Tc 011. 772/2010-7 Natureza: Relatório de Auditoria Interessado: Tribunal de Contas da União. Unidade: Secretaria de Fiscalização de Tecnologia da Informação (Sefti) Advogado constituído nos autos: não há. Sumário



Baixar 3,88 Mb.
Página4/16
Encontro01.07.2018
Tamanho3,88 Mb.
1   2   3   4   5   6   7   8   9   ...   16

elaboração, com participação de representantes dos diversos setores da organização, de um documento que materialize o plano estratégico de TI, contemplando, pelo menos:

objetivos, indicadores e metas para a TI organizacional, sendo que os objetivos devem estar explicitamente alinhados aos objetivos de negócio constantes do plano estratégico institucional;

alocação de recursos (financeiros, humanos, materiais etc);

estratégia de terceirização;

aprovação, pela mais alta autoridade da organização, do plano estratégico de TI;

desdobramento do plano estratégico de TI pelas unidades executoras;

divulgação do plano estratégico de TI para conhecimento dos cidadãos brasileiros, exceto nos aspectos formalmente declarados sigilosos ou restritos;

acompanhamento periódico do alcance das metas estabelecidas, para correção de desvios;

divulgação interna e externa do alcance das metas, ou os motivos de não as ter alcançado.

Estrutura de TI

A terceira questão de auditoria da FOC buscou verificar se a organização da TI organizacional era adequada às atividades a que ela deve dar suporte. Nesse tema foram avaliados:

funcionamento dos comitês de TI;

definição e ocupação de papéis sensíveis dentro da TI;

forma de avaliação do quadro de pessoal de TI.

Um comitê estratégico de TI tem como funções básicas assegurar que a governança de TI seja adequadamente tratada, aconselhar a direção estratégica de TI e revisar os grandes investimentos (Cobit 4.1, PO4.2). Já um comitê de direção de TI tem como atribuições típicas priorizar os investimentos de TI em alinhamento com a estratégia e as prioridades do negócio da instituição, acompanhar o status dos projetos e resolver conflitos por recursos e monitorar os níveis de serviço e as melhorias implantadas na organização (Cobit 4.1, PO4.3).

Segundo as boas práticas, espera-se encontrar dentro de um setor de TI uma estrutura formal (Cobit 4.1, PO4.5), com papéis e suas responsabilidades formalmente definidos (Cobit 4.1, PO4.6), em que os papéis sensíveis encontrem-se com responsáveis formalmente designados (Cobit 4.1, PO4.13) e que os responsáveis pela gestão da TI das organizações sejam integrantes do quadro da organização (Decreto-Lei 200/1967, art. 10, § 7º).

O Quadro 5 apresenta o resultado obtido na avaliação in loco, no qual se evidencia que:

em sete auditados o comitê não estava instituído e em outros cinco estava instituído, mas não era atuante. Somente em dois entes identificaram-se comitês atuantes;

ainda há organizações em que as atividades de gestão (planejamento, coordenação, controle e supervisão) são exercidas na prática por não servidores públicos.

A quase totalidade dos auditados não possui uma avaliação das suas necessidades de pessoal no setor de TI, a despeito do recorrente argumento de que falta pessoal nesses setores.

Quadro 5 – Estrutura de TI (achados)



Possíveis achados

Dnit

SE/MS

SE/MCT

Ibama

Susep

TRT-SP

Dnocs

SE/MRE

TRT-RS

Anatel

Finep

SE/MP

ADE

FNDE

Inexistência de comitê de TI

X







X

X

X

X







X







X




Falhas relativas ao comitê de TI







X
















X




X

X




X

Inexistência de definição formal de papéis e responsabilidades







X
















X




X







X

Papéis sensíveis sem responsável











































Papel sensível exercido por não servidor




X

X































X

Inexistência de avaliação do quadro de pessoal de TI

X




X

X

X

X

X

X

X




X

X

X

X

Falhas na avaliação do quadro de pessoal de TI




























X













Inadequação do quadro de pessoal de TI




X



















X
















Com respeito aos comitês de TI, os dados constantes do Apêndice (linha C da tabela) evidenciam que houve um auditado que declarou possuir comitê instituído, mas que, ante a ausência de evidências apresentadas à equipe do TCU, de fato não o possui, sugerindo que a situação descrita no Acórdão 2.308/2010-TCU-Plenário de fato pode ser ainda pior, ou seja, pode haver mais pesquisados que não possuem comitês de TI além dos 68% que declararam não o possuir.

