TRIBUNAL DE CONTAS DA UNIÃO                                                                            TC 024.956/2010-4  ...
TRIBUNAL DE CONTAS DA UNIÃO                                                                            TC 024.956/2010-4  ...
TRIBUNAL DE CONTAS DA UNIÃO                                                                            TC 024.956/2010-4  ...
TRIBUNAL DE CONTAS DA UNIÃO                                                                           TC 024.956/2010-4   ...
TRIBUNAL DE CONTAS DA UNIÃO                                                                            TC 024.956/2010-4  ...
TRIBUNAL DE CONTAS DA UNIÃO                                                                            TC 024.956/2010-4Co...
TRIBUNAL DE CONTAS DA UNIÃO                                                                            TC 024.956/2010-4  ...
TRIBUNAL DE CONTAS DA UNIÃO                                                                            TC 024.956/2010-4  ...
TRIBUNAL DE CONTAS DA UNIÃO                                                                            TC 024.956/2010-4  ...
TRIBUNAL DE CONTAS DA UNIÃO                                                                           TC 024.956/2010-4ger...
TRIBUNAL DE CONTAS DA UNIÃO                                                                            TC 024.956/2010-4  ...
TRIBUNAL DE CONTAS DA UNIÃO                                                                            TC 024.956/2010-4  ...
TRIBUNAL DE CONTAS DA UNIÃO                                                                            TC 024.956/2010-4  ...
TRIBUNAL DE CONTAS DA UNIÃO                                                                           TC 024.956/2010-4não...
TRIBUNAL DE CONTAS DA UNIÃO                                                                           TC 024.956/2010-4pro...
TRIBUNAL DE CONTAS DA UNIÃO                                                                            TC 024.956/2010-4No...
TRIBUNAL DE CONTAS DA UNIÃO                                                                            TC 024.956/2010-4o ...
TRIBUNAL DE CONTAS DA UNIÃO                                                                            TC 024.956/2010-4  ...
TRIBUNAL DE CONTAS DA UNIÃO                                                                           TC 024.956/2010-4tra...
TRIBUNAL DE CONTAS DA UNIÃO                                                                            TC 024.956/2010-4  ...
TRIBUNAL DE CONTAS DA UNIÃO                                                                            TC 024.956/2010-4  ...
TRIBUNAL DE CONTAS DA UNIÃO                                                                            TC 024.956/2010-4  ...
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti
Próximos SlideShares
Carregando em…5
×

Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti

1.143 visualizações

Publicada em

Unidade: Ministério do Planejamento, Orçamento e Gestão – MPOG.
RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE
CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO.
CONSTATAÇÃO DE PRECARIEDADES E OPORTUNIDADES
DE MELHORIA. DETERMINAÇÕES E RECOMENDAÇÕES.

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
1.143
No SlideShare
0
A partir de incorporações
0
Número de incorporações
31
Ações
Compartilhamentos
0
Downloads
13
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti

  1. 1. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 GRUPO I – CLASSE V – Plenário TC 024.956/2010-4 Natureza: Relatório de Auditoria. Unidade: Ministério do Planejamento, Orçamento e Gestão – MPOG. Responsável: João Bernardo de Azevedo Bringel, secretário executivo. Advogado constituído nos autos: não há. Sumário: RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO. CONSTATAÇÃO DE PRECARIEDADES E OPORTUNIDADES DE MELHORIA. DETERMINAÇÕES E RECOMENDAÇÕES. RELATÓRIO A Secretaria de Fiscalização de Tecnologia da Informação – Sefti realizou auditoria noMinistério do Planejamento, Orçamento e Gestão – MPOG com o objetivo de avaliar controles gerais detecnologia da informação – TI e verificar se estão de acordo com a legislação pertinente e com as boaspráticas de governança de TI.2. As ocorrências detectadas foram apresentadas pela equipe de auditoria nos seguintestermos (fls. 122/149): ―2 – ACHADOS DE AUDITORIA 2.1 – Inexistência do plano estratégico institucional 2.1.1 – Situação encontrada: Por meio do item 1 do Anexo I do Ofício 1-849/2010-Sefti, o qual faz referência à pergunta 2.1 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do planejamento estratégico institucional do MP (fl. 19). O Gestor declarou que o processo de planejamento estratégico institucional formal é acompanhado segundo indicadores estabelecidos (Anexo 1, fl. 15v). Como evidências, o Gestor encaminhou: a) plano estratégico da SOF (Anexo 1, fls. 60-72), com planilhas (Anexo 1, arquivos da pasta ‗1.1 e 2.1 – Segue impresso e mídiaSOF‘ no CD, fl. 18) e uma apresentação sobre o citado plano (Anexo 1, fls. 55-59); e b) apresentações versando sobre planejamento estratégico de outras áreas (SLTI, Seges, SPU, Assec, SPI, SEAIN e SRH) (Anexo 1, fls. 23-54; 73-82). Ocorre que os documentos não evidenciam a existência de um planejamento estratégico institucional do Ministério, tendo em vista que: a) todos os documentos encaminhados referem-se especificamente a determinado órgão singular da estrutura do Ministério (SOF, SLTI, Seges, SPU, Assec, SPI, SEAIN, SRH); b) os documentos, a menos da SOF, não versam sobre negócio, missão, visão, avaliação dos ambientes externo e interno do Ministério; não declaram objetivos e iniciativas estratégicas do órgão; e não estabelecem indicadores de desempenho do órgão; c) não foi apresentado um planejamento estratégico institucional do MP que agregue todos os órgãos integrantes da estrutura do Ministério; d) somente há evidências de que a SOF contém documento formal versando sobre planejamento estratégico. As evidências trazidas pelos demais setores são apenas apresentações versando sobre aspectos do planejamento estratégico de cada área; e) a ata de reunião do DSTI, datada de 11/8/2010, registra que ‗...foi destacado que no Ministério do Planejamento não há um Plano Estratégico...‘ (Anexo 1, v. 2, fl. 532); e f) o próprio diagnóstico do PDTI do MP confirma a ‗Inexistência de Planejamento Estratégico Organizacional do Ministério‘ (Anexo 1, fl. 91). 1 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  2. 2. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 2.1.2 – Causas da ocorrência do achado: a) deficiências de controles; b) inexistência ou insuficiência de gestão de riscos. 2.1.3 – Efeitos/Consequências do achado: a) ausência de referencial para verificar o alinhamento estratégico das ações da área deTI com o negócio da instituição (efeito real); b) risco de a instituição não conseguir atuar de forma eficiente no alcance de seusobjetivos finalísticos (efeito potencial). 2.1.4 – Critérios: a) Decreto-Lei 200/1967, art. 6º, inciso I; art. 7º; b) Norma Técnica – MP – Gespública – Instrumento para Avaliação da Gestão Pública– Ciclo 2010 – critério de avaliação 2. 2.1.5 – Evidências: a) resposta do MP ao item 2.1 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 1 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) apresentação sobre ‗Planejamento estratégico da SLTI‘ (Anexo 1 – Principal – fls.23-35); d) apresentação sobre ‗Seges planejamento 2008/2009‘ (Anexo 1 – Principal – fls. 36-41); e) apresentação da Secretaria do Patrimônio da União (o título da apresentação estáilegível) (Anexo 1 – Principal – fls. 42-47); f) apresentação sobre ‗Planejamento estratégico 2008 – Assessoria Econômica – Assec‘(Anexo 1 – Principal – fls. 48-50); g) apresentação sobre ‗Planejamento estratégico da SPI‘ (Anexo 1 – Principal – fls. 51-54); h) apresentação sobre ‗Planejamento estratégico da SOF‘ (Anexo 1 – Principal – fls. 55-59); i) documento intitulado ‗Planejamento Estratégico 2007-2010‘ da SOF (Anexo 1 –Principal – fls. 60-72); j) apresentação sobre ‗Planejamento estratégico‘ da Seain (Anexo 1 – Principal – fls.73-77); k) apresentação sobre ‗Secretaria de Recursos Humanos – Planejamento Estratégico2008-2010‘ (Anexo 1 – Principal – fls. 78-82); l) PDTI-MP, Anexo I da Nota Técnica – DSTI/SLTI/MP 173/2010 (Anexo 1 –Principal – fls. 89-91); m) ata de Reunião – DSTI/SLTI/MP, de 11/8/2010 (Anexo 1 – Volume 2 – fls. 531-532); n) Ofício – SE/MP 684/2010, que encaminhou documentos quanto ao Anexo 2, item 1,do Ofício 7-849/2010-Sefti (Anexo 1 – Volumes 4 e 5 – fls. 713-1004); o) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.1.