TCU - Portal de Pesquisa Textual                                          http://contas.tcu.gov.br/portaltextual/MostraDoc...
TCU - Portal de Pesquisa Textual                                         http://contas.tcu.gov.br/portaltextual/MostraDocu...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                           http://contas.tcu.gov.br/portaltextual/MostraDo...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                           http://contas.tcu.gov.br/portaltextual/MostraDo...
TCU - Portal de Pesquisa Textual                                       http://contas.tcu.gov.br/portaltextual/MostraDocume...
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Acórdão tcu 111 2011 - ibama - avaliação de controles de ti
Próximos SlideShares
Carregando em…5
×

Acórdão tcu 111 2011 - ibama - avaliação de controles de ti

1.281 visualizações

Publicada em

Entidade: Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama
RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA
DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES
DE MELHORIA. DETERMINAÇÕES, RECOMENDAÇÕES E ALERTAS

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
1.281
No SlideShare
0
A partir de incorporações
0
Número de incorporações
116
Ações
Compartilhamentos
0
Downloads
5
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Acórdão tcu 111 2011 - ibama - avaliação de controles de ti

  1. 1. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=3&... Pesquisa: Livre Em Formulário Quarta-feira, 25 de Maio de 2011. Pesquisa número: 3 Expressão de Pesquisa: "AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO" Bases pesquisadas: Acórdãos; Decisões; Relações; Atas Documento da base: Acórdão Documentos recuperados: 11 Documento mostrado: 3 Status na Coletânea: Não Selecionado Visualizar este documento no formato: Formato Padrão para Acórdãos Coletânea Status do Documento na Coletânea: [Não Selecionado] Voltar à lista de documentos Anterior | Próximo Identificação Acórdão 111/2011 - Plenário Número Interno do Documento AC-0111-02/11-P Grupo/Classe/Colegiado GRUPO I / CLASSE V / Plenário Processo 013.674/2010-2 Natureza Relatório de Auditoria Entidade Entidade: Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama Interessados Responsável: Abelardo Bayma Azevedo, presidente (CPF 097.732.821-04) Sumário RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES DE MELHORIA. DETERMINAÇÕES, RECOMENDAÇÕES E ALERTAS Assunto Relatório de Auditoria Ministro Relator AROLDO CEDRAZ Representante do Ministério Público não atuou Unidade Técnica Secretaria de Controle Externo no Estado de Rondônia - Secex/RO e Secretaria de1 de 45 25/5/2011 13:05
  2. 2. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=3&... Fiscalização de Tecnologia da Informação - Sefti Advogado Constituído nos Autos não há Relatório do Ministro Relator A Secretaria de Controle Externo no Estado de Rondônia - Secex/RO realizou auditoria no Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama, no período de 25/5 a 9/7/2010, com o objetivo de avaliar controles gerais de tecnologia da informação - TI e verificar se estão de acordo com a legislação pertinente e com as boas práticas de governança de TI. 2. As ocorrências detectadas foram apresentadas pela equipe de auditoria nos seguintes termos (fls. 37/70): "3 - ACHADOS DE AUDITORIA 3.1 - Inexistência do Plano Estratégico Institucional 3.1.1 - Situação encontrada: Por meio do item 2 do Anexo I ao Ofício nº 394/2010 - Sefti (fl. 8/14, vol. principal) solicitaram-se informações acerca do Plano Estratégico Institucional do Ibama. Como resposta, constante no item 2.1 do questionário "PerfilGovTI 2010", a unidade jurisdicionada informou que executa um processo periódico de planejamento, embora este não esteja formalmente instituído. Todavia, não anexou evidências que comprovassem a afirmação. Durante a execução da auditoria, a equipe verificou, in loco, que, de fato, a instituição não executa um processo de planejamento estratégico institucional. 3.1.2 - Objetos nos quais o achado foi constatado: Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI./2010 3.1.3 - Causas da ocorrência do achado: Descontinuidade de gestão da alta administração. - As sucessivas alternâncias dos responsáveis pela Alta Administração dificultam a conclusão do planejamento estratégico da instituição. 3.1.4 - Efeitos/Conseqüências do achado: Ausência de planejamento e execução coordenados das ações institucionais. (efeito real) 3.1.5 - Critérios: Constituição Federal, art. 37, caput Decreto Lei 200/1967, art. 6º, inciso I; art. 7º Norma Técnica - Ministério do Planejamento, Orçamento e Gestão - Gespública - Critério de Avaliação nº 2. 3.1.6 - Evidências: Questionário: Perfil GovTI 2010 - Item 2.1 - Em relação ao processo de planejamento estratégico institucional, marque a opção que melhor descreve a sua instituição (...) (Anexo 1 - Principal - folhas 2/7) 3.1.7 - Esclarecimentos dos responsáveis: As constantes mudanças dos titulares dos cargos da alta administração dificultam a conclusão do planejamento estratégico da instituição. 3.1.8 - Conclusão da equipe: O Ibama descumpriu o disposto na Constituição Federal, art. 37, caput (princípio da eficiência) e ao Decreto-Lei nº 200/67, art. 6º, inciso I, e art. 7º, ao não elaborar um Plano Estratégico Institucional. Em consequência, cabe recomendação à entidade, com vistas ao aperfeiçoamento de sua gestão. 3.1.9 - Proposta de encaminhamento: Recomendar ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência) e ao Decreto-Lei nº 200/67, art. 6º, inciso I, e art. 7º, elabore um Plano Estratégico Institucional, considerando o previsto no critério de avaliação nº 2 do Gespública. 3.2 - Inexistência do PDTI2 de 45 25/5/2011 13:05
  3. 3. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=3&... 3.2.1 - Situação encontrada: Por meio do item 2 do Anexo I ao Ofício nº 394/2010 - Sefti (fl. 8/14, vol. principal) solicitaram-se informações acerca do Planejamento de Tecnologia da Informação do Ibama. Como resposta, constante no item 2.2 do questionário "PerfilGovTI 2010", a unidade jurisdicionada informou que executa um processo periódico de planejamento, embora este não esteja formalmente instituído. Todavia, não anexou evidências que comprovassem a afirmação. Durante a execução da auditoria, a equipe verificou, in loco, que, de fato, a instituição não executa um processo de planejamento estratégico de TI. 3.2.2 - Objetos nos quais o achado foi constatado: Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI./2010 3.2.3 - Causas da ocorrência do achado: Ausência de Plano Estratégico Institucional. 