Registre-se que, no monitoramento realizado (TC 028.772/2010-5; Acórdão 1.145/2011-TCU-Plenário), foi identificado que o único OGS a orientar seus jurisdicionados quanto à obrigatoriedade de designar formalmente comitês de TI foi o CNJ (a obrigação criada pela SLTI/MP por meio da IN – SLTI 4/2008 foi extinta com a publicação da nova versão da norma, a IN – SLTI 4/2010), e, mesmo assim, observou-se que um auditado do Poder Judiciário ainda não tinha dado cumprimento à orientação da Resolução 90/2009-CNJ, art. 12, sendo, diante do cenário evidenciado, oportuna e conveniente a atuação dos demais OGS.

Registre-se, por oportuno, que há um documento de autoria da SLTI/MP que trata de ‘Diretrizes do Sisp para criação de comitês de TI’ (disponível em http://www.sisp.gov.br/dotlrn/clubs/gestodetisisp/file-storage/index?folder_id=13084935), que pode ser utilizado como base para atuação dos OGS.

A consequência da ausência de comitês de TI ou comitês instituídos, mas não atuantes, pode ser evidenciada no relatório de auditoria do TC 029.120/2010-1. Naqueles autos foi registrado que a ausência de reuniões do comitê inviabilizou a apreciação de produtos de um contrato, tornando o prosseguimento da execução do contrato parcialmente inviável, visto que a apreciação dos produtos era competência do comitê (anexo 2, fl. 209, itens 398-400). Está em apuração a responsabilidade do presidente do comitê por omissão na convocação das reuniões, assim como possível dano decorrente de tal omissão.

Destarte, propõe-se recomendar à SLTI/MP que normatize a obrigatoriedade de que os entes sob sua jurisdição estabeleçam comitês de TI, observando as boas práticas sobre o tema, a exemplo do Cobit 4.1, PO4.2 – comitê estratégico de TI e PO4.3 – comitê diretor de TI (subitem ).

Recomendação análoga deve ser proposta ao CNMP e à CGPAR.

Quanto às deficiências do quadro de servidores nos setores de TI, exemplificam-se a seguir dois casos que evidenciam o tipo de risco a que a organização fica exposta em tais situações:

fundamentação de contratação produzida (e assinada) por funcionário de empresa contratada (anexo 2, fl. 38v), isto é, um particular justificando a execução de despesa com recursos públicos;

funcionário de empresa contratada mantendo relação de subordinação direta com servidor público e executando atividade de fiscalização do contrato no qual a empresa contratada é seu próprio empregador (anexo 2, fl. 141).

A mitigação desses riscos passa pelo preenchimento das funções sensíveis dos setores de TI com servidores públicos, o que não prescinde de prévia avaliação formal da adequação (quantitativa e qualitativa) do quadro de pessoal desses setores, de forma que se propõe recomendar ao MP que oriente os órgãos e entidades sob sua jurisdição a realizar avaliação quantitativa e qualitativa do pessoal do setor de TI, de forma a delimitar as necessidades de recursos humanos para que estes setores realizem a gestão das atividades de TI da organização (subitem ).

Recomendação análoga deve ser proposta ao CNJ, ao CNMP e à CGPAR.

Em outra linha de análise, trazemos excerto do relatório do Acórdão 2.308/2010-TCU-Plenário, que trata da forma de seleção dos dirigentes de TI das organizações pesquisadas (anexo 2, fl. 5):

‘58. Observa-se que 76% das instituições respondentes indicaram que seu dirigente máximo de TI tem experiência em gestão de TI. Portanto, em 24% das instituições respondentes o dirigente máximo supostamente não tem a experiência necessária em gestão de TI, o que é preocupante.

