Acórdão tcu 380 2011 - mct - avaliação de controles de ti

1.891 visualizações

Publicada em

Entidade: Ministério da Ciência e Tecnologia - MCT
RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA
DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES
DE MELHORIA. DETERMINAÇÕES, RECOMENDAÇÕES E ALERTAS

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
1.891
No SlideShare
0
A partir de incorporações
0
Número de incorporações
137
Ações
Compartilhamentos
0
Downloads
15
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Acórdão tcu 380 2011 - mct - avaliação de controles de ti

  1. 1. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=4&... Pesquisa: Livre Em Formulário Quarta-feira, 25 de Maio de 2011. Pesquisa número: 3 Expressão de Pesquisa: "AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO" Bases pesquisadas: Acórdãos; Decisões; Relações; Atas Documento da base: Acórdão Documentos recuperados: 11 Documento mostrado: 4 Status na Coletânea: Não Selecionado Visualizar este documento no formato: Formato Padrão para Acórdãos Coletânea Status do Documento na Coletânea: [Não Selecionado] Voltar à lista de documentos Anterior | Próximo Identificação Acórdão 380/2011 - Plenário Número Interno do Documento AC-0380-05/11-P Grupo/Classe/Colegiado GRUPO I / CLASSE V / Plenário Processo 013.761/2010-2 Natureza Relatório de Auditoria Entidade Entidade: Ministério da Ciência e Tecnologia - MCT Interessados Responsável: Luiz Antônio Rodrigues Elias, secretário executivo (CPF 549.900.767-53) Sumário RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES DE MELHORIA. DETERMINAÇÕES, RECOMENDAÇÕES E ALERTAS Assunto Relatório de Auditoria Ministro Relator AROLDO CEDRAZ Representante do Ministério Público não atuou Unidade Técnica Secretaria de Controle Externo no Estado de Roraima - Secex/RR e Secretaria de1 de 41 25/5/2011 13:07
  2. 2. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=4&... Fiscalização de Tecnologia da Informação - Sefti Advogado Constituído nos Autos não há Relatório do Ministro Relator A Secretaria de Controle Externo no Estado de Roraima - Secex/RR realizou auditoria no Ministério da Ciência e Tecnologia - MCT, no período de 25/5 a 9/7/2010, com o objetivo de avaliar controles gerais de tecnologia da informação - TI e verificar se estão de acordo com a legislação pertinente e com as boas práticas de governança de TI. 2. As ocorrências detectadas foram apresentadas pela equipe de auditoria nos seguintes termos (fls. 66/105): "3 - ACHADOS DE AUDITORIA 3.1 - Inexistência do Plano Estratégico Institucional 3.1.1 - Situação encontrada: O MCT apresentou, em resposta ao item 1 do Ofício de Comunicação de Auditoria nº 398/2010-Sefti, um Plano de Ação como sendo o seu Plano Estratégico Institucional, contudo, conforme critério 2 do Programa Gespública do governo federal, aquele não possui os elementos essenciais para que possa ser considerado como um plano estratégico organizacional. 3.1.2 - Objetos nos quais o achado foi constatado: Plano de Ação em Ciência, Tecnologia e Inovação - 2007-2010 realizado pelo MCT 3.1.3 - Causas da ocorrência do achado: Inexistência de controles 3.1.4 - Efeitos/Conseqüências do achado: Ausência de referencial para verificar o alinhamento estratégico das ações da área de TI com o negócio da instituição. (efeito potencial) Risco de a instituição não conseguir atuar de forma eficiente no alcance dos seus objetivos finalísticos. (efeito potencial) 3.1.5 - Critérios: Constituição Federal, art. 37, caput Decreto Lei 200/1967, art. 6º, inciso I; art. 7º 3.1.6 - Evidências: Ausência de documentos que comprovem a existência de processo de planejamento estratégico. (Anexo 1 - Principal - folhas 2/172) 3.1.7 - Conclusão da equipe: O planejamento estratégico institucional é um processo utilizado para formulação de estratégia organizacional de longo prazo no qual se busca o conhecimento do ambiente ao qual a organização está inserida, assim como as diretrizes que afetarão a organização como um todo em busca da eficácia, eficiência e efetividade do seu negócio finalístico. Assim, ele definirá de maneira clara, participativa e com base em um diagnóstico atual e futuro dos ambientes interno e externo em que a entidade está inserida, a direção que se quer dar à organização, formulando missão, visão e valores, e ainda programando e controlando os objetivos, as estratégias e os planos de ações definidos. Nota-se que o plano estratégico institucional é um exemplo de produto resultante do processo de planejamento