3.2.4 - Efeitos/Conseqüências do achado: Ausência de gerenciamento dos recursos de TI em alinhamento com as prioridades e estratégias do órgão. (efeito real) 3.2.5 - Critérios: Constituição Federal, art. 37, caput Instrução Normativa 4/2008, Secretaria de Logística e Tecnologia da Informação, art. 3º Norma Técnica - Cobit 4.1 - PO1 - Planejamento Estratégico de TI. Portaria 16/2009, Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis, art. 1º 3.2.6 - Evidências: Questionário: Perfil GovTI 2010 - Item 2.2 - Em relação ao processo de planejamento estratégico de TI, marque a opção que melhor descreve a sua instituição (...) (Anexo 1 - Principal - folhas 2/7) 3.2.7 - Esclarecimentos dos responsáveis: Até o mês de outubro de 2010 o órgão concluirá seu planejamento estratégico de TI. 3.2.8 - Conclusão da equipe: O Ibama descumpriu o art. 3º da Instrução Normativa nº 04/2008 - SLTI/MPOG ao não elaborar e aprovar um Plano Diretor de Tecnologia da Informação - PDTI, observando as diretrizes constantes na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4, III, e as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI. Em consequência, cabe determinação ao órgão, com vistas ao aperfeiçoamento de sua gestão. 3.2.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que, em atenção ao previsto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 3º, elabore e aprove um Plano Diretor de Tecnologia da Informação - PDTI, observando as diretrizes constantes na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4, III, e as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI. 3.3 - Inexistência de comitê de TI 3.3.1 - Situação encontrada: Por meio do item 3 do Anexo I ao Ofício nº 394/2010 - Sefti (fls. 8/14, vol. principal) solicitaram-se informações acerca do comitê de TI do Ibama. Como resposta, constante no item 1.1 do questionário "PerfilGovTI 2010" (fl. 2, anexo 1), o gestor afirmou que não designou formalmente um Comitê de TI para auxiliar nas decisões relativas à gestão e ao uso corporativos de TI. 3.3.2 - Objetos nos quais o achado foi constatado: Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI./2010 3.3.3 - Causas da ocorrência do achado: Omissão da Alta Administração em designar formalmente um Comitê de TI para auxiliá-la nas decisões relativas à gestão e ao uso corporativo de TI. 3.3.4 - Efeitos/Conseqüências do achado:3 de 45 25/5/2011 13:05
  4. 4. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=3&... As decisões relativas à gestão e ao uso corporativo de TI são executadas pela Alta Administração sem a participação das áreas relevantes para o negócio institucional. (efeito real) 3.3.5 - Critérios: ACÓRDÃO 2023/2005, item 9.3.1, Tribunal de Contas da União, Plenário Constituição Federal, art. 37, caput Instrução Normativa 4/2008, Secretaria de Logística e Tecnologia da Informação, art. 4º, inciso IV Norma Técnica - Cobit 4.1 - PO4.2 - Comitê estratégico de TI. Norma Técnica - Cobit 4.1 - PO4.3 - Comitê diretor de TI. Portaria 16/2009, Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis, art. 1º 3.3.6 - Evidências: Questionário: Perfil GovTI 2010 - Item 1.1 - Em relação à estrutura de governança de TI, a Alta Administração da instituição (...) (Anexo 1 - Principal - folhas 2/7) Questionário: Perfil GovTI 2010 - Item 2.4 - Em relação ao processo decisório de priorização das ações e gastos de TI, assinale a opção que melhor descreve sua instituição (...) (Anexo 1 - Principal - folhas 2/7) 3.3.7 - Esclarecimentos dos responsáveis: Informaram que o Comitê de TI está em processo de instituição. 3.3.8 - Conclusão da equipe: O Ibama descumpriu o disposto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4º, IV, ao não implantar um Comitê de Tecnologia da Informação que envolva as diversas áreas do Ibama, e que se responsabilize por alinhar os investimentos de Tecnologia da Informação com os objetivos institucionais e por apoiar a priorização de projetos a serem implantados. Em consequência, cabe determinação à entidade, com vistas ao aperfeiçoamento de sua gestão. 3.3.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis que, em atenção ao disposto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4º, IV, implante Comitê de Tecnologia da Informação que envolva as diversas áreas do Ibama, e que se responsabilize por alinhar os investimentos de Tecnologia da Informação com os objetivos institucionais e por apoiar a priorização de projetos a serem implantados, considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor de TI. 3.4 - Inexistência de avaliação do quadro de pessoal de TI 3.4.1 - Situação encontrada: Por intermédio do item 3 ao Anexo I ao Ofício nº 394/2010 - Sefti (fls. 8/14, vol. principal), solicitaram-se informações acerca da avaliação do quadro de pessoal de TI do Ibama. Pela ausência de resposta do gestor à solicitação da equipe de auditoria, concluiu-se primeiramente que não havia estudos que fundamentem a adequabilidade da estrutura de recursos humanos da área de TI (quantitativo e qualificação dos servidores), com vistas a atender as necessidades da instituição. Durante a execução dos trabalhos, o gestor declarou que, de fato, não existem controles para avaliar periodicamente a adequação e suficiência do quadro de pessoal de TI, bem como as competências necessárias para os profissionais de TI. 3.4.2 - Objetos nos quais o achado foi constatado: Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI./2010 3.4.3 - Causas da ocorrência do achado: Não há estudos que embasem a constatação da suficiência da estrutura de recursos humanos do setor de informática para o desempenho das atribuições da área e para o atendimento das necessidades do órgão. 3.4.4 - Efeitos/Conseqüências do achado: Impossibilidade de se avaliar se a quantidade de pessoal é suficiente para suportar de forma adequada os objetivos e metas dos negócios da instituição. (efeito real) 3.4.5 - Critérios: ACÓRDÃO 71/2007, item 9.2.23, Tribunal de Contas da União, Plenário4 de 45 25/5/2011 13:05
