Tc 011. 772/2010-7 Natureza: Relatório de Auditoria Interessado: Tribunal de Contas da União. Unidade: Secretaria de Fiscalização de Tecnologia da Informação (Sefti) Advogado constituído nos autos: não há. Sumário



Baixar 3,88 Mb.
Página5/16
Encontro01.07.2018
Tamanho3,88 Mb.
1   2   3   4   5   6   7   8   9   ...   16

b) risco de não coleta da informação: da forma como implantado, a obtenção das informações de previsão de gastos de TI depende de anualmente inserir-se comando específico na LDO que regerá a elaboração do orçamento. No ano em que a SOF por algum motivo não fizer incluir dito comando na LDO, as informações não serão geradas. Tal fato ocorre pelo fato de o processo de trabalho implantado pela SOF não estar documentado (ou seja, não se encontra no nível de maturidade 3 – definido), o que enseja necessidade de implantação de controles para garantir que o processo ocorra todos os anos. Tais fatos deverão ser levados em consideração quando da consolidação do TMS 6 – Gestão e uso de TI.

Em seguida, o monitoramento conclui pela possibilidade de ‘haver necessidade de implantar controles para mitigar o risco de inconsistência e de descontinuidade no envio das informações ao TCU, o que será levado em consideração quando da consolidação do TMS 6 – Gestão e uso de TI’ (anexo 2, fl. 187, item 58).

Considerando as vulnerabilidades supra, propõe-se determinar à SOF/MP que, em atenção ao Decreto-Lei 200/1967, art. 75, encaminhe, à Secretaria de Fiscalização de Tecnologia da Informação do Tribunal de Contas da União (Sefti/TCU):

no prazo de quinze dias após o envio do projeto da Lei de Diretrizes Orçamentárias ao Congresso Nacional, as medidas adotadas para permitir a identificação clara, objetiva e transparente da previsão dos gastos em TI no Orçamento Geral da União ou, alternativamente, normatize o processo de trabalho para obtenção de ditas informações, valendo-se da competência prevista no Decreto 7.063/2010, art. 17, II (subitem ).

Em outra linha, por meio do item 9.4.3 do Acórdão 2.308/2010-TCU-Plenário, o TCU determinou à Sefti que:

9.4.3. defina e mantenha processo de trabalho permanente e sustentável de acompanhamento da governança de tecnologia da informação na administração pública federal, de modo a subsidiar processos de fiscalização do TCU em TI e processos de planejamento e controle das unidades jurisdicionadas a esta Corte, com definição, se possível, de periodicidade regular para realização de levantamentos gerais como o ora examinado e de mecanismos para coleta de evidências destinadas a aumentar a confiabilidade das informações colhidas mediante questionários;

Um dos mecanismos necessários para coletar evidências consiste na obtenção das informações orçamentárias (dotação e execução orçamentária) dos jurisdicionados.

Por meio do Siafi Gerencial, é possível à Sefti/TCU obter os dados da execução orçamentária da despesa de TI, uma vez que, conforme relatado no monitoramento (anexo 2, fl. 187, item 59), estão estabelecidas contas contábeis para liquidação dessas despesas no MANUAL SIAFI WEB, Seção 021100 (‘Outros Procedimentos’), Macrofunção 021130 (‘DESPESAS COM TI’).

Já para as informações sobre a dotação orçamentária, esta Secretaria tem tido acesso às informações por meio de solicitações sob demanda, como ocorreu com as informações encaminhadas por meio do Ofício 6/Secad/SOF/MP, de 23/2/2010, durante a fase de preparação do TMS (TC 001.484/2010-9). Assim, como forma de sistematizar o recebimento pelo TCU das informações orçamentárias de TI, propõem-se as determinações a seguir.

Determinar à SOF/MP que, em atenção ao Decreto-Lei 200/1967, art. 75, encaminhe, à Secretaria de Fiscalização de Tecnologia da Informação do Tribunal de Contas da União (Sefti/TCU):

no prazo de quinze dias após o envio do Projeto da Lei Orçamentária Anual (PLOA) ao Congresso Nacional, relação da previsão das despesas com TI que constam do PLOA, em meio magnético, na forma de banco de dados editável ou planilha eletrônica, no maior detalhamento possível, preferencialmente no formato encaminhado por meio do Ofício 06/SECAD/SOF/MP, de 25/2/2010, ou, alternativamente, disponibilize funcionalidade nos seus sistemas informatizados para que a Sefti/TCU possa acessar os dados requeridos para o atendimento da determinação (subitem );

no prazo de quinze dias após a publicação da Lei Orçamentária Anual (LOA), relação da previsão das despesas com TI que constam da LOA, em meio magnético, na forma de banco de dados editável ou planilha eletrônica, no maior detalhamento possível, preferencialmente no formato encaminhado por meio do Ofício 06/SECAD/SOF/MP, de 25/2/2010, ou, alternativamente, disponibilize funcionalidade nos seus sistemas informatizados para que a Sefti/TCU possa acessar os dados requeridos para o atendimento da determinação (subitem );

Determinação análoga deve ser dirigida ao Dest/MP.

Processo de software

Constam da ABNT NBR ISO/IEC 12.207 as seguintes definições:

4.25 processo – conjunto de atividades que se relacionam ou interagem e que transformam entradas em saídas [ABNT NBR ISO 9000:2005].

(...)

4.28 produto – resultado de um processo [ABNT NBR ISO 9000:2005].



(...)

4.42 produto de software – conjunto de programas de computador, procedimentos e possíveis documentação e dados associados.

Um processo de software é, portanto, um conjunto de atividades que transformam requisitos de usuários (entrada do processo) em um produto de software. Por oportuno, chamamos a atenção para o fato de que o produto de software não é composto apenas dos programas de computadores, mas inclui outros itens. Mais ainda, destacamos que os diversos itens que compõem o produto de software são gerados ao longo da execução do processo de software.

Diante dos conceitos apresentados, tem-se que, na contratação de serviços de desenvolvimento ou manutenção de software, é exatamente o processo de software que define o serviço objeto do contrato.

Sendo assim, a definição do processo de software e sua vinculação ao edital e ao contrato é condição necessária para a definição precisa do objeto, nos termos previstos na Lei 8.666/1993, art. 6º, IX. Nessa esteira, há diversos precedentes de julgados do TCU, como, por exemplo:

Acórdão 953/2009-TCU-Plenário:

(...)

1.5. Determinar ao Ministério da Defesa que, nas contratações de serviços de Tecnologia da Informação, em especial no caso de elaboração e publicação de novo edital de licitação em substituição ao Edital da Concorrência nº 03/2008:



(...)

1.5.2. em atenção ao art. 6º, inciso IX, da Lei nº 8.666/93, defina formalmente um processo de desenvolvimento de software, previamente à contratação de serviços de desenvolvimento ou manutenção de software, conforme preconiza o item PO 8.3 do Cobit 4.1 e em consonância com os Acórdãos 2.023/2005-Plenário, item 9.1.5 e 436/2008-Plenário, item 9.1.5, vinculando o contrato com o processo de desenvolvimento de software, sem o qual o objeto não estará precisamente definido;

Acórdão 71/2007-TCU- Plenário:

(...)


9.2. determinar, com fulcro no art. 43, inciso I, da Lei nº 8.443, de 16 de julho de 1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, à Secretaria Nacional de Segurança Pública do Ministério da Justiça – Senasp/MJ que:

(...)


9.2.9. defina formalmente padrões para desenvolvimento de sistemas no âmbito do Infoseg, à semelhança das orientações contidas no item PO8.3 do COBIT 4.0;

Acórdão 2.023/2005 – Plenário: 9.1. determinar à Secretaria Executiva do Ministério do Trabalho e Emprego que:

(...)

9.1.5. estabeleça e divulgue uma metodologia para desenvolvimento de sistemas (novos e legados), indique seus artefatos e produtos e detalhe seus requisitos mínimos, conforme preconiza o item PO 11.5 do Cobit (item 2.3 do relatório de auditoria); entre outros objetivos, essa metodologia deve regulamentar o desenvolvimento e a manutenção de sistemas pelas outras coordenações e unidades descentralizadas do Ministério, de modo a assegurar níveis mínimos de padronização e segurança dos mesmos (item 2.8 do relatório de auditoria);



Registre-se ainda que um dos processos do ciclo de vida de software descrito na ABNT NBR ISO/IEC 20.207 é o processo de aquisição de software.

Ainda que a organização não contrate serviços dessa natureza, mas sim execute o desenvolvimento e manutenção de software com pessoal próprio (que não é o caso da maioria das organizações públicas), a definição do processo de software utilizado na organização é um controle geral de TI que apoia a qualidade do software produzido, sendo boa prática seu estabelecimento formal.

Para a definição dos processos de software, as organizações podem utilizar-se das normas brasileiras ABNT ISO/IEC 12.207 e 15.504, além de modelos comerciais, como o CMMI e o MPS.BR, este último criado e mantido pela Softex com recursos públicos federais.

Nesse contexto, a quinta questão de auditoria da FOC buscou evidenciar se ‘Há processo de software estabelecido no Unidade?’. O Quadro 7 sumariza os resultados, em que se observa que a totalidade dos auditados avaliados tem problemas, sendo que a maioria deles (dez) não possuíam processo de software.

Os dados constantes do Apêndice (linha F da tabela) evidenciam que, apesar de haver situações em que as evidências apresentadas às equipes do TCU não corroboram as respostas apresentadas à pergunta ‘Há processo de software?’, os resultados discrepantes não sugerem alteração no resultado constante do Acórdão 2.308/2010-TCU-Plenário (anexo 2, fl. 6, item 2.4.2), de que mais da metade das organizações não possuem processo de software, e, consequentemente, quando contratam serviços de desenvolvimento ou manutenção de software, fazem-no de forma ilegal, em virtude de indefinição de objeto.

Quadro 7 – Processo de software (achados)



Possíveis achados

Dnit

SE/MS

SE/MCT

Ibama

Susep

TRT-SP

Dnocs

SE/MRE

TRT-RS

Anatel

Finep

SE/MP

ADE

FNDE

Inexistência de processo de software

X

 

X

X

X

X

X

 

X

 

X

X

X

(3)

Falhas no processo de software

 

X

 

 

 

 

 

X

 

X

 




 

 

(3) Controle formalizado ao final da fase de execução da auditoria, de forma que não foi avaliado.

No monitoramento realizado (TC 028.772/2010-5; Acórdão 1.145/2011-TCU-Plenário), identificou-se que os OGS não lograram orientar seus jurisdicionados quanto à necessidade de estabelecimento de processo de software (anexo 2, fl. 188, item II.4.4 e fl. 189v, item II.4.13), sendo, diante do cenário evidenciado, oportuna e conveniente a atuação dos OGS.

As consequências da inexistência de processo de software vinculado ao edital e contrato são diversas, das quais ressaltamos os seguintes dois riscos:

divergência de expectativas entre as partes contratantes, visto que o contratado pode entender que deve executar um processo de software mais simples (e mais barato), gerando, portanto, menos componentes do software (e.g., somente códigos-fonte e executável), enquanto o contratante entende que devem ser gerados mais componentes de software (e.g., documentos de análise e projeto, códigos-fonte e executável, casos de testes, manuais de usuário), o que pode inviabilizar a execução do contrato;

contratação por valor acima do mercado, pois sem a definição do processo de software não há como estimar o preço do serviço de forma aceitável.

O processo de software é controle que mitiga riscos de que o software desenvolvido ou adquirido tenha baixa qualidade, contribuindo para que não ocorram situações como a relatada no TC 010.474/2010-2, em que foi evidenciado que o Sistema de Acompanhamento de Contratos do Dnit (Siac), sistema crítico para a Autarquia, capaz de parar imediatamente o seu negócio (anexo 2, fl. 212, item 9), não possuía dicionário de dados (anexo 2, fl. 221, achado 3.3), a despeito de manipular mais de uma centena de tabelas, com milhares de campos no total. A ausência de dicionário de dados decerto contribuirá de forma negativa no caso de necessidade de manutenções no sistema, quando, não raro, os técnicos necessitam consultar esse artefato para efetuar dita manutenção.

A título exemplificativo, citamos a boa prática identificada por ocasião de auditoria realizada no BNB, apreciada por meio do Acórdão 193/2009-TCU-Plenário, no qual foi registrado que o Banco definiu processo de software, vinculou o contrato de desenvolvimento e manutenção de software ao processo e praticou adequada gestão contratual, utilizando-se dos critérios definidos em seu processo de software para aferir os produtos entregues ao longo da execução contratual.

Outro exemplo de consequência possível ante a ausência desse controle geral de TI foi observado no Ministério da Saúde, o que contribuiu para a existência de software com inconsistências entre as regras utilizadas no sistema informatizado (SIG) que apoia o Sistema Nacional de Transplantes (SNT) e as regras definidas pelos normativos que regem o SNT, nos termos relatados no TC 029.074/2010-0 (anexo 2, fl. 254, item 2.14.5):

225. Embora não tendo acesso à base de dados do sistema conforme requerido pela equipe de auditoria, foi possível identificar, especialmente na ocasião das visitas às CNCDO, algumas inconsistências entre as regras utilizadas pelo SIG e as regras definidas pelo Regulamento Técnico do SNT (Portaria – MS 2.600/2009).