estratégico que como tal constitui-se em um conjunto de atividades complexas que envolvem diversos agentes responsáveis para se chegar a um determinado resultado, conforme dispõe o programa Gespública do governo federal. Logo, não se trata apenas da elaboração de um plano de ação (produto), como apresentou o Ministério da Ciência de Tecnologia - MCT. Ademais, temos que os Planos de Ação são efetuados para cada estratégia definida, sendo um conjunto de ações, com metas e um responsável em administrá-la. Envolvendo todos os níveis hierárquicos no planejamento elaborado dentro de um cronograma de execução. Observa-se que o Plano de Ação compõe apenas uma etapa do processo de produção do plano estratégico da entidade, não tendo a função de substituí-lo ou ser seu produto principal.2 de 41 25/5/2011 13:07
  3. 3. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=4&... Ressalta-se que o MCT, a despeito de possuir um planejamento estratégico institucional formal, ou seja, aprovado, publicado e com os elementos mínimos, respondeu ao questionário Perfil GovTI 2010 que o seu plano estratégico institucional existe formalmente e é aperfeiçoado continuamente com base na análise de seus indicadores. Seria excelente poder assentir com essa informação para felicitar o alcance do nível de maturidade "otimizado", ou seja, o mais elevado dentro das boas práticas dessa matéria, incluindo o critério de avaliação nº 2 do Programa Gespública. Nesse estágio, a organização além de deter um plano estratégico formal, periódico e com processo definido, possui indicadores de desempenho que lhe permite aperfeiçoar as estratégias traçadas. Contudo, infelizmente essa realidade não é a que se apresenta no caso em tela. Como já relatado, o MCT não apresentou evidências de que executa o processo de planejamento estratégico institucional, aliás, a ausência do principal produto desse processo, o plano estratégico, já denota a inexistência constatada. 3.1.8 - Proposta de encaminhamento: Recomendar ao Ministério da Ciência e Tecnologia que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência) e no Decreto Lei nº 200/1967, art. 6º, inciso I, e art. 7º, elabore um Plano Estratégico Institucional, considerando o previsto no critério de avaliação nº 2 do Gespública. 3.2 - Inexistência do PDTI 3.2.1 - Situação encontrada: O Ministério da Ciência e Tecnologia - MCT não possui um Plano Diretor de Tecnologia da Informação - PDTI em vigor. Embora tenha sido encaminhado um PDTI, o mesmo se encontrava expirado, quando da etapa de execução dos trabalhos de auditoria. Menciona-se que o gestor afirmou, por meio do Ofício nº 005/2010_CGTI, que o PDTI para o exercício de 2010 está em processo de revisão e será submetido ao Comitê Gestor de de Segurança e Tecnologia da Informação na próxima reunião deste. Entretando, tal afirmativa não é capaz se sanar a impropriedade verificada, uma vez que a situação encontrada desrespeita a legislação em vigor. 3.2.2 - Objetos nos quais o achado foi constatado: Plano Diretor de Tecnologia da Informação - PDTI - MCT 3.2.3 - Causas da ocorrência do achado: Inexistência de controles 3.2.4 - Efeitos/Conseqüências do achado: Ações de TI não alinhadas ao negócio. (efeito potencial) 3.2.5 - Critérios: Constituição Federal, art. 37, caput Decreto Lei 200/1967, art. 6º, inciso I; art. 7º Instrução Normativa 4/2008, SLTI/MPOG, art. 2º, inciso X; art. 3º; art. 4º, inciso III Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI 3.2.6 - Evidências: Plano Diretor de Tecnologia da Informação - PDTI/MCT (Anexo 1 - Principal - folha 170) 3.2.7 - Conclusão da equipe: Segundo o inciso X, do art. 2, da Instrução Normativa nº 04, de 19 de maio de 2008, o Plano Diretor de Tecnologia da Informação - PDTI é um instrumento de diagnóstico, planejamento e gestão dos recursos e processos de Tecnologia da Informação que visa a atender às necessidades de informação de um órgão ou entidade para um determinado período. O MCT apresentou o Plano Diretor de Tecnologia da Informação - PDTI, aprovado pela Portaria nº 30, de 08 de junho de 2009, cuja vigência era de doze meses. Logo, o Ministério teria que ter aprovado um novo plano para substituir aquele que expirou em junho de 2010. Entretanto, a equipe identificou que o PDTI referente ao ano de 2010 ainda não existia. Diante desse fato, foi registrado o presente achado, embora na resposta ao questionário Perfil GovTI 2010 a equipe concordou com a resposta do auditado, haja vista que no tempo do encaminhamento do questionário, de fato havia um PDTI em vigor.3 de 41 25/5/2011 13:07
