27
Anterior | Próximo Pesquisa: Livre Em Formulário Quarta-feira, 25 de Maio de 2011. Pesquisa número: 3 Expressão de Pesquisa: "AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO" Bases pesquisadas: Acórdãos; Decisões; Relações; Atas Documento da base: Acórdão Documentos recuperados: 11 Documento mostrado: 11 Status na Coletânea: Não Selecionado Visualizar este documento no formato: Formato Padrão para Acórdãos Status do Documento na Coletânea: [Não Selecionado] Coletânea Voltar à lista de documentos Identificação Acórdão 866/2011 - Plenário Número Interno do Documento AC-0866-11/11-P Grupo/Classe/Colegiado GRUPO I / CLASSE V / Plenário Processo 009.982/2010-8 Natureza Relatório de Auditoria Entidade Entidade: Departamento Nacional de Infraestrutura de Transportes - Dnit Interessados Responsável: Luiz Antônio Pagot (CPF 435.102.567-00) Sumário RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES DE MELHORIA. DETERMINAÇÕES, RECOMENDAÇÕES E ALERTAS Assunto Relatório de Auditoria Ministro Relator AROLDO CEDRAZ Representante do Ministério Público não atuou Unidade Técnica Secretaria de Fiscalização de Desestatização - Sefti Advogado Constituído nos Autos TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11... 1 de 27 25/5/2011 13:14

Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

Embed Size (px)

DESCRIPTION

Entidade: Departamento Nacional de Infraestrutura de Transportes - Dnit RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES DE MELHORIA. DETERMINAÇÕES, RECOMENDAÇÕES E ALERTAS

Citation preview

Page 1: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

Anterior | Próximo

Pesquisa:

LivreEm Formulário

Quarta-feira, 25 de Maio de 2011.

Pesquisa número: 3Expressão de Pesquisa: "AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO"Bases pesquisadas: Acórdãos; Decisões; Relações; AtasDocumento da base: AcórdãoDocumentos recuperados: 11Documento mostrado: 11Status na Coletânea: Não Selecionado Visualizar este documento no formato: Formato Padrão para Acórdãos

Status do Documento na Coletânea: [Não Selecionado] Coletânea

Voltar à lista de documentos

Identificação

Acórdão 866/2011 - Plenário

Número Interno do Documento

AC-0866-11/11-P

Grupo/Classe/Colegiado

GRUPO I / CLASSE V / Plenário

Processo

009.982/2010-8

Natureza

Relatório de Auditoria

Entidade

Entidade: Departamento Nacional de Infraestrutura de Transportes - Dnit

Interessados

Responsável: Luiz Antônio Pagot (CPF 435.102.567-00)

Sumário

RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIADA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADESDE MELHORIA. DETERMINAÇÕES, RECOMENDAÇÕES E ALERTAS

Assunto

Relatório de Auditoria

Ministro Relator

AROLDO CEDRAZ

Representante do Ministério Público

não atuou

Unidade Técnica

Secretaria de Fiscalização de Desestatização - Sefti

Advogado Constituído nos Autos

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

1 de 27 25/5/2011 13:14

Page 2: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

não há

Relatório do Ministro Relator

A Secretaria de Fiscalização de Tecnologia da Informação - Sefti realizou auditoriano Departamento Nacional de Infraestrutura de Transportes, no período de 12/4 a 24/5/2010,com o objetivo de avaliar controles gerais de tecnologia da informação - TI e verificar se estãode acordo com a legislação pertinente e com as boas práticas de governança de TI.

2. As ocorrências detectadas foram apresentadas pela equipe de auditoria nosseguintes termos (fls. 189,v/201,v):

"2 - ACHADOS DE AUDITORIA2.1 - Inexistência do Plano Estratégico Institucional2.1.1 - Situação encontrada:O representante da entidade declarou que não executa processo de planejamento

estratégico e, por consequência, não existe Plano Estratégico Institucional.2.1.2 - Efeitos/Consequências do achado:a) ausência de referencial para verificar o alinhamento estratégico das ações da

área de TI com o negócio da instituição (efeito potencial);b) risco de a instituição não conseguir atuar de forma eficiente no alcance de seus

objetivos finalísticos (efeito potencial).2.1.3 - Critérios:a) Constituição Federal, art. 37, caput;b) Decreto-Lei 200/1967, art. 6º, inciso I; art. 7º2.1.4 - Evidências:a) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 1 do

Anexo I ao Ofício - Sefti 91/2010 (fl. 12);b) resposta ao item 2.1 do Questionário PerfilGovTI-2010 (fl. 6v).2.1.5 - Conclusão da equipe:A instituição não executa um processo de planejamento institucional e, por

consequência, não possui um Plano Estratégico Institucional.2.1.6 - Proposta de encaminhamento:Recomendar ao Departamento Nacional de Infraestrutura de Transportes que, em

atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), e noDecreto-Lei 200/1967, art. 6º, inciso I, e art. 7º, elabore um Plano Estratégico Institucional,considerando o previsto no critério de avaliação 2 do Gespública.

2.2 - Falhas no processo de planejamento de TI2.2.1 - Situação encontrada:O representante da entidade declarou que não executa processo de planejamento

estratégico de TI, embora tenha apresentado o PDTI elaborado pela unidade (arquivos"PDTI_parte 1.pdf" e "PDTI_parte 2_Quadro.pdf", do CD à fl. 19).

O PDTI menciona a participação de outras áreas de negócio na sua elaboração,mas não se evidenciou o desdobramento (planos de ação de curto e médio prazosestabelecidos) pelas unidades executoras e alinhados com as iniciativas estratégicas do PDTI,bem como evidências de que o PDTI é avaliado.

2.2.2 - Efeito/Consequência do achado:a) risco de as ações de TI não estarem alinhadas ao negócio (efeito potencial).2.2.3 - Critério:b) Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI.2.2.4 - Evidências:a) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 2 do

Anexo I ao Ofício - Sefti 91/2010 (fl. 12);b) resposta ao item 2.2 do Questionário PerfilGovTI-2010 (fl. 6v).2.2.5 - Conclusão da equipe:Como o órgão apresentou um PDTI, entende-se que há um processo de

planejamento de TI que, por outro lado, apresenta falhas, visto que não foram evidenciados oalinhamento dos planos de ação com as iniciativas estratégicas nem a avaliação do PDTI.

2.2.6 - Proposta de encaminhamento:Recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência,

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

2 de 27 25/5/2011 13:14

Page 3: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

aperfeiçoe o processo de planejamento de Planejamento Estratégico de TI, observando aspráticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI.

2.3 - Inexistência de comitê de TI2.3.1 - Situação encontrada:O representante da entidade declarou que a alta Administração não designou

formalmente um comitê de TI para auxiliá-la nas decisões relativas à gestão e ao usocorporativos de TI.

2.3.2 - Efeitos/Consequências do achado:a) sobreposição de ações de TI por parte das áreas de negócio que integrariam o

comitê de TI (efeito potencial);b) priorização inadequada das ações de TI devido à ausência da participação das

áreas de negócio da instituição (efeito potencial).2.3.3 - Critérios:a) Constituição Federal, art. 37, caput;b) IN - SLTI/MP 4/2008, art. 4º, inciso IV;c) Norma Técnica - ITGI - Cobit 4.1, PO4.3 - Comitê diretor de TI;d) Norma Técnica - ITGI - Cobit 4.1, PO4.2 - Comitê estratégico de TI;2.3.4 - Evidências:a) resposta ao item 1.1 do Questionário PerfilGovTI-2010 (fl. 6);b) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 3.1 do

Anexo I ao Ofício - Sefti 91/2010 (fl. 12).2.3.5 - Conclusão da equipe:A alta administração da instituição não designou formalmente um Comitê de TI

para auxiliá-la nas decisões relativas à gestão e ao uso corporativos de TI.2.3.6 - Proposta de encaminhamento:Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Dnit que, em atenção ao

disposto na IN - SLTI/MP 4/2008, art. 4º, IV, implante Comitê de Tecnologia da Informação queenvolva as diversas áreas da Autarquia, que se responsabilize por alinhar os investimentos deTecnologia da Informação com os objetivos institucionais e apoiar a priorização de projetos aserem implantados, considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégicode TI e PO4.3 - Comitê diretor de TI.

2.4 - Inexistência de avaliação do quadro de pessoal de TI2.4.1 - Situação encontrada:A partir da análise da resposta ao item 3.6 do Ofício - TCU/Sefti 91/2001, foi

solicitada uma entrevista com a CGMI, em que se questionou de que maneira a CGMIacompanha a adequabilidade da estrutura de TI do órgão. O coordenador-geral deModernização e Informática afirmou que, embora haja grande insuficiência de profissionais deTI em sua instituição, não há estudos que embasem essa conclusão. Informou que a Autarquiatem perdido profissionais de TI, que frequentemente são aprovados em concursos públicos emoutros órgãos e se desligam do Dnit. Por último, reiterou que, para que a CGMI consiga seresponsabilizar por fornecer serviços de TI ao Dnit, é necessário que exista, além de umainfraestrutura física, de hardware e de software, uma política de pessoal de TI que estabeleçauma carreira própria com remuneração compatível com o mercado e com as atribuições, demodo a tentar mitigar os riscos atuais de turnover dos profissionais recém-empossados.

O Diretor de Administração Financeira informou também, no âmbito de umaentrevista, que a Autarquia tem recebido alguns profissionais de TI que foram demitidos àépoca do Plano Collor e que foram reintegrados ao serviço público. O gestor comentou que,embora de muita utilidade para o órgão, esses servidores necessitam ser treinados em novastecnologias de modo a terem suas competências atualizadas com as necessidades de mercado.

2.4.2 - Efeitos/Consequências do achado:a) dependência do serviço de empresas terceirizadas (efeito potencial);b) recursos humanos de TI insuficientes para atender às necessidades do negócio

(efeito potencial);c) falta de competências apropriadas na área de TI (efeito potencial).2.4.3 - Critérios:a) Decreto 5.707/2006, art. 1º, inciso III;b) Norma Técnica - ITGI - Cobit 4.1, PO4.12 - Pessoal de TI.

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

3 de 27 25/5/2011 13:14

Page 4: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

2.4.4 - Evidências:Resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 3.6 do

Anexo I ao Ofício - Sefti 91/2010 (fl. 12).2.4.5 - Conclusão da equipe:Embora possa haver deficiência no quadro de servidores para a CGMI do Dnit, não

há na Autarquia estudos quantitativos e qualitativos que comprovem que a estrutura de pessoalda CGMI do Dnit é insuficiente.

2.4.6 - Proposta de encaminhamento:Recomendar ao Dnit que, em atenção ao disposto na Constituição Federal, art. 37,

caput (princípio da eficiência), e ao Decreto 5.707/2006, art. 1º, inciso III, elabore estudotécnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas afundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivosdevidamente qualificados, objetivando o melhor atendimento das necessidades institucionais,observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI.

2.5 - Inexistência de processo de software2.5.1 - Situação encontrada:O representante da entidade declarou que não existe processo de software.2.5.2 - Efeitos/Consequências do achado:a) deficiência no processo de contratação, decorrente da inexistência de

metodologia que assegure boa contratação de desenvolvimento de sistemas (efeito potencial);b) inexistência de parâmetros de aferição de qualidade para contratação de

desenvolvimento de sistemas (efeito potencial).2.5.3 - Critérios:a) IN - SLTI/MP 4/2008, art. 12, inciso II;b) Lei 8.666/1993, art. 6º, inciso IX;c) Norma Técnica - ITGI - Cobit 4.1, PO8.3 - Padrões de desenvolvimento e de

aquisições.2.5.4 - Evidências:a) resposta ao item 7.3 do Questionário PerfilGovTI-2010 (fl. 7-v);b) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 5 do

Anexo I ao Ofício - Sefti 91/2010 (fl. 12).2.5.5 - Conclusão da equipe:A instituição não possui um processo de software que dê suporte ao

desenvolvimento e à aquisição de produtos de software por parte da Autarquia.2.5.6 - Propostas de encaminhamento:a) determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Dnit que, em atenção

ao disposto na Lei 8.666/1993, art. 6º, inc. IX, e às disposições contidas na IN - SLTI/MP4/2008, art. 12, II, defina um processo de software previamente às futuras contratações deserviços de desenvolvimento ou manutenção de software, vinculando o contrato com oprocesso de software, sem o qual o objeto não estará precisamente definido;

b) recomendar ao Dnit que, quando do estabelecimento de seu processo desoftware, considere as Normas NBR ISO/IEC 12207 e 15504.