226. As inconsistências identificadas referem-se, em suma, aos seguintes fatos:

a) não consideração de situações especiais na pontuação atribuída a receptores (em casos bem específicos);

b) falta de acesso dos receptores a informações de seus prontuários;

c) permissões indevidas de acesso e alteração de informações do receptor por não membro de equipe especializada;

d) permissão indevida de inserção de um receptor em situação especial pela equipe especializada;

e) critério de desempate incorreto para pontuação de potenciais receptores em situação especial.

227. Registre-se que a ausência de um processo de software padronizado no Datasus (Acórdão 757/2011-TCU-Plenário, item 9.2.4) contribui para que as regras de negócio estejam implementadas de forma desconforme com as previsões da Portaria-MS 2.600/2009, pois, por exemplo, a prática da disciplina de gestão de requisitos aliada a um processo de homologação adequado mitigaria os riscos de erros como relatados neste achado.

Para avaliar a gravidade da situação descrita, o TC 029.074/2010-0 registrou ainda que as inconsistências identificadas podem ter como consequência a alteração indevida de posições na lista de receptores de órgãos para transplantes (anexo 2, fl. 254, item 2.14.3), podendo acarretar, em último caso, a morte indevida de um cidadão.

Diante desse cenário, entende-se necessário que os OGS elaborem modelos de processo de software para seus jurisdicionados, bem como estabeleçam a obrigatoriedade de que os jurisdicionados adotem formalmente um processo de software para si, que pode ser o próprio modelo criado pelo OGS, ou outro, motivo pelo qual se propõe recomendar à SLTI/MP que:

elabore um modelo de processo de software para a os entes sob sua jurisdição, observando as boas práticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI); subitem );

estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem um processo de software para si, observando as boas práticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem ).

Recomendação análoga deve ser proposta ao CNJ, ao CNMP e à CGPAR.

Ademais, propõe-se determinar à SLTI/MP que, em atenção ao previsto no Decreto 7.579/2011, art. 4º, V, oriente os entes sob sua jurisdição sobre necessidade de vincular seus contratos de serviços de desenvolvimento ou manutenção de software a um processo de software, pois, sem esta vinculação, o objeto do contrato não estará precisamente definido, em desconformidade com o disposto na Lei 8.666/1993, art. 6º, inciso IX (subitem ).

Determinação análoga deve ser proposta ao CNJ, ao CNMP e à CGPAR.

Processo de gerenciamento de projetos

A sexta questão de auditoria da FOC buscou avaliar se ‘Há processo de gerenciamento de projetos de TI estabelecido no Unidade?’, e os resultados da avaliação in loco constam do Error: Reference source not found.

A observação do quadro supra permite identificar que a definição de uma estrutura para gerenciamento de projetos não é prática dos auditados, ainda que seja razoável supor que todos eles conduzem projetos de tecnologia da informação.

Por meio do Acórdão 2.308/2010-TCU-Plenário (anexo 2, fl. 18, questão 7.4), obteve-se a informação de que pelo menos 69% dos pesquisados não adotam um padrão para o gerenciamento de projetos de TI. Analisando os dados constantes do Apêndice (linha G da tabela), foi evidenciado que houve duas situações em que as evidências apresentadas às equipes do TCU não corroboram as respostas apresentadas à pergunta 7.4 do perfil GovTI2010, sugerindo que o percentual de entes da APF que não possuem estrutura de gerenciamento de projetos de TI pode ser ainda maior.

A consequência da ausência ou da deficiência de uma estrutura de gerenciamento de projetos de TI pode ser observada da leitura do excerto abaixo (TC 029.074/2010-0), que identificou falhas na implantação do SIG, sistema informatizado que dá suporte ao SNT (anexo 2, fl. 254v, item 2.15.6):

239. A Central Nacional de Transplantes (CNT) é a unidade do SNT que possui a atribuição de efetuar a distribuição de órgãos em âmbito nacional, no caso de não utilização no estado onde o órgão foi doado, além de outras atribuições relacionadas à coordenação de logística e à distribuição de órgãos e tecidos no processo de doação/transplante em âmbito nacional.

240. Para que a CNT pudesse atender a tal atribuição e contar com as novas facilidades que o Sistema Informatizado de Gerenciamento (SIG) oferece, seria determinante a utilização do sistema por todas as centrais estaduais de transplantes (CNCDO), e também pela própria Central Nacional.

241. Contudo, em função da implantação paulatina e parcial do SIG nos estados, aliada a não implantação e uso do módulo a ser utilizado pela CNT, houve limitações técnicas para que a Central Nacional pudesse atender plenamente às regras do negócio do SNT, as quais somente serão sanadas com a utilização do novo sistema por todos os estados e pela própria CNT.

242. Registre-se que falhas no processo de gerenciamento de projetos, tais como as identificadas no âmbito da auditoria de controles gerais de TI do Ministério da Saúde (TC 013.718/2010-0, Acórdão 757/2011-TCU-Plenário, item 9.1.4), contribuíram para a ocorrência das falhas relatadas neste achado.

Quadro 8 – Processo de gerenciamento de projetos (achados)


Possíveis achados

Dnit

SE/MS

SE/MCT

Ibama

Susep

TRT-SP

Dnocs

SE/MRE

TRT-RS

Anatel

Finep

SE/MP

ADE

FNDE

Inexistência de processo de gerenciamento de projetos

X

 

X

X

X

X

X

X

X

X

X

X

X

(3)

Falhas no processo de gerenciamento de projetos

 

X

 

 

 

 

 

 

 

 

 

 

 




(3) Controle formalizado ao final da fase de execução da auditoria

Quanto a esse tema, os acórdãos estruturantes monitorados (TC 028.772/2010-5; Acórdão 1.145/2011-TCU-Plenário) não expediram orientação específica e, diante do cenário evidenciado, entende-se oportuna e conveniente a atuação dos OGS, de forma que se propõe recomendar à SLTI/MP que:

elabore um modelo de estrutura de gerenciamento de projetos para os entes sob sua jurisdição, observando as boas práticas sobre o tema (e.g., PMBoK; subitem );

estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem um processo de gerenciamento de projetos para si, observando as boas práticas sobre o tema (e.g., PMBoK; subitem ).

Recomendação análoga deve ser proposta ao CNJ, ao CNMP e à CGPAR.

Processos de gestão de serviços

A sétima questão de auditoria da FOC buscou verificar se ‘Há processos de gestão de serviços de TI que apoiem o Unidade na administração da qualidade dos serviços de TI?’. Nesse tema foram avaliados três processos, cujos objetivos, segundo a NBR ISO/IEC 20.000, são:

gestão de configuração – ‘definir e controlar os componentes do serviço e infraestrutura e manter informação precisa da configuração’, processo cuja importância reside em manter uma base de dados de itens de configuração do ambiente de TI, chamada CMDB (Configuration Management DataBase), que é a base para o funcionamento dos demais processos de gestão de serviços;

gestão de incidentes – ‘restaurar o mais rápido possível os serviços acordados com a organização, ou responder às requisições dos serviços’, ou seja, processo cuja importância está ligada ao fato de que é por meio dele que é restaurado diretamente o fornecimento de serviços dos quais dependem os usuários finais;

gestão de mudanças – ‘assegurar que todas as mudanças sejam avaliadas, aprovadas, implementadas e revisadas de maneira controlada’, que é considerado o processo mais crítico no modelo preconizado pelo Cobit 4.1, pois é por meio dele que a consistência dos serviços com continuidade é mantida.

O Quadro 9 apresenta o resultado das avaliações in loco, e, por meio dele, é possível evidenciar que o tema gestão de serviços não encontra prioridade nos auditados.

Quadro 9 – Processos de gestão de serviços (achados)



Possíveis achados

Dnit

SE/MS

SE/MCT

Ibama

Susep

TRT-SP

Dnocs

SE/MRE

TRT-RS

Anatel

Finep

SE/MP

ADE

FNDE

Inexistência do processo de gestão de incidentes

X

X

X

X

X

X

X

X

 

X

X

X

X

 

Falhas no processo de gestão de incidentes

 

 

 

 

 

 

 

 

X

 

 

 

 

 

Inexistência do processo de gestão de configuração

X

X

X

X

X

X

X

X

X

X

X

X

X

 

Falhas no processo de gestão de configuração

 

 

 

 

 

 

 

 

 

 

 

 

 

X

Inexistência do processo de gestão de mudanças

X

X

X

X

X

X

X

X

X

X

X

X

X

 

Falhas no processo de gestão de mudanças

 

 

 

 

 

 

 

 

 

 

 

 

 

 

No monitoramento realizado (TC 028.772/2010-5; Acórdão 1.145/2011-TCU-Plenário), identificou-se que os OGS promoveram algum tipo de orientação aos seus jurisdicionados quanto à necessidade de implantar e aperfeiçoar a gestão de níveis de serviço (anexo 2, fl. 188, item II.4.5 e fl. 189v, item II.4.14). Entretanto, o cenário evidenciado sugere que é oportuna e conveniente atuação mais contundente dos OGS, de forma que se propõe recomendar à SLTI/MP que:

elabore um modelo de processo de gestão de serviços para os entes sob sua jurisdição que inclua, pelo menos, gestão de configuração, gestão de incidentes e gestão de mudança, observando as boas práticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem );

estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem processos de gestão de serviços para si, incluindo, pelo menos, gestão de configuração, gestão de incidentes e gestão de mudança, observando as boas práticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem ).

Recomendação análoga deve ser proposta ao CNJ, ao CNMP e à CGPAR.

Segurança da informação

No tema segurança da informação, foram feitas avaliações nos seguintes temas:

existência de responsável pela segurança da informação;

funcionamento do comitê de segurança da informação;

política de segurança da informação;

equipe de tratamento e resposta a incidentes em redes computacionais;

inventário de ativos de informação;

classificação da informação;

gestão de riscos de segurança da informação.

Registre-se que esses controles gerais de TI estão positivados em normas complementares do GSI/PR e na IN – GSI/PR 1/2008.

O Quadro 10 resume a situação encontrada na avaliação realizada in loco, cenário esperado ante os resultados constantes do Acórdão 2.308/2010-TCU-Plenário.

Quadro 10 – Segurança da informação (achados)



Possíveis achados

Dnit

SE/MS

SE/MCT

Ibama

Susep

TRT-SP

Dnocs

SE/MRE

TRT-RS

Anatel

Finep

SE/MP

ADE

FNDE

Inexistência de gestor de segurança da informação e comunicações

X

X

X

X

X

X

X

X

 

 

 

X

X

X

Inexistência de comitê de segurança da informação e comunicações

X

X

 

X

X

X

X

X

 

 

 

 

X

 

Falhas no comitê de segurança da informação e comunicações

 

 

X

 

 

 

 

 

 

 

 

 

 

X

Inexistência de Política de Segurança da Informação e Comunicações (Posic)

 

X

X

X

X

X

X

X

 

X

X

 

X

 

Falhas na Política de Segurança da Informação e Comunicações (Posic).

 

 

 

 

 

 

 

 

X

 

 

X

 

X

Inexistência de Equipe de Tratamento e Resposta a Incidentes em redes computacionais (Etri).

X

X

X

X

X

 

X

X

X

X

X




X

 

Falhas na Equipe de Tratamento e Resposta a Incidentes em redes computacionais (Etri)

 

 

 

 

 

 

 

 

 

 

 

X

 

X

Inexistência de classificação da informação

X

X

X

X

X

X

X

 

X

X

X

X

X

 

Não classificação de informações conforme níveis de segurança

 

 

 

 

 

 

 

 

 

 

 




 

X

Inexistência de inventário dos ativos de informação

X

X

X

X

X

X

X

 

 

X

X

X

X

X

Falhas no inventário dos ativos de informação

 

 

 

 

 

 

 

X

X

 

X

 

 

 

Inexistência de processo de Gestão de Riscos de Segurança da Informação (GRSIC)

X

X

X

X

X

X

X

X

 

X

X

X

X

X

Falhas no processo de Gestão de Riscos de Segurança da Informação (GRSIC).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Os dados coletados por meio do trabalho que culminou no Acórdão 2.308/2010-TCU-Plenário permitiram sinalizar que a situação da segurança da informação na APF era crítica, nos seguintes termos (anexo 2, fl. 5-5v):

64. A Figura 7 apresenta os resultados obtidos em 2010 comparados aos obtidos em 2007. Observe-se que, neste caso, o gráfico apresentado refere-se à ausência das práticas recomendadas, para compatibilizar melhor com a maneira como essa informação foi apresentada em 2007.



Figura 1 – Indicadores de deficiências em segurança da informação (fonte: Acórdão 2.308/2010-TCU-Plenário)

(...)

69. Percebe-se que, em todos os casos, não houve melhora nos processos que tratam de segurança da informação na APF. Ou seja, se em 2007 a situação já se mostrava preocupante, atualmente é ainda pior, uma vez que o alarme foi soado por meio do Acórdão nº 1.603/2008-TCU-Plenário e, um ano e meio depois, o quadro não apresenta evidências de melhora.