  4. 4. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=4&... Para além, foi efetuada a análise do PDTI que se expirou em junho do corrente ano e constatou-se que o Plano Diretor de Tecnologia da Informação era bastante falho, contendo apenas alguns elementos mínimos e necessários segundo a Instrução Normativa nº 04, de 2008. Segundo o inciso III do parágrafo único do art. 4 da supramencionada Instrução Normativa, o PDTI deve contemplar, pelo menos, as seguintes áreas: necessidades de informação alinhada à estratégia do órgão ou entidade, plano de investimentos, contratações de serviços, aquisição de equipamentos, quantitativo e capacitação de pessoal e gestão de risco. Com isso, qualquer Plano Diretor de Tecnologia da Informação dos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Informação e Informática - SISP, como é o caso do MCT, deve conter os mandamentos da Instrução Normativa nº 04, de 2008, sob pena de ter sua existência questionada ou ter o seu conteúdo criticado. Foi de fácil identificação a inobservância dos elementos essenciais no Plano Diretor de Tecnologia da Informação - PDTI apresentado pelo MCT, conforme o próprio resumo executivo do citado documento, revela: "Este PDTI apresenta a situação atual, a desejada e o planejamento das ações para os próximos 12 (doze) meses resumidos no Quadro Sinótico (item 4). Embora careça de alguns requisitos desejáveis, será considerada a referência inicial para alinhamento às diretrizes da EG I, visando criar no MCT as condições necessárias para implantação do modelo básico de governança proposto aos órgãos integrantes do SISP. Ao final desse prazo, será elaborado novo PDTI que reflita a capacidade de planejamento e gestão adquirida nesse período." Para reforçar as falhas do plano apresentado, conflitaremos as informações do mencionado documento às áreas elencadas pelo o inciso III do parágrafo único do art. 4 da IN nº 04, de 2008: a) Necessidades de informação alinhada à estratégia do órgão ou entidade. O MCT conforme já visto no achado anterior desta auditoria, não possui processo de planejamento estratégico institucional e, consequentemente, seu plano estratégico. É nesse plano que estão elencadas as estratégias de negócio da Entidade. Se não existe plano estratégico institucional, como o PDTI contemplará o alinhamento às estratégias da Entidade? Observa-se que a ausência do controle geral tratado na anteriormente nessa auditoria reflete sobre esse ponto. Para corroborar com essa linha, o próprio documento, esclarece: "Assim como a maioria das organizações da Administração Pública Federal - APF, o MCT, e por consequência a CGTI, não tem a cultura de planejamento nos moldes preconizados pela maioria das metodologias de planejamento estratégico de mercado. Os exercícios de planejamento ou planos de ação existentes em algumas das áreas de negócio são oriundos da necessidade de gestão de políticas públicas a cargo deste Ministério, porém não há um nível de integração capaz de constituir um planejamento estratégico institucional do órgão." b) Plano de investimentos. O documento possui um anexo intitulado "Detalhamento de projetos e demandas 2009" em que se faz menção à previsão de custos para as ações/projetos dispostos no PDTI. Esse anexo, consoante a sua estruturação atende ao sentido pretendido pela IN nº 4, de 2008, sendo o único ponto positivo do PDTI em tela. c) Contratações de serviços e aquisição de equipamentos. Sobre esse ponto, o documento indica que a característica da CGTI é de ser uma estrutura reativa e muito operacional. Como não há a cultura de planejamento de ações e falta de processos de negócio bem definidos, não é possível a gestão orientada por resultados, o que evidencia a falta de processo de contratação existente no Ministério e sem apresentar caminhos objetivos em busca de solucionar esse problema. d) Quantitativo e capacitação de pessoal. O documento apenas reconhece a necessidade de suprir a carência de recursos dos humanos do setor de TI, sem, contudo, apresentar estudos ou levantamentos que fundamente essa deficiência e necessidade de determinado quantitativo a ser incrementado na área de TI. e) Gestão de risco.4 de 41 25/5/2011 13:07