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP encaminhou, em caráter restrito, por meio doOfício – SE/MP 684/2010 (Anexo 1, v. 4, fl. 713), telas de apresentação de agenda de governo, asquais considera constituírem o planejamento estratégico institucional do Ministério (Anexo 1, v. 4-5, fls. 714-1004). 2 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  3. 3. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o planejamento estratégico do Ministérioé definido em reuniões com as unidades responsáveis, está consubstanciado nos programas eorçamento do Ministério e é acompanhado e avaliado mediante reuniões periódicas com os órgãossetoriais e central de orçamento (Anexo 1, v. 6, fl. 1006-1006v). 2.1.7 – Conclusão da equipe: Os documentos apresentados pelas áreas de TI e pela Secretaria-executiva do MP,incluindo as informações enviadas em caráter restrito acerca da agenda de governo, não constituemum Plano Estratégico Institucional no âmbito de todo o MP, como referência para o alinhamentoestratégico das ações da área de TI com o negócio da instituição. Igualmente, os comentários do Gestor apresentados em resposta às conclusões e propostasdo relatório preliminar não dão conta de que exista um plano estratégico institucional do Ministério. Dessa forma, o MP não adota as boas práticas preconizadas pelo Programa Nacional deGestão Pública e Desburocratização – Gespública –, cujo comitê gestor é instituído no âmbito dopróprio órgão. Cumpre destacar que a ausência de referencial de negócio na organização prejudica aaderência de modelos de governança corporativa de TI no Ministério. Considerando o pedido de tratamento restrito às informações enviadas pelo MP por meiodo Ofício – SE/MP 684/2010, recomenda-se a aposição da chancela de sigilo às peças dos presentesautos em que as referidas informações foram autuadas. 2.1.8 – Propostas de encaminhamento: Apor chancela de sigilo aos Volumes 4 e 5 do Anexo 1 dos presentes autos; Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque, em atenção ao Decreto-Lei 200/1967, art. 6º, I, e art. 7º, elabore um plano estratégicoinstitucional, considerando o previsto no critério de avaliação 2 do Gespública. 2.2 – Falhas no PDTI 2.2.1 – Situação encontrada: Por meio do item 2 do Anexo I do Ofício 1-849/2010-Sefti, o qual faz referência àpergunta 2.3 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do plano diretorde tecnologia da informação do MP (fl. 19). O Gestor declarou que, além de vincular as ações de TIa indicadores e metas de negócio, o PDTI do MP vincula os custos de TI a atividades e projetos deTI e vincula as ações de TI a indicadores e metas de serviços ao cidadão (Anexo 1, fl. 15v). Ocorre que o PDTI publicado pelo MP não estabelece indicadores de desempenho, nãovincula custos de TI a atividades e projetos de TI e não vincula as ações de TI a indicadores e metasde serviços ao cidadão (Anexo 1, fls. 90-91). Convém salientar mais duas falhas, essas baseadas no disposto no art. 4º, inciso III, da IN –SLTI/MP 4/2008, expedida pelo próprio Ministério (Anexo 1, fls. 90-91): a) o PDTI não alinha necessidades de informação à estratégia do órgão; b) o PDTI não dispõe de um plano de investimentos. 2.2.2 – Causas da ocorrência do achado: a) deficiências de controles; b) inexistência ou insuficiência de gestão de riscos. 2.2.3 – Efeitos/Consequências do achado: a) ações de TI não alinhadas ao negócio (efeito potencial). b) dificuldade de a instituição atuar de forma eficiente no alcance de seus objetivosfinalísticos (efeito potencial). 2.2.4 – Critérios: a) Instrução Normativa – SLTI/MP 4/2008, art. 4º, inciso III; b) Norma Técnica – ITGI – Cobit 4.1, PO1 – Planejamento Estratégico de TI. 3 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  4. 4. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 2.2.5 – Evidências: a) resposta do MP ao item 2.2 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 2 do Anexo I do Ofício 1-849/2010-Sefti.(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) PDTI-MP, Anexo I da Nota Técnica – DSTI/SLTI/MP 173/2010 (Anexo 1 –Principal – fls. 89-91); d) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); e) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.2.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício-SE/MP 678/2010 – SE/MP 678/2010, que está em elaboração o PDTI para 2011, que apresentaráindicadores de desempenho para as equipes definidas no novo organograma proposto para a TI doMinistério (Anexo 1, v. 3, fl. 684). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o PDTI está sendo revisado visandocontemplar já no exercício de 2011 as recomendações da proposta sugerida no relatório preliminar(Anexo 1, v. 6, fl. 1006v). 2.2.7 – Conclusão da equipe: Conquanto o MP tenha apresentado PDTI aprovado e publicado, o referido plano contémfalhas: não estabelece indicadores de desempenho, não vincula custos de TI a atividades e projetosde TI e não apresenta indicadores e metas de serviços ao cidadão. Além disso, em desatendimentoao disposto no inciso III do art. 4º da Instrução Normativa – SLTI/MP 4/2008, expedida peloMinistério, o PDTI do MP não dispõe de plano de investimentos e não alinha necessidades deinformação à estratégia do órgão, sendo que para essa falha, a causa é a inexistência deplanejamento estratégico institucional. O processo de revisão do PDTI do MP para 2011, citado pelo Gestor, ainda estava emandamento após a ação de controle, e, portanto, seus resultados não puderam ser comprovados pelaequipe no presente trabalho, o que poderá ser realizado em futuro monitoramento das deliberaçõesdo acórdão que vier a ser proferido. 2.2.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque, em atenção às disposições contidas no Decreto-Lei 200/1967, art. 6º, I, e na InstruçãoNormativa – SLTI/MP 4/2010, art. 4º, aperfeiçoe o processo de planejamento estratégico de TI,observando as diretrizes constantes da Estratégia Geral de Tecnologia da Informação (EGTI) emvigor, e à semelhança das orientações previstas no Cobit 4.1, processo PO1 – PlanejamentoEstratégico de TI. 2.3 – Falhas relativas ao comitê de TI 2.3.1 – Situação encontrada: Por meio do item 2.1 do Anexo I do Ofício 1-849/2010-Sefti, o qual faz referência àpergunta 1.1 do Questionário Perfil GovTI-2010, solicitaram-se informações acerca da organizaçãoe dos relacionamentos da TI (fl. 19). Como resposta, o Gestor declarou que a instituição designouformalmente um comitê de TI para auxiliá-la nas decisões relativas à gestão e ao uso corporativo daTI (Anexo 1, fl. 15). 4 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  5. 5. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 Da análise das respostas (Portaria SE/MP 276/2009 e ata da 23ª reunião do comitê de TI doMP), verifica-se que o órgão não atribuiu ao comitê de TI a responsabilidade de acompanhar oestado dos projetos e resolver conflitos por recursos, nem a de monitorar as melhorias implantadas eos níveis de serviço acordados entre as áreas de TI e as áreas usuárias do MP (Anexo 1, arquivo‗3.1Portaria SE 276 – publicada no BPS de 21-05-2009.pdf‘ no CD, fl. 18). 2.3.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.3.3 – Efeitos/Consequências do achado: a) ausência de resolução de conflitos por recursos (efeito real); b) ausência de acompanhamento de status dos projetos (efeito potencial); c) ausência de monitoramento das melhorias implantadas (efeito potencial); d) ausência de monitoramento dos níveis de serviço (efeito real). 2.3.4 – Critérios: a) Instrução Normativa – SLTI/MP 4/2008, art. 4º, inciso IV; b) Norma Técnica – ITGI – Cobit 4.1, PO4.3 – Comitê diretor de TI; c) Norma Técnica – ITGI – Cobit 4.1, PO4.2 – Comitê estratégico de TI. 2.3.5 – Evidências: a) resposta do MP ao item 1.1 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 2.1 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); d) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010); e) Ofício – SLTI/MP 1.113/2011, que encaminhou documentos em complementação aoOfício – SE/MP 152/2011 (Anexo 1 – Volume 6 – fls. 1011-1054). 2.3.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010, que a partir do segundo semestre de 2010 reformulou a composição darepresentatividade do comitê com o propósito de aprimorar o acompanhamento de projetos de TI eo processo decisório de priorização de novas ações e investimentos em TI (Anexo 1, v. 3, fl. 684). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que as atas do comitê de TI comprovam oacompanhamento de projetos e monitoramento de melhorias implantadas (Anexo 1, v. 6, fl. 1006v),apresentando evidências (Anexo 1, v. 6, fls. 1032; 1035; 1037). 2.3.7 – Conclusão da equipe: Não obstante o MP dispor de comitê de TI formalizado, constatou-se que o rol de suasatribuições bem como sua atuação não incluem a resolução de conflitos por recursos e omonitoramento dos níveis de serviço de TI. Além disso, apesar de o comitê de TI do MP acompanhar o estado de projetos e monitorarmelhorias implantadas, tais atribuições não foram previstas na formalização do comitê, o que gerarisco de descontinuidade desse acompanhamento. 