  5. 5. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=3&... Decreto 5707/2006, art. 1º, inciso III; art. 3º, inciso III Decreto Lei 200/1967, art. 94, inciso IX Norma Técnica - Cobit 4.1 - PO4.12 -Assessoria de TI. 3.4.6 - Evidências: Questionário: Perfil GovTI 2010 - Item 6.3 - Em relação ao plano de capacitação de pessoal para gestão de TI, assinale a opção que melhor descreve sua instituição: (...) (Anexo 1 - Principal - folhas 2/7) 3.4.7 - Esclarecimentos dos responsáveis: Apenas informam que o quantitativo de pessoal alocado no setor de TI é insuficiente para desempenho das atividades. Contudo, não houve apresentação de estudo que fundamentasse a referida constatação. 3.4.8 - Conclusão da equipe: O Ibama descumpriu o disposto na Constituição Federal, art. 37, caput (princípio da eficiência) e o Decreto nº 5.707/2006, art. 1º, inciso III, ao não elaborar um estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI. Em consequência, cabe recomendação ao órgão, com vistas ao aperfeiçoamento de sua gestão. 3.4.9 - Proposta de encaminhamento: Recomendar ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência) e ao Decreto nº 5.707/2006, art. 1º, inciso III, elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI. 3.5 - Falhas no orçamento de TI constante da LOA. 3.5.1 - Situação encontrada: Por intermédio do item 4 do Anexo I ao Ofício nº 394/2010 - Sefti (fls. 8/14, vol. principal), solicitaram-se informações acerca do orçamento de TI do Ibama constante da LOA. Como resposta, constante no item 7.15 do questionário "PerfilGovTI 2010" (fl. 7, anexo 1), o gestor informou que a solicitação de TI é feita com base na estimativa dos custos das contratações previstas. Todavia, não foram apresentadas evidências que comprovassem a resposta. Durante a execução da auditoria, verificou-se que o planejamento de gastos de TI do Ibama é concentrado unicamente na ação "200 - Administração da Unidade" do Programa "0750 - Apoio Administrativo", detalhados nos seguintes subelementos de despesa: "33.90.30.17 - Material de Processamento de Dados", "33.90.39.57 - Serviços Técnicos Profissionais de Tecnologia da Informação" e "33.90.39.95 - Manutenção de Conservação de Equipamentos de Processamento de Dados" (fls. 40/43, Anexo 1). 3.5.2 - Objetos nos quais o achado foi constatado: Orçamento PLOA/2010 - Quadro 17 - Previsão de gastos de TI do Ibama. (tabelas de fls. 40/41 e 42/43, Anexo 1). Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI/2010 3.5.3 - Causas da ocorrência do achado: Baixa maturidade do processo de planejamento orçamentário de TI. 3.5.4 - Efeitos/Conseqüências do achado: Recursos insuficientes para a área de TI. (efeito potencial) Interrupção de serviços de TI por falta de recursos necessários. (efeito potencial) Não-alcance de metas estabelecidas para a organização por falta de suporte da área de TI. (efeito potencial) 3.5.5 - Critérios: Lei 12017/2009, art. 9º, inciso II Norma Técnica - Ministério do Planejamento, Orçamento e Gestão - Gespública - critério de avaliação 7.3. Norma Técnica - Cobit 4.1 - PO5.3 - Processo de Orçamento de TI.5 de 45 25/5/2011 13:05
  6. 6. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=3&... 3.5.6 - Evidências: PLOA/2010 - Quadro 17 - Previsão de gastos de TI do Ibama. (Anexo 1 - Principal - folhas 40/43) Questionário: Perfil GovTI 2010 - Item 7.15 - Em relação à orçamentação e à execução da despesa de TI (...) (Anexo 1 - Principal - folhas 2/7) 3.5.7 - Conclusão da equipe: O Ibama apresentou falhas no cumprimento das práticas contidas no Cobit 4.1, processo PO5.3 - Orçamentação de TI e no Gespública, critério de avaliação 7.3, em relação ao seu processo de elaboração do orçamento de TI, necessário ao cumprimento das disposições contidas na Lei nº 12.017/2009 (LDO 2009/2010), art. 9º, II c/c Anexo II, XVIII. Em consequência, cabe determinação ao Ibama, com vistas ao aperfeiçoamento de sua gestão. 3.5.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que aperfeiçoe o processo de elaboração do orçamento de TI, necessário ao cumprimento das disposições contidas na Lei nº 12.017/2009 (LDO 2009/2010), art. 9º, II c/c Anexo II, XVIII, ou das que vierem a lhe suceder, de maneira que as solicitações de orçamento das despesas de TI estejam baseadas nas ações que se pretende executar, observando as práticas contidas no Cobit 4.1, processo PO5.3 - Orçamentação de TI e no Gespública, critério de avaliação 7.3. 3.6 - Inexistência de controle da execução do orçamento de TI. 3.6.1 - Situação encontrada: Por intermédio do item 4 do Anexo I ao Ofício nº 394/2010 - Sefti (fls. 8/14, vol. principal), solicitaram-se informações acerca do controle de execução de orçamento de TI do Ibama. Na resposta apresentada, constante no item 7.15 do questionário "PerfilGovTI 2010" (fl. 7, Anexo 1), não há evidências de que o referido controle seja levado a efeito. 3.6.2 - Objetos nos quais o achado foi constatado: Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI./2010 3.6.3 - Causas da ocorrência do achado: Deficiências de controles 3.6.4 - Efeitos/Conseqüências do achado: Recursos insuficientes para a área de TI. (efeito potencial) Interrupção de serviços de TI por falta de recursos necessários. (efeito potencial) Não-alcance de metas estabelecidas para a organização por falta de suporte da área de TI. (efeito potencial) 3.6.5 - Critérios: Lei 4320/1964, art. 75, inciso III Norma Técnica - Ministério do Planejamento, Orçamento e Gestão - Gespública - critério de avaliação 7.3. Norma Técnica - Cobit 4.1 - PO5.4 Gerenciamento de Custo. 3.6.6 - Evidências: Questionário: Perfil GovTI 2010 - Item 7.15 - Em relação à orçamentação e à execução da despesa de TI (...) (Anexo 1 - Principal - folhas 2/7) 3.6.7 - Conclusão da equipe: O Ibama descumpriu as disposições contidas na Lei nº 4.320/64, art. 75, inciso III, ao não implantar um controle da execução orçamentária a fim de se obter prontamente informações acerca dos gastos e da disponibilidade de recursos de TI. Em consequência, cabe determinação ao órgão, com vistas ao aperfeiçoamento de sua gestão. 3.6.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que, em atenção às disposições contidas na Lei nº 4.320/64, art. 75, inciso III, implante controle da execução orçamentária, a fim de se obter prontamente informações acerca dos gastos e da disponibilidade de recursos de TI. 3.7 - Inexistência de processo de software. 3.7.1 - Situação encontrada: Por intermédio do item 5 do Anexo I ao Ofício nº 394/2010 - Sefti (fls. 8/14, vol.6 de 45 25/5/2011 13:05
  7. 7. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=3&... principal), solicitaram-se informações acerca do processo de software do Ibama. Como resposta, constante no item 7.3 do questionário "PerfilGovTI 2010" (fl. 5, Anexo 1), o gestor informou que não há processo e nem conceito de qualidade do processo de software no Ibama. 3.7.2 - Objetos nos quais o achado foi constatado: Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI/2010 3.7.3 - Causas da ocorrência do achado: Deficiências de controles 3.7.4 - Efeitos/Conseqüências do achado: Processo de desenvolvimento de sistemas lento e sistemas de informação ineficazes. (efeito potencial) Perda de informações por causa de sistemas pouco robustos, sujeitos a falhas de segurança, seja por fraude, seja por uso incorreto. (efeito potencial) Execução de contratos de prestação de serviços de desenvolvimento sem métricas adequadas nem etapas claras com produtos para cada etapa. (efeito potencial) Sistemas de difícil manutenção, sem documentação, em que apenas quem desenvolveu detém o conhecimento. Esse caso pode ser ainda mais sério se o desenvolvedor for contratado externamente. (efeito potencial) 3.7.5 - Critérios: ACÓRDÃO 953/2009, item 1.5.2, Tribunal de Contas da União, Plenário Instrução Normativa 4/2008, Secretaria de Logística e Tecnologia da Informação, art. 12, inciso II Lei 8666/1993, art. 6º, inciso IX Norma Técnica - Cobit 4.1 - PO8.3 - Padrões de Desenvolvimento e Aquisição. 