2.6 - Inexistência de processo de gerenciamento de projetos.2.6.1 - Situação encontrada:O representante da entidade declarou que não pratica o gerenciamento de

projetos.2.6.2 - Efeito/Consequência do achado:a) risco de insucesso de projetos relevantes, pela falta de estrutura de gestão de

projetos (efeito potencial).2.6.3 - Critério:a) Norma Técnica - ITGI - Cobit 4.1, PO10.2 - Estrutura de gerência de projetos.2.6.4 - Evidências:a) resposta ao item 7.4 do Questionário PerfilGovTI-2010 (fl. 7);b) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 6 do

Anexo I ao Ofício - Sefti 91/2010 (fl. 12).2.6.5 - Conclusão da equipe:a) a instituição não pratica o gerenciamento de projetos.

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

4 de 27 25/5/2011 13:14

Page 5: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

2.6.6 - Proposta de encaminhamento:Recomendar ao Dnit que implante uma estrutura formal de gerência de projetos,

observando as orientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência deProjetos e do PmBok, dentre outras boas práticas de mercado.

2.7 - Inexistência do processo de gestão de incidentes2.7.1 - Situação encontrada:O representante da entidade declarou que não implementou processo de gestão

de incidentes.2.7.2 - Efeitos/Consequências do achado:a) ocorrência de incidentes sem o devido gerenciamento (efeito potencial);b) paralisação dos serviços de TI (efeito potencial);c) paralisação das atividades da organização (efeito potencial).2.7.3 - Critérios:a) Constituição Federal, art. 37, caput;b) Norma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar a central de serviços e

incidentes.2.7.4 - Evidências:a) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 7 do

Anexo I ao Ofício - Sefti 91/2010 (fl. 12);b) resposta ao item 7.6 do Questionário PerfilGovTI-2010 (fl. 8).2.7.5 - Conclusão da equipe:A instituição não implementou um processo de gestão de incidentes, referente a

serviços de TI.2.7.6 - Proposta de encaminhamento:Recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência,

implemente processo de gestão de incidentes de serviços de tecnologia da informação, àsemelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a Central deServiços e Incidentes e de outras boas práticas de mercado (como a NBR 20.000 e a NBR27.002).

2.8 - Inexistência do processo de gestão de configuração2.8.1 - Situação encontrada:O representante da entidade declarou que não implementou processo de gestão

de configuração.2.8.2 - Efeito/Consequência do achado:a) desatualização ou deficiência da configuração de TI (efeito potencial).2.8.3 - Critério:a) Norma Técnica - ITGI - Cobit 4.1, DS9 - Gerenciar Configurações.2.8.4 - Evidências:a) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 7 do

Anexo I ao Ofício - Sefti 91/2010 (fl. 12);b) resposta ao item 7.6 do Questionário PerfilGovTI-2010 (fl. 8).2.8.5 - Conclusão da equipe:A instituição não implementou um processo de gestão da configuração, referente a

serviços de TI.2.8.6 - Proposta de encaminhamento:Recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência,

implemente processo de gestão de configuração de serviços de tecnologia da informação, àsemelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração.

2.9 - Inexistência do processo de gestão de mudanças2.9.1 - Situação encontrada:O representante da entidade declarou que não implementou processo de gestão

de mudanças.2.9.2 - Efeitos/Consequências do achado:a) não avaliação do impacto de eventuais mudanças (efeito potencial);b) solicitações de mudanças não controladas (efeito potencial).2.9.3 - Critérios:a) Norma Técnica - ITGI - Cobit 4.1, AI6 - Gerenciar mudanças;

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

5 de 27 25/5/2011 13:14

Page 6: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

b) Norma Técnica - NBR - ISO/IEC 27002, 12.5.1 - Procedimentos para controle demudanças.

2.9.4 - Evidências:a) resposta do Dnit (Ofício - AUDINT/Dnit 185/2010) ao questionamento 7 do

Anexo I ao Ofício - Sefti 91/2010 (fl. 12);b) resposta ao item 7.6 do Questionário PerfilGovTI-2010 (fl. 8).2.9.5 - Conclusão da equipe:A instituição não executa um processo de gestão de mudanças e, em decorrência,

não constituiu comitê técnico de gestão de mudanças.2.9.6 - Proposta de encaminhamento:Recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência,

estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto no item12.5.1 da NBR ISO/IEC 27002, à semelhança das orientações contidas no Cobit 4.1, processoAI6 - Gerenciar mudanças.

2.10 - Inexistência de Comitê de Segurança da Informação e Comunicações2.10.1 - Situação encontrada:O representante da entidade declarou, em resposta ao Ofício de Requisição

05-472/2010 (fl. 176), que não instituiu Comitê de Segurança da Informação e Comunicações(fl. 178).

2.10.2 - Efeito/Consequência do achado:a) não otimização das ações de segurança da informação (efeito potencial).2.10.3 - Critérios:a) IN - GSI/PR 1/2008, art. 5º, inciso VI;b) Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3;c) Norma Técnica - NBR - ISO/IEC 27002, item 6.1.2 - Coordenação de segurança

da informação.2.10.4 - Evidências:a) Memorando - CGMI/DAF 314/2010 (fls. 177-178).2.10.5 - Conclusão da equipe:Não há Comitê de Segurança da Informação e Comunicações instituído no Dnit.2.10.6 - Proposta de encaminhamento:Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Dnit que, em atenção ao

disposto na IN - GSI/PR 1/2008, art. 5º, VI c/c Norma Complementar 03/IN01/DSIC/GSIPR,item 5.3.7.3, institua Comitê de Segurança da Informação e Comunicações, observando aspráticas contidas na NBR ISO/IEC 27002, item 6.1.2 - Coordenação de segurança dainformação.

2.11 - Inexistência de Gestor de Segurança da Informação e Comunicações2.11.1 - Situação encontrada:O representante da entidade declarou, em resposta ao Ofício de Requisição

05-472/2010 (fl. 176), que não indicou gestor de Segurança da Informação e Comunicações (fl.178).

2.11.2 - Efeito/Consequência do achado:a) não otimização das ações de segurança da informação (efeito potencial).2.11.3 - Critérios:b) IN - GSI/PR 1/2008, art. 5º, inciso IV; art. 7º;c) Norma Complementar 03/IN01/DSIC/GSIPR 3, item 5.3.7.2;d) Norma Técnica - NBR - ISO/IEC 27002, 6.1.3 - Atribuição de responsabilidade

para segurança da informação.2.11.4 - Evidências:a) Memorando - CGMI/DAF 314/2010 (fls. 177-178).2.11.5 - Conclusão da equipe:Não há nomeação de gestor de Segurança da Informação e Comunicações no Dnit.2.11.6 - Proposta de encaminhamento:Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Dnit que, em atenção ao

disposto na IN - GSI/PR 1/2008, art. 5º, IV e art. 7º, c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie gestor de Segurança da Informação e Comunicações,observando as práticas contidas na NBR ISO/IEC 27002, item 6.1.3 - Atribuição de

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

6 de 27 25/5/2011 13:14

Page 7: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

responsabilidade para segurança da informação.2.12 - Inexistência de equipe de tratamento e resposta a incidentes em redes

computacionais (ETRI).2.12.1 - Situação encontrada:O representante da entidade declarou, em resposta ao Ofício de Requisição

05-472/2010 (fl. 176), que não instituiu equipe de tratamento e resposta a incidentes em redescomputacionais (fl. 178).

2.12.2 - Efeito/Consequência do achado:a) falhas relativas às notificações e às atividades relacionadas a incidentes de

segurança em redes de computadores (efeito potencial).2.12.3 - Critérios:a) IN - GSI/PR 1/2008, art. 5º, inciso V;b) Norma Complementar 05/IN01/DSIC/GSIPR;2.12.4 - Evidência:a) Memorando - CGMI/DAF 314/2010 (fls. 177-178).2.12.5 - Conclusão da equipe:Não há equipe de tratamento e resposta a incidentes em redes computacionais

(ETRI) instituída no Dnit.2.12.6 - Proposta de encaminhamento:Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Dnit que, em atenção ao

disposto na IN - GSI/PR 1/2008, art. 5º, V, institua equipe de tratamento e resposta aincidentes em redes computacionais, observando as práticas contidas na Norma Complementar05/IN01/DSIC/GSIPR.

2.13 - Inexistência de classificação da informação2.13.1 - Situação encontrada:O representante da instituição declarou que não implementou formalmente

processo corporativo de segurança da informação destinado a classificar a informação para onegócio.

2.13.2 - Efeito/Consequência do achado:a) risco de divulgação indevida de informação restrita (efeito potencial).2.13.3 - Critérios:a) Decreto 4.553/2002, art. 6º, § 2º, inciso I; art. 6º, § 2º, inciso II; art. 67;b) Norma Técnica - NBR - ISO/IEC 27002, item 7.2 - Classificação da informação.2.13.4 - Evidência:a) resposta ao item 7.1 do Questionário PerfilGovTI-2010 (fl. 7-v).2.13.5 - Conclusão da equipe:Não existe procedimento institucional de classificação da informação.Os ativos de informação precisam ser inventariados e classificados a fim de que

sejam medidos os graus de importância, a prioridade, a criticidade e sensibilidade e, emconsequência, possam receber o nível adequado de proteção, considerando, inclusive, anecessidade de conceder nível adicional de proteção ou tratamento especial. Os diferentesníveis de proteção exigirão diferentes procedimentos de tratamento dos ativos, quanto aosaspectos de cópia, armazenamento, retenção, transmissão e transporte, descarte e divulgação,conforme a NBR ISO/IEC 27002, item 7.

2.13.6 - Proposta de encaminhamento:Determinar, com fulcro no art. 43, I, da Lei 8.443/1992, ao Dnit que, em atenção

ao disposto no Decreto 4.553/2002, art. 6º, § 2º, inciso II, e art. 67, estabeleça critérios declassificação das informações a fim de que possam ter tratamento diferenciado conforme seugrau de importância, criticidade e sensibilidade, observando o disposto pelo item 7.2 da NBRISO/IEC 27002.

2.14 - Inexistência de inventário dos ativos de informação2.14.1 - Situação encontrada:O representante da entidade declarou que não implementou formalmente o

processo de segurança da informação destinado a inventariar todos os ativos de informação(e.g.: dados, hardware, software e instalações).

2.14.2 - Efeito/Consequência do achado:a) dificuldade de recuperação de ativo de informação (efeito potencial).

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

7 de 27 25/5/2011 13:14

Page 8: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

2.14.3 - Critério:a) Norma Técnica - NBR - ISO/IEC 27002, item 7.1.1 - Inventário de ativos.2.14.4 - Evidência:a) resposta ao item 7.1 do Questionário PerfilGovTI-2010 (fl. 7v).2.14.5 - Conclusão da equipe:A instituição não executa procedimentos de inventário de ativos de informação.2.14.6 - Proposta de encaminhamento:Determinar ao Dnit que, em atenção ao disposto na Norma Complementar 04/IN

01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação,de maneira que todos os ativos de informação sejam inventariados e tenham um proprietárioresponsável, observando as práticas contidas no item 7.1.1 da NBR ISO/IEC 27002.

2.15 - Inexistência de processo de gestão de riscos de segurança da informação(GRSIC)

2.15.1 - Situação encontrada:O representante da entidade declarou que não analisa os riscos aos quais a

informação crítica para o negócio está submetida, considerando, pelo menos, confidencialidade,integridade e disponibilidade.

2.15.2 - Efeito/Consequência do achado:a) desconhecimento das ameaças e dos respectivos impactos relacionados à

segurança da informação (efeito potencial).2.15.3 - Critérios:a) IN - GSI/PR 1/2008, art. 5º, inciso VII;b) Norma Complementar 04/IN01/DSIC/GSIPR.2.15.4 - Evidência:a) resposta ao item 7.1 do Questionário PerfilGovTI-2010 (fl. 7-v).2.15.5 - Conclusão da equipe:A instituição não executa procedimentos de gestão de riscos da informação, não

tendo implementado, portanto, um processo de gestão de riscos de segurança da informação(GRSIC).