2.3.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque aperfeiçoe a atuação do comitê de tecnologia da informação, à semelhança das diretrizes do 5 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  6. 6. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4Cobit 4.1, PO4.2 – Comitê estratégico de TI e PO4.3 – Comitê diretor de TI, prevendo as seguintesatribuições para o comitê de TI: a) acompanhar o estado dos projetos; b) resolver conflitos porrecursos; e c) monitorar os níveis de serviço e as melhorias implantadas. 2.4 – Inexistência de avaliação do quadro de pessoal de TI 2.4.1 – Situação encontrada: Por meio do item 2.7 do Anexo I do Ofício 1-849/2010-Sefti, solicitaram-se informaçõesacerca da avaliação do quadro de pessoal de TI do MP (fl. 20). Como resposta, o Gestor encaminhou evidências de algumas áreas de TI do Ministério –Seges, SPU, SOF e DSTI – com as seguintes observações: a) o setor de TI da Seges afirma que não tem informações suficientes para embasar umaresposta neste sentido (Anexo 1, arquivo ‗3.7SEGES – resposta tcu – 3.7.odt‘ no CD, fl. 18); b) a Coordenação-Geral de Tecnologia da Informação da SPU afirma que a estruturaalocada não é suficiente para o desempenho das necessidades da Secretaria, e aduz que baseou aresposta em estudo contido no plano diretor de tecnologia da informação da SPU, elaborado em2008, citando trecho desse PDTI quanto ao assunto, sem, contudo, apresentar cópia do citadodocumento (Anexo 1, arquivo ‗3.7SPU – 3.7.odt‘ no CD, fl. 18); c) a Coordenação-Geral de Tecnologia da Informação da SOF aduz que não foiconsolidado estudo que identificasse a demanda por profissionais na área de TI para a Secretaria.Afirma também que foram abertas vagas específicas para a área de TI em 2009, mas que aindapersiste a demanda por mais profissionais dessa área (Anexo 1, arquivo ‗3.7SOF – Item 3.7SOF –3.7.odt‘ no CD, fl. 18); e d) o DSTI afirmou que existe um projeto de governança de TI em fase final deelaboração, o qual proporá nova estrutura organizacional do departamento, identificando ascarências e definindo qualificação (Anexo 1, arquivo ‗3.7Item 3.7.odt‘ no CD, fl. 18). Durante a execução dos trabalhos, o Gestor encaminhou, como resposta complementar, umrelatório sobre análise quantitativa de pessoal do DSTI (Anexo 1, v. 3, fl. 631), o qual sugere comoquantitativo ideal de pessoal para o DSTI um número de servidores superior ao informado naresposta do MP ao item 2.4 do Anexo I do Ofício 1-849/2010-Sefti (Anexo 1, fl. 18). Ocorre que essa análise quantitativa de pessoal de TI está restrita ao escopo do DSTI e nãoao do Ministério como um todo (Anexo 1, v. 3, fl. 631). 2.4.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.4.3 – Efeitos/Consequências do achado: a) dependência do serviço de empresas terceirizadas (efeito potencial); b) recursos humanos de TI insuficientes para atender às necessidades do negócio (efeitopotencial); c) falta de competências apropriadas na área de TI (efeito potencial). 2.4.4 – Critérios: a) Decreto 5.707/2006, art. 1º, inciso III; b) Norma Técnica – ITGI – Cobit 4.1, PO4.12 – Pessoal de TI. 2.4.5 – Evidências: a) resposta do MP ao questionamento 2.7 do Anexo I ao Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); b) análise quantitativa de pessoal de TI alinhada à proposta do novo organograma doDSTI (Anexo 1 – Volume 3 – fls. 626-632); c) relatório executivo de governança de TI – Estrutura Organizacional DSTI (Anexo 1 –Volume 3 – fls. 603-625); d) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); 6 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  7. 7. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 e) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.4.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP, por meio do Anexo 2 do Ofício – SE/MP678/2010, mencionou novamente a análise quantitativa de pessoal de TI realizada para o DSTI,afirmando que cerca de 50% dos 115 analistas de TI que tiveram sua chamada autorizada nosegundo semestre de 2010 foram empossados no MP a partir da citada avaliação. Manifestoutambém que o projeto de governança de TI com a UnB previu a definição de atribuições das novasequipes do DSTI, o que embasou a alocação dos profissionais admitidos nas referidas equipes de TI(Anexo 1, v. 3, fl. 684). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o MP envidará esforços para realizaravaliação do quadro de pessoal de TI, nos moldes da realizada no DSTI, com abrangência para todoo Ministério (Anexo 1, v. 6, fl. 1006v). 2.4.7 – Conclusão da equipe: Não obstante as declarações da SPU e da SOF indiquem a necessidade de servidores paraas referidas áreas, bem como o fato de a realização de estudo quantitativo do quadro de pessoal parao DSTI ter embasado a alocação dos profissionais das equipes de TI do DSTI, não foi apresentadaevidência de realização de avaliação do quadro de pessoal de TI no âmbito de todo o Ministério quejustifique o quadro de pessoal adequado para toda a área de TI do MP. Por oportuno, os comentários do Gestor no sentido de que o MP envidará esforços pararealizar avaliação do quadro de pessoal de TI no âmbito de todo o Ministério confirmam anecessidade de realização de tal estudo. 2.4.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque, em atenção ao Decreto 5.707/2006, art. 1º, III, elabore estudo técnico de avaliação qualitativa equantitativa do quadro da área de TI no âmbito de todo o Ministério, com vistas a fundamentarfuturos pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamentequalificados, objetivando o melhor atendimento das necessidades institucionais, à semelhança daspráticas contidas no Cobit 4.1, PO4.12 – Pessoal de TI. 2.5 – Inexistência de processo de software 2.5.1 – Situação encontrada: Por meio do item 4 do Anexo I do Ofício1-849/2010-Sefti (fl. 20), o qual faz menção àpergunta 7.3 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do processo desoftware que apoie a administração da qualidade dos produtos de software. Como resposta, o Gestor declarou no questionário que há um processo informal repetidovárias vezes e que implementa conceitos de qualidade de processo (Anexo 1, fl. 16v). Dentre asevidências encaminhadas pelo MP, há uma proposta de metodologia de desenvolvimento desistemas (MDS), elaborada por grupo de trabalho formado por membros de alguns setores do órgão:SLTI, Dest, SOF, SPI, SPOA/CGTI (Anexo 1, ‗5.1Proposta de MDS para Comitê de TI do MPv15.doc‘ no CD, fl. 18) e um registro em ata de reunião do comitê estratégico de TI, de 23/9/2009,afirmando que ‗A MDS foi aprovada pelos participantes, devendo ser formalizada em Resolução doComitê Estratégico de TI...‘ (Anexo 1, v.3, fl. 634). Cumpre destacar que não foram encaminhadas pelo MP evidências da publicação dareferida MDS. 7 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  8. 8. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 Da análise da MDS, constatou-se que não contempla todos os elementos essenciais de umprocesso de software, haja vista que: a) não descreve os papéis do cliente e do usuário; b) não prevê artefatos para aceite de requisitos, nem registro de histórico de mudançasde requisitos, e nem para acompanhamento de projetos; c) não apresenta os modelos dos artefatos da metodologia, limitando-se a indicar que osmodelos de artefatos constam de documento complementar, e os citados artefatos não constam dadocumentação enviada pelo Gestor. Impende citar que não foram encaminhadas evidências de que a MDS esteja sendoutilizada, visto que o Gestor encaminhou artefatos que não se referem ao processo, quais sejam:especificações de regras de negócio, especificações de caso de uso e plano de testes utilizados pelaSOF no projeto SIOP (Anexo 1, arquivos da pasta ‗5.1SOF‘ no CD, fl. 18) e especificações deregras de negócio, evidência de homologação e documentos contendo telas de sistema e resultadode homologação utilizados pela SPI em um projeto de software no âmbito do Contrato 45/2005(Anexo 1, arquivos da pasta ‗5.1SPI – 5.1‘ no CD, fl. 18). Analisando-se esses artefatos à luz das fases do ciclo de desenvolvimento de softwareprevistas na MDS, constatou-se que não contemplam o previsto nessa metodologia, visto que, auma, no projeto da SOF foram apresentados somente artefatos que poderiam ser usados na análisefuncional e apenas três deles, enquanto a MDS elenca pelo menos oito artefatos para essa fase(documento de visão, diagrama de casos de uso, especificação de casos de uso, requisitos desoftware, regras de negócio, plano de testes, glossário, documento de mensuração) (fl. 11 doarquivo ‗5.1Proposta de MDS para Comitê de TI do MP v15.doc‘ no CD, fl. 18), a duas, noprojeto da SPI foram encaminhados apenas um artefato que poderia ser considerado na fase deanálise funcional e um na fase de implementação, ao passo que a MDS elenca inúmeros outrosartefatos nas referidas fases do ciclo de desenvolvimento (fls. 11; 13, do arquivo ‗5.1Proposta deMDS para Comitê de TI do MP v15.doc‘ no CD, fl. 18). Além disso, as evidências revelam que nãoé seguido um modelo único pelo Ministério, uma vez que o modelo de artefato para especificaçãode regras de negócio usado pela SOF é distinto do adotado pela SPI. Por fim, cumpre destacar que a MDS não é mencionada no quarto e último termo aditivodo Contrato 45/2005 (Anexo 2, v. 8, fls. 1739-1742), o qual abrange a maior parte dos serviços dedesenvolvimento/manutenção de software prestados ao MP, e foi celebrado posteriormente àaprovação da multicitada MDS, e nem no Contrato 74/2010 (Anexo 1, v. 3, fls. 655-676), quesucedeu o Contrato 45/2005. 