70. Se em 2007 havia o entendimento de que a maior parte das instituições estava exposta a riscos diversos e não mapeados, hoje, além de a Administração estar exposta aos mesmos riscos, não está agindo para saneá-los com a agilidade que o caso requer.

Analisando os dados constantes do Apêndice (linhas K até P da tabela), foi evidenciado que houve doze situações em que as evidências apresentadas às equipes do TCU não corroboram as respostas apresentadas às perguntas do perfil GovTI2010 no tema segurança da informação, sugerindo que a situação com respeito à segurança da informação, que foi declarada como muito ruim, pode ser de fato ainda pior.

No monitoramento realizado (TC 028.772/2010-5; Acórdão 1.145/2011-TCU-Plenário), identificou-se que o GSI/PR implementou as recomendações propostas pelo TCU (anexo 2, fl. 188v, item II.4.9 e fl. 192v, item II.6.10), publicando a Instrução Normativa – GSI/PR 1/2008 e mais nove normas complementares até 2010, o que consiste em um arcabouço normativo considerável sobre o tema. O mesmo trabalho apontou algumas iniciativas do CNJ nesse tema e nenhuma iniciativa concreta do CNMP (anexo 2, fl. 188, item II.4.3 e fl. 192v, item II.6.10).

A despeito da atuação do GSI/PR e do CNJ, a situação encontrada no conjunto de trabalhos evidencia que a informação na APF continua exposta a riscos de segurança em larga medida, o que justifica proposta de aperfeiçoamento da atuação dos OGS.

Como consequências da ausência dos controles gerais de TI no tema segurança da informação, ou sua implantação de forma desconforme ao preconizado pelas normas e pelas boas práticas, citam-se os seguintes casos:

no Ministério da Saúde, onde não há nenhum dos sete controles gerais de segurança testados, os dados do sistema que suporta o Sistema Nacional de Transplantes (SNT), contendo informações sobre a intimidade de potenciais receptores de órgãos, podem ser alterados e consultados por usuários que, segundo o regulamento do SNT e a Constituição Federal, não deveriam poder fazê-los (anexo2, fl. 250-250v, itens 119-120 e fl. 252v, item 183);

no Dnit, onde não há seis dos sete controles testados, não há política de controle de acesso nem procedimento para gerenciamento de usuário, o que contribui para a atribuição de perfis de usuários e realização de operações em desconformidade com as regras de segregação de funções e para a atribuição de perfis de usuários e realização de operações em desconformidade com os controles de acessos sensíveis (anexo 2, fl. 221v, item 360), que a seu turno contribuiu para fraudes consistindo no pagamento por serviços não prestados em uma de suas superintendências estaduais (Acórdão 2.766/2009-TCU-Plenário);

no MCT, onde não foram implantados seis dos sete controles testados e a implantação do comitê de segurança não foi seguida de seu efetivo funcionamento, evidenciou-se a terceirização (ilegal) de diversas atividades de gestão de segurança da informação (anexo 2, fl. 208v, item 396) e execução de despesa sem que houvesse efetivo aperfeiçoamento da segurança da informação no Ministério (anexo 2, fl. 209, item 406);

no Ibama, onde não há nenhum dos sete controles gerais de segurança testados, o compartilhamento de senhas no setor contábil da superintendência da Fundação em Goiás contribuiu para desvios praticados por uma servidora (TC 003.921/2008-9, Acórdão 458/2011-TCU-Plenário, item 9.4.3).

Ante oportunidade de atuação, propõe-se recomendar ao CNMP que (subitem ):

estabeleça a obrigatoriedade de que os entes sob sua jurisdição implementem os seguintes controles gerais de TI relativos à segurança da informação:

nomeação de responsável pela segurança da informação na organização, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 6.1.3 – Atribuição de responsabilidade para segurança da informação;

criação de comitê para coordenar os assuntos de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 6.1.2 – Coordenação de segurança da informação;

processo de gestão de riscos de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27005 – Gestão de riscos de segurança da informação;

estabelecimento de política de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 5.1 – Política de segurança da informação;

processo de elaboração de inventário de ativos, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 7.1 – inventário de ativos;

processo de classificação da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 7.2 – classificação da informação, processo necessário segundo o Decreto 4.553/2002, art. 6º, § 2º, inciso II e art. 67;

crie procedimentos para orientar os entes sob sua jurisdição na implementação dos controles acima.

Considerando a necessidade de os entes do Poder Judiciário serem orientados sobre como implantar os controles gerais de segurança da informação, propõe-se recomendar ao CNJ que crie procedimentos para orientar os entes sob sua jurisdição na implementação dos seguintes controles (subitem ):

nomeação de responsável pela segurança da informação na organização, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 6.1.3 – Atribuição de responsabilidade para segurança da informação;

criação de comitê para coordenar os assuntos de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 6.1.2 – Coordenação de segurança da informação;

processo de gestão de riscos de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27005 – Gestão de riscos de segurança da informação;

estabelecimento de política de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 5.1 – Política de segurança da informação;

processo de elaboração de inventário de ativos, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 7.1 – inventário de ativos;

processo de classificação da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 7.2 – classificação da informação, processo necessário segundo o Decreto 4.553/2002, art. 6º, § 2º, inciso II, e art. 67.

Com respeito à ausência de implantação dos controles positivados pelo GSI/PR por parte dos entes do Poder Executivo, propõe-se recomendar ao GSI/PR que:

em atenção à Lei 10.168/2003, art. 6º, IV, articule-se com as escolas de governo, notadamente com a Enap, a fim de ampliar a oferta de ações de capacitação em segurança da informação para os entes sob sua jurisdição (subitem );

em atenção à Lei 10.168/2003, art. 6º, IV, oriente os órgãos e entidades sob sua jurisdição que a implantação dos controles gerais de segurança da informação positivados nas normas do GSI/PR não é faculdade, mas obrigação da alta administração, e sua não implantação sem justificativa é passível da sanção prevista na Lei 8.443/1992, art. 58, II (subitem ).

Deliberações análogas devem ser propostas ao CNJ e ao CNMP.

Por fim, ainda que a análise das normas expedidas pelos OGS não fizesse parte do escopo dos trabalhos planejados, após análise perfunctória, considera-se oportuno recomendar ao GSI/PR que reveja a Norma Complementar 4/IN01/DSIC/GSIPR, uma vez que aborda o tema considerando apenas ativo de informação e não ativo em sentido amplo, como o faz a NBR ISO/IEC 27.002 no item 7.1.1 (subitem ).

Processo de capacitação em TI

A nona questão de auditoria da FOC (‘Q9 – Há plano de capacitação de profissionais de TI que auxilie no desenvolvimento das competências necessárias para a boa execução dos trabalhos?’) buscou avaliar se os auditados planejavam capacitação para seu pessoal e se nesse planejamento havia previsão de capacitação em gestão de TI (planejamento, coordenação, supervisão e controle). O resultado da avaliação in loco consta do Quadro 11, em que se observa que apenas um auditado planejou nos termos esperados:



Quadro 11 – Processo de capacitação de profissionais de TI (achados)

Possíveis achados

Dnit

SE/MS

SE/MCT

Ibama

Susep

TRT-SP

Dnocs

SE/MRE

TRT-RS

Anatel

Finep

SE/MP

ADE

FNDE

Inexistência de plano anual de capacitação

X

X

X

X

 

 

X

X

X

 

X

X

X

 

Plano anual de capacitação não contempla a área de gestão de TI

 

 

 

 

X

X

 

 

 

X

 

 

 

 

Por meio do Acórdão 2.308/2010-TCU-Plenário (anexo 2, fl. 17 questão 6.3), obteve-se a informação de que pelo menos 45% dos pesquisados não têm critério para avaliação e atendimento aos pedidos de capacitação em gestão de TI. Analisando os dados constantes do Apêndice (linha Q da tabela), foi evidenciado que houve seis situações em que as evidências apresentadas às equipes do TCU não corroboram as respostas apresentadas à pergunta 6.3 do perfil GovTI2010, sugerindo que o percentual de entes da APF que não possuem tais critérios pode ser de fato ainda maior.

A Política e as Diretrizes para o Desenvolvimento de Pessoal da Administração Pública Federal direta, autárquica e fundacional estabelecem como diretriz: ‘a capacitação gerencial do servidor e sua qualificação para o exercício de atividades de direção e assessoramento’ (Decreto 5.707/2006, art. 3º, III).

Quanto a esse tema, os itens 9.1.2 e 9.4.2 do Acordão 1.603/2008-TCU-Plenário (anexo 2, fls. 187v-188, item II.4.2, e fls. 189-189v, item II.4.12) já haviam recomendado ao CNJ, ao CNMP e ao MP que tomassem providencias para garantir a quantidade e a capacitação adequadas do quadro de servidores em TI. O monitoramento dessas recomendações (TC 028.772/2010-5; Acórdão 1.145/2011-TCU-Plenário) concluiu ter havido atendimento parcial pelos dois primeiros OGS e total pelo último. Entretanto, as ausências e deficiências efetivamente encontradas nas auditorias in loco justificam uma ação estruturante ainda mais abrangente que as anteriormente recomendadas, pelo que se propõe recomendar ao Comitê Gestor da Política Nacional de Desenvolvimento de Pessoal que, em atenção ao Decreto 5.707/2006, art. 7º, II e IV:

oriente os órgãos e entidades sob sua jurisdição sobre a obrigatoriedade de aprovar o plano anual de capacitação, nos termos do Decreto 5.707/2006, arts. 5º e 2º, c/c Portaria MP 208/2006, art. 2º, I, e art. 4º (subitem );

estabeleça, após consulta à Secretaria de Logística e Tecnologia da Informação, um programa de capacitação em governança e em gestão de tecnologia da informação (subitem ).

Recomendação análoga deve ser proposta ao CNJ, ao CNMP e à CGPAR.

Processo de contratação e gestão de soluções de TI

As questões onze e doze das auditorias da FOC trataram dos processos de contratação e gestão contratual de soluções de TI, em que se buscou verificar:

se haviam controles que promovessem o cumprimento do processo de contratação previsto na IN – SLTI 4/2008 (vigente à época) ou outro processo que, no mínimo, promovesse a realização dos obrigatórios estudos técnicos preliminares (Lei 8.666/1993, art. 6º, IX) antes da elaboração do Termo de Referência ou Projeto Básico;

se o processo previsto na referida IN era cumprido, ou se os estudos técnicos preliminares eram realizados;

se havia desconformidade nas contratações;

se havia controles que promovessem a regular gestão contratual;

se havia conformidade na gestão contratual.

Registre-se que, ante a inexistência de contratos em vigor no Dnocs (anexo 2, fl. 109, item 1.5), a Autarquia não foi considerada na consolidação desse tema.

O Quadro 12 e o Quadro 13 sintetizam o resultado das avaliações in loco.

As teses prospectadas e confirmadas foram que:

a ausência de controles na contratação contribui para que o processo da IN – SLTI 4/2008 não seja cumprido ou os estudos técnicos preliminares não sejam realizados;

o descumprimento do processo da IN – SLTI 4/2008 ou a não realização dos estudos técnicos preliminares contribui para desconformidades nas contratações;

a ausência de controles na gestão contratual contribui para a sua desconformidade.

Sobre o tema, merece destaque a IN-SLTI/MP 4/2010 (sucessora da IN-SLTI/MP 4/2008), que instituiu processo de contratação de soluções de TI no âmbito do Sisp e que, se cumprida, tende a mitigar os riscos nas contratações de TI.

No monitoramento realizado (TC 028.772/2010-5; Acórdão 1.145/2011-TCU-Plenário), registrou-se (anexo 2, fl. 188v, item II.4.6) que o CNMP não realizou orientação quanto ao estabelecimento de processo de trabalho formal para contratações de TI e, quanto à atuação do CNJ, que:

116. (...) o fato de ainda não haver processo de trabalho para contratação de TI estabelecido no Poder Judiciário aliado ao fato de que a IN-SLTI/MP 04/2010 vem sendo reconhecida como uma boa prática (e.g., o governo do Distrito Federal formalmente adotou a IN como seu processo de contratação por meio do Decreto 32.218/2010), deve ser levado em consideração quando da consolidação do TMS 6 – Gestão e uso de TI.



