360 horas ou Pós-Graduação, "Lato Sensu" ou Mestrado, em Informática.

No entanto, o Desenvolvedor b Sandro Reis Antônio apresentou certificado de conclusãodo ensino médio, mas não há comprovação de formação técnica em programação com carga horáriamínima de 360 horas. Tampouco há comprovação de conclusão de qualquer curso de nível superior,constando apenas que o referido curso estava em andamento.

O Desenvolvedor b Anderson Belmont Souza dos Reis também não atendeu às exigênciasdo edital, pois não há qualquer comprovação de conclusão de curso técnico, constando apenasdeclaração da universidade de que o terceirizado está cursando graduação em Ciência da Computação,além de não restar comprovada a experiência mínima de dois anos em informática exigida pelo item6.3 do Projeto Básico, pois as declarações existentes de experiência profissional abarcam o período de18/05/2007 a 31/03/2009.

O Desenvolvedor a Raphael Batista da Fonseca não comprovou ter a experiência mínimade três anos exigida no item 6.2 do Projeto Básico, constando apenas uma declaração de experiênciaprofissional referente ao período de 11/2006 a 06/2008.

e) indícios de superfaturamentoEm consulta ao Cadastro Nacional de Informações Sociais - Consulta de Remunerações -

GFIP, observou-se que os vencimentos realmente percebidos pelos prestadores de serviços queatuaram na Susep por intermédio da referida contratação eram inferiores àqueles os quais seriamdevidos em razão do contrato.

Todavia, não se apreciará, nos presentes autos, a irregularidade em comento, tendo emvista que ela foi objeto de representação da equipe.

II - Com relação ao Contrato nº 18/2009:a) qualidade dos serviços incompatível com o contrato avençadoA presente contratação é objeto de reclamações da SUSEP.Em relação ao serviço de elaboração do Plano Diretor de Tecnologia da Informação da

entidade, a equipe verificou que o referido plano não atendeu aos requisitos previstos no art. 4º,parágrafo único, III, da IN nº 04/2008 - SLTI.

b) indícios de superfaturamentoA equipe verificou que o SERPRO discriminou o custo unitário de hora de consultoria ao

valor de R$ 295,13. Para a realização do PDTI, foi estimada a necessidade de 800 horas, perfazendoum custo total de R$ 236.104,00 . Constatou-se que as estimativas para a contratação visando àconfecção do PDTI em diversos órgãos foi bem inferior ao cobrado pelo SERPRO. Em consulta ao SIAPE,verificou-se que o maior salário pago pelo SERPRO é de R$ 10.056,09, o que daria um custo deHora-Homem (HH) de R$ 58,01. Utilizando-se este valor como referência, observa-se que o item demaior custo da consultoria (mão-de-obra) seria de R$ 46.808,00 (800 x R$ 58,01).

A presente irregularidade, no entanto, não será objeto de representação da equipe devidoà existência do TC 022.241/2010-8, que trata de auditoria específica do TMS 6 - Gestão e uso de TI, aqual avaliará contratos do Serpro com a Administração Pública Federal.

3.26.2 - Objetos nos quais o achado foi constatado:Contrato 17/2006 - Contrato para desenvolvimento e manutenção dos Sistemas FIPSUSEP

e SAPIEMSContrato 18/2009 - Contratação do SERPRO para prestação de serviços de informática3.26.3 - Causas da ocorrência do achado:


21 de 31 25/5/2011 13:01

Deficiências de controles3.26.4 - Efeitos/Conseqüências do achado:Serviços em desacordo com o contratado (efeito potencial)Pagamentos sem que tenham sido produzidos os resultados esperados (efeito potencial)3.26.5 - Critérios:ACÓRDÃO 669/2008, item 9.4.15, Tribunal de Contas da União, PlenárioInstrução Normativa 4/2008, SLTI/MPOG, art. 203.26.6 - Evidências:Comunicicação Interna nº 37 da SUSEP, datada de 21/06/2010, em resposta a Requisição

Fiscalis Nº 623/2010-4 (folhas 89/91 do Anexo 1 - Principal)Comunicicação Interna nº 38 da SUSEP, datada de 22/06/2010, em resposta a Requisição

Fiscalis Nº 623/2010-6 (folha 92 do Anexo 1 - Principal)Pagamentos realizados no âmbito do Contrato nº 17/2006 (folhas 439/1155 do Anexo 2 -

Volume 2)Projeto básico da Concorrência nº 1/2006 (folhas 76/93 do Anexo 2 - Principal)Ato de designação nº 072/2007 (folha 323 do Anexo 2 - Volume 1)Ato de designação nº 98/2010 (folha 438 do Anexo 2 - Volume 2)Ato de designação nº 044/2006 (folha 443 do Anexo 2 - Volume 2)Documentação do Desenvolvedor b Sandro Reis Antônio (folhas 1291/1302 do Anexo 2 -

Volume 6)Documentação do Desenvolvedor a Raphael Batista da Fonseca (folhas 166/173 do Anexo

1 - Principal)Documentação do Desenvolvedor b Anderson Belmont Souza dos Reis (folhas 210/219 do

Anexo 1 - Principal)3.26.7 - Esclarecimentos dos responsáveis:Em reuniões realizadas entre o coordenador do TMS 6 - Gestão e uso de TI, a equipe de