3.7.6 - Evidências: Questionário: Perfil GovTI 2010 - Item 7.3 - Em que nível de capacidade/maturidade melhor se enquadra o seu atual processo de software? (Anexo 1 - Principal - folhas 2/7) 3.7.7 - Conclusão da equipe: O Ibama descumpriu o disposto na Constituição Federal, art. 37, caput (princípio da eficiência), na Lei nº 8.666/93, art. 6º, inc. IX, e na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 12, II, ao não definir um processo de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de software, considerando ainda as Normas NBR ISO/IEC 12.207 e 15.504. Em consequência, cabe determinação e recomendação ao órgão, com vistas ao aperfeiçoamento de sua gestão. 3.7.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que, em atenção ao disposto na Lei nº 8.666/93, art. 6º, inc. IX, e às disposições contidas na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 12, II, defina um processo de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de software, vinculando o contrato com o processo de software, sem o qual o objeto não estará precisamente definido. Recomendar ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), quando do estabelecimento de seu processo de software, considere as Normas NBR ISO/IEC 12.207 e 15.504 (Achado "Inexistência de processo de software"). 3.8 - Inexistência de processo de gerenciamento de projetos. 3.8.1 - Situação encontrada: Por intermédio do item 6 do Ofício nº 394/2010 - Sefti (fls. 8/14, vol. principal), solicitaram-se informações acerca do processo de gerenciamento de projetos de TI do Ibama. Como resposta, foram remetidas as normas internas "NA.MI-100-10-02 - Norma para Mapeamento de Processos" e "NA.MI-100-10-03 - Norma para Desenvolvimento de Sistemas". Todavia, os documentos enviados não apresentam os elementos essenciais para serem considerados processos de gerenciamento de projetos de TI, quais sejam: a) descrição dos papéis dos profissionais envolvidos: b) atividades previstas7 de 45 25/5/2011 13:05
  8. 8. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=3&... c) artefatos previstos Além disso, são obrigatórios os seguintes artefatos ou equivalentes: i) Definição do escopo; ii) Cronograma; iii) Orçamento; iv) Lista de riscos (com seus respectivos tratamentos previstos); v) Fases do ciclo de vida do projeto; v) Plano para execução do projeto homologado por todos os envolvidos. de forma que não se pode considerá-los como processo de gerenciamento de projetos de TI. 3.8.2 - Objetos nos quais o achado foi constatado: Ato normativo NA.MI-100-10-02 - BAMA /2006 - Norma Mapeamento de Processos (fls. 22/25, Anexo 1). Ato normativo NA.MI-100-10-03 - BAMA /2006 - Norma para Desenvolvimento de Sistemas. Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI./2010 3.8.3 - Causas da ocorrência do achado: Deficiências de controles 3.8.4 - Efeitos/Conseqüências do achado: Ausência de gerenciamento dos projetos de TI do Ibama. (efeito potencial) Risco de custos inesperados e de cancelamentos de projeto. (efeito potencial) 3.8.5 - Critérios: Norma Técnica - Cobit 4.1 - PO10.2 -Estrutura de gerência de projetos. 3.8.6 - Evidências: NA.MI-100-10-02 - Norma Mapeamento de Processos. (Anexo 1 - Principal - folhas 22/25) NA.MI-100-10-03 - Norma para Desenvolvimento de Sistemas. (Anexo 1 - Principal - folhas 18/21) Ofício nº 96/2010 - AUDIT/IBAMA (Anexo 1 - Principal - folha 31) 3.8.7 - Conclusão da equipe: O Ibama descumpriu o disposto na Constituição Federal, art. 37, caput (princípio da eficiência) ao não implantar uma estrutura formal de gerência de projetos, observando as orientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos e do PMBOK, dentre outras boas práticas de mercado. Em consequência, cabe recomendação ao órgão, com vistas ao aperfeiçoamento de sua gestão. 3.8.8 - Proposta de encaminhamento: Recomendar ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implante uma estrutura formal de gerência de projetos, observando as orientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos e do PMBOK, dentre outras boas práticas de mercado. 3.9 - Inexistência do processo de gestão de incidentes. 3.9.1 - Situação encontrada: Por intermédio do item 7 do Anexo I ao Ofício nº 394/2010 - Sefti (fls. 8/14, vol. principal), solicitaram-se informações acerca do processo de gestão de incidentes do Ibama. Pela ausência de resposta ao item 7.6 do questionário "PerfilGovTI 2010" (fl. 6, Anexo 1), o gestor informou que o Ibama não executa Processo de Gestão de Incidentes. 3.9.2 - Objetos nos quais o achado foi constatado: Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI/2010 3.9.3 - Causas da ocorrência do achado: Deficiências de controles 3.9.4 - Efeitos/Conseqüências do achado: Tratamento de incidentes inexistente, inadequado ou inconsistente. (efeito potencial) Inexistência de registro histórico de incidentes, o que dificulta o aprendizado e o8 de 45 25/5/2011 13:05
  9. 9. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=3&... tratamento das causas. (efeito potencial) Maior risco de que indisponibilidades, perdas de integridade ou acessos indevidos tenham maior impacto sobre as informações e, conseqüentemente, sobre o negócio da organização. (efeito potencial) 3.9.5 - Critérios: Norma Técnica - NBR ISO/IEC 27002 - Item 10.1.2 - Gestão de mudanças. Norma Técnica - Cobit4.1 - DS8 - Gerenciar a Central de Serviço e os Incidentes. 3.9.6 - Evidências: Questionário: Perfil GovTI 2010 - Item 7.6 - A instituição implementou corporativamente os processos de gestão de serviços de TI abaixo relacionados? (Anexo 1 - Principal - folhas 2/7) 3.9.7 - Conclusão da equipe: O Ibama descumpriu o disposto na Constituição Federal, art. 37, caput (princípio da eficiência) ao não implementar um processo de gestão de incidentes de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a central de serviços e incidentes e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000 e a NBR 27.002). Em consequência, cabe recomendação ao órgão, com vistas ao aperfeiçoamento de sua gestão. 3.9.8 - Proposta de encaminhamento: Recomendar Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente processo de gestão de incidentes de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a central de serviços e incidentes e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000 e a NBR 27.002). 