Quadro 12 – Processo de contratação de bens e serviços de TI (achados)

Possíveis achados

Dnit

SE/MS

SE/MCT

Ibama

Susep

TRT-SP

SE/MRE

TRT-RS

Anatel

Finep

SE/MP

ADE

FNDE

Inexistência de controles que promovam o cumprimento da IN 4

 

 

X

X

X

 

X

 

 

 

 

 

 

Falhas nos controles que promovam o cumprimento da IN 4

 

X

 

 

 

 

 

 

 

 

X

 

 

Inexistência de controles que promovam que o Termo de Referência ou Projeto Básico seja elaborado a partir de estudos técnicos preliminares

 (*)

 

 

 

 

X

X

X

 

X

 

X

 

Descumprimento do processo de planejamento de acordo com a IN 4

 

X

X

X

X

 

 

 

 

 

 

 

X

Falhas no cumprimento do processo de planejamento de acordo com a IN 4

 

 

 

 

 

 

 

 

 

 

X

 

 

Inexistência dos estudos técnicos preliminares

X

 

 

 

 

X

 

X

 

 

X

X

 

Falhas nos estudos técnicos preliminares

 

 

 

 

 

 

 

 

 

 

 

 

 

Irregularidades na contratação

X

X

X

X

X

X

X

X

X

X

X

X

X

(*) Não havia este achado na auditoria-piloto
Quadro 13 – Processo de gestão de contratos de bens e serviços de TI (achados)

Possíveis achados

Dnit

SE/MS

SE/MCT

Ibama

Susep

TRT-SP

SE/MRE

TRT-RS

Anatel

Finep

SE/MP

ADE

FNDE

Inexistência de controles que promovam a regular gestão contratual

X

 

X

 

X

X

X

X

 

X

 

X

 

Falhas nos controles que promovam a regular gestão contratual

 

 

 

X

 

 

 

 

 

 

X

 

 

Irregularidades na gestão contratual

X

X

X

X

X

X

X

X

X

 X

X

X

X

No âmbito das empresas estatais, falhas foram identificadas que culminaram na seguinte deliberação (TC 026.347/2009-1; Acórdão 6.677/2010-TCU-1ª Câmara):

1.5. Determinar à Empresa de Tecnologia e Informações da Previdência Social – DATAPREV – que, no prazo de 90 dias:

1.5.1. adeque os termos da norma N/SU/008/02 às exigências da IN/MPOG/SLTI nº 02/2008 e da IN/MPOG/SLTI nº 04/2008, especialmente quanto às orientações acerca de estimativa de preços e à necessidade de consultar os preços praticados em compras similares;

1.5.2. alternativamente à adequação da norma N/SU/008/02 às exigências da IN/MPOG/SLTI nº 04/2008, elabore norma específica para contratação de serviços de tecnologia da informação.

Registre-se que há iniciativa concreta para adotar o modelo da IN-SLTI/MP 04/2010 em entes públicos que não estão jurisdicionados às normas da SLTI/MP, como por exemplo:

a Infraero, conforme Ato Administrativo 2.567/DA/2011 (anexo 3, fl. 38);

o Governo do Distrito Federal, conforme Decreto (Distrital) 32.218/2010.

Ante o exposto, propõe-se recomendar ao Conselho Nacional de Justiça que:

a partir das diretrizes expostas no Acórdão 786/2006-TCU-Plenário, elabore um modelo de processo para contratação e gestão de soluções de tecnologia da informação para o Poder Judiciário ou, alternativamente, adote o modelo contido na IN SLTI/MP 4/2010 (subitem );

promova a implementação do modelo elaborado em atenção ao item anterior nos órgãos e entidades sob sua jurisdição mediante orientação normativa (subitem ).

Recomendação análoga deve ser proposta à CGPAR e ao CNMP.

Monitoração do desempenho da gestão de TI

A décima questão de auditoria buscou avaliar a atuação da alta administração dos auditados na monitoração do desempenho da gestão e uso da TI, bem como se a auditoria interna (AI) apoia esta avaliação.

O que era esperado, segundo as boas práticas, é que a alta administração:

estabelecesse objetivos, indicadores e metas para a gestão de TI, o que já deveria estar no PDTI (Cobit 4.1, ME1.1 – Abordagem de monitoramento e PO1.4 – Plano estratégico de TI);

monitorasse a gestão de TI por meio de relatórios gerenciais (Cobit 4.1, ME1.5 – Relatórios gerenciais);

avaliasse a gestão de TI (Cobit 4.1, ME1.4 – Avaliar o desempenho);

determinasse ações corretivas, se fosse o caso (Cobit 4.1, ME1.6 – Ações corretivas); e

utilizasse a auditoria interna como um dos mecanismos para apoiar a realização das três últimas tarefas acima (Cobit 4.1, ME2.2 – Monitorar e avaliar os controles internos).

Os resultados das avaliações in loco constam do Quadro 14, evidenciando que quase 80% dos auditados não realizam dita avaliação, e os três que a realizam, fazem-no de forma esporádica ou somente a posteriori. Mais ainda, constata-se que a auditoria interna em mais de 70% dos casos não é utilizada como instrumento de apoio na avaliação que a alta administração deve realizar.



Quadro 14 – Monitoração do desempenho da TI (achados)

Possíveis achados

Dnit

SE/MS

SE/MCT

Ibama

Susep

TRT-SP

Dnocs

SE/MRE

TRT-RS

Anatel

Finep

SE/MP

ADE

FNDE

Inexistência de avaliação da gestão de TI

X

X

X

X

X

X

X

 

 

X

X

 

X

X

Falhas na avaliação da gestão de TI

 

 

 

 

 

 

 

X

X

 

 

X

 

 

Auditoria interna não apoia a avaliação da TI

X

X

 X

X

X

 X

X

 

 X

 

 X

X

 

 

Sobre o acompanhamento do desempenho da gestão e do uso da TI, o levantamento de auditoria que deu origem ao Acórdão 2.308/2010-TCU-Plenário concluiu nos seguintes termos (anexo 2, fl. 8v):

154. Portanto, a maioria das instituições respondentes não estabelece objetivos de TI, não tem indicadores de desempenho para esses objetivos, não avalia o alcance de objetivos e não toma decisões com base nos benefícios de negócio advindos dos sistemas de informação providos pela TI.

155. Obviamente, as instituições terão muita dificuldade em perseguir objetivos que não estiverem definidos. Além disso, a definição de um objetivo é somente o primeiro passo na sua direção, mas seu alcance geralmente depende de decisões tomadas no esforço de cumpri-lo, de acordo com a análise criteriosa dos indicadores correspondentes.

156. A conquista de um objetivo definido sem o acompanhamento dos indicadores apropriados depende, em geral, mais de fatores fortuitos do que de processos estabelecidos de supervisão e gerência. Nas vezes em que isso ocorre, costuma ser tão difícil repetir esse sucesso quanto aprender com ele.

157. A omissão no cumprimento dessa responsabilidade pela alta administração certamente é causa de ineficiência e inefetividade institucional, que devem ser obstinadamente combatidas.

Analisando os dados constantes do Apêndice (linhas V a Y da tabela), foi evidenciado que houve seis situações em que as evidências apresentadas às equipes do TCU não corroboram as respostas apresentadas à pergunta 1.2 do perfil GovTI2010, sugerindo que a situação com respeito ao acompanhamento do desempenho da gestão e do uso da TI, que foi declarada como muito ruim (ver excerto transcrito acima), pode ser de fato ainda pior.

Com vistas a sanar essa deficiência, esta Corte já proferiu recomendação por meio do Acórdão 2.308/2010-TCU-Plenário, nos seguintes termos:

9.1. recomendar ao Conselho Nacional de Justiça – CNJ, ao Departamento de Coordenação e Controle das Empresas Estatais – Dest, à Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão – SLTI/MPOG, ao Conselho Nacional do Ministério Público – CNMP, à Secretaria Geral da Presidência do Tribunal de Contas da União – Segepres/TCU, à Diretoria Geral da Câmara dos Deputados e à Diretoria Geral do Senado Federal que, no âmbito de suas respectivas áreas de atuação:

9.1.1. orientem as unidades sob sua jurisdição, supervisão ou estrutura acerca da necessidade de estabelecer formalmente: (i) objetivos institucionais de TI alinhados às estratégias de negócio; (ii) indicadores para cada objetivo definido, preferencialmente em termos de benefícios para o negócio da instituição; (iii) metas para cada indicador definido; (iv) mecanismos para que a alta administração acompanhe o desempenho da TI da instituição;

9.1.2. normatizem a obrigatoriedade de a alta administração de cada instituição sob sua jurisdição, supervisão ou estrutura estabelecer os itens acima;

Neste contexto, resta determinar à Sefti que monitore as deliberações do Acórdão 2.308/2010-TCU-Plenário em conjunto com as que vierem a ser proferidas nestes autos (subitem ).

Em sede de tema conexo, a ausência de estrutura de governança de TI nos entes da APF foi objeto de análise no levantamento de auditoria que deu origem ao Acórdão 2.308/2010-TCU-Plenário nos seguintes termos:

3.2 Estrutura de Governança de TI

138. O quadro abaixo demonstra os resultados obtidos na questão acerca da estrutura de governança de TI provida pela alta administração:



Figura 15. Estrutura de Governança de TI


3.2.1 Análise

139. Considerando que as informações foram obtidas de modo declaratório, e que o questionário foi dirigido especificamente à alta administração, percebe-se, de plano, que a situação não é confortável. Passa da metade – 51% – o número de respondentes que declaram não se responsabilizar pelas políticas corporativas de TI.

140. Ora, são essas políticas que conferem as bases e os limites que norteiam a gestão e o uso de TI na instituição. Não há como se falar em governança de TI se a alta administração não estabelece ou responde pelas diretrizes mais elementares.

141. Dessa forma, é possível supor que a maioria das instituições da APF ainda não se preocupa com governança de TI.

(...)

(omissis)



(...)

3.2.2 Conclusão

145. Os dados do levantamento sugerem que o conceito de estrutura de governança de TI ainda é uma novidade para a maior parte das instituições públicas. O fato de que em menos da metade das instituições respondentes a alta administração se enxerga como responsável pelas políticas corporativas de TI, mesmo sendo essa uma área crítica, sugere um motivo pelo qual o amadurecimento da gestão e da governança de TI ainda se mostra tão lento, como demonstrado na análise contida na seção 2.

Lembrando que o estabelecimento de políticas de TI é um tipo de atividade de controle de TI (ver IN – TCU 63/2010, art. 1º, X, transcrito no item ) a cargo da alta administração, tem-se como corolário que essa alta administração da APF tem pouca cultura no estabelecimento de controles internos de TI.

Analisando os dados constantes do Apêndice (linha U da tabela), foi evidenciado que houve quatro situações em que as evidências apresentadas às equipes do TCU não corroboram as respostas apresentadas à pergunta do perfil GovTI2010 que pesquisou se a alta administração se responsabiliza pelo estabelecimento e pelo cumprimento das políticas de gestão e uso corporativo de TI, sugerindo que o percentual de organizações em que a alta administração não se responsabiliza pelas políticas de TI é ainda maior do que 51%.

Com respeito ao tema da responsabilidade da alta administração quanto ao estabelecimento de controles internos (e.g., políticas e procedimentos internos), o Acórdão 1.732/2009-TCU-Plenário trouxe a seguinte deliberação em processo de fiscalização na Petrobras:

9.15. determinar à Segecex que oriente as unidades técnicas deste Tribunal no sentido de que observem, em fiscalizações realizadas na Petrobras ou em alguma de suas subsidiárias/controladas, a estrutura organizacional da empresa, seus procedimentos internos, a tomada de decisões e outras variáveis que possam influenciar a definição dos responsáveis por irregularidades porventura detectadas, a fim de verificar se a ocorrência origina-se da omissão de dirigentes ocupantes de cargos de alto escalão da companhia, ao deixarem de exigir a elaboração de normativos internos ou a implementação de procedimentos que reflitam o cumprimento das determinações do Tribunal, ou dos próprios gestores no que se refere à sua margem de atuação e poder decisório, segundo suas competências funcionais. (sublinhou-se).

O excerto acima corrobora o entendimento de que a alta administração da APF é responsável pelas atividades de controle de mais alto nível, como o estabelecimento de políticas e definição de atividades de controle que devem ser executadas nos diversos níveis da organização.

Ainda no sentido de que é da alta administração das organizações a responsabilidade pelo estabelecimento de uma estrutura efetiva e consistente de controles internos, traz-se à baila trecho da Resolução – Bacen 2.554/1998, que dispõe sobre a implantação e implementação de sistema de controles internos nas instituições financeiras que operam no Brasil:

Art. 1º Determinar às instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil a implantação e a implementação de controles internos voltados para as atividades por elas desenvolvidas, seus sistemas de informações financeiras, operacionais e gerenciais e o cumprimento das normas legais e regulamentares a elas aplicáveis

Parágrafo 1º Os controles internos, independentemente do porte da instituição, devem ser efetivos e consistentes com a natureza, complexidade e risco das operações por ela realizadas.

Parágrafo 2º São de responsabilidade da diretoria da instituição:

I – a implantação e a implementação de uma estrutura de controles internos efetiva mediante a definição de atividades de controle para todos os níveis de negócios da instituição;

II – o estabelecimento dos objetivos e procedimentos pertinentes aos mesmos;

III – a verificação sistemática da adoção e do cumprimento dos procedimentos definidos em função do disposto no inciso II. (sublinhou-se)

Faz-se necessário, portanto, que a alta administração das organizações públicas estabeleça uma estrutura de controles internos para suas organizações, consistindo em um conjunto de atividades de controle que deve ser executado pelos gestores nos diversos níveis da organização, e que pode ou não estar acompanhado da criação de uma unidade organizacional (setor dentro da organização) encarregado dessas atividades, o que é conhecido na iniciativa privada por setor de compliance (o termo é originário do verbo, em inglês, to comply, e significa estar em conformidade com regras, normas e procedimentos).

Relevante relembrar que as atividades de controle, conforme já foi mencionado no item deste relatório, são de responsabilidade dos donos dos processos de negócio, não sendo, portanto, atividades da unidade de auditoria interna, a qual tem como um de seus objetivos avaliar a eficácia dos controles internos implantados pelos gestores.