3.26.8 - Conclusão da equipe:Diante do exposto, evidencia-se a existência das irregularidades retratadas.3.26.9 - Proposta de encaminhamento:Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à

Superintendência de Seguros Privados (Susep), que, em razão das diversas irregularidadesconstatadas:

a) prorrogue o Contrato nº 17/2006 apenas pelo prazo necessário à realização de licitaçãopara nova contratação do respectivo objeto, tendo em vista a relevância dos serviços prestados noajuste, cuja solução de continuidade pode gerar graves prejuízos à atuação da entidade, atentando parao fato de que o futuro contrato deve eliminar todos os itens de alerta consignados no presenteprocesso; e

b) prorrogue o Contrato nº 18/2009 apenas pelo prazo necessário à realização de licitaçãopara nova contratação do respectivo objeto, tendo em vista a relevância dos serviços prestados noajuste, cuja solução de continuidade pode gerar graves prejuízos à atuação da entidade, atentando parao fato de que eventual contratação do SERPRO somente seja realizada desde que seus custos unitáriossejam justificados por meio de pesquisas de preços de mercado, visando a assegurar que a contrataçãodireta seja mais vantajosa para a Administração, sem prejuízo de que sejam corrigidos, no futurocontrato, todos os itens de alerta estabelecidos no presente processo.

Alertar a Superintendência de Seguros Privados (Susep) quanto à (Achado"Irregularidades na gestão contratual"):

Impossibilidade de rastrear serviços executados e desconformidade na aplicação doscritérios de medição, decorrente do descumprimento do art. 3º, § 1º, do Decreto nº 2.271/1997 e dosAcórdãos/TCU nº 786/2006, 1.330/2008 e 2.619/2008, conforme tratado no item I, alínea a, do tópico"situação encontrada" do Achado "Irregularidades na gestão contratual";

Falha na designação formal do fiscal do contrato, decorrente do descumprimento do art.58, III, c/c o art. 67 da Lei nº 8.666/93, conforme tratado no item I, alínea b, do tópico "situaçãoencontrada" do Achado "Irregularidades na gestão contratual";

Adoção de elemento de despesa desconforme com o Plano de Contas Aplicado ao Setor


22 de 31 25/5/2011 13:01

Público - Administração Pública Federal, decorrente do descumprimento da Portaria nº 467/2009 - STN,conforme tratado no item I, alínea c, do tópico "situação encontrada" do Achado "Irregularidades nagestão contratual";

Não manutenção, durante a execução do contrato, de todas as condições de habilitação equalificação exigidas na licitação, decorrente do descumprimento do art. 55, XIII, da Lei nº 8.666/93,conforme tratado no item I, alínea d, do tópico "situação encontrada" do Achado "Irregularidades nagestão contratual"; e

Qualidade dos serviços incompatível com o contrato avençado, decorrente dodescumprimento do art. 66 c/c o art. 69 da Lei nº 8.666/93, conforme tratado no item II, alínea a, dotópico "situação encontrada" do Achado "Irregularidades na gestão contratual"."

3. Por tais motivos, a Secex/9, em pareceres uniformes (fls. 133/141), sugeriu a estaCorte formular à Susep/MF as seguintes determinações, recomendações e alertas:

"Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, àSuperintendência de Seguros Privados (Susep), que:

Em atenção ao previsto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 3º, elaboree aprove um Plano Diretor de Tecnologia da Informação - PDTI, observando as diretrizes constantes naInstrução Normativa nº 04/2008 - SLTI/MPOG, art. 4, III, e as práticas contidas no Cobit 4.1, processoPO1 - Planejamento Estratégico de TI (Achado "Inexistência do PDTI").

Em atenção ao disposto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4º, IV,implante Comitê de Tecnologia da Informação que envolva as diversas áreas da Susep, e que seresponsabilize por alinhar os investimentos de Tecnologia da Informação com os objetivos institucionaise por apoiar a priorização de projetos a serem implantados, considerando ainda as diretrizes do Cobit4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor de TI (Achado "Inexistência de comitêde TI").

Em atenção às disposições contidas na Lei nº 4.320/64, art. 75, inciso III, implantecontrole da execução orçamentária, a fim de se obter prontamente informações acerca dos gastos e dadisponibilidade de recursos de TI (Achado "Inexistência de controle da execução do orçamento de TI").

Em atenção ao disposto na Lei nº 8.666/93, art. 6º, inc. IX, e às disposições contidas naInstrução Normativa nº 04/2008 - SLTI/MPOG, art. 12, II, defina um processo de software previamenteàs futuras contratações de serviços de desenvolvimento ou manutenção de software, vinculando ocontrato com o processo de software, sem o qual o objeto não estará precisamente definido (Achado"Inexistência de processo de software").

Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VI c/c NormaComplementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança da Informação eComunicações, observando as práticas contidas na NBR ISO/IEC 27.002, item 6.1.2 - Coordenação desegurança da informação (Achado "Inexistência de Comitê de Segurança da Informação eComunicações").

Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, IV e art. 7º,c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie Gestor de Segurança daInformação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27.002, item 6.1.3 -Atribuição de responsabilidade para segurança da informação (Achado "Inexistência de Gestor deSegurança da Informação e Comunicações").

Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII, implantePolítica de Segurança da Informação e Comunicações, observando as práticas contidas na NormaComplementar 03/IN01/DSIC/GSIPR (Achado "Inexistência de Política de Segurança da Informação eComunicações - POSIC").

Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, V, instituaequipe de tratamento e resposta a incidentes em redes computacionais, observando as práticascontidas na Norma Complementar 05/IN01/DSIC/GSIPR (Achado "Inexistência de equipe detratamento e resposta a incidentes em redes computacionais - ETRI").

Em atenção ao disposto no Decreto nº 4553/2002, art. 6º, § 2º, inciso II e art. 67, criecritérios de classificação das informações a fim de que possam ter tratamento diferenciado conformeseu grau de importância, criticidade e sensibilidade, observando as práticas contidas no item 7.2 daNBR ISO/IEC 27.002 (Achado "Inexistência de classificação da informação").

Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII c/cNorma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de


23 de 31 25/5/2011 13:01

ativos de informação, de maneira que todos os ativos de informação sejam inventariados e tenham umproprietário responsável, observando as práticas contidas no item 7.1 da NBR ISO/IEC 27.002 (Achado"Inexistência de inventário dos ativos de informação").

Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII c/cNorma Complementar 04/IN01/DSIC/GSIPR, implemente processo de gestão de riscos de segurança dainformação (Achado "Inexistência de processo de gestão de riscos de segurança da informação -GRSIC").

Planeje as contratações de serviços de tecnologia da informação executando o processoprevisto na IN nº 04/2008-SLTI/MPOG, observando a sequência lógico-temporal entre as tarefas e osritos de aprovação dos artefatos produzidos ao longo do processo (Achado "Descumprimento doprocesso de planejamento de acordo com a IN4").

Em razão das diversas irregularidades constatadas, prorrogue o Contrato nº 17/2006apenas pelo prazo necessário à realização de licitação para nova contratação do respectivo objeto,tendo em vista a relevância dos serviços prestados no ajuste, cuja solução de continuidade pode gerargraves prejuízos à atuação da entidade, atentando para o fato de que o futuro contrato deve eliminartodos os itens de alerta consignados no presente processo (Achados "Irregularidades na contratação" e"Irregularidades na gestão do contrato").

Em razão das diversas irregularidades constatadas, prorrogue o Contrato nº 18/2009apenas pelo prazo necessário à realização de licitação para nova contratação do respectivo objeto,tendo em vista a relevância dos serviços prestados no ajuste, cuja solução de continuidade pode gerargraves prejuízos à atuação da entidade, atentando para o fato de que eventual contratação do SERPROsomente seja realizada desde que seus custos unitários sejam justificados por meio de pesquisas depreços de mercado, visando a assegurar que a contratação direta seja mais vantajosa para aAdministração, sem prejuízo de que sejam corrigidos, no futuro contrato, todos os itens de alertaestabelecidos no presente processo (Achados "Irregularidades na contratação" e "Irregularidades nagestão do contrato").

No prazo de 30 (trinta) dias a contar da ciência do Acórdão que vier a ser proferido,encaminhe plano de ação para a implementação das medidas contidas no Decisum, indicando, paracada determinação ou recomendação, o prazo e o responsável (nome, cargo e CPF) pelodesenvolvimento das ações.

Recomendar à Superintendência de Seguros Privados (Susep) que, em atenção aodisposto na Constituição Federal, art. 37, caput (princípio da eficiência):

Aperfeiçoe o Processo de Planejamento Estratégico Institucional, considerando o dispostono critério de avaliação nº 2 da Gespública (Achados "Falhas no Plano Estratégico Institucional" e"Falhas no processo de Planejamento Estratégico Institucional").

Em atenção ao Decreto nº 5.707/2006, art. 1º, inciso III, elabore estudo técnico deavaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitosde ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando omelhor atendimento das necessidades institucionais, observando as práticas contidas no Cobit 4.1,PO4.12 - Pessoal de TI (Achado "Inexistência de avaliação do quadro de pessoal de TI").

Quando do estabelecimento de seu processo de software, considere as Normas NBRISO/IEC 12.207 e 15.504 (Achado "Inexistência de processo de software").

Implante uma estrutura formal de gerência de projetos, observando as orientaçõescontidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos e do PMBOK, dentre outrasboas práticas de mercado (Achado "Inexistência de processo de gerenciamento de projetos").

Implemente processo de gestão de incidentes de serviços de tecnologia da informação, àsemelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a central de serviços eincidentes e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000 e a NBR 27.002) (Achado"Inexistência do processo de gestão de incidentes").

Implemente processo de gestão de configuração de serviços de tecnologia da informação,à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração e de outrasboas práticas de mercado (como a NBR ISO/IEC 20.000) (Achado "Inexistência do processo de gestãode configuração").

Estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto noitem 12.5.1 da NBR ISO/IEC 17.799:2005, à semelhança das orientações contidas no Cobit 4.1,processo AI6 - Gerenciar mudanças e de outras boas práticas de mercado (como a NBR ISO/IEC


24 de 31 25/5/2011 13:01

20.000) (Achado "Inexistência do processo de gestão de mudanças").Quando elaborar o próximo Plano Anual de Capacitação, contemple ações de capacitação

voltadas para a gestão de tecnologia da informação, observando as práticas contidas no Cobit 4.1,processos PO7.2 - Competências Pessoais e PO7.4 - Treinamento do Pessoal (Achado "Plano anual decapacitação não contempla a área de gestão de TI").