  5. 5. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=4&... Em relação tratamento de risco, o enfoque dado pelo documento é em relação ao contrato nº 02.0015.00/2009 celebrado entre o MCT e a empresa Unitech, demonstrando que essa contratação já se constituiria, por si só, um risco para entidade. Após essa correlação, fica evidente as falhas constantes no último PDTI em vigor no MCT, haja vista a ausência de elementos mínimos elencados pela Instrução Normativa nº 04, de 19 de maio de 2008. Logo, o citado documento não adquiriu o seu sentido precípuo de orientar a organização no uso correto da tecnologia da informação com foco na gestão, ou seja, instituindo o desenvolvimento de um processo estruturado e controlado, voltado para o alinhamento das necessidades organizacionais, sejam elas no âmbito da competitividade de mercado sejam na forma de execução de seus processos, com a introdução das inovações tecnológicas mapeadas e avaliadas como habilitadoras para a geração dos produtos e serviços, internos ou externos e mantém aquelas já em funcionamento. Nesse comenos, o MCT deve elaborar e aprovar um Plano Diretor de Tecnologia da Informação - PDTI, sem o qual não poderá haver contratação de serviços de TI por aquele Ministério. 3.2.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, ao Ministério da Ciência e Tecnologia - MCT que, em atenção ao princípio constitucional da eficiência e às disposições contidas no Decreto-Lei nº 200/67, art. 6º, inciso I, e na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 3º, implante, na área de tecnologia da informação do MCT, um processo de planejamento de Planejamento Estratégico de TI que organize as estratégias, as ações, os prazos, os recursos financeiros, humanos e materiais, tendo como produto a elaboração e aprovação de um Plano Diretor de Tecnologia da Informação - PDTI, observando as diretrizes constantes na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4, III, e as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI. 3.3 - Falhas no Comitê de TI 3.3.1 - Situação encontrada: O Ministério da Ciência e Tecnologia - MCT informou que já constituiu o seu Comitê de Segurança e Tecnologia da Informação - CSTI, contudo, o referido comitê se reuniu apenas uma vez, consoante única ata apresentada, fato que demonstra a falta de funcionamento ordinário e efetivo daquele colegiado, assim como a falta de monitoramento do seu funcionamento pela Alta Administração. 3.3.2 - Objetos nos quais o achado foi constatado: Regimento Interno do Comitê Gestor de Segurança e Tecnologia da Informação - CSTI 3.3.3 - Causas da ocorrência do achado: Deficiências de controles 3.3.4 - Efeitos/Conseqüências do achado: Não envolvimento das diversas áreas da instituição no alinhamento dos investimentos de Tecnologia da Informação com os objetivos do órgão. (efeito potencial) 3.3.5 - Critérios: ACÓRDÃO 2023/2005, item 9.3.1, Tribunal de Contas da União, Plenário Constituição Federal, art. 37, caput Instrução Normativa 4/2008, SLTI/MPOG, art. 4º, inciso IV Norma Técnica - ITGI - Cobit 4.1, PO4.2 - Comitê estratégico de TI Norma Técnica - ITGI - Cobit 4.1, PO4.3 - Comitê diretor de TI 3.3.6 - Evidências: Ata da única reunião do Comitê de Segurança e Tecnologia da Informação - CSTI. (Anexo 1 - Principal - folhas 26/27) Regimento Interno do Comitê de Segurança e Tecnologia da Informação (Anexo 1 - Principal - folha 170) 3.3.7 - Conclusão da equipe: Diante das constatações apontadas no Acórdão nº1603/2008 - TCU - Plenário e da necessidade de observância da Instrução Normativa SLTI nº 04, de 19 de maio de 2008, foi desenvolvida a Estratégia Geral de Tecnologia da Informação (EGTI) com o objetivo de estabelecer as bases para a transição entre a situação atual de gestão dos ambientes de informática do Executivo Federal - heterogênea e em geral vulnerável - para o aperfeiçoamento5 de 41 25/5/2011 13:07
  6. 6. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=4&... da gestão de TI, alinhada com o planejamento institucional do órgão, e o funcionamento efetivo de instância diretiva, Comitê de TI, para as ações e investimentos de TI. Neste sentido a EGTI orienta a conformação de comitês institucionais de informação e/ou informática nos diversos órgãos da Administração Pública Federal que orquestrem as ações de tecnologia e de áreas correlatas, de forma que a governança de TI seja mais eficiente e estruturada. Esses comitês institucionais deverão ser compostos por representantes de todas as áreas de negócio da Entidade ou órgão, incluindo a alta administração, como o gabinete ministerial, secretaria executiva, superintendência e diretoria geral. Esse envolvimento de alto nível hierárquico visa alinhar o plano de desenvolvimento de tecnologia da informação com o planejamento estratégico do órgão. A criação dos