A título de exemplo, o modelo Coso (Committee of Sponsoring Organizations of the Treadway Commission) apresenta as seguintes atividades de controle passíveis de implantação para mitigação de riscos nos processos de negócio: aprovação, autorização, verificação, reconciliação e revisão do desempenho operacional, da segurança dos bens e da segregação de funções.

Ante o exposto e considerando que os gestores dos órgãos e entidades da APF têm pouca (ou quase nenhuma) cultura de implantação de controles internos, conforme evidenciado nos itens a do presente relatório, propõem-se recomendações à CGDC e à SLTI/MP nos termos a seguir.

Recomendar à CGDC que, em atenção ao Decreto-Lei 200/1967, art. 6º, V, estabeleça, normativamente para todos os entes sob sua jurisdição, a obrigatoriedade de a alta administração implantar uma estrutura de controles internos, mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades no processo de planejamento estratégico institucional (subitem ).

Recomendar à SLTI/MP que, em atenção ao Decreto-Lei 200/1967, art. 6º, V, estabeleça, normativamente para todos os entes sob sua jurisdição, a obrigatoriedade de a alta administração implantar uma estrutura de controles internos mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades, pelo menos nos seguintes processos (subitem ):

planejamento estratégico de TI;

funcionamento dos comitês de TI;

processo orçamentário de TI;

processo de software;

gerenciamento de projetos;

gerenciamento de serviços de TI;

segurança da informação;

gestão de pessoal de TI;

contratação e gestão de soluções de TI;

monitoração do desempenho da TI organizacional.

Recomendação análoga deve ser proposta ao CNJ, ao CNMP e à CGPAR.

A título de exemplo, a alta administração pode instituir uma estrutura de controles internos no processo de planejamento estratégico institucional aprovando um guia de planejamento que descreve o processo (entradas, saídas, tarefas, atores etc) que a organização seguirá para elaborar seu plano estratégico de negócio, e contemplará nesse guia as atividades de controle necessárias para que o processo tenha, pelo menos, as características descritas no item deste relatório.

Em sentido conexo, ainda que a auditoria interna se constitua em importante ator tanto na governança corporativa quanto na governança de TI, os dados do Quadro 14 (item deste relatório) evidenciam que em dez dos catorze auditados a unidade de auditoria interna não realizou auditoria de TI nos últimos três anos.

Analisando os dados constantes do Apêndice (linhas R1 a R6 da tabela), foi evidenciado que houve catorze situações em que as evidências apresentadas às equipes do TCU não corroboram as respostas apresentadas à pergunta do perfil GovTI2010 que trata da realização de auditoria de TI por iniciativa própria, sugerindo que o percentual de organizações em que essas auditorias não são realizadas é ainda maior do que 51%.

No monitoramento realizado (TC 028.772/2010-5; Acórdão 1.145/2011-TCU-Plenário), registrou-se que tanto o CNJ quanto o CNMP não lograram implementar medidas efetivas para o incentivo à auditoria de TI nos seus jurisdicionados (anexo 2, fl. 188v, item II.4.8).

Registre-se, entretanto, iniciativa basilar empreendida pelo CNJ com a edição da Resolução-CNJ 86/2009, determinando a criação de unidades de auditoria interna em todos os entes do Poder Judiciário (anexo 2, fl. 188v, item 129). Essa iniciativa busca suprir uma parte das deficiências estruturais nas unidades de auditoria interna do Poder Judiciário na esfera federal que foram detectadas por meio do levantamento de auditoria que deu origem ao Acórdão 1.074/2009-TCU-Plenário.

Ainda com respeito aos órgãos de controle interno do Poder Judiciário, verifica-se que o controle interno encontra-se na forma de um sistema integrado na Justiça Federal pela Resolução-CJF 85/2009, mas não em todo o Poder Judiciário Federal, como preconiza a Constituição Federal, ensejando recomendar ao CJN que, em atenção à Constituição Federal, art. 74, c/c o art. 103-B, § 4º, I, estabeleça sistema de controle interno integrado para todo o Poder Judiciário (subitem ).

Recomendação análoga deve ser proposta ao CNMP, uma vez que o controle interno não assume a forma de um sistema integrado no Ministério Público.

No Poder Executivo Federal, o controle interno encontra-se sistematizado pela Lei 10.180/2001, que foi regulamentada pelo Decreto 3.591/2000, que estabelece que a CGU/PR é o órgão central do sistema.

Quanto à atuação do órgão central do sistema de controle interno do Poder Executivo, o monitoramento realizado (TC 028.772/2010-5; Acórdão 1.145/2011-TCU-Plenário) registrou o que segue:

20. Isto posto, conclui-se que a CGU/PR não considera a fiscalização das aquisições de TI como questão estruturante e de maior relevância, fato que deverá ser levado em consideração quando da consolidação do TMS 6 – Gestão e uso de TI.

(...)

30. A atuação de forma pontual, por meio de algumas fiscalizações in loco, consiste em indício de ausência de processos de trabalhos sistêmicos capazes de abarcar a multiplicidade de auditados, como, por exemplo, foi feito nos levantamentos de governança de TI (vide Acórdãos 1.603/2008 e 2.308/2010, ambos do Plenário do TCU) e no levantamento sobre a atuação das unidades de auditoria interna (Acórdão 1.074/2009-TCU-Plenário). Além disso, não foi apresentado o critério de seleção para a realização das fiscalizações que teriam sido realizadas. Tais fatos deverão ser levados em consideração quando da consolidação do TMS 6 – Gestão e uso de TI.



(...)

143. Análise: em que pese os resultados apresentados pela CGU, já registramos que as auditorias de TI ainda não são regularmente realizadas pelo órgão (itens 14-22). Ademais, o gestor menciona os trabalhos realizados com foco na avaliação de contratos de terceirização (item 4, peça 18, fl. 3), e não foram apresentadas evidências de que a CGU tem estimulado a realização desse tipo de auditoria nos órgãos e entidades da APF.

144. Novamente, a ausência de evidência de que há uma atuação sistematizada e coordenada pelo órgão central do controle interno do Poder Executivo no tema TI deve ser levada em consideração quando da consolidação dos trabalhos do TMS 6 – Gestão e uso de TI. (sublinhou-se)

Ante as conclusões transcritas acima, visualiza-se oportunidade de melhoria na atuação do órgão central de controle interno do Poder Executivo, ator essencial para a melhoria do péssimo cenário de governança de TI delineado ao longo deste relatório.

O Instituto de Auditores Internos (The Institute of Internal Auditors – IIA) é uma associação mundial de profissionais de auditoria interna. Baseado nas melhores práticas mundiais, o IIA estabeleceu um marco de referência denominado Estrutura Internacional de Práticas Profissionais (International Professional Practices Framework – IPPF) contendo orientações para que a atividade de auditoria interna nas organizações seja efetiva, seja ela privada ou pública.

Do IPPF transcrevem-se abaixo, além da definição de auditoria interna, algumas normas que as unidades de auditorias internas efetivas comumente observam:

Definição de auditoria interna. A auditoria interna é uma atividade independente e objetiva de avaliação (assurance) e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização. Ela auxilia uma organização a realizar seus objetivos a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, controle e governança.

(...)


1210.A3 – Os auditores internos devem possuir conhecimento suficiente sobre os principais riscos e controles de tecnologia da informação e sobre as técnicas de auditoria baseadas em tecnologia disponíveis para a execução dos trabalhos a eles designados. Entretanto, não se espera que todos os auditores internos possuam a especialização de um auditor interno cuja principal responsabilidade seja auditoria de tecnologia da informação.

(...)


2110.A2 – A atividade de auditoria interna deve avaliar se a governança de tecnologia da informação da organização dá suporte às estratégias e objetivos da organização.

(...)


2120.A1 – A atividade de auditoria interna deve avaliar as exposições a riscos relacionadas à governança, às operações e aos sistemas de informação da organização, em relação a:

– Confiabilidade e integridade das informações financeiras e operacionais;

– Eficácia e eficiência das operações e programas;

– Salvaguarda dos ativos; e

– Conformidade com leis, regulamentos, políticas, procedimentos e contratos.

(...)


2130.A1- A atividade de auditoria interna deve avaliar a adequação e a eficácia dos controles em resposta aos riscos, abrangendo a governança, as operações e os sistemas de informação da organização, com relação a:

– Confiabilidade e integridade das informações financeiras e operacionais;

– Eficácia e eficiência das operações e programas;

– Salvaguarda dos ativos; e

– Conformidade com leis, regulamentos, políticas e procedimentos e contratos. (sublinhou-se)

Assim, vê-se que a auditoria interna deve ter foco eminentemente preventivo, por meio da avaliação da eficácia dos processos de gerenciamento de riscos, controle e governança e por meio da contribuição para a melhoria dos mesmos.

Observa-se ainda que as boas práticas recomendam que todos os auditores internos, mesmo os não especialistas em TI, devem ter condições de realizar avaliações com respeito aos principais riscos e controles de TI, o que é conhecido como avaliação limitada. Os trabalhos realizados neste TMS evidenciam que isso é possível, pois onze das catorze auditorias para avaliação de controles gerais de TI foram realizadas por auditores que não são especialistas em TI, após treinamento ministrado por auditores da Sefti.

Considerando a informação contida no item , de que tende para a totalidade os entes da APF que dependem de TI para conduzirem as políticas públicas, os temas relacionados à TI devem ser considerados na escolha dos objetos do universo de auditoria, motivo pelo qual propõe-se recomendar à CGU/PR que considere os temas governança de TI, riscos de TI e controles de TI na seleção dos objetos a auditar, consoante o previsto nas boas práticas internacionais para que a atividade de auditoria interna seja mais efetiva (e.g., IPPF 2110.A2, 2120.A1 e 2130.A1).

Propõe-se ainda recomendar à CGU/PR que oriente as unidades de auditoria interna sob sua orientação normativa a considerar os temas governança de TI, riscos de TI e controles de TI na seleção dos objetos a auditar, consoante o previsto nas boas práticas internacionais para que a atividade de auditoria interna seja mais efetiva (e.g., IPPF 2110.A2, 2120.A1 e 2130.A1).

Proposta análoga deve ser feita ao CNJ e ao CNMP.

Ainda com respeito à estruturação e atuação do sistema de controle interno do Poder Executivo, dois pontos foram identificados durante os trabalhos deste TMS.

O primeiro deles, é que, em rápida pesquisa na base de deliberações do TCU, obtiveram-se as seguintes evidências de deficiências nas estruturas das unidades de auditoria interna das entidades vinculadas ao Poder Executivo:

deficiências de pessoal na unidade de auditoria: Infraero (Acórdão 2.882/2009-TCU-Plenário); Agência Nacional do Petróleo (Acórdão 6.210/2010-TCU-1ª Câmara); Fundo Constitucional de Financiamento do Norte (Acórdão 1.352/2011-TCU-Plenário);

ausência da própria unidade de auditoria interna: Instituto Chico Mendes de Conservação da Biodiversidade (Acórdão 6.522/2009-2ª Câmara, item 1.5.2.2.2); Universidade Federal do Mato Grosso do Sul (Acórdão 2.282/2011-TCU-2ª Câmara); Fundação Universidade Federal do Pampa (Acórdão 1.955/2011-TCU-2ª Câmara).

O segundo ponto trata do impedimento, na prática, de que os órgãos da administração direta possuam unidade de auditoria interna em sua estrutura. Isso é consequência da vedação contida na IN-Seges 3/2010, de que o Auditor-Interno (denominado nos ministérios de Assessor Especial de Controle Interno) não pode ter unidades administrativas ou cargos em comissão a ele subordinados, senão vejamos:

Art. 5º – Os cargos em comissão de Gerente de Projeto, Auditor-Interno e Diretor-Adjunto, nível DAS 101.4, de Diretor de Programa e Secretário-Adjunto, nível DAS 101.5, e os cargos de assessoramento não terão unidades administrativas ou cargos em comissão a eles subordinados.

Esses dois pontos, associados à ausência de atuação sistematizada e coordenada pelo órgão central do controle interno do Poder Executivo no tema TI (ver item ) e ao fato de que falhas em TI podem paralisar a condução das políticas públicas no Governo Federal (ver item ), sugerem a oportunidade de aperfeiçoamento da atuação do sistema de controle interno do Poder Executivo Federal.

Nesse sentido, registramos trabalho já realizado pelo TCU em 2006, que resultou no Acórdão 412/2007-TCU-Plenário. Entretanto, observa-se pelas perguntas de auditoria formuladas que o foco daquele trabalho foi avaliar a atuação reativa do órgão central (CGU/PR):

1.6. A equipe formulou três questões de auditoria, listadas abaixo, com o intuito de detalhar o objetivo e nortear a execução dos trabalhos.

– Os critérios aplicados pela CGU na seleção das ações de controle levam à alocação de esforços proporcionalmente à materialidade dos recursos envolvidos?

– As ações de auditoria e fiscalização da SFC têm contribuído para identificar irregularidades e desvios nos órgãos do Poder Executivo Federal?

– Quando da identificação de desvios ou danos ao erário, os trabalhos de auditoria têm reunido os elementos necessários para imputação do débito?