Estabeleça um processo de avaliação da gestão de TI, observando as orientações contidasno Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 Relatórios gerenciais, ME1.6 - Açõescorretivas e ME2 - Monitorar e avaliar os controles internos (Achado "Inexistência de avaliação dagestão de TI").

Promova ações para que a auditoria interna apoie a avaliação da TI, observando asorientações contidas no Cobit 4.1, ME2 - Monitorar e avaliar os controles internos (Achado "Auditoriainterna não apoia avaliação da TI").

Implemente controles que promovam o cumprimento do processo de planejamentoprevisto na Instrução Normativa nº 4/2008-SLTI/MPOG (Achado "Inexistência de controles quepromovam o cumprimento da IN4").

Implemente controles que promovam a regular gestão contratual e que permitamidentificar se todas as obrigações do contratado foram cumpridas antes do ateste do serviço (Achado"Inexistência de controles que promovam a regular gestão contratual").

Alertar a Superintendência de Seguros Privados (Susep) quanto à (Achado"Irregularidades na contratação"):

Interposição de mão-de-obra e conseqüente pagamento não vinculado a resultados,decorrentes do descumprimento dos arts. 3º e 4º, II, do Decreto nº 2.271/97; art. 6º da IN nº04/2008- SLTI; Enunciado nº 331 do TST; art. 37, II, da Constituição Federal; item 9.3.1 doAcórdão/TCU nº 1.329/07 - Plenário e itens 9.3.3 e 9.3.7 do Acórdão/TCU nº 1.558/03 - Plenário,conforme tratado no item I, alínea a, do tópico "situação encontrada" do achado "Irregularidades nacontratação".

Ausência de elementos básicos na fundamentação do objetivo da contratação, decorrentedo descumprimento do Decreto-Lei nº 200/1967, art. 6º, inciso I c/c itens 9.1.1 do Acórdão nº1.558/2003, 9.3.11 do Acórdão nº 2.094/2004 e 9.1.9 do Acórdão nº 2.023/2005, todos do Plenário,conforme tratado no item I, alínea b, e no item II, alínea a do tópico "situação encontrada" do achado"Irregularidades na contratação".

Insuficiência de cláusulas contratuais, decorrente do descumprimento do item 6.2.3 -"identificando segurança da informação nos acordos com terceiros" da NBR 27002 e do art. 12, II, da INnº 04/2008 - SLTI, conforme tratado no item I, alínea c, e no item II, alínea c do tópico "situaçãoencontrada" do achado "Irregularidades na contratação".

Ausência das áreas de negócio e administrativa na gestão do contrato, decorrente dodescumprimento dos arts. 20, III, e 23 da IN nº 04/2008 - SLTI e do princípio da eficiência insculpido noart. 37 da Constituição Federal, conforme tratado no item I, alínea d, e no item II, alínea e do tópico"situação encontrada" do achado "Irregularidades na contratação".

Opção indevida por outra modalidade de licitação em detrimento do pregão, decorrentedo descumprimento da Lei nº 10.520/2002, art. 1º; Lei nº 8.248/1991, art. 3º, § 3º; Decreto nº3.555/2000, anexo II; Decreto nº 5.450/2005, art. 4º, e Acórdão nº 1.547/2004 - Primeira Câmara,conforme tratado no item I, alínea e, do tópico "situação encontrada" do achado "Irregularidades nacontratação".

Desconformidades nos pareceres jurídicos, decorrentes do descumprimento do art. 38, VI,e parágrafo único da Lei nº 8.666/93, conforme tratado no item I, alínea f, e item II, alínea i do tópico"situação encontrada" do achado "Irregularidades na contratação".

Exigências editalícias restritivas ao caráter competitivo da licitação, decorrentes dodescumprimento do art. 3º, § 1º, I, da Lei nº 8.666/93, conforme tratado no item I, alínea g, do tópico"situação encontrada" do achado "Irregularidades na contratação".

Impertinência de cláusulas contratuais, decorrente do descumprimento do art. 40, XI, edo art. 87, III e IV, c/c o art. 55, VII, da Lei nº 8.666/93, conforme tratado no item II, alínea b, dotópico "situação encontrada" do achado "Irregularidades na contratação".

Não divisibilidade do objeto, estando presentes a viabilidade técnica e econômica,decorrente do descumprimento do art. 23, § 1º, da Lei nº 8.666/1993 e dos Acórdãos nº 1.331/2003 enº 2.471/2008, ambos do Plenário, conforme tratado no item II, alínea d, do tópico "situação


25 de 31 25/5/2011 13:01

encontrada" do achado "Irregularidades na contratação".Ausência de cláusula de garantia contratual, decorrente do descumprimento do art. 55, VI,

da Lei nº 8.666/93, conforme tratado no item II, alínea f, do tópico "situação encontrada" do achado"Irregularidades na contratação".

Ausência de estimativa de custos globais e unitários, decorrente do descumprimento doart. 40, § 2º, inciso II, c/c o art. 43, inciso IV da Lei nº 8.666/93 e do item 9.1.14 do Acórdão/TCU nº1.382/2009 - Plenário, conforme tratado no item II, alínea g, do tópico "situação encontrada" doachado "Irregularidades na contratação".

Falhas na contratação direta, decorrentes do descumprimento do art. 26, II e III, da Leinº 8.666/93, conforme tratado no item II, alínea h, do tópico "situação encontrada" do achado"Irregularidades na contratação".