2.15.6 - Proposta de encaminhamento:Determinar ao Dnit que, em atenção ao disposto na Instrução Normativa - GSI/PR

1/2008, art. 5º, VII, implemente processo de gestão de riscos de segurança da informação,observando as práticas contidas na Norma Complementar 04/IN01/DSIC/GSIPR.

2.16 - Inexistência de plano anual de capacitação2.16.1 - Situação encontrada:O representante da entidade declarou que não há plano anual de capacitação.2.16.2 - Efeito/Consequência do achado:a) desatualização do quadro de pessoal da área de Tecnologia da Informação

(efeito potencial).2.16.3 - Critérios:a) Decreto 5.707/2006, art. 5º, § 2º;b) Norma Técnica - ITGI - Cobit 4.1, PO7.2 - Competências Pessoais;c) Norma Técnica - ITGI - Cobit 4.1, PO7.4 - Treinamento do Pessoal;d) Portaria MP nº 208/2006, art. 2º, I e art. 4º2.16.4 - Evidência:a) resposta ao item 6.3 do Questionário PerfilGovTI-2010 (fl. 7v).2.16.5 - Conclusão da equipe:Não há plano anual de capacitação e em consequência não há plano institucional

de capacitação que contemple a área de gestão de TI.2.16.6 - Proposta de encaminhamento:Determinar ao Dnit que, em atenção às disposições contidas no Decreto nº

5.707/2006, art. 5º, 2º, c/c Portaria MP nº 208/2006, art. 2º, I e art. 4º, elabore Plano Anualde Capacitação para a instituição.

Recomendar ao Dnit que, quando elaborar o Plano Anual de Capacitação,contemple ações de capacitação voltadas para a gestão de tecnologia da informação,observando as práticas contidas no Cobit 4.1, processos PO7.2 - Competências Pessoais ePO7.4 - Treinamento do Pessoal.

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

8 de 27 25/5/2011 13:14

Page 9: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

2.17 - Inexistência de avaliação da gestão de TI2.17.1 - Situação encontrada:O representante da entidade declarou que não estabeleceu objetivos de

desempenho de gestão e uso de TI na Autarquia, e também que não estabeleceu indicadoresde desempenho de gestão e uso corporativos de TI.

2.17.2 - Efeitos/Consequências do achado:a) impossibilidade de verificação de possibilidades de melhoria (efeito potencial);b) decisões gerenciais baseadas em informações incompletas ou errôneas (efeito

potencial);c) problemas não identificados nos serviços de TI (efeito potencial).2.17.3 - Critérios:a) Norma Técnica - ITGI - Cobit 4.1, ME1.5 - Relatórios gerenciais;b) Norma Técnica - ITGI - Cobit 4.1, ME1.4 - Avaliar o desempenho;c) Norma Técnica - ITGI - Cobit 4.1, ME1.6 - Ações corretivas.2.17.4 - Evidências:a) resposta do Dnit, contida no Ofício - 2010/AUDINT/Dnit 185 (fl. 12) ao

questionamento 9 do Anexo I ao Ofício - Sefti 91/2010 (fl. 22);b) resposta ao item 1.2 do Questionário PerfilGovTI-2010 (fl. 8).2.17.5 - Conclusão da equipe:O órgão não estabeleceu objetivos de desempenho de gestão e uso de TI na

Autarquia, o que o impossibilita de avaliar o desempenho de TI, e não possui indicadores dedesempenho de gestão e uso corporativos de TI, configurando a inexistência de avaliação dagestão de TI.

2.17.6 - Proposta de encaminhamento:Recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência,

estabeleça um processo de avaliação da gestão de TI, observando as orientações contidas noCobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 - Relatórios gerenciais, ME1.6 - Açõescorretivas e ME2 - Monitorar e avaliar os controles internos.

2.18 - Auditoria interna não apoia avaliação da TI2.18.1 - Situação encontrada:A autarquia declarou não ter realizado auditoria de TI por iniciativa da própria

instituição nos últimos 3 anos.2.18.2 - Efeito/Consequência do achado:a) deficiências na governança de TI, gestão de riscos e nos controles internos

(efeito real, como evidenciado nos achados da auditoria).2.18.3 - Critério:a) Norma Técnica - ITGI - Cobit 4.1, E2 - Monitorar e avaliar os controles internos.2.18.4 - Evidências:a) resposta do Dnit, contida no Ofício - AUDINT/Dnit 185/2010 (fl. 12), ao

questionamento 9 do Anexo I ao Ofício - Sefti 91/2010 (fl. 22).b) resposta ao item 1.4 do Questionário PerfilGovTI-2010 (fl. 6-v).2.18.5 - Conclusão da equipe:A Autarquia não realizou auditoria de TI por iniciativa própria nos últimos três

anos.2.18.6 - Proposta de encaminhamento:Recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência,

promova ações para que a auditoria interna apoie a avaliação da TI, observando as orientaçõescontidas no Cobit 4.1, ME2 - Monitorar e avaliar os controles internos.

2.19 - Inexistência dos estudos técnicos preliminares2.19.1 - Situação encontrada:O projeto básico que resultou no Contrato 265/2006-00, o qual contempla serviços

de tecnologia da informação a serem prestados pelo Serpro, contém somente justificativas paraa contratação do Serpro realizada em contratação anterior (de 2004). Na ocasião, o Dnit saiude uma situação em que um conjunto de empresas terceirizadas prestava os serviços de TI (até2004), e contratou o Serpro para atender a todas as necessidades da entidade. Em 2006, o Dnitcontratou novamente o Serpro por dispensa de licitação, apresentando as mesmas justificativaspara a contratação anterior, de 2004 (item 2, p. 11, do arquivo "Contrato Dnit - SERPRO

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

9 de 27 25/5/2011 13:14

Page 10: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

265-2006.pdf", constante do CD à fl. 19).Assim, não há referência direta à justificativa da necessidade dos serviços para a

contratação de 2006, embora tenham sido citados, no processo de contratação, alguns pontos,como impossibilidade de a estrutura de TI do Dnit absorver as necessidades da área ediminuição do risco relativo à continuidade da prestação dos serviços com a manutenção docontrato com o Serpro.

Com relação ao dimensionamento dos serviços, verificou-se a existência deconflitos na definição da quantidade de serviços contratada (contrato assinado pela DAF) e aquantidade sugerida pelos técnicos da CGMI, para o caso das horas de consultoria (CGMIsugeriu 1.000 horas, e o contrato foi assinado com 2.394 horas, conforme fl. 70).

Ademais, não há no processo memória de cálculo que justifique a quantidade deserviço a ser contratada. Os serviços contratados foram (fl. 75):

a) consultoria técnica - projeto básico de redes locais (2.394 h);b) desenvolvimento de sistemas (5.376 homens-dia);c) manutenção de sistemas (2.600 homens-dia);d) gestão de serviços - infovia (doze meses);e) produção em TIC - plataforma alta (doze meses);f) produção em TIC - plataforma baixa (doze meses);g) gestão de rede de longa distância (doze meses);h) administração de ambiente de TIC (1.233 estações de trabalho).Não consta do processo uma demonstração direta dos resultados a serem

alcançados com a contratação, em termos de economicidade e melhor aproveitamento derecursos, embora haja excertos que tratem dos benefícios advindos da contratação com oSerpro.

2.19.2 -Consequências do achado:a) risco da ocorrência de aquisições ou contratações que não atendam à

necessidade da entidade (efeito potencial).b) falhas no termo de referência ou projeto básico (efeito real, como relatado no

achado "Irregularidades na contratação").2.19.3 - Critério:a) Lei 8.666/1993, art. 6º, inciso IX.2.19.4 - Evidências:item 2, p. 11, do arquivo "Contrato Dnit - SERPRO 265-2006.pdf", constante do

CD à fl. 19.2.19.5 - Conclusão da equipe:Embora o processo mencione alguns elementos que se relacionam com a

necessidade de prestação de serviços de TI, não constam, do processo de contratação ou doprojeto básico, referência direta à justificativa da necessidade dos serviços, elemento essencialpara a fundamentação da contratação. Não constam também justificativas quanto à quantidadede serviço a ser contratada nem uma demonstração direta dos resultados a serem alcançadoscom a contratação, em termos de economicidade e melhor aproveitamento de recursos.

A elaboração do projeto básico deveria ter sido baseada em estudos técnicospreliminares, conforme preconiza a Lei 8.666/1993, em seu art. 6º, inciso IX. Os estudostécnicos preliminares devem trazer elementos que evidenciem viabilidade técnica e possibilitema avaliação do custo contratual, dentre outros.

Como o conteúdo esperado dos estudos técnicos preliminares estão previstos naetapa de Análise da Viabilidade da Contratação, definida pelo art. 10 da IN - SLTI/MP 4/2008,opta-se pelo encaminhamento de recomendar que o Dnit estabeleça controles que garantam aprodução dos artefatos previstos na referida instrução normativa, no âmbito de seus processosde contratação de serviços de TI, já que não foi possível testar os referidos controles, pois acontratação dos serviços de TI foi feita anteriormente à homologação da multicidada instruçãonormativa.

2.19.6 - Propostas de encaminhamento:a) recomendar ao Dnit que, em atenção ao princípio constitucional da eficiência,

implemente controles que promovam o cumprimento do processo de planejamento previsto naIN - MP/SLTI 4/2008;

b) alertar o Dnit quanto à ausência de estudos técnicos preliminares no processo

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

10 de 27 25/5/2011 13:14

Page 11: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

referente ao Contrato 265/2006-00, decorrente do descumprimento do inciso IX, art. 6º, da Lei8.666/1993.

2.20 - Irregularidades na contratação2.20.1 - Situação encontrada:Foram realizados testes substantivos no Contrato 265/2006-00, com o objetivo de

avaliar a aderência do procedimento licitatório adotado com a legislação, e constatadasimpropriedades a seguir.

a) Não divisibilidade do objeto, estando presentes a viabilidade técnica eeconômica.

Inicialmente, observa-se que a CGMI do Dnit considerou que os serviços presentesno objeto do contrato são divisíveis, quando aconselhou a contratação do desenvolvimento desistemas por meio de empresas do mercado, a preços menores, conforme parecer emitidoantes da contratação (fls. 70-72).

O fato de as métricas utilizadas para cada um dos serviços contratados seremdiferentes demonstra cabalmente que os trabalhos a serem executados também têm naturezadistinta.

Além disso, não consta dos autos informação que justifique a inviabilidade técnicae econômica de subdividir o objeto, conforme requer o art. 23, §§1º e 2º da Lei 8.666/1993.

b) Análise de mercado insuficiente.O Serpro apresentou valores globais das propostas que variaram entre

aproximadamente R$ 40,4 milhões em agosto de 2006 (fl. 68) e R$ 34,6 milhões em setembrode 2006 (fl. 73) para o mesmo objeto, expondo uma diferença de 15% entre as cotações. Ovalor contratado foi de R$ 31,9 milhões (fl. 75), com alteração na quantidade dos serviçosprevistos nas propostas comerciais anteriores.

Para a maior parte dos serviços que compõem o objeto, a proposta comercial dacontratada é a única fonte considerada para a estimativa de preços, exceção feita aos serviçosde desenvolvimento de sistemas, administração da rede e rede de longa distância, estimadospela CGMI e cuja fonte não consta dos autos. Em todos os casos, os valores obtidos porpesquisa de preços efetuada pela CGMI diferem consideravelmente daqueles presentes naspropostas comerciais do Serpro e do próprio valor contratado (fls. 70-72, fl. 77).

Não constam do processo informações sobre a estimativa de preços para todos osserviços contratados, na forma que preconiza o item 9.1.6 do Acórdão 2.471/2008-Plenário.

c) Forma de pagamento prevista em contrato não vinculada a resultados obtidos.Existem três serviços contratados que utilizaram métricas cuja sistemática de

mensuração não está associada ao resultado esperado (desenvolvimento e manutenção desistemas, que utiliza o indicador de homens/dia; e administração de ambiente de TIC, medidopor quantidade de estações de trabalho), conforme informação presente na Cláusula Sétima eAnexo I, ambos do Contrato 265/2006-00, disponibilizado em arquivo digital pelo Dnit (p. 4 e 9do arquivo "Contrato Dnit - SERPRO 265-2006.pdf", contido no CD à fl. 19).