3.10 - Inexistência do processo de gestão de configuração 3.10.1 - Situação encontrada: Por intermédio do item 7 do Anexo I ao Ofício nº 394/2010 - Sefti (fls. 8/14, vol. principal), solicitaram-se informações acerca do processo de gestão de configuração do Ibama. Pela ausência de resposta ao item 7.6 do questionário "PerfilGovTI 2010" (fl. 6, Anexo 1), o gestor informou que o Ibama não executa um processo de gestão de configuração. 3.10.2 - Objetos nos quais o achado foi constatado: Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI/2010 3.10.3 - Causas da ocorrência do achado: Deficiências de controles 3.10.4 - Efeitos/Conseqüências do achado: Riscos atinentes à disponibilidade e ao tempo dispendido para solucionar problemas dos sistemas. (efeito potencial) 3.10.5 - Critérios: Norma Técnica - Cobit 4.1 - DS9 - Gerenciar a Configuração. 3.10.6 - Evidências: Questionário: Perfil GovTI 2010 - Item 7.6 - A instituição implementou corporativamente os processos de gestão de serviços de TI abaixo relacionados? (Anexo 1 - Principal - folhas 2/7) 3.10.7 - Conclusão da equipe: O Ibama descumpriu o disposto na Constituição Federal, art. 37, caput (princípio da eficiência), ao não implementar um processo de gestão de configuração de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000). Em consequência, cabe recomendação ao órgão, com vistas ao aprimoramento de sua gestão. 3.10.8 - Proposta de encaminhamento: Recomendar ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente processo de gestão de configuração de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000).9 de 45 25/5/2011 13:05
  10. 10. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=3&... 3.11 - Inexistência do processo de gestão de mudanças. 3.11.1 - Situação encontrada: Por intermédio do item 7 do Anexo I ao Ofício nº 394/2010 - Sefti (fls. 8/14, vol. principal), solicitaram-se informações acerca do processo de gestão de mudanças do Ibama. Pela ausência de resposta ao item 7.6 do questionário "PerfilGovTI 2010" (fl. 6, Anexo 1), o gestor informou que o Ibama não executa um processo de gestão de mudanças. 3.11.2 - Objetos nos quais o achado foi constatado: Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI/2010 3.11.3 - Causas da ocorrência do achado: Deficiências de controles 3.11.4 - Efeitos/Conseqüências do achado: Comprometimento da disponibilidade das informações nos sistemas e da estabilidade do ambiente de TI devido à realização de mudanças não-criteriosas. (efeito potencial) Impossibilidade de restaurar uma situação anterior a uma mudança malsucedida, pela falta de cuidado com a preservação do estado anterior e de registro preciso dos passos executados. (efeito potencial) Alteração do nível de proteção de uma ou várias informações de forma não avaliada, não prevista ou não aprovada pelo gestor da informação como efeito de mudança em um recurso de TI. (efeito potencial) 3.11.5 - Critérios: Norma Técnica - Cobit 4.1 - AI6 - Gerenciar Mudanças. Norma Técnica - NBR ISO/IEC 27002 - 12.5.1 - Procedimentos para controle de mudanças. 3.11.6 - Evidências: Questionário: Perfil GovTI 2010 - Item 7.6 - A instituição implementou corporativamente os processos de gestão de serviços de TI abaixo relacionados? (Anexo 1 - Principal - folhas 2/7) 3.11.7 - Conclusão da equipe: O Ibama descumpriu o disposto na Constituição Federal, art. 37, caput (princípio da eficiência), ao não estabelecer procedimentos formais de gestão de mudanças, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 17.799:2005, à semelhança das orientações contidas no Cobit 4.1, processo AI6 - Gerenciar mudanças e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000). Em consequência, cabe recomendação ao órgão, com vistas ao aprimoramento de sua gestão. 3.11.8 - Proposta de encaminhamento: Recomendar ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 17.799:2005, à semelhança das orientações contidas no Cobit 4.1, processo AI6 - Gerenciar mudanças e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000). 3.12 - Inexistência de Comitê de Segurança da Informação e Comunicações. 3.12.1 - Situação encontrada: Por intermédio do item 8 do Anexo I ao Ofício nº 394/2010 - Sefti (fls. 8/14, vol. principal), solicitaram-se informações acerca do Comitê de Segurança da Informação e Comunicações do Ibama. Pela ausência de resposta do gestor à solicitação da equipe de auditoria, verificou-se que o Ibama não instituiu formalmente o referido comitê. 3.12.2 - Objetos nos quais o achado foi constatado: Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI./2010 3.12.3 - Causas da ocorrência do achado: Deficiências de controles 3.12.4 - Efeitos/Conseqüências do achado: Riscos à segurança da informação. (efeito potencial) 3.12.5 - Critérios:10 de 45 25/5/2011 13:05
  11. 11. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=3&... Instrução Normativa 1/2008, Gabinete de Segurança Institucional da Presidência da República, art. 5º, inciso VI Norma Técnica - Gabinete de Segurança Institucional da Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3. Norma Técnica - NBR ISO/IEC 27002 - item 6.1.2 - Coordenação de segurança da informação 3.12.6 - Evidências: Questionário: Perfil GovTI 2010 - Item 7.1 - A instituição implementou formalmente (aprovou e publicou) os processos corporativos de segurança da informação abaixo relacionados? (Anexo 1 - Principal - folhas 2/7) 3.12.7 - Conclusão da equipe: O Ibama descumpriu o disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VI c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, ao não instituir um Comitê de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27.002, item 6.1.2 - Coordenação de segurança da informação. Em consequência, cabe determinação ao órgão, com vistas ao aprimoramento de sua gestão. 3.12.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VI c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27.002, item 6.1.2 - Coordenação de segurança da informação. 3.13 - Inexistência de Gestor de Segurança da Informação e Comunicações. 3.13.1 - Situação encontrada: Por intermédio do item 8 do Anexo I ao Ofício nº 394/2010 - Sefti (fls. 8/14, vol. principal), solicitaram-se informações acerca do Gestor de Segurança da Informação e Comunicações do Ibama. Pela ausência de resposta do gestor à solicitação da equipe de auditoria, verificou-se que o Ibama não instituiu formalmente o referido gestor. 3.13.2 - Objetos nos quais o achado foi constatado: Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI/2010 3.13.3 - Causas da ocorrência do achado: Deficiências de controles 3.13.4 - Efeitos/Conseqüências do achado: Riscos à segurança da informação. (efeito potencial) 3.13.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional da Presidência da República, art. 5º, inciso IV; art. 7º Norma Técnica - Gabinete de Segurança Institucional da Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2. Norma Técnica - NBR ISO/IEC - 27002, item 6.1.3 - Atribuição de responsabilidade para segurança da informação. 3.13.6 - Evidências: Questionário: Perfil GovTI 2010 - Item 7.1 - A instituição implementou formalmente (aprovou e publicou) os processos corporativos de segurança da informação abaixo relacionados? (Anexo 1 - Principal - folhas 2/7) 3.13.7 - Conclusão da equipe: O Ibama descumpriu o disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, IV e art. 7º, c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2, ao não nomear um Gestor de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27.002, item 6.1.3 - Atribuição de responsabilidade para segurança da informação. Em consequência, cabe determinação ao órgão, com vistas ao aprimoramento de sua gestão. 3.13.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que, em11 de 45 25/5/2011 13:05