2.5.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.5.3 – Efeitos/Consequências do achado: a) impropriedade nos contratos 45/2005 e 74/2010, decorrente de que parte do objeto(desenvolvimento e manutenção de software) não está suficientemente definido, pois o processo desoftware é que o definiria (efeito real); b) inexistência de parâmetros de aferição de qualidade para contratação dedesenvolvimento de sistemas (efeito real). 2.5.4 – Critérios: a) Instrução Normativa – SLTI/MP 4/2008, art. 12, inciso II; b) Lei 8.666/1993, art. 6º, inciso IX; c) Norma Técnica – ITGI – Cobit 4.1, PO8.3 – Padrões de desenvolvimento e deaquisições; d) Norma Técnica – NBR ISO/IEC – 12.207 e 15.504. 2.5.5 – Evidências: a) resposta do MP ao item 7.3 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); 8 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  9. 9. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 b) resposta do MP ao questionamento 4 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) ata da 16ª reunião do comitê estratégico de TI do MP, de XX/XX/2009 (Anexo 1 –Volume 3 – fls. 633-635); d) Quarto termo aditivo ao Contrato 45/2005 (Anexo 2 – Volume 8 – fls. 1739-1742); e) Contrato 47/2010 (Anexo 1, v. 3, fls. 655-676); f) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); g) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.5.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP, por meio do Anexo 2 do Ofício – SE/MP678/2010, mencionou novamente a metodologia de desenvolvimento de sistemas (Anexo 1, v. 3, fl.684), aprovada em reunião do comitê estratégico de TI do Ministério, de 23/9/2009 (Anexo 1, v. 3,fl. 634), já analisada na seção situação encontrada. Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que estaria em andamento projeto no sentidode garantir a aplicabilidade e a formalização do uso da MDS, com previsão de implantação emdezembro de 2011, e que desta forma, entenderia que existe processo de software (Anexo 1, v. 6, fl.1006v). 2.5.7 – Conclusão da equipe: A despeito das manifestações do Gestor, a MDS aprovada em ata de reunião do comitêestratégico de TI do MP não contém os elementos essenciais de um processo de software, bemcomo não foram apresentadas evidências de que esteja sendo utilizada no órgão, provocandodeficiências nos processos de contratação e aferição da qualidade dos artefatos produzidos nessascontratações. Ademais, o comentário do Gestor no sentido do andamento de projeto para garantir aaplicabilidade e a formalização do uso da MDS a ser implantado até dezembro de 2011, confirmaque a metodologia ainda não é aplicada e não tem seu uso formalizado no Ministério. Salienta-se que a iniciativa se materializou após a ação de controle e, portanto, seusresultados não puderam ser comprovados pela equipe no presente trabalho, o que poderá serrealizado em futuro monitoramento das deliberações do acórdão que vier a ser proferido. 2.5.8 – Propostas de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-executiva do Ministériodo Planejamento, Orçamento e Gestão que, em atenção ao disposto na Lei 8.666/1993, art. 6º, IX, eàs disposições contidas na Instrução Normativa – SLTI/MP 4/2010, art. 13, II, defina um processode software previamente às futuras contratações de serviços de desenvolvimento ou manutenção desoftware, vinculando o contrato com o processo de software, sem o qual o objeto não estaráprecisamente definido. Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque, quando do estabelecimento de seu processo de software, considere as Normas NBR ISO/IEC12.207 e 15.504. 2.6 – Inexistência de processo de gerenciamento de projetos 2.6.1 – Situação encontrada: Por meio do item 5 do Anexo I do Ofício 1-849/2010-Sefti (fls. 20/21), o qual faz mençãoà pergunta 7.4 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do processo de 9 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  10. 10. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4gerenciamento de projetos. Como resposta, o Gestor declarou no questionário que praticagerenciamento de projetos, mas não adota qualquer padrão interno ou de mercado (Anexo 1, fl. 16v)e encaminhou alguns artefatos que evidenciariam algumas práticas de gerenciamento de projetosimplementadas por setores do órgão (SOF, SLTI, SPI e SPU) (Anexo 1, arquivos da pasta ‗6.1‘ noCD, fl. 18). Além disso, o próprio diagnóstico do PDTI do Ministério registra ‗Gerenciamento deprocessos e de projetos de TI feitos de maneira ad hoc‘ e aponta como solução a ‗Sistematização deuma metodologia de gestão de projetos‘ (Anexo 1, fl. 91). 2.6.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.6.3 – Efeito/Consequência do achado: a) elevação do risco de insucesso de projetos relevantes (efeito potencial). 2.6.4 – Critério: a) Norma Técnica – ITGI – Cobit 4.1, PO10.2 – Estrutura de gerência de projetos. 2.6.5 – Evidências: a) resposta do MP ao item 7.4 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 5 do Anexo I do Ofício 1-849/2010-Sefti. (Anexo1 – Principal – fl. 18); c) PDTI-MP, Anexo I da Nota Técnica – DSTI/SLTI/MP 173/2010 (Anexo 1 –Principal – fls. 89-91); d) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); e) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.6.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010, que na proposta de novo modelo organizacional da TI do Ministério foirecomendada a criação do escritório de projetos de TI, a qual foi viabilizada com a posse dos novosanalistas de TI, estando o escritório em funcionamento desde novembro de 2010. O representantedo auditado afirmou ainda que a descrição dos processos de trabalho do escritório e o início do usode ferramenta de gestão de portfólio de projetos estavam em fase final de implantação à época daconclusão do relatório preliminar do presente trabalho (Anexo 1, v. 3, fl. 684). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o escritório de projetos do DSTI, nãoformalizado no Regimento Interno do MP à época dos trabalhos de campo, estaria implantando,desde novembro de 2010, processo de gerenciamento de projetos, acompanhando todos os projetosde TI do Ministério (Anexo 1, v. 6, fl. 1006v). 2.6.7 – Conclusão da equipe: O MP não possui um processo de gerenciamento de projetos, o que é confirmado nodiagnóstico constante do PDTI do próprio órgão e nos esclarecimentos acima, sob risco decomprometimento da gestão de cada projeto corporativo do órgão. A partir da manifestação do Gestor sobre o relatório preliminar, verifica-se que o MP jávem adotando providências no sentido de implantar um processo de gerenciamento de projetos deTI, o que está em consonância com a proposta sugerida no relatório preliminar. 10 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  11. 11. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 A despeito disso, a iniciativa manifestada pelo Gestor iniciou-se posteriormente ao períododa ação de controle e não pôde ser comprovada pela equipe no presente trabalho, o que poderá serrealizado em futuro monitoramento das deliberações do acórdão que vier a ser proferido. 2.6.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque implante uma estrutura formal de gerência de projetos, à semelhança das orientações contidasno Cobit 4.1, processo PO10.2 – Estruturas de Gerência de Projetos e no PMBOK, entre outras boaspráticas de mercado. 2.7 – Inexistência do processo de gestão de mudanças 2.7.1 – Situação encontrada: Por meio dos itens 6.1 e 6.2 do Anexo I do Ofício 1-849/2010-Sefti (fl. 21) e da pergunta7.6 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do processo de gestão demudanças de TI estabelecido. Como resposta, o Gestor declarou no questionário que a instituiçãonão implementou corporativamente processo de gestão de mudanças (Anexo 1, fl. 17) e nãoencaminhou evidências correspondentes ao referido processo (Anexo 1, fl. 18). 2.7.