No caso, por exemplo, do serviço de desenvolvimento de sistemas, a propostacomercial do Serpro prevê que a unidade de medida será o homem/dia. Contudo, não háprocedimento de estimativa do volume de serviços demandados, para fins de comparação econtrole, ou seja, não está descrito como será estimada e medida a quantidade de homens/diapara cada serviço prestado. Em decorrência, o processo não traz um comparativo entre aquantidade de homens/dia previsto e a correspondente comparação com a quantidadeefetivamente utilizada nos serviços.

Já para o serviço de administração de ambientes de TIC, a proposta comercial doSerpro prevê que a unidade de medida será a quantidade de estações de trabalho dacontratante, mas não há níveis de serviço vinculados ao serviço.

O documento "Ateste de Prestação de Serviços" (fl. 49), constante do processo depagamento 50600.012089/2007-41, contém o relatório de atividades relativo ao mês denovembro de 2007 (fls. 50-52), para serviços de desenvolvimento e manutenção de sistemas.O relatório contém a quantidade de horas de trabalho para cada sistema, totalizando paraaquele mês 587,27 homens/dia (o número fracionário decorre da apropriação em horas detrabalho). Não há, porém, qualquer referência à memória de cálculo ou a comparativos entreas quantidades estimadas e as efetivamente prestadas, ou ainda definição de variáveisobjetivas que permitissem checar o grau de conformidade com as especificações inicialmente

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

11 de 27 25/5/2011 13:14

Page 12: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

estabelecidas.Outro relatório de atividades (fls. 55-56), de dezembro de 2007, constante do

Processo de Pagamento 50600.012099/0786, referente a serviços de desenvolvimento desistemas, limita-se a listar as atividades de levantamento e modelagem de requisitos edesenvolvimento (como manter rodovias, manter cadastro de hidrovias, aprovar mediçãoetc.), sem apresentar qualquer outro dado relacionado a cada atividade. Ao final o relatórioapresenta a quantidade de horas totais utilizadas para todos os serviços (307,58 homens/dia).

O relatório de atividades do ateste do mês de dezembro de 2009 (fl. 58), relativoaos serviços de administração de ambientes de TIC, relata que "o preço do Serpro para estesserviços é composto com base no volume de estações e serviços disponíveis em cada redelocal". A planilha anexa a este relatório (fl. 59) demonstra que o cálculo do preço do serviço (nocaso, para o mês de dezembro/2009) é unicamente em função da quantidade de estações porsuperintendência, não havendo qualquer menção a níveis de serviço solicitados e atendidos. Nocaso da Sede, para o referido mês, foram cobrados 215,00 X 1.152 estações, totalizando247.680,00. Como a fatura correspondeu a vinte dias, foram cobrados dois terços deste valor,ou seja, R$ 165.120,00.

d) Não definição objetiva das penalidades e fórmula de cálculo dos valorescorrespondentes a serem aplicados a cada caso.

O Contrato 265/2006-00 possui penalidades genéricas a serem aplicadas em casode descumprimento pelas contratadas.

A Cláusula Décima Terceira do contrato (das sanções administrativas) prevê que(p. 7, do arquivo "Contrato Dnit - SERPRO 265-2006.pdf", contido no CD à fl. 19):

na hipótese de descumprimento total ou parcial das obrigações contratuaisassumidas (...), [deve-se] aplicar, segundo a gravidade da falta cometida", as seguintessanções:

1. advertência;2. multa de 0,1% ao dia, calculada sobre o valor do serviço contratado, pela

recusa na prestação do serviço;3. suspensão temporária do direito de licitar ou contratar com a Administração;4. declaração de inidoneidade para licitar ou contratar com a Administração

Pública.Contudo, não foram identificados procedimentos para graduar a sanção aplicável,

não sendo possível, assim, enquadrar a sanção em cada possível caso.Como exemplo, citamos o serviço de desenvolvimento de sistemas, cujo nível de

serviço previsto é que 85% dos sistemas demandados sejam concluídos no prazo acordado. Nãofica claro, pelo edital e pelo contrato, qual seria a sanção devida a um suposto descumprimentodeste nível de serviço (se é uma falta grave, se é uma recusa à prestação de serviço, se haverámulta ou advertência etc.).

2.20.2 - Efeito/Consequência do achado:a) risco da ocorrência de aquisições ou contratações que não atendam à

necessidade do órgão (efeito potencial).2.20.3 - Critérios:a) Acórdão 2.471/2008-Plenário, item 9.1;b) Acórdão 2.471/2008-Plenário, item 9.2;c) são também considerados critérios para este achado, de maneira geral, os

dispositivos da Lei 8.666/1993.2.20.4 - Evidênciasa) parece da CGMI do Dnit que considerou os serviços divisíveis e que contém

pesquisa de preços (fls. 70-72);b) Cláusula Segunda, Anexo I e Cláusula Décima Terceira do Contrato

265/2006-00 (p. 2 7 e 9, do arquivo "Contrato Dnit - SERPRO 265-2006.pdf", contido no CD à fl.19);

c) Excertos dos processos de pagamentos (fls. 49-61).2.20.5 - Conclusão da equipe:A partir dos testes substantivos realizados no processo referente ao Contrato

265/2006-00, a equipe chegou às seguintes conclusões:a) os serviços contidos no objeto são intrinsecamente distintos um do outro. Não

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

12 de 27 25/5/2011 13:14

Page 13: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

se pode afirmar que uma empresa que execute serviços de desenvolvimento de sistemas atuenecessariamente no mesmo mercado daquela que mantém serviços de rede, por exemplo.Diante disso, verifica-se que há empresas que atuam em cada um dos mercados de maneiraespecializada. A divisão do objeto, quando técnica e economicamente viável, potencialmenteaumenta a gama de provedores com capacidade e qualificação para prestar cada serviço,separadamente;

Além disso, não consta dos autos informação que justifique a inviabilidade técnicae econômica de subdividir o objeto, conforme requer o art. 23, §§1º e 2º da Lei 8.666/1993. Taljustificativa é atribuição do condutor da contratação.

b) a variação verificada nas propostas apresentadas pela contratada constitui umindício da fragilidade do processo de estimativa e definição do preço da contratação;

A proposta comercial da contratada não pode ser a única fonte considerada para aestimativa de preços. Isso ocorre para a maior parte dos serviços que compõem o objeto,exceção feita aos serviços de desenvolvimento de sistemas, administração da rede e rede delonga distância, cujos preços foram estimados pela CGMI, embora a fonte de tal pesquisa depreços não conste dos autos.

Em todos os casos, os valores obtidos pela CGMI diferem daqueles presentes naspropostas comerciais do Serpro e do próprio valor contratado (fls. 70-72, fl. 77).

Além disso, não constam do processo informações sobre a estimativa de preçospara todos os serviços contratados, bem como o método utilizado, a utilização e a indicação dasdiversas fontes do mercado, conforme preconiza o item 9.1.6 do Acórdão 2.471/2008-Plenário.

c) os pagamentos relativos aos serviços prestados sob a égide do Contrato43/2005 vinculam-se tão somente à quantidade de homens/dias disponibilizada (para osserviços de desenvolvimento e manutenção de sistemas) e à quantidade de estações detrabalho (para o serviço de administração de ambiente de TIC), não existindo mecanismos,como o estabelecimento de níveis de serviço ou o pagamento por resultados alcançados, quepermitam forma diferente de remuneração;

A remuneração realizada com base na disponibilidade de pessoal ou deequipamento pode levar ao pagamento sem a correspondente prestação de serviços, bemcomo à ineficiência na execução contratual.

Neste contexto, cita-se trecho do voto condutor do Ministro-Relator no Acórdão1.238/2008-Plenário, itens 12 a 14:

12. Os serviços fornecidos pela área de Tecnologia da Informação (TI) podem serparametrizados segundo métricas e indicadores, que definem precisamente o esforço requeridoe o resultado a ser alcançado, tanto do ponto de vista quantitativo, como do qualitativo. São,portanto, serviços cuja gestão pode - e deve - ser estruturada, o que pressupõe a especificaçãoobjetiva de produtos/serviços, a definição precisa de responsabilidades, o estabelecimento decustos, a identificação de riscos e a definição de métricas, indicadores e mecanismos deacompanhamento. Nesse contexto, fica bem evidente que os serviços de TI não se revestem damesma natureza dos serviços de alocação de postos de trabalho (locação de mão-de-obraterceirizada), esses relacionados à simples colocação de pessoal à disposição da Administraçãoe ao pagamento por horas trabalhadas. Consequentemente, não é razoável sob a perspectivada gestão, nem vantajoso economicamente, que se adote, para serviços de TI, o mesmomodelo de pagamento de serviços aplicável à alocação de postos de trabalho, porque talmodelo não leva em consideração uma característica positiva dos serviços de TI: a possibilidadede definir objetivamente os resultados requeridos e efetuar-se o pagamento somente quandoatingidos esses resultados.

13. É em decorrência das características específicas dos serviços de TI e danecessidade de solucionar os problemas peculiares a essa área que há um movimento em nívelglobal, por parte de governos e organizações, no sentido de abandonar os modelos decontratação baseados na alocação de postos de trabalho (locação de mão-de-obra) e nopagamento de horas trabalhadas. Hoje, cada vez mais disseminadamente, vêm sendo adotadosmodelos de contratação em TI fundados na mensuração de esforço e resultados por otimizarema gestão dos serviços e os respectivos custos. São exemplos de ferramentas utilizadas paraesse fim a adoção da metodologia de ponto por função e os acordos de nível de serviço,contratos em que são especificados os serviços requeridos e os padrões de desempenhonecessários para aceitação dos serviços.

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

13 de 27 25/5/2011 13:14

Page 14: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

14. Diante dessas ponderações, entendo cabível determinar ao Mdic que evite aformulação e a implementação de modelos de contratação de serviços de tecnologia dainformação baseados na alocação de postos de trabalho (locação de mão-de-obra) e nopagamento da empresa contratada com base em horas trabalhadas, uma vez que tais modelosnão se ajustam às características intrínsecas dos referidos serviços (...).

Assim, o Tribunal tem firmado entendimento de que as contratações de serviçosde TI devem prever sistemáticas de mensuração e pagamento que privilegiem a remuneraçãobaseada em resultados, e não com base em horas ou dias trabalhados, disponibilidade depessoas ou quantitativo de equipamentos.

d) Embora existam cláusulas relativas a penalidades no Contrato 265/2006-00,essas mostram-se genéricas e, portanto, inaplicáveis na prática. Além disso, não constam doprocesso procedimentos para cálculo da sanção aplicável.

É importante que os contratos relativos à prestação de serviços de tecnologia dainformação contenham cláusulas de penalidades específicas quanto às possíveis falhas naexecução dos serviços.

2.20.6 - Proposta de encaminhamento:Alertar o Dnit quanto às seguintes impropriedades constatadas no processo de

contratação referente ao Contrato 265/2006-00:a) não divisibilidade do objeto, estando presentes a viabilidade técnica e

econômica, decorrente do descumprimento do art. 23, § 1º, da Lei 8.666/1993;b) análise de mercado insuficiente, não permitindo que o administrador conclua

pela conveniência e oportunidade da contratação, decorrente do descumprimento do art. 6º,inciso IX, alínea "f"; art. 7º, § 2º, inciso II; art. 40, § 2º, inciso II e art. 43, inciso IV, todos daLei 8.666/1993;

c) forma de pagamento prevista em contrato não vinculada a resultados obtidos,decorrente do descumprimento do art. 3º, §1º, do Decreto 2.271/1997;

d) não definição objetiva das penalidades e fórmula de cálculo dos valorescorrespondentes a serem aplicados a cada caso, decorrente do descumprimento do art. 55,inciso VII, da Lei 8.666/1993 c/c princípios da proporcionalidade, razoabilidade e prudência.

2.21 - Inexistência de controles que promovam a regular gestão contratual2.22.1 - Situação encontrada:O representante da entidade declarou que não possui um processo interno formal

para gerenciar as contratações de TI. O representante da entidade também declarou que nãoexistem procedimentos internos definidos para auxílio no gerenciamento das contratações.

2.21.2 - Efeito/Consequência do achado:a) risco de ineficiência no acompanhamento da execução contratual, podendo

resultar na(o) qualidade/prazo insatisfatórios de serviços e produtos entregues (efeito real,como constatado no achado "Irregularidades na gestão contratual").