  12. 12. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=3&... atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, IV e art. 7º, c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie Gestor de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27.002, item 6.1.3 - Atribuição de responsabilidade para segurança da informação. 3.14 - Inexistência de processo de gestão de riscos de segurança da informação (GRSIC). 3.14.1 - Situação encontrada: Por intermédio do item 8 do Anexo I ao Ofício nº 394/2010 - Sefti (fls. 8/14, vol. principal), solicitaram-se informações acerca do processo de gestão de riscos de segurança da informação do Ibama. Pela ausência de resposta do gestor à solicitação da equipe de auditoria, verificou-se que o Ibama não definiu formalmente um processo de gestão de riscos de segurança da informação. 3.14.2 - Objetos nos quais o achado foi constatado: Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI./2010 3.14.3 - Causas da ocorrência do achado: Deficiências de controles 3.14.4 - Efeitos/Conseqüências do achado: Riscos à segurança da informação. (efeito potencial) 3.14.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional da Presidência da República, art. 5º, inciso VII Norma Técnica - Gabinete de Segurança Institucional da Presidência da República - Norma Complementar 04/IN01/DSIC/GSIPR, homologada pela Portaria nº 37/2009do Conselho de Defesa Nacional. Norma Técnica - NBR - 27005 -Gestão de riscos de segurança da informação. 3.14.6 - Evidências: Questionário: Perfil GovTI 2010 - Item 7.1 - A instituição implementou formalmente (aprovou e publicou) os processos corporativos de segurança da informação abaixo relacionados? (Anexo 1 - Principal - folhas 2/7) 3.14.7 - Conclusão da equipe: O Ibama descumpriu o disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII c/c Norma Complementar 04/IN01/DSIC/GSIPR, ao não implementar um processo de gestão de riscos de segurança da informação. Em consequência, cabe determinação ao órgão, com vistas ao aperfeiçoamento de sua gestão. 3.14.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII c/c Norma Complementar 04/IN01/DSIC/GSIPR, implemente processo de gestão de riscos de segurança da informação. 3.15 - Inexistência de Política de Segurança da Informação e Comunicações (POSIC). 3.15.1 - Situação encontrada: Por intermédio do item 8 do Anexo I ao Ofício nº 394/2010 - Sefti (fls. 8/14, vol. principal), solicitaram-se informações acerca da Política de Segurança da Informação e Comunicações do Ibama. Pela ausência de resposta do gestor à solicitação da equipe de auditoria, verificou-se que o Ibama não instituiu formalmente a referida política. 3.15.2 - Objetos nos quais o achado foi constatado: Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI./2010 3.15.3 - Causas da ocorrência do achado: Deficiências de controles 3.15.4 - Efeitos/Conseqüências do achado: Riscos à segurança da informação. (efeito potencial) 3.15.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional da Presidência12 de 45 25/5/2011 13:05
  13. 13. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=3&... da República, art. 5º, inciso VII Norma Técnica - Gabinete de Segurança Institucional da Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR. 3.15.6 - Evidências: Questionário: Perfil GovTI 2010 - Item 7.1 - A instituição implementou formalmente (aprovou e publicou) os processos corporativos de segurança da informação abaixo relacionados? (Anexo 1 - Principal - folhas 2/7) 3.15.7 - Conclusão da equipe: O Ibama descumpriu o disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII, ao não implantar uma Política de Segurança da Informação e Comunicações, observando as práticas contidas na Norma Complementar 03/IN01/DSIC/GSIPR. Em consequência, cabe determinação ao órgão, com vistas ao aprimoramento de sua gestão. 3.15.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII, implante Política de Segurança da Informação e Comunicações, observando as práticas contidas na Norma Complementar 03/IN01/DSIC/GSIPR. 3.16 - Inexistência de equipe de tratamento e resposta a incidentes em redes computacionais (ETRI). 3.16.1 - Situação encontrada: Por intermédio do item 8 do Anexo I ao Ofício nº 394/2010 - Sefti (fls. 8/14, vol. principal), solicitaram-se informações acerca da equipe de tratamento e resposta a incidentes em redes computacionais do Ibama. Pela ausência de resposta do gestor à solicitação da equipe de auditoria, verificou-se que o Ibama não instituiu formalmente a referida equipe. 3.16.2 - Objetos nos quais o achado foi constatado: Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI./2010 3.16.3 - Causas da ocorrência do achado: Deficiências de controles 3.16.4 - Efeitos/Conseqüências do achado: Riscos à segurança da informação. (efeito potencial) 3.16.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional da Presidência da República, art. 5º, inciso V Norma Técnica - Gabinete de Segurança Institucional da Presidência da República - Norma Complementar 05/IN01/DSIC/GSIPR, homologada pela Portaria nº 38/2009 do Conselho de Defesa Nacional. 3.16.6 - Evidências: Questionário: Perfil GovTI 2010 - Item 7.1 - A instituição implementou formalmente (aprovou e publicou) os processos corporativos de segurança da informação abaixo relacionados? (Anexo 1 - Principal - folhas 2/7) 3.16.7 - Conclusão da equipe: O Ibama descumpriu o disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, V, ao não instituir equipe de tratamento e resposta a incidentes em redes computacionais, observando as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR. Em consequência, cabe determinação ao órgão, com vistas ao aperfeiçoamento de sua gestão. 3.16.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais, observando as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR. 3.17 - Inexistência de classificação da informação. 3.17.1 - Situação encontrada: Por intermédio do item 8 do Anexo I ao Ofício nº 394/2010 - Sefti (fls. 8/14, vol. principal), solicitaram-se informações acerca da classificação de informações do Ibama. Pela13 de 45 25/5/2011 13:05