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.7.3 – Efeitos/Consequências do achado: a) não avaliação do impacto de eventuais mudanças (efeito potencial); b) incidentes de segurança no ambiente de TI do Ministério (efeito potencial). 2.7.4 – Critérios: a) Norma Técnica – ITGI – Cobit 4.1, AI6 – Gerenciar mudanças; b) Norma Técnica – NBR – ISO/IEC 27002, 12.5.1 – Procedimentos para controle demudanças; c) Norma Técnica – NBR – ISO/IEC 20000, item 9.2 – Gerenciamento de mudanças; d) Norma Técnica – OGC – ITIL versão 2 – Livro Suporte a Serviços. 2.7.5 – Evidências: a) resposta do MP ao item 7.6 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 6.1 do Anexo I do Ofício 1-849/2010-Sefti.(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); d) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.7.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010- SE/MP 678/2010, que o modelo de contratação com o Serpro define que osserviços e processos de gestão de mudanças sejam conduzidos pela contratada, tendo em vista queprodução, manutenção e evolução dos serviços estratégicos de TI são integralmente prestados peloSerpro (Anexo 1, v. 3, fl. 684v). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o processo de gestão de demandas aoSerpro, que é controlado pelas unidades do MP, garante que seu atendimento não interrompa osnegócios, e que o processo de gestão de mudanças na infraestrutura de TI do MP é conduzido peloDSTI (Anexo 1, v. 6, fl. 1006v). 11 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  12. 12. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 2.7.7 – Conclusão da equipe: Em relação à manifestação do Gestor encaminhada por meio do Ofício – SE/MP 678/2010,ressalta-se que ainda que os serviços sejam contratados com o Serpro, o controle e aresponsabilidade pelos processos de gestão e governança de TI são dos gestores do MP. Especificamente em relação ao processo de gestão de demandas citado pelo Gestor,destaca-se que a existência de processo estanque de gestão de demandas a uma das prestadoras deserviços de TI, qual seja, o Serpro, difere do processo de gestão de demandas a outra prestadora, porexemplo, a empresa Calandra Soluções S.A., conforme ordens de serviço utilizadas no Contrato58/2009 (Anexo 1, v. 3, fl. 600), demonstrando que não há um processo corporativo de gestão dasmudanças relacionadas às demandas de serviços de TI. Acrescenta-se que a infraestrutura constitui apenas um dos objetos (aplicações,procedimentos, processos, parâmetros de sistema, parâmetros de serviço e plataformas subjacentes)que devem ter suas mudanças geridas em um processo de gestão de mudanças. Além disso, o MPnão apresentou em sua manifestação evidência de qualquer dos elementos essenciais de umprocesso de gestão de mudanças (descrição dos papéis dos profissionais envolvidos, bem comoatividades e artefatos previstos) no tocante à infraestrutura de TI. Portanto, como declarado inicialmente pelo Gestor, o MP não possui processo de gestão demudanças. 2.7.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto no item12.5.1 da NBR ISO/IEC 27002, à semelhança das orientações contidas no Cobit 4.1, processo AI6 –Gerenciar mudanças, e em outras boas práticas de mercado (tais como ITIL e NBR ISO/IEC20000). 2.8 – Inexistência do processo de gestão de incidentes 2.8.1 – Situação encontrada: Por meio dos itens 6.1 e 6.3 do Anexo I do Ofício 1-849/2010-Sefti e da pergunta 7.6 doQuestionário PerfilGovTI-2010 (fl. 21), solicitaram-se informações acerca do processo de gestão deincidentes de TI estabelecido. Como resposta, o Gestor declarou no questionário que a instituiçãonão implementou corporativamente processo de gestão de incidentes (Anexo 1, fl. 17) e nãoencaminhou evidências correspondentes ao referido processo (Anexo 1, fl. 18). 2.8.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.8.3 – Efeitos/Consequências do achado: a) ocorrência de incidentes sem o devido gerenciamento (efeito potencial); b) paralisação dos serviços de TI (efeito potencial); c) paralisação das atividades da organização (efeito potencial). 2.8.4 – Critérios: a) Norma Técnica – ITGI – Cobit 4.1, DS8 – Gerenciar a Central de Serviço e osIncidentes; b) Norma Técnica – NBR – ISO/IEC 27002, item 13 – Gestão de incidentes desegurança da informação; c) Norma Técnica – NBR – ISO/IEC 20000, item 8.2 – Gerenciamento de incidentes; d) Norma Técnica – OGC – ITIL versão 2 – Livro Suporte a Serviços. 2.8.5 – Evidências: a) resposta do MP ao item 7.6 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 6.1 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); 12 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  13. 13. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 d) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.8.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010- SE/MP 678/2010, que o modelo de contratação com o Serpro define que osserviços e processos de gestão de incidentes sejam conduzidos pela contratada, tendo em vista queprodução, manutenção e evolução dos serviços estratégicos de TI são integralmente prestados peloSerpro (Anexo 1, v.3 , fl. 684v). Por meio da citada comunicação, o Gestor da Secretaria-executiva do MP também afirmouque o MP cumpre a Instrução Normativa – GSI/PR 1/2008 no que se refere à criação da equipe detratamento e resposta a incidentes em redes computacionais, e atua em parceria com o Serproconforme processo de trabalho definido (Anexo 1, v. 6, fl. 1013). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que existe equipe setorial na SLTI comatribuição de atender acionamentos relacionados a incidentes nos sistemas setoriais do MP e que assecretarias gestoras dos sistemas estruturantes têm o mesmo papel quanto a incidentes nessessistemas. Acrescentou que a equipe setorial do DSTI contrata suporte junto ao Serpro paraatendimento de incidentes de primeiro e segundo níveis (Anexo 1, v. 6, fls. 1006v-1007). 2.8.7 – Conclusão da equipe: No que tange à manifestação do Gestor encaminhada por meio do Ofício – SE/MP678/2010, convém ressaltar que os incidentes tratados por equipe de tratamento e resposta aincidentes em redes computacionais são incidentes de segurança da informação, e não incidentessob a ótica de gestão de serviços de TI, que trata de uma gama mais ampla de incidentes (vide NBR20.000). Portanto, como declarado inicialmente pelo Gestor, o MP não possui processo de gestão deincidentes no contexto da gestão de serviços de TI. Novamente registra-se que ainda que os serviços sejam contratados com o Serpro, ocontrole e a responsabilidade pelos processos de gestão e governança de TI são dos gestores do MP. A existência de equipes para atender acionamentos de incidentes em sistemas, nãoconstitui, por si só, um processo de gestão de incidentes no contexto da gestão de serviços de TI, oqual demandaria a descrição dos papéis dos profissionais envolvidos, das atividades e dos artefatosprevistos, tal como a lista de incidentes, que deve conter pelo menos a classificação dos incidentes,datas de abertura e de fechamento do incidente e histórico das ações realizadas em virtude doincidente. 2.8.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque implemente processo de gestão de incidentes de serviços de tecnologia da informação, àsemelhança das orientações contidas no Cobit 4.1, processo DS8 – Gerenciar a central de serviços eincidentes, e de outras boas práticas de mercado (tais como NBR ISO/IEC 20000, ITIL e NBR27002). 2.9 – Inexistência do processo de gestão de configuração 2.9.1 – Situação encontrada: Por meio dos itens 6.1 e 6.4 do Anexo I do Ofício 1-849/2010-Sefti (fl. 21) e da pergunta7.6 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do processo de gestão deconfiguração de TI estabelecido. Como resposta, o Gestor declarou no questionário que a instituição 13 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  14. 14. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4não implementou corporativamente processo de gestão de configuração (Anexo 1, fl. 17) e nãoencaminhou evidências correspondentes ao referido processo (Anexo 1, fl. 18). Além disso, o próprio diagnóstico do PDTI do Ministério registra a ‗Ausência desistemática de gestão dos itens de configuração‘ e aponta como solução a ‗Gestão sistêmica dositens de configuração de TI‘ (Anexo 1, fl. 91). 2.9.2 – Causas da ocorrência do achado: a) deficiências de controles. 2.9.3 – Efeito/Consequência do achado: a) desatualização ou deficiência da configuração de TI (efeito potencial); b) incidentes de segurança no ambiente de TI do Ministério (efeito potencial). 2.9.4 – Critérios: a) Norma Técnica – ITGI – Cobit 4.1, DS9 – Gerenciar configurações; b) Norma Técnica – NBR – ISO/IEC 20000, item 9.1 – Gerenciamento deconfiguração; c) Norma Técnica – OGC – ITIL versão 2 – Livro Suporte a Serviços. 