2.21.3 - Critérios:a) Norma Técnica - ITGI - Cobit 4.1, ME3.3 - Avaliar a conformidade com

requisitos externos;b) Norma Técnica - ITGI - Cobit 4.1, DS2.4 - Monitorar o desempenho do

fornecedor;c) Norma Técnica - ITGI - Cobit 4.1, AI5.2 - Gerir contratos com fornecedores.2.21.4 - Evidência:a) resposta ao item 7.11 do Questionário PerfilGovTI-2010 (fl. 8v).2.21.5 - Conclusão da equipe:Não há no Dnit um processo de gestão contratual definido de forma a assegurar

uma gestão eficiente que garanta a qualidade do produto adquirido. Existem impropriedadescitadas neste relatório que são decorrência dessa constatação, como, por exemplo, a nãoverificação do cumprimento dos acordos de níveis de serviço e a ausência da área de negóciona gestão do contrato, além das outras impropriedades relatadas no achado "irregularidades nagestão contratual". Destas considerações depreende-se que o Dnit não possui controles quepromovam a regular gestão contratual.

2.21.6 - Proposta de encaminhamento:Recomendar ao Dnit que, em atenção ao disposto na Constituição Federal, art. 37,

caput (princípio da eficiência), implemente controles que promovam a regular gestão contratual

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

14 de 27 25/5/2011 13:14

Page 15: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

e que permitam identificar se todas as obrigações do contratado foram cumpridas antes doateste do serviço.

2.22 - Irregularidades na gestão contratual2.22.1 - Situação encontrada:Foram realizados testes substantivos no processo de execução e pagamento

relativo ao Contrato 265/2006-00, com o objetivo de avaliar sua aderência à legislação, econstatadas as seguintes impropriedades:

a) ausência da avaliação dos serviços, com base nos critérios previamentedefinidos (níveis de serviço acordados);

Embora conste do projeto básico a definição de níveis de serviços para os serviçoscontratados (item 7, p. 44 do arquivo "Contrato Dnit - SERPRO 265-2006.pdf", constante do CDà fl. 19)não foram identificados procedimentos para verificação do cumprimento dos níveis deserviço, nem aferições ou atestes de que os resultados refletem o cumprimento dos níveis deserviço.

Nos procedimentos de ateste presentes no processo de pagamento (exemplo àsfls. 34-48), não constam informações sobre o cumprimento dos níveis de serviço, não sendoassim possível aferir se os mesmos foram atendidos.

As amostras de ordens de serviços encaminhadas à equipe de fiscalização(denominadas "Controle de Demandas" no Dnit, fls. 113-126) não apresentam informaçõessobre o andamento ou cumprimento dos níveis de serviço.

Ao analisar a amostra de processo de pagamento encaminhada pelo Dnit,observou-se a seguinte sequência de etapas para o ateste dos serviços (as datas corespondemaos documentos da amostra):

1. a CGMI solicita à Coordenação de Infraestrutura que aprecie, para fins deateste, os serviços constantes do "relatório de atividades referente ao mês de janeiro/2010"(em 26/1/2010) - fl. 35;

2. a Coordenação de Infraestrutura informa que os relatórios de prestação deserviços encontram-se "de acordo" com relação à Infovia, às velocidades dos links WAN e comas faixas de estações praticadas - suporte técnico em informática (em 29/1/2010) - fl. 36;

3. a CGMI, diante do ateste da Coordenação de Infraestrutura, solicita ao fiscal docontrato que ateste os serviços executados (em 28/1/2010) - fl. 37;

4. o fiscal do contrato confirma a prestação dos serviços, em documentodenominado "ateste de prestação de serviços", elaborado pela contratada (em 29/1/2010) - fl.34;

5. a contratada (Serpro) encaminha as faturas e notas fiscais para a Diretoria deAdministração e Finanças - DAF (em 9/2/2010) - fl. 38;

6. a DAF encaminha as faturas e notas fiscais ao fiscal do contrato e à CGMI (em12/2/2010) - fl. 39;

7. o fiscal do contrato atesta a nota fiscal, a qual foi emitida em 29/1/2010 - fl. 41;8. a CGMI retorna o processo à DAF (em 22/2/2010) - fl. 42;9. a DAF encaminha os autos para a Coordenação de Finanças para exame e

pagamento (em 24/2/2010) - fl. 43.No caso da amostra analisada, verificou-se que o "relatório de atividades

referente ao mês de janeiro/2010" não consta do processo. Assim, não há informaçãosuficientemente detalhada dos serviços quando o processo é encaminhado pela CGMI paraateste, de maneira a possibilitar a conferência entre o produto requerido e o entregue. Estainsuficiência de informações foi também verificada em outras amostras de processo depagamento.

Pelo Ofício - CGMI/DAF 198ª/2007, de 3/9/2007 (fl. 60), a CGMI solicita ao Serproque, com o objetivo de assegurar o processo de ateste e aferição dos serviços prestados,elabore relatório de atividades referente às faturas encaminhadas para pagamento, conformeplanilha anexa. A planilha contém informações relativas aos meses de fevereiro a agosto de2007. Isso significa que, naquele período, a contratada não havia elaborado os relatórios deatividades, os quais são essenciais para o processo de ateste.

b) inexistência de designação formal de preposto;Não foi constatado, na análise do processo do Contrato 265/2006-00, a designação

formal de preposto pela contratada.

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

15 de 27 25/5/2011 13:14

Page 16: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

c) inadequação das justificativas que fundamentam a regularidade da prorrogaçãodo contrato;

O Contrato 265/2006-00 teve vigência até o dia 9/11/2007. O contrato em questãoteve sua duração prorrogada por meio de cinco termos aditivos. O primeiro termo prorrogou ocontrato até 8/11/2008. O segundo termo aditivo prorrogou até o dia 8/11/2009. No terceiro,quarto e quinto termos aditivos, a prorrogação do contrato se deu por um período de sessentadias, estabelecendo como data final de vigência o dia 8/5/2010.

Consta dos autos pareceres da Procuradoria da Autarquia em relação a algunsaditivos. A manifestação da Procuradoria referente ao segundo termo aditivo do contrato (fls.90-99) levanta uma série de questões associadas à legalidade da avença. Entre elas:

a) no item 17, a Procuradora registra a "inviabilidade da prorrogação comfundamento no art. 57, inciso IV da Lei n 8.666/93" (fl. 92), em virtude de o objeto do contratonão se tratar apenas de serviços de natureza continuada;

b) no item 26, a Procuradora registra que não foi juntado aos autos comprovantede que foi realizada uma pesquisa de preços no mercado, demonstrando que os preços exigidospela contratada são mais benéficos para a Administração (fl. 95). A Procuradora sugere arealização de um procedimento seletivo simplificado, de modo a comparar os preços demercado aos previstos na avença;

c) no item 28, a Procuradora registra que a autoridade competente deveria terautorizado previamente a prorrogação contratual nos termos do art. 57, § 2º da Lei8.666/1993.

Em sua conclusão, a Procuradora opina "pela celebração de um novo contratooriundo de dispensa de licitação ou de realização de licitação, a depender do que for maisbenéfico à Administração, no que tange á eficiência dos serviços prestados e á economicidade"(fl. 98, item 35-b).

Outro parecer referente ao termo aditivo em questão foi acostado aos autos, esteaprovado pelo Procurador-Chefe (fls. 100-101), ressalvando que a Administração deveesclarecer se parte do rol dos serviços autorizam a sua classificação como serviços de naturezacontinuada para fins de enquadramento no art. 57, inciso IV da Lei 8.666/1993. Esse parecernão menciona a necessidade de realização de uma pesquisa de preços de mercado, como foraapontado pela Procuradora, e entende ser possível a prorrogação caso superadas as ressalvasconstantes do parecer da Procuradora e dele próprio. Não consta dos autos informações queevidenciem que as providências foram tomadas pela Administração.

No ato de assinatura do terceiro termo aditivo, a Procuradoria Federal foi acionadapara análise do termo (fls. 107-109). O parecer destaca que, nos termos da ordem de serviçoDG/02/2009, as minutas acerca da prorrogação contratual devem ser submetidas à apreciaçãoda Procuradoria no prazo mínimo de trinta dias, fato este que não ocorreu no caso em questão.Ademais, o parecer informa que o processo foi remetido à procuradoria somente em11/11/2009, após o término da vigência do contrato, em 8/11/2009 (fl. 108).

O parecer registra ainda que "em caso de inobservância deste prazo mínimo de 30dias, tal como ocorrido nos presentes autos, a eventual perda de prazo de vigência doscontratos e convênios acarretará a responsabilidade funcional e administrativa de quem lhesdeu causa, apuradas mediante processo administrativo disciplinar (art. 2º, OS DG/02/2009)".Diante disso, observa-se para o caso do terceiro termo aditivo uma irregularidade no processode solicitação de parecer à procuradoria responsável.

Ao analisar o processo de contratação, especialmente quanto aos termos aditivosdo Contrato 265/2006-00, não foi encontrado nos autos qualquer tipo de estudo ou justificativasque fundamentam a regularidade da prorrogação do contrato, especialmente aquelessolicitados pela procuradoria responsável (pesquisa de preços de mercado e autorização préviada autoridade competente).

d) não execução de serviços previstos no contrato.Consta do Contrato 265/2006-00 uma lista de serviços a serem prestados pela

contratada. Dentre eles, a equipe de auditoria solicitou, por meio do Ofício 02-472/2010 (fl.25), evidências que comprovassem a existência de alguns produtos previstos no termo dereferência:

1) consultoria para elaboração e homologação do projeto elétrico lógico e físico,previsto no item 5.1.3 do termo de referência;

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

16 de 27 25/5/2011 13:14

Page 17: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

2) relatórios previstos no item 5.6.7 do termo de referência, para o ano de 2010;3) relatório da análise forense computacional, previsto no item 5.1.5 do termo de

referência;4) comprovantes de homologação dos sistemas recebidos pela contratada em

2010;5) relatórios mensais de execução, de acordo com os marcos previamente

estabelecidos, previstos no item 9 da cláusula quarta do contrato.As respostas do gestor para cada um dos itens solicitados foram as seguintes:1) não foi aberta nenhuma demanda do serviço de consultoria técnica na vigência

do contrato, incluída a "consultoria para elaboração e homologação do projeto elétrico lógico efísico" (Memorando - CGMI/DAF/Dnit 192/2010, à fl. 111);

2) os relatórios previstos no item 5.6.7 do termo de referência estão consolidadosnos relatórios mensais (Memorando - CGMI/DAF/Dnit 213/2010, à fl. 139);

3) não houve demanda para o relatório de "análise forense computacional"durante a vigência do contrato (Memorando - CGMI/DAF/Dnit 213/2010, à fl. 139);

4) a homologação dos sistemas é realizada pela homologação de casos de uso eregras de negócio; quanto à manutenção de sistemas, a homologação é realizada via sistemade demandas (Memorando - CGMI/DAF/Dnit 213/2010, à fl. 139);

5) em anexo, enviou o relatório mensal de atividades referentes ao mês de abrilde 2010 (fls. 140-164).

Tratando especificamente do serviço de consultoria para elaboração ehomologação do projeto elétrico lógico e físico, o item 3.2 do Anexo II do novo contratofirmado entre o Dnit e o Serpro em 8/5/2010 previu, dentre os serviços de consultoria a seremexecutados, a "elaboração de projeto elétrico e lógico", nos moldes do item a supracitado.Causa estranheza que o serviço ora analisado não tivesse sido executado durante toda avigência do contrato anterior (quase quatro anos) e continue constando do rol dos serviços aserem prestados pelo Serpro. De maneira análoga, há outros serviços de consultoria previstosno contrato inicial, não executados durante sua vigência, e presentes no contrato ora vigente,assinado em 8/5/2010, tais como: i) sistematização de processos em ambientes de TI; ii)consultoria em redes locais e iii) suporte à segurança (idêntico à seção "análise de riscos").

Em relação aos comprovantes de homologação dos sistemas recebidos pelacontratada em 2010 (item d supracitado), não foi enviado à equipe de auditoria documentosque evidenciassem a mencionada homologação de casos de uso e regras de negócio.

Quanto aos relatórios mensais de execução, solicitados no período de 2009 e2010, foi enviado à equipe de auditoria uma amostra de relatório, e não os relatórios relativosa todo o período solicitado.