  14. 14. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=3&... resposta do gestor à solicitação da equipe de auditoria, Ofício nº 96/2010-AUDIT/IBAMA (fl. 31, verso, Anexo 1), verificou-se que não há norma interna que regule a classificação das informações produzidas e/ou custodiadas pelo Ibama. 3.17.2 - Objetos nos quais o achado foi constatado: Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI./2010 3.17.3 - Causas da ocorrência do achado: Deficiências de controles 3.17.4 - Efeitos/Conseqüências do achado: Riscos à segurança da informação. (efeito potencial) 3.17.5 - Critérios: Decreto 4553/2002, art. 6º, § 2º, inciso I e II; art. 67 Norma Técnica - NBR ISO/IEC 27002 - item 7.2 -Classificação da informação. 3.17.6 - Evidências: Ofício nº 96/2010 - AUDIT/IBAMA (Anexo 1 - Principal - folha 31) Questionário: Perfil GovTI 2010 - Item 7.1 - A instituição implementou formalmente (aprovou e publicou) os processos corporativos de segurança da informação abaixo relacionados? (Anexo 1 - Principal - folhas 2/7) 3.17.7 - Conclusão da equipe: O Ibama descumpriu o disposto no Decreto nº 4553/2002, art. 6º, § 2º, inciso II e art. 67, ao não criar critérios de classificação das informações a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observando as práticas contidas no item 7.2 da NBR ISO/IEC 27.002. Em consequência, cabe determinação ao órgão, com vistas ao aperfeiçoamento de sua gestão. 3.17.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que, em atenção ao disposto no Decreto nº 4553/2002, art. 6º, § 2º, inciso II e art. 67, crie critérios de classificação das informações a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observando as práticas contidas no item 7.2 da NBR ISO/IEC 27.002. 3.18 - Inexistência de inventário dos ativos de informação. 3.18.1 - Situação encontrada: Por intermédio do item 8 do Anexo I ao Ofício nº 394/2010 - Sefti (fls. 8/14, vol. principal), solicitaram-se informações acerca do inventário dos ativos de informação do Ibama. Como resposta, o gestor apresentou a listagem constante às fls. 32/34, Anexo 1, como o inventário existente. Todavia, o documento enviado não apresenta os elementos essenciais para ser considerado um inventário dos ativos de informação, quais sejam: a) lista de ativos; b) tipo do ativo: c) formato; d) localização; e) informações sobre cópia de segurança; f) importância do ativo para o negócio; g) proprietário do ativo. de forma que não se pode considerá-lo como inventário dos ativos de informação. 3.18.2 - Objetos nos quais o achado foi constatado: Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI./2010 3.18.3 - Causas da ocorrência do achado: Deficiências de controles 3.18.4 - Efeitos/Conseqüências do achado: Dificuldades para se recuperar de ocorrências de sinistros. (efeito potencial) 3.18.5 - Critérios: Norma Técnica - Gabinete de Segurança Institucional da Presidência da República - Item 5.2.1 da Norma Complementar 04/IN01/DSIC/GSIPR. Norma Técnica - NBR ISO/IEC 27002 - item 7.1.1 - inventário de ativos.14 de 45 25/5/2011 13:05
  15. 15. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=3&... 3.18.6 - Evidências: Ofício nº 96/2010 - AUDIT/IBAMA (Anexo 1 - Principal - folhas 32/34) 3.18.7 - Conclusão da equipe: O Ibama descumpriu o disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII c/c Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, ao não estabelecer o procedimento de inventário de ativos de informação, de maneira que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando as práticas contidas no item 7.1 da NBR ISO/IEC 27.002. Em consequência, cabe determinação ao órgão, com vistas ao aprimoramento de sua gestão. 3.18.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII c/c Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando as práticas contidas no item 7.1 da NBR ISO/IEC 27.002. 3.19 - Inexistência de plano anual de capacitação. 3.19.1 - Situação encontrada: Por intermédio do item 12 do Anexo I ao Ofício nº 394/2010 - Sefti (fls. 8/14, vol. principal), solicitaram-se informações acerca do plano anual de capacitação dos profissionais de TI do Ibama. Em reunião com a equipe, os gestores informaram que não existem controles para avaliar periodicamente a adequação e suficiência do quadro de pessoal de TI, bem como as competências necessárias para os profissionais de TI. Tambem não há plano de capacitação de profissionais de TI que auxilie no desenvolvimento das competências necessárias para a boa execução dos trabalhos. Conforme resposta dada ao item 6.3 do questionário "PerfilGovTI 2010", não há critério definido para avaliação e atendimento aos pedidos de capacitação em gestão de TI. Em relação à qualificação do atual principal dirigente responsável pela gestão de TI na instituição, segundo resposta dada ao item 6.4 do questionário, o referido agente possui pós-graduação lato sensu (especialização) em TI, exceto gestão ou governança de TI (certificado às fls. 10/12. Anexo 1). Em relação ao desenvolvimento interno de gestores de TI, a Alta Administração da instituição prioriza (pelo menos 75%) o preenchimento das funções gerenciais com pessoas do quadro efetivo permanente da própria instituição e escolhe os gestores de TI fundamentalmente com base em suas competências (p.ex. desempenho profissional, experiência, formação acadêmica etc.), nos termos da resposta dada ao item 1.3 do questionário. 3.19.2 - Objetos nos quais o achado foi constatado: Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI./2010 3.19.3 - Causas da ocorrência do achado: Deficiências de controles 3.19.4 - Efeitos/Conseqüências do achado: Comprometimento da criação e entrega de serviços de TI de qualidade para o negócio. (efeito potencial) 3.19.5 - Critérios: Decreto 5707/2006, art. 2º; art. 5º, § 2º Lei 11357/2006, art. 1º, inciso IV Norma Técnica - Cobit 4.1 - PO7.2 - Competências Pessoais. Norma Técnica - Cobit 4.1 - PO7.4 - Treinamento do Pessoal. Portaria 208/2006, Ministério do Planejamento, Orçamento e Gestão, art. 2º, inciso I; art. 4º 3.19.6 - Evidências: Questionário: Perfil GovTI 2010 - Item 1.3 - Em relação ao desenvolvimento interno de gestores de TI, a Alta Administração da instituição: (...) (Anexo 1 - Principal - folhas 2/7) Questionário: Perfil GovTI 2010 - Item 6.3 - Em relação ao plano de capacitação de pessoal para gestão de TI, assinale a opção que melhor descreve sua instituição: (...)15 de 45 25/5/2011 13:05