59. Também deve ser ressaltado que, em relação à formação acadêmica dos dirigentes de TI:

– a frequência de cursos superiores fora da área de TI é maior que na área de TI;

– a frequência de cursos de pós-graduação (lato ou stricto sensu) fora da área de gestão e governança de TI é menor que a de cursos técnicos de TI ou a de cursos fora da área de TI;

60. Estes números reforçam a impressão de que ainda é muito baixo o investimento das instituições na preparação de gestores de TI para efetivamente gerenciar a TI institucional, especialmente em contextos de alto requerimento de governança corporativa e de TI.’

Considerando a materialidade dos recursos despendidos com TI no Governo Federal (da ordem de R$ 18,1 bilhões), a condição estratégica da TI nas organizações públicas (ver item ) e o fato de que as lideranças são fator crítico de sucesso nos processos de governança e gestão (Acórdão 2.308/2011-TCU-Plenário), é recomendável disciplinar o acesso às funções de direção dos setores de TI com base em competências técnicas e gerenciais preestabelecidas.

Nesse sentido, propõe-se recomendar ao MP que, em atenção ao Decreto 5.707/2006, art. 5º, § 2º, c/c o art. 1º, III, discipline a forma de acesso às funções de liderança nos setores de Tecnologia da Informação, considerando as competências multidisciplinares necessárias para estas funções, que incluem, mas não se limitam a conhecimentos em TI (subitem ).

Recomendação análoga deve ser proposta ao CNJ, ao CNMP e à CGPAR.

A título de contribuição, cita-se o estudo ‘Gestão e Desenvolvimento de Competências Gerenciais Relacionadas à Tecnologia da Informação’, disponível em http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/trabalhos_academicos_TCU/biblioteca_digital/gestao_e_desenvolvimento_de_competencias_gerenciais_rela.pdf, que pode ser útil no disciplinamento recomendado.

Orçamentação de TI

Com relação ao processo orçamentário de TI, espera-se que os entes elaborem suas propostas (planejamento do orçamento) com base nas ações que efetivamente pretendem realizar, alinhadas aos objetivos de negócio (Cobit 4.1, PO5.3), e que mantenham o acompanhamento da sua execução, de forma a saber precisamente quanto foi gasto onde e qual a disponibilidade para gastos futuros (Cobit 4.1, PO5.4).

O Quadro 6 apresenta o resultado obtido na avaliação in loco, no qual se evidencia que em dez dos treze jurisdicionados auditados foram registradas desconformidades (como no Dnocs não havia contrato em vigor, este item não foi avaliado na autarquia).



Quadro 6 – Orçamentação de TI (achados)

Possíveis achados

Dnit

SE/MS

SE/MCT

Ibama

Susep

TRT-SP

Dnocs

SE/MRE

TRT-RS

Anatel

Finep

SE/MP

ADE

FNDE

Inexistência de orçamento de TI na LOA

 

 

 

 

 

 

 

 

 

 

X

 

 

 

Falhas no orçamento de TI constante da LOA

X

X

X

X

 

X

 

X

 

 

 

 

 

X

Inexistência de controle da execução do orçamento de TI

 

 

X

X

X

 

 

 

 

 

X

 

X

 

Falhas no controle da execução do orçamento de TI

 

 

X

 

 

X

 

 

 

 

 

 

 

 

Observa-se no Quadro 6 a existência de ente público sem previsão de orçamento para TI na LOA, o que, no mínimo, é inquietante ante a notória dependência de TI de todas as organizações. Compulsando os dados oferecidos pela SOF/MP no levantamento de auditoria (TC 001.484/2010-9), trabalho da fase preparatória deste TMS, identificaram-se dezenas de órgãos e entidades sem previsão de gastos com TI, o que se pode evidenciar também pela análise do Quadro 17 da LOA 2010 (Lei 12.214/2010). Cite-se, por exemplo, que apenas 22 dos 27 TRT aparecem no mencionado quadro, mas todos os 27 executaram despesas com TI no exercício de 2010.