Ausência de detalhamento dos custos unitários de cada serviço constante doDemonstrativo de Formação de Preços da contratada, decorrente do descumprimento do art. 7º, § 2º,II, da Lei nº 8.666/93, conforme tratado no item II, alínea j, do tópico "situação encontrada" do achado"Irregularidades na contratação".

Alertar a Superintendência de Seguros Privados (Susep) quanto à (Achado"Irregularidades na gestão contratual"):

Impossibilidade de rastrear serviços executados e desconformidade na aplicação doscritérios de medição, decorrente do descumprimento do art. 3º, § 1º, do Decreto nº 2.271/1997 e dosAcórdãos/TCU nº 786/2006, 1.330/2008 e 2.619/2008, conforme tratado no item I, alínea a, do tópico"situação encontrada" do Achado "Irregularidades na gestão contratual";

Falha na designação formal do fiscal do contrato, decorrente do descumprimento do art.58, III, c/c o art. 67 da Lei nº 8.666/93, conforme tratado no item I, alínea b, do tópico "situaçãoencontrada" do Achado "Irregularidades na gestão contratual";

Adoção de elemento de despesa desconforme com o Plano de Contas Aplicado ao SetorPúblico - Administração Pública Federal, decorrente do descumprimento da Portaria nº 467/2009 - STN,conforme tratado no item I, alínea c, do tópico "situação encontrada" do Achado "Irregularidades nagestão contratual";

Não manutenção, durante a execução do contrato, de todas as condições de habilitação equalificação exigidas na licitação, decorrente do descumprimento do art. 55, XIII, da Lei nº 8.666/93,conforme tratado no item I, alínea d, do tópico "situação encontrada" do Achado "Irregularidades nagestão contratual"; e

Qualidade dos serviços incompatível com o contrato avençado, decorrente dodescumprimento do art. 66 c/c o art. 69 da Lei nº 8.666/93, conforme tratado no item II, alínea a, dotópico "situação encontrada" do Achado "Irregularidades na gestão contratual".

É o Relatório

Voto do Ministro Relator

VOTONa sessão de 8/9/2010 (acórdão 2.308/2010 - Plenário), apresentei a este colegiado o

resultado consolidado do levantamento efetuado pela Secretaria de Fiscalização de Tecnologia daInformação - Sefti, em 2010, para avaliar a governança de tecnologia da informação em 315 órgãos eentidades das administrações direta e indireta dos três poderes da União.

2. Destaquei, naquela oportunidade, a importância da atuação desta Corte com relação àmatéria, que, a partir da identificação de pontos vulneráveis, será possível ao Tribunal, em primeirolugar, atuar como indutor do aperfeiçoamento da governança de TI no setor público e, em segundolugar, identificar e disseminar entre as unidades jurisdicionadas os bons exemplos e modelosidentificados.

3. Apontei, ainda, as conclusões mais significativas do levantamento, que permitiuconstatar, em síntese, que:

a) mais de 60% das organizações não possui planejamento estratégico de TI;b) algumas organizações continuam a ter sua TI totalmente controlada por pessoas

estranhas a seus quadros de pessoal;c) são graves os problemas de segurança da informação, já que informações críticas não

são protegidas adequadamente;d) metade das organizações não possui método ou processo para desenvolvimento de

softwares e para aquisição de bens e serviços de informática, o que gera riscos de irregularidades em


26 de 31 25/5/2011 13:01

contratações;e) a atuação sistemática da alta administração com respeito à TI ainda é incipiente;f) mais da metade das organizações está no estágio inicial de governança de TI, e apenas

5% encontram-se em estágio aprimorado.4. Neste momento, trago à consideração deste Plenário mais um trabalho concernente à

matéria: a auditoria realizada pela Secex/9 na Susep/MF com o intuito de avaliar controles gerais degovernança de TI naquela entidade.

5. As principais ocorrências detectadas no presente trabalho assemelham-se às verificadasno levantamento consolidada e confirmam a precisão daquele estudo. Basicamente, constatou-se naSusep:

a) plano estratégico institucional sem metas e indicadores;b) processo de planejamento estratégico sem definição clara de partes envolvidas e sem

divulgação adequada;c) ausência de plano diretor de TI com requisitos mínimos de consistência;d) inexistência de comitê gestor de TI;e) inexistência de avaliação de adequação de quadro de pessoal de TI;f) inexistência de controle de execução do orçamento de TI;g) inexistência de processo adequado de desenvolvimento de software;h) inexistência de processo de gerenciamento de projetos de TI;i) inexistência de processo de gestão de incidentes de TI;j) inexistência de processo de gestão de configuração de serviços de TI;k) inexistência de processo de gestão de mudanças;l) inexistência de gestor de segurança da informação;m) inexistência de comitê de segurança da informação;n) inexistência de política de segurança da informação;o) inexistência de equipe de tratamento e resposta a incidentes em redes computacionais;p) inexistência de classificação da informação;q) inexistência de inventário de ativos de informação;r) inexistência de processo de gestão de riscos de segurança da informação;s) ausência da área de gestão de TI no plano de capacitação;t) inexistência de avaliação de gestão de TI;u) ausência de apoio da auditoria interna na avaliação de TI;v) inexistência de controles que promovam o cumprimento da IN SLTI/MPOG 4/2008;w) descumprimento do processo de planejamento previsto na IN SLTI/MPOG 4/2008 na