  16. 16. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=3&... (Anexo 1 - Principal - folhas 2/7) Questionário: Perfil GovTI 2010 - Item 6.4 - Em relação à qualificação do atual principal dirigente responsável pela gestão de TI na instituição, quais dos elementos abaixo ele possui: (...) (Anexo 1 - Principal - folhas 2/7) 3.19.7 - Conclusão da equipe: O Ibama descumpriu as disposições contidas no Decreto nº 5.707/2006, art. 5º, 2º, c/c Portaria MP nº 208/2006, art. 2º, I e art. 4º, ao não elaborar um Plano Anual de Capacitação, que contemplasse ações de capacitação voltadas para a gestão de tecnologia da informação, observando as práticas contidas no Cobit 4.1, processos PO7.2 - Competências Pessoais e PO7.4 - Treinamento do Pessoal. Em consequência, cabe determinação e recomendação ao órgão, com visas ao aperfeiçoamento de sua gestão. 3.19.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que, em atenção às disposições contidas no Decreto nº 5.707/2006, art. 5º, 2º, c/c Portaria MP nº 208/2006, art. 2º, I e art. 4º, elabore Plano Anual de Capacitação. Recomendar ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência) e ao art. 1º, inciso IV da Lei nº 11.357/2006, quando elaborar o Plano Anual de Capacitação, contemple ações de capacitação voltadas para a gestão de tecnologia da informação, observando as práticas contidas no Cobit 4.1, processos PO7.2 - Competências Pessoais e PO7.4 - Treinamento do Pessoal. 3.20 - Inexistência de avaliação da gestão de TI. 3.20.1 - Situação encontrada: Por intermédio do item 9 do Anexo I ao Ofício nº 394/2010 - Sefti (fls. 8/14, vol. principal), solicitaram-se informações acerca da avaliação da gestão de TI do Ibama. Em reunião com a equipe, os gestores informaram que não existe avaiação da gestão de TI no órgão. 3.20.2 - Objetos nos quais o achado foi constatado: Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI./2010 3.20.3 - Causas da ocorrência do achado: Deficiências de controles Ausência de PDTI. 3.20.4 - Efeitos/Conseqüências do achado: Realização de atividades não alinhadas com as políticas e diretrizes estabelecidas. (efeito potencial) 3.20.5 - Critérios: Norma Técnica - Cobit 4.1 - ME1.6 - Ações corretivas. Norma Técnica - Cobit 4.1 - ME2 - Monitorar e avaliar os controles internos. Norma Técnica - Cobit 4.1 - ME1.5 - Relatórios para a Alta Direção. Norma Técnica - Cobit 4.1 - ME1.4 - Avaliação de Desempenho. 3.20.6 - Evidências: Questionário: Perfil GovTI 2010 - Item 1.2 - Em relação ao desempenho organizacional na gestão e no uso de TI, a Alta Administração da instituição (...) (Anexo 1 - Principal - folhas 2/7) 3.20.7 - Conclusão da equipe: O Ibama não cumpriu o disposto na Constituição Federal, art. 37, caput (princípio da eficiência), ao não estabelecer um processo de avaliação da gestão de TI, observando as orientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 Relatórios gerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controles internos. Em consequência, cabe recomendação ao órgão, com vistas ao aperfeiçoamento de sua gestão. 3.20.8 - Proposta de encaminhamento: Recomendar ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), estabeleça um processo de avaliação da gestão de TI, observando as orientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 Relatórios16 de 45 25/5/2011 13:05
  17. 17. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=3&... gerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controles internos. 3.21 - Auditoria interna não apóia avaliação da TI. 3.21.1 - Situação encontrada: Por intermédio do item 9 do Anexo I ao Ofício nº 394/2010 - Sefti (fls. 8/14, vol. principal), solicitaram-se informações acerca ao apoio da Auditoria Interna à avaliação de TI do Ibama. Durante a execução da auditoria, mediante verificação in loco, constatou-se que a Auditoria Interna não presta apoio à avaliação de TI do Ibama. Além disso, de acordo com a resposta dada ao item 1.4 do Questionário "PerfilGovTI 2010" (fl. 3, Anexo 1), não foi realizada auditoria de TI de iniciativa da própria instituição nos últimos três anos. 3.21.2 - Objetos nos quais o achado foi constatado: Levantamento de informações da governança da tecnologia da informação na Administração Pública Federal. - Questionário: Perfil GovTI./2010 3.21.3 - Causas da ocorrência do achado: Deficiências de controles Insuficiência de recursos humanos 3.21.4 - Efeitos/Conseqüências do achado: Realização de atividades ineficazes, ineficientes e em desconformidade com as leis e os regulamentos aplicáveis. (efeito potencial) 3.21.5 - Critérios: Norma Técnica - Cobit 4.1 - ME2 - Monitorar e avaliar os controles internos. 3.21.6 - Evidências: Questionário: Perfil GovTI 2010 - Item 1.4 - Foi realizada alguma auditoria de TI por iniciativa da própria instituição nos últimos três anos? Em que áreas? (...) (Anexo 1 - Principal - folhas 2/7) 3.21.7 - Conclusão da equipe: O Ibama descumpriu o disposto na Constituição Federal, art. 37, caput (princípio da eficiência), ao não promover ações para que a auditoria interna apoie a avaliação da TI, observando as orientações contidas no Cobit 4.1, ME2 - Monitorar e avaliar os controles internos. Em consequência, cabe recomendação ao órgão, com vistas ao aprimoramento de sua gestão. 3.21.8 - Proposta de encaminhamento: Recomendar ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis - Ibama que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), promova ações para que a auditoria interna apoie a avaliação da TI, observando as orientações contidas no Cobit 4.1, ME2 - Monitorar e avaliar os controles internos. 3.22 - Descumprimento do processo de planejamento de acordo com a IN4 3.22.1 - Situação encontrada: O Ibama não se preocupou em fazer um estudo e planejamento adequado para as contratações realizadas no exercício de 2009, descumprindo as etapas previstas na IN 04/2008. Analisamos os Contratos nº 22/2009 e 26/2009 e verificamos o que se segue: Os Contratos nº 22/2009, firmado com a Empresa CPM Braxis S. A., que trata de suporte técnico e operacional, remoto e presencial, geração e tratamento de informações gerenciais ao Ibama e nº 26/2009, mantido com a Empresa Data Graphics Tecnologia e Informação Ltda., que se refere a serviços de videoconferência e comunicações do Ibama, não foram precedidos de planejamento adequado conforme preconiza a IN SLTI nº 04/2008. Segundo o art. 4º da referida norma, combinados com os art. 8 a 16, as contratações devem ser precedidas de planejamento preliminar da contratação elaborado em harmonia com o Plano Diretor de Tecnologia da Informação - PDTI, alinhado à estratégia do órgão ou entidade. Cabe informar que o Ibama não aprovou ainda o seu plano diretor de informática, conforme tratado no achado nº 2 desse relatório, o que salienta as falhas apontadas. Acrescenta-se que as contratações deveriam conter as seguintes etapas: - Análise de Viabilidade da Contratação (art. 10 a 12); - Plano de Sustentação (art. 13); - Estratégia da Contratação (art. 14 e 15); e - Análise de Riscos (art. 16).17 de 45 25/5/2011 13:05

×