No que se refere aos relatórios previstos no item 5.6.7 do termo de referência(relatório semanal de ocorrências, a ser disponibilizado via browser - WEB -, fornecendo osdados históricos de todas as falhas ocorridas), o gestor afirma que o mesmo consta do relatóriomensal de atividades (fl. 139). Constata-se, neste caso, que o relatório exigido em contrato e orelatório mensal devem possuir conteúdo e formas de acesso distintos, já que o relatóriosemanal deve trazer os dados históricos de todas as falhas ocorridas semanalmente, e serdisponibilizado via WEB. Mesmo se ambos pudessem ser adequadamente combinados,registra-se que o gestor não enviou todos os relatórios para os períodos requeridos pela equipede auditoria (2009 e 2010).

2.22.2 - Efeitos/Consequências do achado:a) serviços em desacordo com o contratado (efeito real), pois não estão sendo

produzidos artefatos previstos em contrato;b) pagamentos sem que tenham sido produzidos os resultados esperados (efeito

potencial).2.22.3 - Critério:a) Lei 8.666/1993, art. 66.2.22.4 - Evidências:a) Memorando - CGMI/DAF/Dnit 192/2010, à fl. 111b) Memorando - CGMI/DAF/Dnit 213/2010, à fl. 1392.22.4 - Conclusão da equipe:A partir dos testes substantivos realizados no processo de execução e pagamento

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

17 de 27 25/5/2011 13:14

Page 18: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

referente ao Contrato 265/2006-00, a equipe chegou às seguintes conclusões:a) não há empregados formalmente designados pela contratada para atuar como

preposto do Contrato 265/2006-00. O preposto atua como representante da contratada durantea execução do contrato. Assim, se detectadas falhas ou problemas na execução do contrato, orepresentante da Administração dirigir-se-á ao preposto, evitando o contato direto com osfuncionários que executam os serviços. Isso porque o representante da Administração deve seabster de dar ordens aos funcionários para evitar a caracterização da subordinação. Dessaforma, a não designação do preposto, além de não definir formalmente a pessoa que respondepela prestadora dos serviços, gera o risco de subordinação direta dos empregados dacontratada à entidade;

b) não constam dos autos as justificativas exigidas em lei que fundamentam asprorrogações do Contrato 265/2006-00;

c) não foram encontradas evidências de que todos os produtos previstos nocontrato e solicitados pela equipe de fiscalização tivessem sido produzidos durante a suavigência. Essa situação afronta a cláusula décima terceira do contrato, que prevê sanções àcontratada no caso de descumprimento total ou parcial do objeto (Cláusula Décima Terceira doContrato, p. 7 do arquivo "Contrato Dnit - SERPRO 265-2006.pdf", contido no CD à fl. 19), alémde estar desconforme com os arts. 66 e 87 da Lei 8.666/1993.

2.22.5 - Proposta de encaminhamento:Alertar o Dnit quanto às seguintes impropriedades constatadas no processo de

execução referente ao Contrato 265/2006-00:a) não designação formal do preposto no local do serviço, para representá-lo na

execução do contrato, decorrente do descumprimento do art. 68 da Lei 8.666/1993;b) inadequação das justificativas que fundamentam a prorrogação do contrato,

decorrente do descumprimento do art. 57, II,da Lei 8.666/1993;c) inexecução parcial de serviços previstos no contrato sem a aplicação das

devidas sanções, decorrente do descumprimento dos arts. 66 e 87 da Lei 8.666/1993.Determinar ao Dnit, que, em atenção ao art. 66 da Lei 8.666/1993, adote as

medidas necessárias à apuração e aplicação das penalidades previstas em contrato por contadas inexecuções contratuais descritas no item 2.22 deste relatório.

2.23 - Falhas no orçamento de TI constante da LOA.2.23.1 - Situação encontrada:Por intermédio do item 4 do Anexo I ao Ofício nº 91/2010 - Sefti (fl. 2, vol.

principal), solicitaram-se informações acerca do orçamento de TI do Dnit constante da LOA.Como resposta, constante no item 7.15 do questionário "PerfilGovTI 2010" (fl. 8v), o gestorinformou que a solicitação de TI é feita com base na estimativa dos custos das contrataçõesprevistas.

Ainda como parte da resposta, o gestor encaminhou o arquivo "Acompanhamentodas despesas de custeio.pdf" (CD à fl. 19), onde se evidencia que as despesas de TI, a cargo daCGMI, não contém detalhamento, referindo-se apenas às seguintes despesas:

a) contrato com o Serpro (R$ 30 milhões);b) aquisição de solução de operação e gestão de infraestrutura de TI (R$ 5

milhões);c) aquisição de softwares de base (R$ 2 milhões);d) aquisição de softwares de aplicação (R$ 3 milhões).Tal falta de detalhamento está refletida no orçamento de TI do Dnit constante da

LOA. De acordo com informações coletadas no âmbito do TC 001.484/2010-9 (levantamento deauditoria com objetivo de coletar informações para subsidiar o planejamento de auditoriasrelacionadas ao TMS), o orçamento de TI do Dnit constante da LOA consiste nos seguintes itens(fl. 183):

a) hospedagem de sistemas (R$ 5 milhões);b) material de processamento de dados ((R$ 5 milhões);c) serviços técnicos profissionais de tecnologia da informação (R$ 31 milhões).Observa-se, portanto, que o orçamento de TI constante da LOA não apresenta

detalhamento suficiente para permitir o controle e identificação mais precisa das propostasorçamentárias referentes a previsão de gastos em TI.

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

18 de 27 25/5/2011 13:14

Page 19: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

A título de exemplo, anexou-se o orçamento de TI constante da LOA para aEmbrapa (fls. 184-185), pelo qual verifica-se que houve um nível de detalhamento muitosuperior ao apresentado pelo Dnit.

2.23.2 - Efeitos/Conseqüências do achado:a) Recursos insuficientes para a área de TI (efeito potencial);b) interrupção de serviços de TI por falta de recursos necessários (efeito

potencial);c) não-alcance de metas estabelecidas para a organização por falta de suporte da

área de TI (efeito potencial).2.23.3 - Critérios:a) Lei 12.017/2009, art. 9º, inciso II;b) Norma Técnica - Ministério do Planejamento, Orçamento e Gestão - Gespública

- critério de avaliação 7.3;c) Norma Técnica - Cobit 4.1 - PO5.3 - Processo de Orçamento de TI.2.23.4 - Evidências:a) PLOA/2010 - Previsão de gastos de TI do Dnit (fl. 183);b) Resposta ao item 7.15 do Questionário: Perfil GovTI (fl. 8v).2.23.5 - Conclusão da equipe:O Dnit apresentou falhas em relação ao seu processo de elaboração do orçamento

de TI, necessário ao cumprimento das disposições contidas na Lei nº 12.017/2009 (LDO2009/2010), art. 9º, II c/c Anexo II, XVIII, visto que o orçamento de TI do órgão constante daLOA não apresenta detalhamento suficiente para o controle e acompanhamento das despesascorrespondentes.

2.23.6 - Proposta de encaminhamento:Determinar ao Dnit que aperfeiçoe o processo de elaboração do orçamento de TI,

necessário ao cumprimento das disposições contidas Lei nº 12.017/2009 (LDO 2009/2010), art.9º, II c/c Anexo II, XVII, ou das que vierem a lhe suceder, de maneira que as solicitações deorçamento das despesas de TI estejam baseadas nas ações que se pretende executar,observando as práticas contidas no Gespública, critério de avaliação 7.3.e no Cobit 4.1,processo PO5.3 - Orçamentação de TI.

3 - CONCLUSÃOAs seguintes constatações foram identificadas neste trabalho:Questão 1 Inexistência do Plano Estratégico Institucional (item 2.1)Questão 2 Falhas no processo de planejamento de TI (item 2.2)Questão 3 Inexistência de comitê de TI (item 2.3)Inexistência de avaliação do quadro de pessoal de TI (item 2.4)Questão 4 Falhas no orçamento de TI constante da LOA (item 2.23)Questão 5 Inexistência de processo de software (item 2.5)Questão 6 Inexistência de processo de gerenciamento de projetos (item 2.6)Questão 7 Inexistência do processo de gestão de incidentes (item 2.7)Inexistência do processo de gestão de configuração (item 2.8)Inexistência do processo de gestão de mudanças (item 2.9)Questão 8 Inexistência de Comitê de Segurança da Informação e Comunicações

(item 2.10)Inexistência de Gestor de Segurança da Informação e Comunicações (item 2.11)Inexistência de equipe de tratamento e resposta a incidentes em redes

computacionais (ETRI) (item 2.12)Inexistência de classificação da informação (item 2.13) Inexistência de inventário

dos ativos de informação (item 2.14) Inexistência de processo de gestão de riscos de segurançada informação (GRSIC) (item 2.15)

Questão 9 Plano anual de capacitação não contempla a área de Gestão de TI (item2.16)

Questão 10 Inexistência de avaliação da gestão de TI (item 2.17)Auditoria interna não apoia avaliação da TI (item 2.18)Questão 11 Inexistência dos estudos técnicos preliminares (item 2.19)Irregularidades na contratação (item 2.20)Questão 12 Inexistência de controles que promovam a regular gestão contratual

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

19 de 27 25/5/2011 13:14

Page 20: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

(item 2.21)Irregularidades na gestão contratual (item 2.22)Entre os benefícios estimados desta fiscalização pode-se mencionar,

principalmente, a indução à melhoria nos controles internos da entidade e da governança de TI,cujas deficiências foram evidenciadas pelas falhas e impropriedades identificadas e relatadasneste processo.

A presente fiscalização constituiu uma das duas auditorias-piloto da fase depreparação da Fiscalização de Orientação Centralizada (FOC) integrante do TMS 6 - Gestão eUso de Tecnologia da Informação (TI), e teve como objetivo avaliar a governança do setor deTI do Departamento Nacional de Infraestrutura de Transportes (Dnit).

Em relação à governança de TI no Dnit, foram evidenciadas diversas falhasdurante a execução dessa auditoria, especialmente na estrutura organizacional e nos processosda área de TI.

A ausência de planejamento estratégico institucional, as falhas no processo deplanejamento de TI e a ausência de alguns processos, padrões e políticas de TI, aliada à ampladependência da Autarquia com relação aos serviços de TI fornecidos pelo Serpro, impõe aoórgão um alto risco quanto à proficiência da TI no âmbito interno. Essa falta de estrutura e adependência do órgão a uma única contratada pode afetar de maneira negativa o cumprimentodos objetivos de negócio e das obrigações legais da Autarquia.

Além disso, não há estudo ou análise por parte da Autarquia quanto à adequaçãoquantitativa e qualitativa dos servidores de TI, o que inviabiliza uma afirmação conclusiva. Ostrabalhos identificaram ainda a ausência de um plano de capacitação estruturado para a áreade TI.

Diante disso, a estrutura de TI do Dnit é totalmente dependente de serviços deterceiros para a realização das ações de TI. No Dnit, praticamente todos os serviços de TI,incluindo o desenvolvimento e a manutenção de sistemas, serviços de suporte, administraçãode rede e banco de dados, são realizados pelo Serpro, no âmbito de um contrato de serviçoscom escopo excessivamente abrangente.

A falta de planejamento estratégico da Autarquia (o que inclui as ações de TI),aliada à carência de uma estrutura de pessoal suficiente, fomenta o aparecimento deirregularidades, falhas e impropriedades na operação da TI. Como exemplo, citam-se asdeficiências em controles gerais de TI evidenciadas durante essa auditoria, resumidas a seguir:

a) a alta Administração não designou formalmente um comitê de TI para auxiliá-lanas decisões relativas à gestão e ao uso corporativos de TI;

b) não há processo de software, nem estrutura para suporte de gerência deprojetos, fatores esses que podem comprometer a qualidade das contratações, dos projetos edos serviços de TI fornecidos para os usuários finais;

c) não há processo ou procedimento definido ou padronizado para a contrataçãode bens e serviços de TI, o que pode acarretar em falhas nos editais e nos contratos, como asocorridas no processo referente ao contrato com o Serpro (e.g.: falhas na fundamentação dacontratação, contratação conjunta de serviços divisíveis, falhas no processo de estimativa depreços, sistemática de mensuração não associada a resultados);

d) não há processo ou procedimento definido ou padronizado para a gestão ouacompanhamento da execução de serviços de TI contratados, o que pode acarretar falhas nagestão contratual, como as ocorridas no processo referente ao contrato com o Serpro (e.g.:não elaboração de produtos previstos em contrato, inadequação das justificativas quefundamentam a regularidade da prorrogação do contrato);

e) atividades essenciais da área de TI, como administração dos bancos de dados,implementação das políticas de segurança e gestão lógica da rede, que são efetuados porprofissionais terceirizados, o que pode acarretar em eventuais problemas de segurança edependência tecnológica com o contratado;

f) não foram implementados os processos de gestão de mudanças, gestão deconfiguração e gestão de incidentes, o que pode acarretar falha na entrega e gestão dosserviços de TI;

g) não há processo de segurança da informação destinado a classificar einventariar os ativos de informação, bem como procedimentos de gestão de riscos dainformação, o que pode acarretar o comprometimento de informações sensíveis do Dnit;

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

20 de 27 25/5/2011 13:14

Page 21: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

h) não foram estabelecidos indicadores de desempenho de gestão e usocorporativos de TI, nem níveis de serviços de TI oferecidos aos clientes internos, o queimpossibilita à área de TI mensurar o quanto suas atividades estão contribuindo para o alcancedos objetivos da Autarquia.