Portanto, a atuação preventiva, por meio da avaliação da eficácia dos processos de gerenciamento de riscos, controle e governança e contribuição para a melhoria dos mesmos, não foi objeto daquele trabalho.

No Poder Judiciário também se percebe oportunidade de melhoria na atuação do sistema de controle interno, inclusive ante a ausência de sistematização do mesmo.

Considerando que o referencial estratégico em vigor do TCU contempla como objetivo estratégico ‘Contribuir para a melhoria da gestão e do desempenho da Administração Pública’, o qual tem como um de seus indicadores o ‘índice de governança corporativa dos órgãos da Administração Pública Federal’, considerando também que as unidades de auditoria interna são atores essenciais à boa governança de TI, e considerando ainda as deficiências dos sistemas de controles internos (controles internos dos gestores e atuação das unidades de auditoria interna) conforme evidenciado neste TMS, há espaço para que o TCU contribua para o cumprimento do comando previsto na Constituição Federal, art. 74, mas que somente poderá ocorrer mediante trabalho de avaliação sistematizada dos sistemas de controles internos dos poderes.

ASPECTOS LEGAIS NAS CONTRATAÇÕES DE SOLUÇÕES DE TI

Sistema de Registro de Preços (SRP)

O Apêndice contém tabela com os dados declarados pelos jurisdicionados no levantamento GovTI2010 acerca de suas licitações e contratações no ano de 2009 (pergunta 7.9 do questionário), cuja análise fizemos com apoio do mapa mental constante da Figura 4 daquele apêndice.

Do total de 6.442 contratações declaradas, 47% (3.031) foram originadas do SRP por alguma das formas possíveis, indicando tendência de a APF dar cumprimento à Lei 8.666/1993, art. 15, inciso II, que prevê que as aquisições devem dar-se preferencialmente pelo SRP.

Ocorre que das 3.031 contratações por SRP, apenas 7% (199) foram realizadas por meio da prática de planejamento conjunto entre diversos entes, como fundamentado no Decreto 3.931/2001, art. 2º, inciso III:

Art.2º Será adotado, preferencialmente, o SRP nas seguintes hipóteses:

(...)


III – quando for conveniente a aquisição de bens ou a contratação de serviços para atendimento a mais de um órgão ou entidade, ou a programas de governo;

(...)


Parágrafo único. Poderá ser realizado registro de preços para contratação de bens e serviços de informática, obedecida a legislação vigente, desde que devidamente justificada e caracterizada a vantagem econômica.

Observa-se que, das mesmas 3.031 contratações por SRP, 30% (902) foram licitações para criação de atas que não contaram com outras instituições participantes desde o planejamento da contratação, número inquietante se observarmos que bens e serviços de TI dificilmente se enquadrariam nos demais incisos, pelos quais, em princípio, a criação da ata de registro de preços deve ser fundamentada:

Art.2º Será adotado, preferencialmente, o SRP nas seguintes hipóteses:

I – quando, pelas características do bem ou serviço, houver necessidade de contratações freqüentes;

II – quando for mais conveniente aquisição de bens com previsão de entregas parceladas ou contratação de serviços necessários à Administração para o desempenho de suas atribuições;

(...)


IV – quando pela natureza do objeto não for possível definir previamente o quantitativo a ser demandado pela Administração.

Essas atas, criadas sem participantes, podem ter dado origem ao fato mais preocupante desta análise: 64% das contratações por SRP (1.930 das 3.031) foram adesões fundamentadas no art. 8º do Decreto 3.931/2001, prática de adesão tardia ou, como é mais conhecida, ‘carona’.

Mais um dado da análise empreendida consta da Error: Reference source not found (no final do Apêndice ), em que se observa que 11% dos pesquisados repudiam a prática da adesão tardia, mas 63% dos pesquisados o fazem na maioria das suas contratações.

Os números acima evidenciam que, apesar de buscar contratar preferencialmente pelo SRP, o planejamento conjunto para a criação de uma ata, que deveria ser a regra, é exceção. Já a prática de adesão tardia (carona), que deveria ser exceção, tornou-se prática comum.

Registre-se que a problemática envolvendo a adesão tardia a atas de registro de preços é preocupação desta Corte, que já se manifestou contrariamente à sua prática irrestrita por meio do Acórdão 1.487/2007-TCU-Plenário, ora em fase de recurso.

Como exemplo de planejamento conjunto para a geração de ata de registro de preço que atende ao espírito da legislação e, por meio do planejamento, dá cumprimento ao princípio constitucional da eficiência, pode-se citar a ação coordenada pela SLTI/MP para aquisição de mais de 100.000 equipamentos (anexo 3, fl. 37).

Em outro extremo, encontramos uma série de atas de registro de preços, possivelmente criadas sem participantes (ver itens e ), que se tornam objeto de exploração comercial por parte de empresas privadas (anexo 3, fls. 35-36).

Ocorre que, durante as fiscalizações deste TMS, as quatro contratações analisadas pelas diversas equipes, que foram oriundas de atas de registro de preços, encontravam-se com indícios de graves irregularidades, tanto que foram objetos de representações das equipes (TC 022.804/2010-2, 029.535/2010-7, 030.133/2010-6 e 000.079/2011-1).

Outras contratações de TI por meio de adesão a atas de registro de preços com indícios de graves irregularidades têm sido identificadas no âmbito do TC 017.907/2009-0, por meio do qual a Sefti realiza acompanhamento de editais e contratos de TI na APF, por exemplo:

Ata de Registro de Preços 14/2010 da Base de Fuzileiros Navais da Ilha das Flores, cujo objeto contém diversos itens de serviços de TI (fato apurado na representação constante do TC 001.280/2011-2, sendo que o Acórdão 1.371/2011-TCU-Plenário prolatado no processo registra que o gestor tornou a ata nula);

Ata de Registro de Preços 25/2010 do Conselho Nacional de Desenvolvimento Científico e Tecnológico, cujo objeto é a manutenção de sistemas de informação, que deu origem às adesões de quatro órgãos (Hospital de Clínicas de Porto Alegre, Instituto Chico Mendes de Conservação da Biodiversidade, Instituto Brasileiro de Geografia e Estatística, Comitê Paraolímpico Brasileiro).

Os problemas recorrentes identificados nas contratações questionadas são:

não declarar a fundamentação legal que sustenta o motivo da criação da ata;

não realizar o planejamento da contratação, tanto na criação da ata quanto na adesão;

não fixar os quantitativos máximos que serão adquiridos por meio da ata;

não demonstrar a vantajosidade em aderir à ata;

aderir à ata de registro de preços oriunda de licitação com critérios e condições aplicáveis ao ente que registrou a ata, porém distintos das necessidades da instituição que realiza a adesão.

Com respeito ao item supra, cite-se, ainda, como exemplo, o caso constante do TC 023.911/2010-7, em que se identificou que o Ministério da Previdência Social aderiu a uma ata da Infraero para a aquisição de solução de storage com valor 22,8% maior do que constava de outra ata com mesmo objeto, a última do Ministério do Desenvolvimento, Indústria e Comércio.

Com respeito ao item supra, citam-se ainda os seguintes casos concretos exemplificativos da situação:

a Universidade Federal da Bahia (UFBA) realizou pregão, registrou ARP e contratou serviços de suporte ao usuário, em que as características mais importantes dos serviços são o ambiente que será suportado (equipamentos e softwares usados pelos usuários) e os níveis mínimos de serviço exigidos. Pelo menos outros cinco órgãos federais aderiram a essa Ata (Ibama, MMA, MCT, Embratur e IBCIT), e há fortes indícios de que essas duas características não são as mesmas em todos estes órgãos. Tal indício, juntamente com os indícios de sobrepreço na contratação efetuada pela UFBA (que potencialmente também ocorreu nos demais contratos, visto que a planilha de custos e formação de preços em princípio é a mesma em todos os contratos) são objetos de apuração em seis representações abertas pela coordenação do TMS (TC 022.804/2010-2, 000.079/2011-1, 021.418/2011-0, 020.503/2011-3, 021.419/2011-6 e 021.874/2011-5), sendo que no processo consta que o gestor do Ibama já iniciou procedimento para glosar cerca de R$ 750 mil que teriam sido pagos indevidamente (só no contrato do Ibama).

durante o monitoramento das deliberações do Acórdão 1.033/2009-TCU-Plenário (TC 012.953/2011-3), a equipe de auditoria identificou que a Imprensa Nacional (IN) firmou contrato cujo objeto é o suporte ao seu ambiente computacional por meio de adesão à ARP do STJ, sendo que há indícios de que diversos critérios de habilitação contidos no edital do STJ não se aplicam à realidade da IN (e.g., IN não possui servidores com sistema operacional AIX, ao passo que o STJ sim; a IN possui cerca de seiscentos pontos de rede, enquanto o edital pede atestado referente à prestação de suporte em pelo menos 3.000; o edital pede atestado técnico relativo à prestação de serviços de tratamento documental e processamento de imagens de processos ou de documentos, serviço que não será prestado na IN), de forma que o objeto deveria ter sido licitado com critérios menos rígidos que os do STJ, permitindo potencialmente maior participação de interessados. No mesmo sentido, todas as adesões à ARP da UFBA citadas no parágrafo continham o vício de que houve exigência no edital que originou a ata que não se aplicam à realidade dos demais órgãos aderentes (e.g., a contratada deveria ter escritório em Salvador/BA).

Ante as constatações acima, e a existência de precedentes de julgados para alguns dos assuntos acima tratados nesta Corte, entende-se como oportuno e conveniente que os órgãos governantes superiores orientem seus jurisdicionados para evitar as práticas irregulares acima, e propõe-se determinar à SLTI/MP que

, em atenção ao disposto no Decreto 1.094/1994, art. 2º, inciso I, oriente os órgãos e entidades sob sua jurisdição para que (subitem ):

ao realizarem licitação com finalidade de criar ata de registro de preços atentem que:

devem fundamentar formalmente a criação de ata de registro de preços, e.g., por um dos incisos do art. 2º do Decreto 3.931/2001 (Acórdão 2.401/2006-TCU-Plenário);

devem praticar todos os atos descritos no Decreto 3.931/2001, art. 3º, § 2º, em especial o previsto no seu inciso I, que consiste em ‘convidar mediante correspondência eletrônica ou outro meio eficaz, os órgãos e entidades para participarem do registro de preços’;

o planejamento da contratação é obrigatório, sendo que se o objeto for solução de TI, caso seja integrante do Sisp, deve executar o processo de planejamento previsto na IN – SLTI/MP 4/2010 (IN – SLTI/MP 4/2010, art. 18, inciso III) ou, caso não o seja, deve realizar os devidos estudos técnicos preliminares (Lei 8.666/1993, art. 6º, inciso IX);

a fixação, no termo de convocação, de quantitativos (máximos) a serem contratados por meio dos contratos derivados da ata de registro de preços, previstos no Decreto 3.931/2001, art. 9º, inciso II, é obrigação e não faculdade do gestor (Acórdão 991/2009-TCU-Plenário, Acórdão 1.100/2007-TCU-Plenário e Acórdão 4.411/2010-TCU-2ª Câmara);

em atenção ao princípio da vinculação ao instrumento convocatório (Lei 8.666/1993, art. 3º, caput), devem gerenciar a ata de forma que a soma dos quantitativos contratados em todos os contratos derivados da ata não supere o quantitativo máximo previsto no edital.

quando realizarem adesão à ata de registro de preços atentem que:

o planejamento da contratação é obrigatório, sendo que se o objeto for solução de TI, caso seja integrante do Sisp, deve executar o processo de planejamento previsto na IN – SLTI/MP 4/2010 (IN – SLTI/MP 4/2010, art. 18, inciso III) ou, caso não o seja, realizar os devidos estudos técnicos preliminares (Lei 8.666/1993, art. 6º, inciso IX);

devem demonstrar formalmente aa vantajosidade da adesão, nos termos do Decreto 3.931/2001, art. 8º;

as regras e condições estabelecidas no certame que originou a ata de registro de preços devem ser conformes as necessidades e condições determinadas na etapa de planejamento da contratação (Lei 8.666/1993, art. 6º, inciso IX, alínea d, c/c o art. 3º, § 1º, inciso I, e Lei 10.520/2002, art. 3º, inciso II).

Determinação análoga deve ser proposta ao Dest, ao CNJ e ao CNMP.

Divulgação de notas técnicas e ações pedagógicas

Com o objetivo de promover ações pedagógicas que divulguem entendimentos sobre assuntos polêmicos no tema contratações de TI, por meio do Acórdão 1.215/2009-TCU-Plenário, o TCU deliberou o que segue:

9.1. recomendar à Secretaria de Fiscalização de Tecnologia da Informação que:

9.1.1. divulgue o conteúdo do Quadro Referencial Normativo e das Notas Técnicas 01 e 02/2008 – Sefti/TCU, como forma de informar e orientar, à Administração Pública e à sociedade, sobre a existência do conjunto de normas que regem as aquisições de bens e serviços de Tecnologia da Informação, bem como jurisprudência deste Tribunal sobre o assunto, promovendo, inclusive, a realização de seminários, cursos e palestras sobre tais assuntos, caso entenda conveniente;

Ocorre que desde então a Sefti revisou as duas notas técnicas mencionadas acima e elaborou outras quatro, de forma que hoje estão disponíveis na rede interna do TCU:

Nota Técnica 1/2008-TCU/Sefti, cujo assunto é ‘Conteúdo mínimo do projeto básico ou termo de referência para contratação de serviços de tecnologia da informação – TI’;

Nota Técnica 2/2008-TCU/Sefti, cujo assunto é ‘Uso do Pregão para aquisição de bens e serviços de Tecnologia de Informação’;

Nota Técnica 3/2009-TCU/Sefti, cujo assunto é ‘Exigência de credenciamento das licitantes pelos fabricantes de produtos de tecnologia da informação, nos certames para aquisição de bens e serviços da área’;

Nota Técnica 4/2009-TCU/Sefti, cujo assunto é ‘Possibilidade de avaliação de amostras na contratação de bens e suprimentos de tecnologia da informação mediante a modalidade Pregão.’