Considerando o exposto no parágrafo anterior, propõe-se recomendar à SOF/MP que implante controles para mitigar os riscos de ocorrência de propostas orçamentárias que indevidamente não tenham previsão de despesas com tecnologia da informação (subitem ).

Analisando de outro ponto de vista, os dados constantes do Apêndice (linha D da tabela) evidenciam que houve cinco situações em que as evidências apresentadas às equipes do TCU não corroboram as respostas apresentadas à pergunta ‘A solicitação do orçamento de TI é feita com base nas estimativas de custos das contratações previstas?’, sugerindo que a melhoria identificada no Acórdão 2.308/2010-TCU-Plenário (anexo 2, fl. 7, itens 118 e 119) pode não ser real e que é maior do que 16% o percentual de pesquisados que não elabora sua proposta orçamentária de TI com base nas atividades que pretende executar.

No mesmo sentido, ainda compulsando os dados constantes do Apêndice (linha E da tabela), evidenciou-se que em três situações as evidências apresentadas às equipes do TCU não corroboram as respostas apresentadas à pergunta ‘Ao longo do exercício financeiro há controle dos gastos efetuados especificamente com TI?’, sugerindo que é menor que 88% o percentual de pesquisados que controla os gastos com TI (anexo 2, fl. 7v, item 120).

No monitoramento realizado (TC 028.772/2010-5; Acórdão 1.145/2011-TCU-Plenário), identificou-se que o único OGS a orientar seus jurisdicionados quanto à necessidade de que as propostas orçamentárias para as áreas de TI fossem elaboradas em função das atividades que se pretendessem realizar, alinhadas ao negócio da organização, foi o CNJ (anexo 2, fl. 188v, item II.4.7 e fl. 189v, item II.4.15), e, mesmo assim, observa-se no Quadro 6 que um auditado do Poder Judiciário ainda não tinha dado cumprimento à orientação da Resolução 99/2009-CNJ, art. 2º, sendo, diante do cenário evidenciado, oportuna e conveniente a atuação dos OGS, em especial da SOF/MP, órgão central do sistema de planejamento e de orçamento federal (Lei 10.180/2001).

Ante o exposto, propõe-se recomendar à SOF/MP que, com base no disposto na Lei 10.180/2001, art. 8º, II, c/c Decreto 7.063/2010, art. 17, II, normatize a obrigatoriedade de que todos os entes sob sua jurisdição estabeleçam processo de trabalho formal para elaboração e acompanhamento da execução do orçamento, contemplando, pelo menos, a obrigatoriedade de que:

a solicitação do orçamento de TI seja feita com base nas estimativas de custos das atividades que pretendam executar, alinhadas aos objetivos do negócio da organização (subitem );

haja acompanhamento, ao longo do exercício financeiro, dos gastos efetuados especificamente com TI (subitem ).

Outro aspecto a ser observado diz respeito à atuação dos OGS, decorrente do Acórdão 371/2008-TCU-Plenário, para a identificação do orçamento de TI dos entes da APF. O monitoramento realizado (TC 028.772/2010-5; Acórdão 1.145/2011-TCU-Plenário) identificou as seguintes vulnerabilidades na solução implantada pela SOF/MP (anexo 2, fl. 187):

a) risco de inconsistência de dados: da forma como implantado, o processo de coleta de informações permite o cadastramento de rubricas inexistentes ou que não sejam específicas de TI. Os dados enviados em 2010 pela SOF, por meio do Ofício 06/SECAD/SOF/MP, de 25/2/2010, permitem identificar diversas ocorrências dessa natureza (peça 29);



1   2   3   4   5   6   7   8   9   ...   16


©livred.info 2017
enviar mensagem

    Página principal