Por fim, considerando que a Instrução Normativa - SLTI/MP 4/2008 foi utilizadacomo critério de auditoria e que no dia 15/11/2010, data posterior à elaboração do relatório eanterior à saída do mesmo da Sefti, foi publicada nova versão da norma, entrando em vigor em2/1/2011, fazem-se necessários ajustes na redação das propostas de encaminhamento feitas aolongo deste relatório, o que faremos na seção a seguir."

3. Por tais motivos, a Sefti, em pareceres uniformes (fls. 201,v/205), sugeriu aesta Corte formular ao Dnit as seguintes determinações, recomendações e alertas:

"1. Recomendar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c o RegimentoInterno do TCU, art. 250, inciso III, ao Departamento Nacional de Infraestrutura de Transportes(Dnit) que:

1.1. em atenção ao Decreto-Lei 200/1967, art. 6º, inciso I, e art. 7º, elabore umplano estratégico institucional, considerando o previsto no critério de avaliação 2 do Gespública(Achado "Inexistência do Plano Estratégico Institucional");

1.2. aperfeiçoe o processo de planejamento estratégico de TI, observando aspráticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI (Achado "Falhasno processo de planejamento de TI");

1.3. em atenção ao Decreto 5.707/2006, art. 1º, inciso III, elabore estudo técnicode avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentarfuturos pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamentequalificados, objetivando o melhor atendimento das necessidades institucionais, à semelhançadas orientações contidas no Cobit 4.1, PO4.12 - Pessoal de TI (Achado "Inexistência deavaliação do quadro de pessoal de TI");

1.4. quando do estabelecimento de seu processo de software, considere asNormas NBR ISO/IEC 12.207 e 15.504 (Achado "Inexistência de processo de software");

1.5. implante uma estrutura formal de gerência de projetos, à semelhança dasorientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos e noPMBOK, dentre outras boas práticas de mercado (Achado "Inexistência de processo degerenciamento de projetos");

1.6. implemente processo de gestão de incidentes de serviços de tecnologia dainformação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar acentral de serviços e incidentes e de outras boas práticas de mercado (como a NBR ISO/IEC20.000 e a NBR 27.002) (Achado "Inexistência do processo de gestão de incidentes");

1.7. implemente processo de gestão de configuração de serviços de tecnologia dainformação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciarconfiguração e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000) (Achado"Inexistência do processo de gestão de configuração");

1.8. estabeleça procedimentos formais de gestão de mudanças, de acordo com oprevisto no item 12.5.1 da NBR ISO/IEC 27.002, à semelhança das orientações contidas noCobit 4.1, processo AI6 - Gerenciar mudanças e de outras boas práticas de mercado (como aNBR ISO/IEC 20.000) (Achado "Inexistência do processo de gestão de mudanças");

1.9. quando elaborar o plano anual de capacitação, contemple ações decapacitação voltadas para a gestão de tecnologia da informação, à semelhança das orientaçõescontidas no Cobit 4.1, processos PO7.2 - Competências pessoais e PO7.4 - Treinamento dopessoal (Achado " Plano anual de capacitação não contempla a área de gestão de TI");

1.10. estabeleça um processo de avaliação da gestão de TI, à semelhança dasorientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 - Relatóriosgerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controles internos (Achado"Inexistência de avaliação da gestão de TI");

1.11. promova ações para que a auditoria interna apoie a avaliação da TI, àsemelhança das orientações contidas no Cobit 4.1, ME2 - Monitorar e avaliar os controlesinternos (Achado "Auditoria interna não apoia avaliação da TI");

1.12. implemente controles que promovam o cumprimento do processo deplanejamento previsto na IN - SLTI/MP 4/2010 (Achado "Inexistência dos estudos técnicos

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

21 de 27 25/5/2011 13:14

Page 22: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

preliminares");1.13. implemente controles que promovam a regular gestão contratual e que

permitam identificar se todas as obrigações do contratado foram cumpridas antes do ateste doserviço (Achado "Inexistência de controles que promovam a regular gestão contratual").

2. Determinar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c o RegimentoInterno do TCU, art. 250, inciso II, ao Departamento Nacional de Infraestrutura de Transportes(Dnit) que:

2.1. em atenção ao disposto na Iniciativa Estratégica 12, da Estratégia Geral deTecnologia da Informação (EGTI) 2010-2011, aprovada pela Resolução 7/2010-SISP, implanteComitê de Tecnologia da Informação que envolva as diversas áreas do Ibama e que seresponsabilize por alinhar os investimentos de tecnologia da informação com os objetivosinstitucionais e por apoiar a priorização de projetos a serem implantados, considerando aindaas diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor de TI(Achado "Inexistência de comitê de TI");

2.2. aperfeiçoe o processo de elaboração do orçamento de TI, necessário aocumprimento das disposições contidas Lei nº 12.017/2009 (LDO 2009/2010), art. 9º, II c/cAnexo II, XVIII, ou das que vierem a lhe suceder, de maneira que as solicitações de orçamentodas despesas de TI estejam baseadas nas ações que se pretende executar, observando aspráticas contidas no Cobit 4.1, processo PO5.3 - Orçamentação de TI e no Gespública, critériode avaliação 7.3 (Achado "Falhas no orçamento de TI constante da LOA").

2.3. em atenção ao disposto na Lei 8.666/1993, art. 6º, inc. IX, e às disposiçõescontidas na IN - SLTI/MP 4/2010, art. 13, II, defina um processo de software previamente àsfuturas contratações de serviços de desenvolvimento ou manutenção de software, vinculando ocontrato com o processo de software, sem o qual o objeto não estará precisamente definido(Achado "Inexistência de processo de software");

2.4. em atenção ao disposto na Instrução Normativa - GSI/PR 1/2008, art. 5º, VI,c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança daInformação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27.002, item6.1.2 - Coordenação de segurança da informação (Achado "Inexistência de Comitê deSegurança da Informação e Comunicações");

2.5. em atenção ao disposto na Instrução Normativa - GSI/PR 1/2008, art. 5º, IVe art. 7º, c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie gestor deSegurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC27.002, item 6.1.3 - Atribuição de responsabilidade para segurança da informação (Achado"Inexistência de Gestor de Segurança da Informação e Comunicações");

2.6. em atenção ao disposto na Instrução Normativa - GSI/PR 1/2008, art. 5º, V,institua equipe de tratamento e resposta a incidentes em redes computacionais, observando aspráticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR (Achado "Inexistência deequipe de tratamento e resposta a incidentes em redes computacionais - ETRI");

2.7. em atenção ao disposto no Decreto 4.553/2002, art. 6º, § 2º, inciso II e art.67, crie critérios de classificação das informações a fim de que possam ter tratamentodiferenciado conforme seu grau de importância, criticidade e sensibilidade, observando aspráticas contidas no item 7.2 da NBR ISO/IEC 27.002 (Achado "Inexistência de classificação dainformação");

2.8. em atenção ao disposto na Instrução Normativa - GSI/PR 1/2008, art. 5º,VII, c/c Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento deinventário de ativos de informação, de maneira que todos os ativos de informação sejaminventariados e tenham um proprietário responsável, observando as práticas contidas no item7.1 da NBR ISO/IEC 27.002 (Achado "Inexistência de inventário dos ativos de informação");

2.9. em atenção ao disposto na Instrução Normativa - GSI/PR 1/2008, art. 5º,VII, implemente processo de gestão de riscos de segurança da informação, observando aspráticas contidas na Norma Complementar 04/IN01/DSIC/GSIPR (Achado "Inexistência deprocesso de gestão de riscos de segurança da informação - GRSIC");

2.10. em atenção às disposições contidas no Decreto nº 5.707/2006, art. 5º, 2º,c/c Portaria MP nº 208/2006, art. 2º, I e art. 4º, elabore Plano Anual de Capacitação para ainstituição; (Achado "Inexistência de plano anual de capacitação");

2.11. em atenção ao disposto na Lei 8.666/1993, art. 66, adote as medidas

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

22 de 27 25/5/2011 13:14

Page 23: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

necessárias à apuração e aplicação das penalidades previstas em contrato por conta dasinexecuções contratuais descritas no item 2.22 deste relatório.

2.12. no prazo de trinta dias a contar da ciência do acórdão que vier a serproferido, encaminhe plano de ação para a implementação das medidas contidas no Decisum,contendo:

2.12.1. para cada determinação, o prazo e o responsável (nome, cargo e CPF)pelo desenvolvimento das ações;

2.12.2. para cada recomendação cuja implementação seja consideradaconveniente e oportuna, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimentodas ações;

2.12.3. para cada recomendação cuja implementação não seja consideradaconveniente ou oportuna, justificativa da decisão.

3. Alertar ao Departamento Nacional de Infraestrutura de Transportes (Dnit)quanto às impropriedades a seguir, conforme tratado nos itens 3.21 e 3.23 do relatório:

3.1.1. não divisibilidade do objeto, estando presentes a viabilidade técnica eeconômica, decorrente do descumprimento do art. 23, § 1º, da Lei 8.666/1993;

3.1.2. análise de mercado insuficiente, não permitindo que o administradorconclua pela conveniência e oportunidade da contratação, decorrente do descumprimento doart. 6º, inciso IX, alínea f; art. 7º, § 2º, inciso II; art. 15, incisos II e V; art. 24, inciso VII; art.40, § 2º, inciso II; art. 43, inciso IV; art. 44, § 3º; e art. 48, todos da Lei 8.666/1993;

3.1.3. forma de pagamento prevista em contrato não vinculada a resultadosobtidos, decorrente do descumprimento do art. 3º, §1º, do Decreto 2.271/1997;

3.1.4. não definição objetiva das penalidades e da fórmula de cálculo dos valorescorrespondentes a serem aplicados a cada caso, decorrente do descumprimento do art. 55,inciso VII, da Lei 8.666/1993;

3.1.5. não designação formal do preposto no local do serviço, para representá-lona execução do contrato, decorrente do descumprimento do art. 68 da Lei 8.666/1993;

3.1.6. inadequação das justificativas que fundamentam a prorrogação do contrato,decorrente do descumprimento do art. 57, II da Lei 8.666/1993;

3.1.7. inexecução parcial de serviços previstos no contrato sem a aplicação dasdevidas sanções, decorrente do descumprimento dos arts. 66 e 87 da Lei 8.666/1993;

4. arquivar os presentes autos."É o Relatório

Voto do Ministro Relator

VOTONa sessão de 8/9/2010 (acórdão 2.308/2010 - Plenário), apresentei a este

colegiado o resultado consolidado do levantamento efetuado pela Secretaria de Fiscalização deTecnologia da Informação - Sefti, em 2010, para avaliar a governança de tecnologia dainformação em 315 órgãos e entidades das administrações direta e indireta dos três poderes daUnião.

2. Destaquei, naquela oportunidade, a importância da atuação desta Corte comrelação à matéria, eis que, a partir da identificação de pontos vulneráveis, será possível aoTribunal, em primeiro lugar, atuar como indutor do aperfeiçoamento da governança de TI nosetor público e, em segundo lugar, identificar e disseminar entre as unidades jurisdicionadas osbons exemplos e modelos encontrados.