2.9.5 – Evidências: a) resposta do MP ao item 7.6 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 6.1 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) PDTI-MP, Anexo I da Nota Técnica – DSTI/SLTI/MP 173/2010 (Anexo 1 –Principal – fls. 89-91); d) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); e) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.9.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o MP manifestou, por meio do Ofício – SE/MP 678/2010- SE/MP 678/2010, que omodelo de contratação com o Serpro define que os serviços e processos de gestão de configuraçãosejam conduzidos pela contratada, tendo em vista que produção, manutenção e evolução dosserviços estratégicos de TI são integralmente prestadas pelo Serpro (Anexo 1, v. 3, fl. 684v). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a definição da configuração dainfraestrutura de TI do MP é gerida pelo DSTI com o apoio do Serpro no âmbito do Contrato74/2010 (Anexo 1, v. 6, fl. 1007). 2.9.7 – Conclusão da equipe: Em relação à manifestação do Gestor encaminhada por meio do Ofício SE/MP 678/2010,novamente cabe o comentário sobre impossibilidade de transferência aos contratados do controle eresponsabilidade dos processos de gestão e governança de TI. No que concerne à manifestação do Gestor sobre o relatório preliminar, a configuração dainfraestrutura de TI que seria gerida pelo DSTI se refere ao âmbito dos itens de configuração dosserviços prestados em um contrato específico, celebrado posteriormente ao período da ação decontrole e, isoladamente, não constitui um processo corporativo de gestão de configuração. Demais disso, o Gestor não afirmou existir um processo corporativo de gestão deconfiguração, nem apresentou evidências da existência de qualquer dos elementos essenciais desse 14 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  15. 15. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4processo no MP (descrição dos papéis envolvidos, das atividades e dos artefatos previstos, taiscomo base de dados de configuração e ferramenta de gestão de configuração). Dessarte, como declarado inicialmente pelo Gestor, o MP não possui processo de gestãode configuração no contexto da gestão de serviços de TI. 2.9.8 – Proposta de encaminhamento: Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestãoque implemente processo de gestão de configuração de serviços de tecnologia da informação, àsemelhança das orientações contidas no Cobit 4.1, processo DS9 – Gerenciar configuração e emoutras boas práticas de mercado (como ITIL e NBR ISO/IEC 20000). 2.10 – Inexistência de gestor de segurança da informação e comunicações 2.10.1 – Situação encontrada: Por meio do item 7.2 do Anexo I do Ofício 1-849/2010-Sefti, solicitaram-se informaçõesacerca da designação formal e evidências de atuação do gestor de segurança da informação (fl. 22).Da documentação apresentada, a ata da 2ª reunião do comitê de segurança da informação ecomunicações (CSIC) do órgão menciona que ‗Com a publicação da primeira versão da Posic, serátambém atribuído o cargo de gestor de segurança...‘ (Anexo 1, fl. 1 do arquivo ‗8.2 e8.3Oficio452ªnexoI-item8.3CSIC-2ªReuniao.pdf‘ no CD, fl. 18). No entanto, não foram apresentadas evidências de designação formal nem atuação dogestor de segurança de informação e comunicações. 2.10.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.10.3 – Efeito/Consequência do achado: a) não otimização das ações de segurança da informação (efeito potencial). 2.10.4 – Critérios: a) Instrução Normativa 1/2008 do Gabinete de Segurança Institucional – Presidência daRepública, art. 5º, inciso IV; art. 7º; b) Norma Técnica – Gabinete de Segurança Institucional – Presidência da República –Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2; c) Norma Técnica – NBR – ISO/IEC 27002, 6.1.3 – Atribuição de responsabilidadepara segurança da informação. 2.10.5 – Evidências: a) resposta do MP ao questionamento 7.2 do Anexo I do Ofício 1-849/2010-Sefti(Anexo 1 – Principal – fl. 18); b) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); c) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.10.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do OfícioSE/MP 678/2010- SE/MP 678/2010, de 20/12/2010, que estava prevista a publicação da designaçãodo diretor do DSTI para a função de gestor de segurança da informação e comunicações (Anexo 1,v. 3 , fl. 684v). Posteriormente, em 4/3/2011, um dos gestores do MP encaminhou mensagem eletrônica(Anexo 1, v. 3, fl. 711) informando que a impropriedade havia sido sanada, por meio da publicaçãoda Portaria SE/MP 56/2011, de 23/2/2011, que designou o diretor do DSTI/SLTI/MP como gestorde segurança da informação e comunicações no âmbito do MP (Anexo 1, v. 3, fl. 712). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio da 15 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  16. 16. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4Nota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), ratificou que a impropriedade havia sido sanada (Anexo1, v. 6, fl. 1007). 2.10.7 – Conclusão da equipe: A medida promovida pelo Gestor após a ação de controle está em conformidade com odisposto na Instrução Normativa GSI/PR 1/2008, art. 5º, IV, e art. 7º, c/c Norma Complementar3/IN01/DSIC/GSIPR, item 5.3.7.2, e observa as práticas contidas na NBR ISO/IEC 27.002, item6.1.3 – Atribuição de responsabilidade para segurança da informação, de modo que deixa-se depropor comando à Secretaria-executiva do MP quanto a essa questão no presente relatório. Tendo vista que um dos meios de se atingir o cumprimento tempestivo e eficiente damissão da área de TI se dá a partir do monitoramento dos controles implantados, será propostadeterminação à Sefti para que avalie a atuação do gestor de segurança da informação ecomunicações do MP, por ocasião do monitoramento das deliberações do acórdão que vier a serproferido. 2.10.8 – Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria de Fiscalização deTecnologia da Informação – Sefti que, por ocasião do monitoramento das deliberações do acórdãoque vier a ser proferido, avalie se a atuação do gestor de segurança da informação e comunicaçõesdo MP está em conformidade com o disposto na Instrução Normativa – GSI/PR 1/2008, art. 7º 2.11 – Falhas na política de segurança da informação e comunicações (Posic) 2.11.1 – Situação encontrada: Por meio do item 7.1 do Anexo I do Ofício 1-849/2010-Sefti (fl. 22), o qual faz menção àpergunta 7.2 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca da políticacorporativa de segurança da informação (Posic). Como resposta, o Gestor declarou no questionárioque a instituição formalizou – aprovou e publicou – a Posic do órgão (Anexo 1, fl. 16v) eencaminhou cópia da referida política (Anexo 1, fl. 1 do arquivo ‗8.1Oficio452ªnexoI-item8.1_Ref.Quest-item7.2Posic.pdf‘ no CD, fl. 18). Ocorre que há falhas na Posic/MP, por não conter os seguintes elementos essenciais(referência a itens da Norma Complementar 03/IN01/DSIC/GSIPR): a) não institui o papel de gestor de segurança da informação e comunicações e suasresponsabilidades (5.3.7.2); b) não estabelece diretrizes gerais sobre auditoria e conformidade, uso de e-mail eacesso à internet (5.3.5, letras e, f e g); c) não estabelece competências e responsabilidades, com procedimentos que definam aestrutura para a gestão da segurança da informação e comunicações (5.3.7.1); d) não define responsabilidades pela edição de normas específicas, tais como asreferentes a penalidades (5.3.6). Apenas menciona genericamente a possibilidade de sançõesadministrativas, penais e civis por descumprimento ou violação da Posic e a responsabilidade deusuários por atos que comprometam a segurança do sistema da informação (Posic/MP, item 4,inciso V, e item 8, inciso III); e) não estabelece diretrizes gerais sobre tratamento de incidentes de rede (5.3.5, letrab), embora haja disposição no item ‗Regras Gerais‘ prevendo normatização de procedimentosespecíficos relacionados ao tema ‗incidentes‘ (Posic/MP, item 6, inciso V); f) não estabelece diretrizes gerais sobre gestão de riscos e controle de acesso (5.3.5,letras c e f). Apenas há a previsão de elaboração de procedimentos específicos sobre o primeiro.Para o segundo, não há previsão de normas específicas para o tema, mas somente para o tema‗segurança lógica‘ (Posic/MP, item 6, inciso V); e g) não institui o papel do comitê de segurança da informação e comunicações (CSIC),suas competências e responsabilidades (item 5.3.7.3), embora a sua publicação (do CSIC) tenhasido enviada como parte da resposta ao item 7.1 anteriormente mencionado. A Posic apenas define 16 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  17. 17. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4o termo CSIC (Posic/MP, item 2, inciso IV) e determina que é responsável por procedimentosespecíficos (Posic/MP, item 6, inciso V). 