celebração com o Serviço Federal de Processamento de Dados - Serpro do contrato 18/2009, destinadoà prestação de serviços continuados e especializados de TI;

x) falhas no contrato 17/2006, destinado à contratação de empresa especializada namanutenção de serviços de informática para execução de consultoria, desenvolvimento e manutençãode sistemas relacionados ao Formulário de Informações Periódicas para o Mercado Segurador e aoSistema de Armazenamento e Processamento de Informações e Estatísticas do Mercado Segurador:interposição de mão de obra e consequente pagamento não vinculado a resultado, ausência deelementos básicos na fundamentação dos objetivos da contratação, ausência de clausulas contratuaisrelativas à segurança da informação, ausência das áreas de negócio e administrativa na gestão docontrato, opção indevida por concorrência do tipo técnica e preço em detrimento do pregão, pareceresjurídicos deficientes e clausulas editalícias restritivas;

y) falhas no acima mencionado contrato 18/2009: ausência de elementos básicos defundamentação dos objetivos da contratação, clausulas contratuais insuficientes ou impróprias, nãodivisão do objeto apesar da viabilidade técnica e econômica, ausência das áreas de negócio eadministrativa na gestão do contrato, ausência de clausula de garantia contratual, ausência deestimativas de custos globais e unitários e pareceres jurídicos deficientes;

z) inexistência de controles que promovam regular gestão contratual.6. Além disso, foram detectadas irregularidades na gestão dos seguintes contratos:a) contrato 17/2006: impossibilidade de rastreamento de serviços executados e

desconformidade na aplicação de critérios de medição, designação intempestiva de fiscal, adoção deelemento de despesa em desacordo com o plano de contas da administração pública federal, nãomanutenção de todas as condições de habilitação e qualificação exigidas na licitação durante a


27 de 31 25/5/2011 13:01

execução do contrato e indícios de superfaturamento, ante o pagamento de salários inferiores aoscontratualmente previstos;

b) contrato 18/2009: qualidade de serviços incompatível com o contrato e indícios desuperfaturamento no valor do custo unitário da hora de consultoria.

7. No tocante às irregularidades há pouco descritas, a Secex/9, dada a imprescindibilidadedos serviços envolvidos, sugeriu a esta Corte determinar à Susep/MF a manutenção dos respectivoscontratos apenas até a conclusão de nova licitação. Além disso, formulou representação específicaacerca das ocorrência no contrato 17/2006 e deixou de fazer o mesmo com respeito ao contrato18/2009, ante a existência do processo TC 022.241/2010-8, no qual serão avaliados os contratosfirmados pelo Serpro com a administração pública federal. Desse modo, não há necessidade de outrasprovidências nesta oportunidade.

8. Com respeito às demais falhas acima apontadas, a unidade técnica apresentou umasérie de determinações, recomendações e alertas que contribuirão para o saneamento das ocorrênciase para o aperfeiçoamento da governança de TI da Susep/MF.

9. Assim, por considerar papel deste Tribunal a constante indução de melhoria da gestãoestatal e por estar integralmente de acordo com as medidas aventadas pela Secex/9 - especialmenteno tocante ao crucial tema da segurança da informação, que reputo essencial para adequadofuncionamento das organizações públicas e para defesa da intimidade dos cidadãos que com elasinteragem - acolho as manifestações daquela Secretaria e voto pela adoção da minuta de acórdão quetrago ao escrutínio deste colegiado.

Sala das Sessões, em 13 de outubro de 2010.AROLDO CEDRAZRelator

Acórdão

VISTOS, relatados e discutidos estes autos de relatório de auditoria realizada para avaliarcontroles gerais de tecnologia da informação na Susep/MF.

ACORDAM os Ministros do Tribunal de Contas da União, reunidos em sessão do Plenário,ante as razões expostas pelo relator e com base nos arts. 42, §1º, e 43, I, da Lei 8.443/1992, e nosarts. 245, §1º, e 250, inciso III, do Regimento Interno, em:

9.1. determinar à Susep que:9.1.1. elabore e aprove um Plano Diretor de Tecnologia da Informação - PDTI, com

observância das diretrizes constantes da IN SLTI/MPOG 04/2008, art. 4, III, e das práticas contidas noCobit 4.1, processo PO1 - Planejamento Estratégico de TI;

9.1.2. implante Comitê de Tecnologia da Informação que envolva as diversas áreas daSusep e que se responsabilize por alinhar os investimentos de tecnologia da informação com osobjetivos institucionais e por apoiar a priorização de projetos a serem implantados, em atenção à INSLTI/MPOG 04/2008, art. 4º, IV, e considerando diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico deTI e PO4.3 - Comitê diretor de TI;

9.1.3. implante controle da execução orçamentária, a fim de obter prontamenteinformações acerca de gastos e da disponibilidade de recursos de TI, em atenção à Lei 4.320/1964, art.75, inciso III;

9.1.4. defina processo de software previamente às futuras contratações de serviços dedesenvolvimento ou manutenção de software, com vinculação do contrato com o processo de software,sem o qual o objeto não estará precisamente definido, em atenção à Lei 8.666/1993, art. 6º, inc. IX, eà IN SLTI/MPOG 04/2008, art. 12, II;

9.1.5. institua Comitê de Segurança da Informação e Comunicações, com observância daNBR ISO/IEC 27.002, item 6.1.2 - Coordenação de segurança da informação, em atenção à IN GSI/PR01/2008, art. 5º, VI, e à Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3;