3. Apontei, ainda, as conclusões mais significativas do levantamento, que permitiuconstatar, em síntese, que:

a) mais de 60% das organizações não possui planejamento estratégico de TI;b) algumas organizações continuam a ter sua TI totalmente controlada por

pessoas estranhas a seus quadros de pessoal;c) são graves os problemas de segurança da informação, já que informações

críticas não são protegidas adequadamente;d) metade das organizações não possui método ou processo para desenvolvimento

de softwares e para aquisição de bens e serviços de informática, o que gera riscos deirregularidades em contratações;

e) a atuação sistemática da alta administração com respeito à TI ainda é

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

23 de 27 25/5/2011 13:14

Page 24: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

incipiente;f) mais da metade das organizações está no estágio inicial de governança de TI, e

apenas 5% encontram-se em estágio aprimorado.4. Neste momento, trago à consideração deste Plenário mais um trabalho

concernente à matéria: a auditoria realizada pela Sefti no Departamento Nacional deInfraestrutura de Transportes - Dnit com o intuito de avaliar controles gerais de governança deTI naquela entidade.

5. As principais ocorrências detectadas no presente trabalho assemelham-se àsverificadas no levantamento consolidada e confirmam a precisão daquele estudo. Basicamente,constatou-se no Dnit:

a) inexistência de Plano Estratégico Institucional;b) falhas no processo de planejamento de TI;c) inexistência de Comitê de TI;d) inexistência de avaliação do quadro de pessoal de TI;e) inexistência de processo de desenvolvimento de software;f) inexistência de processo de gerenciamento de projetos;g) inexistência de processo de gestão de mudanças;h) inexistência de processo de gestão de configuração de serviços de TI;i) inexistência de processo de gestão de incidentes;j) inexistência de classificação da informação;k) inexistência de inventário dos ativos de informação;l) inexistência de processo de gestão de riscos de segurança da informação;m) inexistência de plano anual de capacitação;n) inexistência de avaliação da gestão de TI;o) inexistência de apoio da auditoria interna à avaliação da TI;p) inexistência de estudos técnicos preliminares;q) irregularidades em contratações.6. Em razão das ocorrências acima apontadas, a unidade técnica apresentou uma

série de determinações, recomendações e alertas que contribuirão para o saneamento dasocorrências e para o aperfeiçoamento da governança de TI do Dnit.

7. Assim, por considerar papel deste Tribunal a constante indução de melhoria dagestão estatal e por estar integralmente de acordo com as medidas aventadas pela Sefti -especialmente no tocante ao crucial tema da segurança da informação, que reputo essencialpara adequado funcionamento das organizações públicas e para defesa da intimidade doscidadãos que com elas interagem - acolho as manifestações daquela Secretaria e voto pelaadoção da minuta de acórdão que trago ao escrutínio deste colegiado.

Sala das Sessões, em 6 de abril de 2011.AROLDO CEDRAZRelator

Acórdão

VISTOS, relatados e discutidos estes autos de relatório de auditoria realizada paraavaliar controles gerais de tecnologia da informação no Departamento Nacional deInfraestrutura de Transportes - Dnit.

ACORDAM os Ministros do Tribunal de Contas da União, reunidos em sessão doPlenário, ante as razões expostas pelo relator e com base nos arts. 42, §1º, e 43, I, da Lei8.443/1992, e nos arts. 245, §1º, e 250, inciso III, do Regimento Interno, em:

9.1. recomendar ao Departamento Nacional de Infraestrutura de Transportes que:9.1.1. em atenção ao Decreto-Lei 200/1967, art. 6º, I, e art. 7º, elabore plano

estratégico institucional, considerando o critério de avaliação 2 do Gespública;9.1.2. aperfeiçoe o processo de planejamento estratégico de TI, observando as

práticas do Cobit 4.1, processo PO1 - Planejamento Estratégico de TI;9.1.3. em atenção ao Decreto 5.707/2006, art. 1º, III, elabore estudo técnico de

avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futurospleitos de ampliação e preenchimento de vagas de servidores efetivos devidamentequalificados, objetivando melhor atendimento das necessidades institucionais, à semelhança doCobit 4.1, PO4.12 - Pessoal de TI;

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

24 de 27 25/5/2011 13:14

Page 25: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

9.1.4. por ocasião do estabelecimento de seu processo de software, considere asNormas NBR ISO/IEC 12.207 e 15.504;

9.1.5. implante estrutura formal de gerência de projetos, à semelhança do Cobit4.1, processo PO10.2 - Estruturas de Gerência de Projetos, e do PMBOK, entre outras boaspráticas de mercado;

9.1.6. implemente processo de gestão de incidentes de serviços de tecnologia dainformação, à semelhança do Cobit 4.1, processo DS8 - Gerenciar a central de serviços eincidentes, e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000 e a NBR27.002);

9.1.7. implemente processo de gestão de configuração de serviços de tecnologiada informação, à semelhança do Cobit 4.1, processo DS9 - Gerenciar configuração, e de outrasboas práticas de mercado (como a NBR ISO/IEC 20.000);

9.1.8. estabeleça procedimentos formais de gestão de mudanças, de acordo como item 12.5.1 da NBR ISO/IEC 27.002, à semelhança do Cobit 4.1, processo AI6 - Gerenciarmudanças, e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000);

9.1.9. quando elaborar o plano anual de capacitação, contemple ações decapacitação voltadas para gestão de tecnologia da informação, à semelhança do Cobit 4.1,processos PO7.2 - Competências pessoais e PO7.4 - Treinamento do pessoal;

9.1.10. estabeleça processo de avaliação da gestão de TI, à semelhança do Cobit4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 - Relatórios gerenciais, ME1.6 - Açõescorretivas e ME2 - Monitorar e avaliar os controles internos;

9.1.11. promova ações para que a auditoria interna apoie a avaliação da TI, àsemelhança do Cobit 4.1, ME2 - Monitorar e avaliar os controles internos;

9.1.12. implemente controles que promovam cumprimento do processo deplanejamento previsto na IN SLTI/MP 4/2010;

9.1.13. implemente controles que promovam a regular gestão contratual e quepermitam identificar se todas as obrigações do contratado foram cumpridas antes da atestaçãodo serviço;

9.2. determinar ao Departamento Nacional de Infraestrutura de Transportes que:9.2.1. em atenção à Iniciativa Estratégica 12 da Estratégia Geral de Tecnologia da

Informação (EGTI) 2010-2011, aprovada pela Resolução 7/2010-SISP, implante Comitê deTecnologia da Informação que envolva as diversas áreas do Dnit e que se responsabilize poralinhar os investimentos de tecnologia da informação com os objetivos institucionais e porapoiar a priorização de projetos a serem implantados, considerando, ainda, as diretrizes doCobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor de TI;

9.2.2. aperfeiçoe o processo de elaboração do orçamento de TI, necessário aocumprimento da Lei 12.017/2009 (LDO 2009/2010), art. 9º, II c/c Anexo II, XVIII, ou das quevierem a lhe suceder, de maneira a que solicitações de orçamento de despesas de TI estejambaseadas nas ações que se pretende executar, observando o Cobit 4.1, processo PO5.3 -Orçamentação de TI e o Gespública, critério de avaliação 7.3;

9.2.3. em atenção à Lei 8.666/1993, art. 6º, IX, e à IN SLTI/MPOG 4/2010, art.13, II, defina processo de software previamente às futuras contratações de serviços dedesenvolvimento ou manutenção de software, vinculando o contrato com o processo desoftware, sem o qual o objeto não estará precisamente definido;

9.2.4. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VI, c/c NormaComplementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança daInformação e Comunicações, observando a NBR ISO/IEC 27.002, item 6.1.2 - Coordenação desegurança da informação;

9.2.5. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, IV, e art. 7º, c/cNorma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie Gestor de Segurança daInformação e Comunicações, observando a NBR ISO/IEC 27.002, item 6.1.3 - Atribuição deresponsabilidade para segurança da informação;

9.2.6. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, V, instituaequipe de tratamento e resposta a incidentes em redes computacionais, observando a NormaComplementar 05/IN01/DSIC/GSIPR;

9.2.7. em atenção ao Decreto 4.553/2002, art. 6º, § 2º, II, e art. 67, crie critériosde classificação das informaçõe, a fim de que possam ter tratamento diferenciado conforme seu

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

25 de 27 25/5/2011 13:14

Page 26: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

grau de importância, criticidade e sensibilidade, observando o item 7.2 da NBR ISO/IEC 27.002;9.2.8. em atenção à Instrução Normativa - GSI/PR 1/2008, art. 5º, VII, c/c Norma

Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário deativos de informação, de maneira a que todos os ativos de informação sejam inventariados etenham um proprietário responsável, observando o item 7.1 da NBR ISO/IEC 27.002;

9.2.9. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII,implemente processo de gestão de riscos de segurança da informação, observando a NormaComplementar 04/IN01/DSIC/GSIPR;

9.2.10. em atenção ao Decreto 5.707/2006, art. 5º, 2º, c/c Portaria MPOG208/2006, art. 2º, I, e art. 4º, elabore Plano Anual de Capacitação para a instituição;

9.2.11. em atenção à Lei 8.666/1993, art. 66, adote as medidas necessárias àapuração e à aplicação das penalidades previstas em contrato por conta das inexecuçõescontratuais descritas no item 2.22 do relatório de auditoria;

9.2.12. no prazo de 30 (trinta) dias a contar da ciência deste acórdão, encaminheao Tribunal plano de ação para implementação das medidas aqui enumeradas, contendo:

9.2.12.1. para cada determinação, o prazo e o responsável (nome, cargo e CPF)pelo desenvolvimento das ações;

9.2.12.2. para cada recomendação cuja implementação seja consideradaconveniente e oportuna, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimentodas ações;

9.2.12.3. para cada recomendação cuja implementação não seja consideradaconveniente ou oportuna, justificativa da decisão;

9.3. alertar o Departamento Nacional de Infraestrutura de Transportes quanto àsimpropriedades a seguir, tratadas nos itens 3.21 e 3.23 do relatório de auditoria:

9.3.1. não divisibilidade do objeto, estando presentes a viabilidade técnica eeconômica, decorrente do descumprimento do art. 23, § 1º, da Lei 8.666/1993;

9.3.2. análise de mercado insuficiente, não permitindo que o administradorconclua pela conveniência e oportunidade da contratação, decorrente do descumprimento doart. 6º, IX, f; art. 7º, § 2º, II; art. 15, II e V; art. 24, VII; art. 40, § 2º, II; art. 43, IV; art. 44,§ 3º; e art. 48, todos da Lei 8.666/1993;

9.3.3. forma de pagamento prevista em contrato não vinculada a resultadosobtidos, decorrente do descumprimento do art. 3º, §1º, do Decreto 2.271/1997;

9.3.4. ausência de definição objetiva das penalidades e da fórmula de cálculo dosvalores correspondentes a serem aplicados a cada caso, decorrente do descumprimento do art.55, VII, da Lei 8.666/1993;

9.3.5. ausência de designação formal de preposto no local do serviço, pararepresentar o contratado na execução do contrato, decorrente do descumprimento do art. 68da Lei 8.666/1993;

9.3.6. inadequação de justificativas para prorrogação do contrato, decorrente dodescumprimento do art. 57, II, da Lei 8.666/1993;

9.3.7. inexecução parcial de serviços previstos em contrato sem aplicação dasdevidas sanções, decorrente do descumprimento dos arts. 66 e 87 da Lei 8.666/1993;

9.4. arquivar os presentes autos

Quorum

13.1. Ministros presentes: Benjamin Zymler (Presidente), Valmir Campelo, WaltonAlencar Rodrigues, Ubiratan Aguiar, Augusto Nardes, Aroldo Cedraz (Relator), RaimundoCarreiro, José Jorge e José Múcio Monteiro.

13.2. Ministros-Substitutos presentes: Augusto Sherman Cavalcanti, MarcosBemquerer Costa, André Luís de Carvalho e Weder de Oliveira

Publicação

Ata 11/2011 - PlenárioSessão 06/04/2011Dou 13/04/2011

Referências (HTML)

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

26 de 27 25/5/2011 13:14

Page 27: Acórdão tcu 866 2011 - dnit - avaliação de controles de ti

Anterior | Próximo

Documento(s):judoc/Acord/20110413/AC_0866_11_11_P.doc

Status do Documento na Coletânea: [Não Selecionado] Coletânea

Voltar à lista de documentos

Em caso de dúvidas, críticas e sugestões, favor entrar em contato: Jurisprudência Requisição atendida em 0.536 segundo(s).

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=11...

27 de 27 25/5/2011 13:14