2.11.2 – Causas da ocorrência do achado: a) deficiências de controles; b) inexistência ou insuficiência de gestão de riscos. 2.11.3 – Efeitos/Consequências do achado: a) incompletude das diretrizes mínimas sobre segurança da informação (efeito real); b) falhas nos procedimentos de segurança (efeito potencial). 2.11.4 – Critérios: a) Instrução Normativa 1/2008, Gabinete de Segurança Institucional – Presidência daRepública, art. 5º, inciso VII; b) Norma Técnica – Gabinete de Segurança Institucional – Presidência da República –Norma Complementar 03/IN01/DSIC/GSIPR; c) Norma Técnica – NBR – ISO/IEC 27002, item 5.1 – Política de segurança dainformação. 2.11.5 – Evidências: a) resposta do MP ao item 7.2 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 7.1 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); d) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.11.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010, que foi instituído grupo de trabalho, no âmbito do CSIC, com o intuito deelaborar nova versão da política de segurança da informação e comunicações (Anexo 1, v. 3,fl. 684v). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a publicação da Posic revisada,conforme apontamentos do TCU durante a auditoria, estava em fase final de conclusão (Anexo 1, v.6, fl. 1007). 2.11.7 – Conclusão da equipe: Não obstante o MP dispor de uma política de segurança da informação e comunicações(Posic) formalizada (aprovada e publicada), constatou-se que a norma não contempla elementosessenciais, constituindo-se em falhas a serem corrigidas pelo Ministério. A iniciativa de revisão da Posic do MP informada nas manifestações do Gestor não foiconcluída até o término da ação de controle e não pôde ser comprovada pela equipe no presentetrabalho, o que poderá ser realizado em futuro monitoramento das deliberações do acórdão que viera ser proferido. 2.11.8 – Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-executiva do Ministériodo Planejamento, Orçamento e Gestão que, em atenção ao disposto na Instrução Normativa –GSI/PR 1/2008, art. 5º, VII, adeque a política de segurança da informação e comunicações àspráticas contidas na Norma Complementar 3/IN01/DSIC/GSIPR. 17 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  18. 18. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 2.12 – Inexistência de classificação da informação 2.12.1 – Situação encontrada: Por meio do item 7.6 do Anexo I do Ofício 1-849/2010-Sefti (fl. 22), o qual faz menção àpergunta 7.1 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca da classificaçãode informações para o negócio. Como resposta, o Gestor declarou no questionário que a instituiçãonão classifica a informação (Anexo 1, fl. 16v) e não encaminhou evidências correspondentes aoitem 7.6 do referido ofício (Anexo 1, fl. 18). 2.12.2 – Causas da ocorrência do achado: a) deficiências de controles; b) inexistência ou insuficiência de gestão de riscos. 2.12.3 – Efeito/Consequência do achado: a) risco de divulgação indevida de informação restrita (efeito potencial). 2.12.4 – Critérios: a) Decreto 4.553/2002, art. 6º, § 2º, inciso II; art. 67; b) Norma Técnica – NBR – ISO/IEC 27002, item 7.2 – Classificação da informação. 2.12.5 – Evidências: a) resposta do MP ao item 7.1 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 7.6 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); d) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.12.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010, que o processo de classificação da informação está em elaboração, sob conduçãoda Coordenação de Documentação e Informação (Codin/CGDAP/SPOA) e acompanhamento pelocomitê de segurança da informação e comunicações do MP (Anexo 1, v.3, fl. 684v). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o comitê de segurança da informação ecomunicações do MP em conjunto com a CODIN/CGDAP/SPOA/SE/MP irá elaborar agenda deimplementação da política de classificação da informação no âmbito do Ministério (Anexo 1, v. 6,fl. 1007). 2.12.7 – Conclusão da equipe: O MP não possui processo de classificação da informação, a fim de propiciar tratamentodiferenciado conforme importância, criticidade e sensibilidade, não observando o comando doDecreto 4.553/2002 e as boas práticas de segurança da informação do item 7.2 da NBR ISO/IEC27002. Por oportuno, os comentários do Gestor no sentido de que o MP irá elaborar agenda deimplementação da política de classificação da informação no âmbito do Ministério confirmam anecessidade de sua implementação. 2.12.8 – Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-executiva do Ministériodo Planejamento, Orçamento e Gestão que, em atenção ao disposto no Decreto 4.553/2002, art. 6º,§2º, II, e art. 67, estabeleça critérios de classificação das informações a fim de que possam ter 18 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  19. 19. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observandoas práticas contidas no item 7.2 da NBR ISO/IEC 27.002. 2.13 – Inexistência de inventário dos ativos de informação 2.13.1 – Situação encontrada: Por meio do item 7.5 do Anexo I do Ofício 1-849/2010-Sefti (fl. 22), o qual faz menção àpergunta 7.1 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do inventário deativos de informação. Como resposta, o Gestor declarou no questionário que a instituição inventaria todos osativos de informação (dados, hardware, software e instalações) (Anexo 1, fl. 16v). As evidências apresentadas incluem apenas um gráfico estatístico sobre a distribuição deestações de trabalho por sistemas operacionais, elaborado pelo software Cacic, um software públicodo governo federal resultante do consórcio de cooperação entre a SLTI/MP e a Dataprev, querealiza captura de informações de configuração de estações de trabalho, tais como os tipos desoftwares utilizados e licenciados, configurações de hardware, entre outras informações (Anexo 1,arquivo ‗8.5Captura_de_tela.png‘ no CD, fl. 18). Ocorre que as evidências não são suficientes para comprovar a realização de inventário deativos, uma vez que a mera instalação da ferramenta Cacic não significa que as informações obtidaspela ferramenta estejam sendo utilizadas para a realização de um inventário de ativos deinformação. Ademais, verifica-se que as informações fornecidas pela ferramenta Cacic abrangemapenas ativos físicos e de software (informações das estações de trabalho), não contemplando ativosde informação propriamente ditos, segundo o item 7.1.1 da NBR – ISO/IEC 27002, tais como basede dados e arquivos, contratos e acordos, documentação de sistema, procedimentos de suporte ouoperação, planos de continuidade do negócio, procedimentos de recuperação etc. Além disso, aferramenta não fornece algumas das informações necessárias que permitem recuperar o ativo de umdesastre, tais como: a) tipo do ativo; b) formato; c) informações sobre cópia de segurança; d) aimportância do ativo para o negócio, e não identifica os responsáveis por esses ativos. Por fim, cumpre ressaltar ainda que o próprio diagnóstico do PDTI do Ministério alertasobre a necessidade de padronização de serviços de infraestrutura, incluindo inventário do parque,realizado de forma automática e sistêmica (Anexo 1, fl. 91). 2.13.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.13.3 – Efeito/Consequência do achado: a) dificuldade de recuperação de ativo de informação (efeito potencial). 2.13.4 – Critérios: a) Norma Técnica – NBR – ISO/IEC 27002, item 7.1.1 – inventário de ativos; b) Norma Técnica – Gabinete de Segurança Institucional – Presidência da República –Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1. 2.13.5 – Evidências: a) resposta do MP ao item 7.1 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 7.5 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) PDTI-MP, Anexo I da Nota Técnica – DSTI/SLTI/MP 173/2010 (Anexo 1 –Principal – fls. 89-91); d) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); e) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.13.6 – Esclarecimentos dos responsáveis: 19 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  20. 20. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010, que o Ministério está utilizando em todas as estações de trabalho de sua rede osoftware Cacic, não apresentando informações adicionais (Anexo 1, v.3, fl. 684). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o uso do software Cacic está sob gestãodo DSTI/SLTI/MP e que foi criada rotina para tratamento dos relatórios gerados pela ferramenta.Acrescentou que os procedimentos de recuperação dos ativos de hardware e software passaram a serconduzidos pela equipe de tratamento e resposta a incidentes de redes computacionais (ETRI) doMP, constituída em 25/3/2011 (Anexo 1, v. 6, fl. 1007). 