9.1.6. nomeie gestor de segurança da informação e comunicações, com observância daNBR ISO/IEC 27.002, item 6.1.3 - Atribuição de responsabilidade para segurança da informação, ematenção à IN GSI/PR 01/2008, art. 5º, IV, e art. 7º e à Norma Complementar 03/IN01/DSIC/GSIPR,item 5.3.7.2;

9.1.7. implante Política de Segurança da Informação e Comunicações, com observância daNorma Complementar 03/IN01/DSIC/GSIPR, em atenção à IN GSI/PR 01/2008, art. 5º, VII;

9.1.8 institua equipe de tratamento e resposta a incidentes em redes computacionais, comobservância da Norma Complementar 05/IN01/DSIC/GSIPR, em atenção à IN GSI/PR 01/2008, art. 5º,


28 de 31 25/5/2011 13:01

V;9.1.9. crie critérios de classificação das informações, a fim de que possam ter tratamento

diferenciado conforme seu grau de importância, criticidade e sensibilidade, com observância do item7.2 da NBR ISO/IEC 27.002, em atenção ao Decreto 4.553/2002, art. 6º, § 2º, inciso II, e art. 67;

9.1.10. estabeleça procedimento de inventário de ativos de informação, de maneira a quetodos os ativos de informação sejam inventariados e tenham um proprietário responsável, comobservância do item 7.1 da NBR ISO/IEC 27.002, em atenção à IN GSI/PR 01/2008, art. 5º, VII, e àNorma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1;

9.1.11. implemente processo de gestão de riscos de segurança da informação, ematenção à IN GSI/PR 01/2008, art. 5º, VII, e à Norma Complementar 04/IN01/DSIC/GSIPR;

9.1.12. planeje contratações de serviços de tecnologia da informação com uso do processoprevisto na IN SLTI/MPOG 04/2008, com observância da sequência lógico-temporal entre tarefas e ritosde aprovação dos artefatos produzidos ao longo do processo;

9.1.13. em razão das diversas irregularidades constatadas, prorrogue o contrato 17/2006apenas pelo prazo necessário à realização de licitação para nova contratação do respectivo objeto, comatenção para o fato de que o futuro contrato deve eliminar todos os itens de alerta consignados nopresente acórdão;

9.1.14. em razão das diversas irregularidades constatadas, prorrogue o contrato 18/2009apenas pelo prazo necessário à realização de licitação para nova contratação do respectivo objeto, comatenção para o fato de que eventual contratação do Serpro somente deve ser realizada desde que seuscustos unitários sejam justificados por meio de pesquisas de preços de mercado, de modo a assegurarque a contratação direta seja mais vantajosa para a administração, sem prejuízo de serem corrigidos,no futuro contrato, todos os itens de alerta estabelecidos no presente acórdão;

9.1.15. no prazo de 30 (trinta) dias, encaminhe plano de ação para implementação dasmedidas determinadas neste acórdão, com indicação, para cada determinação ou recomendação, doprazo e do responsável (nome, cargo e CPF) pelo desenvolvimento das ações;

9.2. recomendar à Susep/MF que:9.2.1. aperfeiçoe o processo de planejamento estratégico institucional, considerando o

critério de avaliação 2 da Gespública;9.2.2. elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de

TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidoresefetivos devidamente qualificados, com observância do Cobit 4.1, PO4.12 - Pessoal de TI, em atençãoao Decreto 5.707/2006, art. 1º, III;

9.2.3. considere as Normas NBR ISO/IEC 12.207 e 15.504 atuando do estabelecimento deseu processo de software;

9.2.4. implante estrutura formal de gerência de projetos, com observância do Cobit 4.1,processo PO10.2 - Estruturas de Gerência de Projetos e do PMBOK, dentre outras boas práticas demercado;

9.2.5. implante processo de gestão de incidentes de serviços de tecnologia da informação,à semelhança do Cobit 4.1, processo DS8 - Gerenciar a central de serviços e incidentes, e de outrasboas práticas de mercado, como a NBR ISO/IEC 20.000 e a NBR 27.002;

9.2.6. implante processo de gestão de configuração de serviços de tecnologia dainformação, à semelhança do Cobit 4.1, processo DS9 - Gerenciar configuração, e de outras boaspráticas de mercado, como a NBR ISO/IEC 20.000;

9.2.7. estabeleça procedimentos formais de gestão de mudanças, de acordo com o item12.5.1 da NBR ISO/IEC 17.799:2005, à semelhança das orientações contidas no Cobit 4.1, processo AI6- Gerenciar mudanças, e de outras boas práticas de mercado, como a NBR ISO/IEC 20.000;

9.2.8. contemple ações de capacitação em gestão de tecnologia da informação naelaboração do próximo plano anual de capacitação, com observância do Cobit 4.1, processos PO7.2 -Competências Pessoais e PO7.4 - Treinamento do Pessoal;

9.2.9. estabeleça processo de avaliação da gestão de TI, com observância do Cobit 4.1,itens ME1.4 - Avaliação de desempenho, ME1.5 Relatórios gerenciais, ME1.6 - Ações corretivas e ME2 -Monitorar e avaliar os controles internos;

9.2.10. promova ações para que a auditoria interna apoie a avaliação da TI, comobservância do Cobit 4.1, ME2 - Monitorar e avaliar os controles internos;