Nota Técnica 5/2010-TCU/Sefti , cujo assunto é ‘Condições em que há possibilidade de exigência da demonstração de qualidade de processo em contratações de serviços de software, a exemplo de CMMI e MPS.BR’;

Nota Técnica 6/2011-TCU/Sefti, cujo assunto é ‘Aplicabilidade da Gestão de Nível de Serviço como mecanismo de pagamento por resultados em contratações de serviços de TI pela Administração Pública Federal’.

Assim, na esteira de continuar informando sobre o tema, e considerando que o Acórdão 1.215/2009-TCU-Plenário já conteve determinação (9.1.1) para a divulgação das notas técnicas 1/2008 e 2/2008, propõe-se determinar à Sefti que divulgue o conteúdo das seis notas técnicas existentes, como forma de informar e orientar a APF e a sociedade sobre a existência do conjunto de normas que regem as aquisições de bens e serviços de tecnologia da informação, bem como sobre a jurisprudência deste Tribunal quanto ao assunto, promovendo, inclusive, a realização de seminários, cursos e palestras, caso entenda conveniente (subitem ).

Contratação do Serpro pela APF

A auditoria-piloto deste TMS (TC 009.982/2010-8; Acórdão 866/2011-TCU-Plenário) identificou, logo no início dos trabalhos, a dependência que alguns entes da APF poderiam ter em relação ao Serviço Federal de Processamento de Dados (Serpro), decorrente da ausência de estruturas de governança de TI adequadas, como exemplificamos no excerto do relatório transcrito a seguir:

A ausência de planejamento estratégico institucional, as falhas no processo de planejamento de TI e a ausência de alguns processos, padrões e políticas de TI, aliada à ampla dependência da Autarquia com relação aos serviços de TI fornecidos pelo Serpro, impõe ao órgão um alto risco quanto à proficiência da TI no âmbito interno. Essa falta de estrutura e a dependência do órgão a uma única contratada pode afetar de maneira negativa o cumprimento dos objetivos de negócio e das obrigações legais da Autarquia.

Essa situação já havia sido detectada em fiscalização realizada por ocasião do TMS 2007 – Terceirização em TI, como se pode depreender dos excertos do relatório transcritos a seguir (TC 026.200/2007-3, Acórdão 1.330/2008-TCU-Plenário):

6.8 Setor de TI – existência de funções sensíveis exercidas por não servidores do ente

a) foram solicitadas informações relativas aos responsáveis pela execução das atividades relacionadas com segurança da informação, administração de banco de dados, administração de rede e outras áreas consideradas críticas, indicando o vínculo com o serviço público. Em atendimento, a SPOA encaminhou os nomes dos responsáveis pelas áreas acima citadas, indicando que todos eles são do SERPRO.

(...)

Segundo os gestores dessa Subsecretaria, a metodologia de desenvolvimento de outros sistemas é de total responsabilidade do SERPRO, não havendo ingerência da SPOA sobre esse processo.



(...)

c) devido a um vírus, houve uma paralização na rede da GRA-SP por mais de duas semanas, o que comprova que o Plano de Contingência do SERPRO, remetido pela SPOA, não tem aplicabilidade efetiva.

(...)

a) foram solicitadas informações relativas à gestão de mudanças. A SPOA remeteu um documento elaborado pelo SERPRO, que trata, no seu item 4.4, da Gestão de Mudanças (fl. 120 do anexo 2). Esse documento é genérico, não detalhando os procedimentos a serem adotados.



(...)

6.19 Plano de Continuidade do Negócio – inexistência/falhas

a) foram solicitadas informações a respeito do Plano de Continuidade de Negócios (PCN). A SPOA remeteu como resposta o documento relativo ao Plano de Contingência (fl. 120 do anexo 2). Esse documento não comprova que o órgão tem um Plano de Continuidade dos Negócios, pois foi elaborado pelo SERPRO e não avalia os recursos críticos de TI.

No âmbito da fiscalização que gerou o Acórdão 1.793/2011-TCU-Plenário, identificou-se que o Serpro recebera mais de R$ 1 bilhão oriundos de contratos com órgãos e entidades da APF (anexo 2, fl. 224v, item 2.1.2).

O próprio texto da já revogada IN – SLTI 4/2008, a partir de orientações dadas pelo Acórdão 786/2006-TCU-Plenário, trazia no seu art. 5º orientação clara quanto à necessidade de evitar a dependência excessiva de um só fornecedor e de promover o parcelamento das demandas de serviços de TI. Porém, o § 2º dessa IN excepcionava tal orientação nos casos em que a contratada fosse empresa pública de TI. Felizmente, a IN – SLTI 4/2010, que substituiu a citada versão de 2008, eliminou essa excepcionalidade, reforçando o conceito de que as instituições públicas devem exercer pleno governo sobre a tecnologia da informação que utilizam, mesmo quando contratam com empresas públicas de TI.

Assim, pelo risco de os entes da APF ainda entenderem que a contratação do Serpro os exime da responsabilidade de possuir estruturas de governança de TI adequadas e pela alta materialidade dos contratos com aquela empresa, incluiu-se no TMS fiscalização específica para avaliar os ditos contratos.

A fiscalização, conduzida por meio do TC 022.241/2010-8, identificou que, em 2010, o Serpro possuía 236 contratos com a APF, no total de R$ 5.027.481.735,14, sendo dois deles selecionados para análise: o da Receita Federal do Brasil (RFB) e o do Ministério do Planejamento, Orçamento e Gestão (MP). Em termos de materialidade, a soma do valor desses dois representa mais da metade do valor dos contratos do Serpro (53,5%) e, em termos de abrangência dos serviços, eles contêm praticamente todo o espectro de serviços fornecidos por aquela empresa, além de contemplar serviços que dão suporte a sistemas estratégicos do Governo Federal (anexo 2, fls. 225v-226, item 2.4.7).

Os principais problemas identificados na contratação (em um ou outro dos contratos analisados) são oriundos de deficiências no planejamento da contratação, materializadas pelo seguinte:

descumprimento do processo de planejamento de acordo com a IN – SLTI 4/2008 (vigente à época) ou ausência de elaboração de estudos técnicos preliminares (Lei 8.666/1993, art. 6º, IX) na contratação anterior à vigência da IN – SLTI 4/2008;

especificação imprecisa ou insuficiente do objeto, afrontando a Lei 8.666/1993, art. 6º, IX;

falhas nos critérios de mensuração dos serviços, afrontando a Lei 8.666/1993, art. 6º, IX, e (também necessários de acordo com a IN – SLTI 4/2010, art. 14, II, a);

falhas na metodologia de avaliação da adequação dos produtos, afrontando a Lei 8.666/1993, art. 6º, IX, e (também necessária de acordo com a IN – SLTI 4/2010, art. 14, II, c);

falhas nas cláusulas de penalidades ao não detalhar no contrato as penalidades contidas na Lei 8.666/1993, art. 87, afrontando o art. 55, VII e VIII, da mesma lei, e os princípios da razoabilidade e proporcionalidade (e também o previsto na IN – SLTI 4/2010, art. 15, III, h);

modelo de pagamento não vinculado a resultados, afrontando o princípio constitucional da eficiência (e também o Decreto 2.271/1997, art. 3º, § 1º, e a IN – SLTI 4/2010, art. 15, §§ 2º e 3º);

falhas na justificativa de preços, afrontando a Lei 8.666/1993, art. 26, III.

Registre-se que os contratos dos órgãos e entidades da APF com o Serpro não estão excepcionalizados pela legislação para os pontos identificados acima, de forma que devem estar conforme os dispositivos mencionados.

A seu turno, na execução contratual verificaram-se (em um ou outro dos contratos analisados) as seguintes falhas ou impropriedades:

desconformidade na aplicação dos critérios de medição;

desconformidade na verificação dos critérios de qualidade;

desconformidade na aplicação dos critérios de pagamento;

dificuldade de rastrear serviços executados;

inexecução de serviços previstos no contrato.

Todas as situações acima afrontam o previsto na Lei 8.666/1993, art. 66, que vincula todos os contratos administrativos da Administração Pública, inclusive os feitos com o Serpro.

Ao tempo em que aponta as falhas acima, o relatório do TC 022.241/2010-8 consigna como bom o modelo do contrato da RFB, bem como eficaz a gestão contratual realizada no âmbito daquele órgão, mesmo que o contrato da RFB tenha complexidade acima da média. Esta constatação evidencia que é possível firmar e gerir contratos com o Serpro seguindo os preceitos legais e de acordo com as boas práticas.

Há que se ressaltar que, mesmo sendo a contratada integrante da administração pública, como é o caso do Serpro, ela deve realizar a contratação e gerir o contrato em conformidade com as previsões legais.

Alguns desses problemas detalhados na fiscalização realizada nos contratos com a RFB e o MP também foram identificados no Dnit (Acórdão 866/2011-TCU-Plenário) e na Susep (Acórdão 2.746/2010-TCU-Plenário), que também possuíam contratos com o Serpro.

Considerando que eram 93 contratantes do Serpro à época da auditoria, com 236 contratos em vigor, e que há possibilidade de os problemas identificados nos contratos da RFB, do MP, do Dnit e da Susep serem recorrentes, há oportunidade de atuação dos OGS na orientação de seus jurisdicionados, motivo pelo qual se propõe determinar à SLTI/MP que, em atenção ao Decreto 7.579/2011, art. 4º, V, oriente os órgãos e entidades sob sua jurisdição para que, caso possuam contratos com empresas públicas prestadoras de serviços de TI (subitem ):

analisem a conformidade dos termos do contrato e do projeto básico e verifiquem se:

foi realizado o adequado planejamento da contratação, consistindo na execução do processo de planejamento previsto na IN – SLTI/MP 4/2010 se for integrante do Sisp (IN – SLTI/MP 4/2010, art. 18, inciso II) ou, caso não o seja, se foram realizados os devidos estudos técnicos preliminares (Lei 8.666/1993, art. 6º, inciso IX);

as especificações do objeto são precisas e suficientes, em conformidade com a Lei 8.666/1993, art. 6º, IX;

os critérios de mensuração dos serviços são precisos e suficientes, de acordo com o determinado na Lei 8.666/1993, art. 6º, IX, e (também necessários de acordo com a IN – SLTI 4/2010, art. 14, II, a);

a metodologia de avaliação da adequação dos produtos é precisa e suficiente, de acordo com o determinado na Lei 8.666/1993, art. 6º, IX, e (também necessária de acordo com a IN – SLTI 4/2010, art. 14, II, c);

as cláusulas de penalidades contidas na Lei 8.666/1993, art. 87, de acordo com o determinado na Lei 8.666/1993, art. 55, VII e VIII, são detalhadas e atendem aos princípios da razoabilidade, proporcionalidade e prudência (e também o previsto na IN – SLTI 4/2010, art. 15, III, h);

o modelo de pagamento é vinculado a resultados, obedecendo ao princípio constitucional da eficiência (e também ao previsto no Decreto 2.271/1997, art. 3º, § 1º, e na IN – SLTI 4/2010, art. 15, §§ 2º e 3º);

a justificativa dos preços contratados é adequadamente fundamentada em arrazoada pesquisa de mercado, de acordo com o determinado na Lei 8.666/1993, art. 26, III, inclusive com a análise da planilha de composição de custos dos serviços, necessária segundo a Lei 8.666/1993, art. 7º, § 2º, II;

caso a análise realizada de acordo com orientação acima indique desconformidade, elaborem plano de ação para providenciar as adequações contratuais necessárias, que deverão ser realizadas no prazo de 180 dias;

mantenham o resultado da análise de conformidade empreendida em documento formalizado, à disposição dos controles externo e interno;

informem seu órgão de assessoramento jurídico e sua unidade de auditoria interna da análise que está sendo empreendida e do resultado obtido;

determinação análoga deve ser feita ao Dest/MP, ao CNJ e ao CNMP.

Na fiscalização realizada, verificaram-se ainda situações em que o serviço prestado pelo Serpro tinha qualidade incompatível com o previsto no contrato, o que foi objeto de medida corretiva por parte da RFB (Anexo 2, fls. 240v-242, item 4.3). Registre-se que, quando o Serpro não atende a um nível mínimo de serviço contratado pela RFB (ou qualquer outro ente público), independentemente da glosa no contrato, há impacto nas atividades do órgão contratante, que utiliza seus sistemas de informação para prestar serviços à sociedade.