2.13.7 – Conclusão da equipe: As informações fornecidas pela ferramenta Cacic usada pelo MP abrangem apenas ativosfísicos e de software (informações das estações de trabalho), não contemplando ativos deinformação propriamente ditos. O Cacic também não oferece as informações necessárias quepermitem recuperar o ativo de um desastre. Em face do exposto, o MP não realiza inventário de seus ativos de informação,dificultando o controle e a recuperação desses ativos. Quanto à iniciativa de recuperação dos ativos de hardware e software, mencionada peloGestor nos comentários ao relatório preliminar, não há informação acerca de como esseprocedimento seria realizado. Além disso, essa iniciativa se iniciou após a ação de controle, nãopodendo ser comprovada pela equipe no presente trabalho, o que poderá ser realizado em futuromonitoramento das deliberações do acórdão que vier a ser proferido. 2.13.8 – Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-executiva do Ministériodo Planejamento, Orçamento e Gestão que, em atenção ao disposto na Instrução Normativa –GSI/PR 1/2008, art. 5º, VII, c/c Norma Complementar 4/IN01/DSIC/GSIPR, item 5.2.1, estabeleçaprocedimento de inventário de ativos de informação, de maneira que todos os ativos de informaçãosejam inventariados e tenham um proprietário responsável, observando as práticas contidas no item7.1 da NBR ISO/IEC 27.002. 2.14 – Inexistência de processo de gestão de riscos de segurança da informação (GRSIC) 2.14.1 – Situação encontrada: Por meio do item 7.7 do Anexo I do Ofício 1-849/2010-Sefti (fl. 22), o qual faz menção àpergunta 7.1 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca da gestão deriscos de segurança da informação e comunicações em vigor. Como resposta, o Gestor declarou noquestionário que a instituição não analisa riscos aos quais a informação crítica para o negócio estásubmetida, considerando, pelo menos, confidencialidade, integridade e disponibilidade (Anexo 1, fl.16v) e não encaminhou evidências correspondentes ao item 7.7 do referido ofício. Cumpre salientar que o item 6, inciso II, da Posic/MP menciona que a gestão de riscosdeve ser considerada como critério para a confidencialidade, integridade, disponibilidade eautenticidade das informações, serviços, sistemas de informação e recursos computacionais (Anexo1, arquivo ‗8.1Oficio452ªnexoI-item8.1_Ref.Quest-item7.2Posic.pdf‘ no CD, fl. 18). 2.14.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.14.3 – Efeito/Consequência do achado: a) desconhecimento das ameaças e dos respectivos impactos relacionados à segurançada informação (efeito real). 2.14.4 – Critérios: 20 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  21. 21. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 a) Instrução Normativa 1/2008, Gabinete de Segurança Institucional – Presidência daRepública, art. 5º, inciso VII; b) Norma Técnica – Gabinete de Segurança Institucional – Presidência da República –Norma Complementar 04/IN01/DSIC/GSIPR; c) Norma Técnica – ITGI – Cobit 4.1, PO9.4 – Avaliação de riscos; d) Norma Técnica – NBR – 27005 – Gestão de riscos de segurança da informação. 2.14.5 – Evidências: a) resposta do MP ao item 7.1 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) Posic/MP (Anexo 1, arquivo ‗8.1Oficio452ªnexoI-item8.1_Ref.Quest-item7.2Posic.pdf‘ no CD, fl. 18) (Anexo 1 – Principal – fl. 18); c) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); d) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010). 2.14.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010, que a gestão de riscos de segurança da informação está em discussão no âmbitodo comitê de segurança da informação e comunicações do Ministério (Anexo 1, v.3, fl. 684v). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a gestão de riscos de segurança dainformação é realizada desde julho de 2010 pelo Centro de Tratamento e Resposta a Ataques naRede do MP – Cetra, instituído formalmente pela Portaria SLTI 13/2011, e acompanhada pelocomitê de segurança da informação e comunicações do Ministério (Anexo 1, v. 6, fl. 1007). 2.14.7 – Conclusão da equipe: Em que pese o Gestor ter manifestado nos comentários ao relatório preliminar que o MPrealiza gestão de riscos de segurança da informação desde julho de 2010, não foram apresentadasevidências de qualquer dos elementos essenciais de um processo de gestão de riscos de segurançada informação (descrição dos papéis envolvidos no GRSIC, bem como atividades e artefatosprevistos, tais como plano de análise e avaliação de risco ou plano de tratamento de riscos). Ademais, o Gestor já havia manifestado após a apresentação dos resultados da auditoria,que a gestão de riscos de segurança da informação estava apenas em discussão no âmbito do comitêde segurança da informação e comunicações do Ministério. Portanto, ante a contradição nas manifestações e ausência de evidências em contrário,conclui-se que o MP não dispõe de processo de gestão de riscos de segurança da informação ecomunicações. Por oportuno, registra-se que a instituição do Cetra no MP, em 25/3/2011, evidenciaadoção de medida que poderá contribuir para a realização da gestão de riscos de segurança dainformação no Ministério. 2.14.8 – Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-executiva do Ministériodo Planejamento, Orçamento e Gestão que, em atenção ao disposto na Instrução Normativa GSI/PR1/2008, art. 5º, VII, c/c Norma Complementar 4/IN01/DSIC/GSIPR, implemente processo de gestãode riscos de segurança da informação. 2.15 – Falhas na equipe de tratamento e resposta a incidentes em redes computacionais(ETRI) 21 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.
  22. 22. TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4 2.15.1 – Situação encontrada: Por meio do item 7.8 do Anexo I do Ofício 1-849/2010-Sefti (fl. 22), o qual faz menção àpergunta 7.1 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca da existência deuma equipe de tratamento e resposta a incidentes em redes computacionais (ETRI). Como resposta,o Gestor declarou gerenciar os incidentes de segurança da informação (Anexo 1, fl. 16v). Os documentos apresentados evidenciam que a ETRI do MP, chamada de Cetra.MP, foicriada (Anexo 1, fls. 92/95; 100) e está em atuação (Anexo 1, arquivo ‗8.8Oficio452ªnexoI-item8.8_Ref.Quest-item7.2folder cetra_20100721.pdf‘ no CD, fl. 18; fls. 96-99). Todavia, suacriação não havia sido formalizada. 2.15.2 – Causa da ocorrência do achado: a) deficiências de controles. 2.15.3 – Efeito/Consequência do achado: a) falhas relativas às notificações e às atividades relacionadas a incidentes de segurançaem redes de computadores (efeito potencial). 2.15.4 – Critérios: a) Instrução Normativa 1/2008, Gabinete de Segurança Institucional – Presidência daRepública, art. 5º, inciso V; b) Norma Técnica – Gabinete de Segurança Institucional – Presidência da República –Norma Complementar 05/IN01/DSIC/GSIPR. 2.15.5 – Evidências: a) resposta do MP ao item 7.1 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal– fls. 15-17); b) resposta do MP ao questionamento 7.8 do Anexo I do Ofício 1-849/2010-Sefti(arquivos em CD) (Anexo 1 – Principal – fl. 18); c) cópia de documento, não formalizado, de criação da ETRI, Anexo II da Nota Técnica– DSTI/SLTI/MP 173/2010 (Anexo 1 – Principal – fls. 92-95; 100); d) ata da 2ª reunião do CSIC, Anexo II da Nota Técnica – DSTI/SLTI/MP 173/2010(Anexo 1 – Principal – fls. 95-98); e) informações do Comitê de Segurança da Informação e Comunicações do MP (Anexo1 – Principal – fl. 99); f) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca daavaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710); g) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões epropostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010); h) Ofício – SLTI/MP 1113/2011, que encaminhou documentos em complementação aoOfício – SE/MP 152/2011 (Anexo 1 – Volume 6 – fls. 1011-1054). 2.15.6 – Esclarecimentos dos responsáveis: Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe defiscalização e os auditados, em que foram discutidos os resultados e apresentados os critériosutilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –SE/MP 678/2010, que a publicação da ETRI estava em trâmite interno (Anexo 1, v.3, fl. 684v). Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação decomentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio daNota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a ETRI do MP existe desde julho/2010 esua formalização foi realizada pela Portaria 13, de 25 de março de 2011 (Anexo 1, v. 6, fls. 1007;1013). 2.15.7 – Conclusão da equipe: Conquanto existam evidências da existência e estruturação da ETRI do MP, ela foiformalmente constituída somente após a ação de controle. 22 Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.

×