9.2.11. implante controles que promovam cumprimento do processo de planejamento


29 de 31 25/5/2011 13:01

previsto na IN SLTI/MPOG 04/2008;9.2.12. implemente controles que promovam regular gestão contratual e permitam

identificar se todas as obrigações do contratado foram cumpridas antes da atestação do serviço;9.3. alertar a Susep/MF quanto à:9.3.1. interposição de mão de obra e consequente pagamento não vinculado a resultados,

decorrentes do descumprimento dos arts. 3º e 4º, II, do Decreto 2.271/97; do art. 6º da IN SLTI/MPOG04/2008; do enunciado 331 do TST; do art. 37, II, da Constituição Federal; do item 9.3.1 do acórdão1.329/2007 - Plenário e dos itens 9.3.3 e 9.3.7 do acórdão 1.558/2003 - Plenário;

9.3.2. ausência de elementos básicos na fundamentação do objetivo da contratação,decorrente do descumprimento do Decreto-Lei 200/1967, art. 6º, I, do item 9.1.1 do acórdão1.558/2003 - Plenário, do item 9.3.11 do acórdão 2.094/2004 - Plenário e do item 9.1.9 do acórdão2.023/2005;

9.3.3. insuficiência de cláusulas contratuais, decorrente do descumprimento do item 6.2.3- "identificando segurança da informação nos acordos com terceiros" da NBR 27002 e do art. 12, II, daIN SLTI/MPOG 04/2008;

9.3.4. ausência das áreas de negócio e administrativa na gestão do contrato, decorrentedo descumprimento dos arts. 20, III, e 23 da IN SLTI/MPOG 04/2008 e do princípio da eficiênciainsculpido no art. 37 da Constituição Federal;

9.3.5. opção indevida por outra modalidade de licitação em detrimento do pregão,decorrente do descumprimento da Lei 10.520/2002, art. 1º; da Lei 8.248/1991, art. 3º, § 3º; doDecreto 3.555/2000, anexo II; do Decreto 5.450/2005, art. 4º, da acórdão 1.547/2004 - 1ª Câmara;

9.3.6. deficiências em pareceres jurídicos, decorrentes do descumprimento do art. 38, VI,e do parágrafo único da Lei 8.666/1993;

9.3.7. exigências editalícias restritivas ao caráter competitivo da licitação, decorrentes dodescumprimento do art. 3º, § 1º, I, da Lei 8.666/1993;

9.3.8. impertinência de cláusulas contratuais, decorrente do descumprimento do art. 40,XI, e do art. 87, III e IV, c/c o art. 55, VII, da Lei 8.666/1993;

9.3.9. não divisão de objeto licitado, apesar de presente viabilidade técnica e econômica,decorrente do descumprimento do art. 23, § 1º, da Lei 8.666/1993 e dos acórdãos do Plenário1.331/2003 e 2.471/2008;

9.3.10. ausência de cláusula de garantia contratual, decorrente do descumprimento doart. 55, VI, da Lei 8.666/1993;

9.3.11. ausência de estimativa de custos globais e unitários, decorrente dodescumprimento do art. 40, § 2º, inciso II, e do art. 43, inciso IV, da Lei 8.666/1993 e do item 9.1.14do acórdão1.382/2009 - Plenário;

9.3.12. falhas na contratação direta, decorrentes do descumprimento do art. 26, II e III,da Lei 8.666/1993;

9.3.13. ausência de detalhamento dos custos unitários de cada serviço constante doDemonstrativo de Formação de Preços da contratada, decorrente do descumprimento do art. 7º, § 2º,II, da Lei 8.666/1993;

9.3.14. impossibilidade de rastreamento de serviços executados e desconformidade naaplicação de critérios de medição, decorrente do descumprimento do art. 3º, § 1º, do Decreto2.271/1997 e dos acórdãos 786/2006, 1.330/2008 e 2.619/2008;

9.3.15. falha na designação formal de fiscal de contrato, decorrente do descumprimentodo art. 58, III, c/c o art. 67 da Lei 8.666/1993;

9.3.16. adoção de elemento de despesa desconforme com o Plano de Contas Aplicado aoSetor Público - Administração Pública Federal, decorrente do descumprimento da Portaria STN467/2009;

9.3.17. não manutenção, durante a execução do contrato, de todas as condições dehabilitação e qualificação exigidas na licitação, decorrente do descumprimento do art. 55, XIII, da Lei8.666/1993;

9.3.18. qualidade de serviços incompatível com o contrato avençado, decorrente dodescumprimento dos arts. 66 e 69 da Lei 8.666/1993;

9.4. encaminhar à Susep/MF cópia deste acórdão e do relatório e do voto que ofundamentaram

Quorum


30 de 31 25/5/2011 13:01

13.1. Ministros presentes: Benjamin Zymler (na Presidência), Valmir Campelo, AugustoNardes, Aroldo Cedraz (Relator), Raimundo Carreiro, José Jorge e José Múcio Monteiro.

13.2. Auditores presentes: Augusto Sherman Cavalcanti, Marcos Bemquerer Costa e AndréLuís de Carvalho

Publicação

Ata 38/2010 - PlenárioSessão 13/10/2010Dou 15/10/2010

Referências (HTML)

Documento(s):AC_2746_38_10_P.doc


31 de 31 25/5/2011 13:01

Technology

Acórdão tcu 2746 2010 - susep-mf - avaliação de controles de ti