No caso do contrato do Dnit com o Serpro, destacou-se abaixo reportagem obtida na mídia que mostra a insatisfação do então dirigente da Autarquia com os serviços prestados pelo Serpro (fonte: http://www.claudiohumberto.com.br/colunas_anteriores/?dataCalendario=2011-07-13):

O diretor, que está afastado de suas funções, disse que o grande problema que enfrenta dentro o Dnit é a falta de estrutura e chamou a atenção para o trabalho do Serviço Federal de Processamento de Dados que, segundo ele, chega a demorar dias para resolver um pequeno problema nos sistemas do órgão. ‘Vocês não sabem o que é o Serpro, às vezes demora oito dias para resolver um problema, foram outros dois anos para dar um programa integrado’, disse.

Em outro caso de grande repercussão na mídia, o Ministro Jorge Hage da CGU responsabilizou o Serpro pelo não funcionamento do sistema Siconv, que poderia ter evitado as fraudes praticadadas por ONG nos recentes fatos ocorridos dos ministérios do Turismo e dos Esportes:

Folha/UOL: Mas aí eu volto de novo à pergunta anterior. Nove anos de governo, já não era tempo para ter corrigido?

Jorge Hage: Olha, eu lhe digo que muito foi feito para corrigir nesses nove anos. Lá atrás nós tivemos o decreto 6.170 do presidente Lula, por volta de 2007, criando toda uma nova sistemática para a transferência de dinheiro para Prefeituras e para ONGs. A criação do Siconv, que é o sistema de gestão de convênios, aberto na internet, uma boa parte dele aberto ao público, outra parte aberta aos órgãos de controle foi concebida exatamente para resolver esses problemas. Inclusive fazendo com que desde a proposta de convênio vinda da ONG ou da Prefeitura até a prestação de contas fosse feita on-line. Ocorre que, por inúmeras dificuldades materiais de recursos, o Ministério do Planejamento depende, como todos nós, do Serpro [Serviço Federal de Processamento de Dados]. O Serpro não tem condições de atender às demandas de todos os ministérios da Esplanada, essa que é a verdade. Tudo atrasa. Tudo atrasa. Muitos dos módulos do Siconv até hoje não estão implantados. Muitas dessas situações que aconteceram agora não teriam acontecido se o sistema de controle de convênios estivesse totalmente implantado. Então há dificuldades práticas...

Folha/UOL: O que está faltando? Dinheiro? Dinheiro para implantar?

Jorge Hage: Bom, em alguns casos falta dinheiro. No caso do Serpro eu não sei se falta dinheiro ou se é uma mudança que abra a possibilidade de os órgãos públicos usarem outras empresas, que não o Serpro, que não está dando conta de atender as nossas demandas. Nós da CGU, por exemplo, já desistimos de depender do Serpro para uma série de coisas. Estamos tentando desenvolver os nossos sistemas dentro da própria CGU.

Folha/UOL: Mas quem, então, no governo é responsável para fazer com que ande, com que se implante esse sistema de verificação de convênios de maneira mais rápida então?

Jorge Hage: Não. Agora, no momento, o Ministério do Planejamento está cobrando do Serpro a solução dos problemas dos módulos que ainda faltam.

Folha/UOL: Está cobrando com atraso?

Jorge Hage: Não, vem cobrando já há tempo. Se o Serpro vai conseguir atender ou não, eu não tenho condições de te dizer...

Folha/UOL: Mas o Serpro é do governo, não é Ministro?

Jorge Hage: É do governo. É uma empresa do governo.

Folha/UOL: E não cumpre [suas obrigações]?

Jorge Hage: Não tem dado conta.

(fonte: http://tools.folha.com.br/print?url=http%3ª%2F%2Fwww1.folha.uol.com.br%2Fpoder%2Fpoderepolitica%2Fjorge_hage-2.shtml&site=emcimadahora; sublinhamos).

Registre-se que a qualidade do serviço prestado pelo Serpro será mais bem avaliada em trabalho futuro, a ser realizado por determinação contida no item 9.12 do Acórdão 906/2009-TCU-Plenário.

Em termos de gestão de TI, cabe ressaltar que o Serpro, enquanto prestador do serviço, não integra a estrutura do tomador do serviço, sendo necessário gerir a relação do contratante (ente da APF) com o contratado (Serpro), que deverá executar as atividades contratadas sob planejamento, coordenação, supervisão e controle do primeiro. A gestão dos processos de trabalho do contratante deve ser executada por servidores ou empregados integrantes da sua estrutura organizacional, nos termos preconizados pelo Decreto-Lei 200/1967, art. 10, § 7º, não podendo ser delegada a funcionários contratados de terceiros, mesmo que a contratada seja o Serpro.

Mais ainda, a transferência da execução dos serviços de tecnologia da informação ao Serpro não desobriga a contratante da APF a possuir, além da gestão da execução desses serviços, estruturas de governança de TI na organização, diversamente do que foi evidenciado no MP, como vemos no excerto do relatório da auditoria para avaliação de controles gerais de TI no ministério, que está transcrito a seguir (Acórdão 2.613/2011-TCU-Plenário):

Não foram definidos processos de gestão de mudanças, gestão de configuração e gestão de incidentes, o que pode acarretar falha na entrega e gestão dos serviços de TI. Considerando os diversos sistemas estruturantes geridos pelo Ministério, a ausência de gestão dos serviços de TI eleva o risco de interrupção ou mau funcionamento desses sistemas. Situação como essa pode configurar prejuízo à eficácia e eficiência na execução das ações do MP. No caso, o Ministério entende, equivocadamente, que são do contratado (no caso o Serpro) a responsabilidade por estes processos. Ocorre que o controle e a responsabilidade pelos processos de gestão e governança de TI são dos gestores do MP e não da contratada. A contratada até pode executar boa parte destes processos, mas ainda assim o contratante é quem deve manter seu controle e supervisão, atividades indelegáveis pelo Decreto-Lei 200/1967, art. 10, §7º

Nesse sentido, propõe-se determinar à SLTI/MP que, em atenção ao Decreto 7.579/2011, art. 4º, V, oriente os órgãos e entidades sob sua jurisdição que (subitem ):

mesmo que a execução de seus serviços de tecnologia da informação seja transferida mediante contrato ou outro acordo a outra organização pública, como as empresas públicas prestadoras de serviços de tecnologia da informação, as atividades de gestão (planejamento, coordenação, supervisão e controle) de TI devem ser acometidas a pessoas integrantes do quadro permanente, ou, excepcionalmente, a detentores de cargo em comissão, da organização contratante, não podendo ser delegadas a pessoas direta ou indiretamente ligadas à contratada;

a contratação de empresas públicas prestadoras de serviços de tecnologia da informação não afasta a necessidade de a organização contratante manter estrutura de governança de TI própria, que direcione e controle a gestão desses contratos bem como a gestão de todos os processos de TI da organização.

Determinação análoga deve ser feita ao Dest/MP, ao CNJ e ao CNMP.

GOVERNANÇA CORPORATIVA COMO LIMITE PARA O AMADURECIMENTO DA GOVERNANÇA DE TI

Nesta seção discorrer-se-á, de forma sucinta, como a doutrina indica que a ausência de maturidade em governança corporativa limita a maturidade em governança de TI (a linha argumentativa foi produzida com base nos documentos listados no apêndice ).

A norma brasileira de Governança Corporativa de TI (ABNT NBR ISO/IEC 38.500:2008, p. 3-4) está baseada em normas internacionais de governança corporativa e deixa claro que todos os mecanismos de gerenciamento organizacional estão sujeitos à governança corporativa. Na verdade, há fontes que consideram a governança de TI como sendo uma parte integrante da governança corporativa, como encontramos nos documentos citados no item 2 do apêndice .

Nesse sentido, a versão 5 do Cobit (com previsão de lançamento oficial no início do próximo ano), um arcabouço de governança de TI tradicionalmente reconhecido no mundo, já procurou garantir o estabelecimento de uma linguagem comum entre as duas governanças e a consistência desse arcabouço com os padrões de governança corporativa (ver item 3 do apêndice ).

A governança de TI exerce grande influência sobre as definições da governança corporativa em virtude das possibilidades que a tecnologia da informação oferece de suporte e alavancagem do negócio (ver item 4 do apêndice ).

Por outro lado, a construção de um modelo de governança de TI sofre a influência dos princípios gerais da governança corporativa, em especial dos princípios da transparência e da prestação de contas (ver item 5 do apêndice ), e a forma como cada organização implementa esses princípios dirige a maneira de construir o modelo de governança de TI (ver item 6 do apêndice ).

Portanto, embora possa até haver interesse da alta administração de uma instituição pública em alcançar um bom nível de governança de TI, isso não será possível até que essa mesma alta administração lance os fundamentos e construa as estruturas de governança corporativa necessários para governar todos os seus recursos críticos, tais como pessoas, finanças, TI etc.

Registre-se que, no caso do setor privado, já há evidência de que a adoção de boas práticas de governança corporativa está associada com a obtenção de resultados superiores de desempenho, em termos de retorno sobre o ativo (ver item 6 do apêndice ).

Considerando que é provável que o mesmo efeito seja passível de ocorrer no setor público, é recomendável orientar a alta administração das instituições públicas federais a adotar as boas práticas de governança corporativa e de TI como forma de alcançar a eficiência constitucionalmente exigida.

Registre-se, por oportuno, que o programa Gespública incluiu no seu ciclo 2010 o item de avaliação ‘Governança Pública e governabilidade’ como critério de avaliação (documento disponível em https://www.gespublica.gov.br/folder_premio/pasta.2010-04-26.8934490474/Instrumento_ciclo_ 2010_22mar.pdf), evidenciando tratar-se de tema de interesse do poder executivo.

No sentido de contribuir com o aperfeiçoamento das organizações públicas no tocante à governança corporativa, esta Corte já produziu estudo intitulado ‘Critérios gerais de controle interno na administração pública’ (anexo 3, fls. 1-34v) que conclui com proposta de anteprojeto de proposta legislativa para alteração da Lei de Responsabilidade Fiscal.

A proposta (anexo 3, fls. 28v-32) consiste em incluir na LRF uma seção tratando ‘Da gestão de riscos, do Controle Interno e da Governança Corporativa’, positivando no ordenamento jurídico brasileiro boas práticas que contribuem para a boa governança corporativa contidas em marcos de referência, como Coso I e II, reconhecidos mundialmente.

Como não se tem notícia de projeto de lei com conteúdo semelhante e considerando que o estudo pode vir a subsidiar proposta legislativa de deputados e senadores que pode contribuir para uma substancial modernização de nossa legislação, com efeitos diretos na melhoria da governança e gestão pública nas três esferas de governo, será proposto encaminhá-lo às comissões temáticas pertinetes das casas legislativas, quais sejam:

Comissão de Finanças e Tributação da Câmara dos Deputados;

Comissão de Assuntos Econômicos do Senado Federal.

O Acórdão 1.145/2011-TCU-Plenário registrou que a esfera federal já possui um arcabouço normativo voltado para o tema governança de TI. Ainda que incipiente, tal arcabouço foi construído por meio de normas infra-legais (Instruções Normativas, Resoluções etc) e o mesmo pode vir a ocorrer com os temas gestão de riscos, controle interno e governança corporativa, motivo pelo qual se propõe determinar à Sefti/TCU que encaminhe o estudo elaborado pelo TCU intitulado ‘Critérios gerais de controle interno na administração pública’ à Câmara de Políticas de Gestão, Desempenho e Competitividade do Conselho de Governo, com objetivo de subsidiar possível elaboração de normativo para o poder executivo, com fulcro no Decreto 7.478/2011, art. 2º, II, tratando de gestão de riscos, do controle interno e da governança corporativa (item ).

No mesmo sentido, a Sefti/TCU deve encaminhar o estudo ao CNJ e ao CNMP, com o propósito análogo.

Esta proposta de encaminhamento alinha-se aos seguintes objetivos estratégicos do TCU:

I – Contribuir para melhoria da gestão e do desempenho da Administração Pública;

V – Intensificar ações que promovam a melhoria da gestão de riscos e controles internos da Administração Pública;

VI – Aprimorar as ações de controle voltadas à melhoria do desempenho da Administração Pública.

COMENTÁRIOS DO GESTOR

A maioria das propostas de deliberação contidas neste relatório consiste de recomendações para que os OGS estabeleçam obrigatoriedade de que os jurisdicionados implantem processos e controles de TI.

As propostas de determinação aos jurisdicionados, por sua vez, contemplam solicitações de informações (SOF/MF e Dest/MP) e determinação de orientação de jurisdicionados, de forma que não se tratam de determinações de alta complexidade nem que possam gerar grande impacto às atividades dos jurisdicionados. Por isso, considerando a existência do disposto nos parágrafos 144-146 das ‘Normas de Auditoria do Tribunal de Contas da União’, aprovada pela Portaria – TCU 168/2011, não se proporá o encaminhamento de uma cópia do relatório preliminar desta auditoria aos gestores para comentários sobre as conclusões e as propostas da equipe.




1   2   3   4   5   6   7   8   9   ...   16


©livred.info 2017
enviar mensagem

    Página principal