comitês deverá ser feita oficialmente por intermédio de portarias, normas internas ou outro instrumento legal que oficialize, valide e conceda poderes ao respectivo para que possa zelar por suas atribuições que será de alinhar as áreas de negócio e todas as áreas envolvidas na disponibilização da infraestrutura tecnológica dos órgãos incluindo as áreas de informáticas, de logística, de contratação entre outras. Desta forma, a conformação de comitês no desenho da estratégia visa agrupar as instituições em torno da construção de referências que orientem os aspectos táticos e operacionais da mesma. No caso do MCT, existe um comitê de TI denominado Comitê Gestor de Segurança e Tecnologia da Informação - CSTI, instituído pela Portaria nº 114, de 12 de fevereiro de 2010. Este comitê tem a competência de apoiar a alta administração, priorizar e coordenar investimentos e projetos de tecnologia da informação, entre outras. A despeito do Comitê Gestor de Segurança e Tecnologia da Informação - CSTI do Ministério da Ciência e Tecnologia - MCT possuir representantes de todas as áreas, conforme art. 3 do regimento interno do CSTI, o referido comitê se reuniu apenas uma única vez, mesmo havendo assuntos pendentes de aprovação e com a previsão regimental de periodicidade bimestral para realização das suas reuniões ordinárias, além da possibilidade de reuniões extraordinárias. Essa falta de efetividade na tomada de decisões a seu cargo acaba por impedir a implementação de diretrizes fundamentais na organização e estrutura da TI. Esse fato evidencia-se quando constatamos que a Política de Segurança da Informação e Comunicação (POSIC) do MCT encontra-se pendente de aprovação e, consequente existência formal a mais de seis meses sem que o referido comitê delibere a esse repeito. Outra faceta dessa ausência de atuação formal e efetiva do CGSTI é demonstrar que suas atividades não são monitoradas pela alta administração cuja responsabilidade de estabelecer e fazer cumprir as políticas de gestão e uso corporativo de TI é apoiada pelo comitê de TI. Essa ausência de monitoramento das atividades do CGSTI evidencia, mais uma vez, a falta de governança na área de TI, o que terá reflexos, conforme veremos maia diante em nosso relatório, nas contratações efetuadas pela entidade na área de TI. Desta forma, de nada adianta a existência do CSTI sem que haja o seu pleno funcionamento cumprindo as atribuições que lhe foram conferidas, assegurando a supervisão da gestão de TI e definindo a priorização dos recursos de TI em linha com as necessidades do negócio. 3.3.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, ao Ministério da Ciência e Tecnologia que reestruture os Comitês de Tecnologia da Informação, de maneira que atendam ao disposto na Instruçao Normativa nº 04 da SLTI/MPOG, de 19 de maio de 2008, art. 4º, considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor de TI. 3.4 - Inexistência de avaliação do quadro de pessoal de TI. 3.4.1 - Situação encontrada: Por intermédio do item 3 do Ofício nº 398/2010 - Sefti (fls. 46/52), solicitaram-se informações acerca da avaliação do quadro de pessoal de TI do MCT. Como resposta (item c do Ofício nº 005/2010_CGTI, fls. 73/74 do Anexo I), o gestor informou que o MCT elaborou, em 2009, um Levantamento de Necessidades de Capacitação - LNC, e que diante de seus resultados será elaborado, em 2011, um Plano Anual de Capacitação. Tendo em vista que o LNC6 de 41 25/5/2011 13:07
  7. 7. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=4&... apresentado não possui características de estudo de adequabilidade da estrutura de recursos humanos da área de TI, considera-se que o MCT não elaborou o referido estudo. 3.4.2 - Objetos nos quais o achado foi constatado: Questionário Perfil GovTI 2010 respondido pelo MCT. Plano Diretor de Tecnologia da Informação - PDTI - MCT 3.4.3 - Causas da ocorrência do achado: Inexistência de controles 3.4.4 - Efeitos/Conseqüências do achado: Dependência do serviço de empresas terceirizadas (efeito potencial) Recursos humanos de TI insuficientes para atender às necessidades do negócio. (efeito potencial) Falta de competências apropriadas na área de TI. (efeito potencial) 3.4.5 - Critérios: ACÓRDÃO 71/2007, item 9.2.23, Tribunal de Contas da União, Plenário Decreto 5707/2006, art. 1º, inciso III; art. 3º, inciso III Norma Técnica - ITGI - Cobit 4.1, PO4.12 - Pessoal de TI 3.4.6 - Evidências: Inexistência de documento ou estudo de avaliação das necessidades de recursos humanos da Coordenação Geral de Tecnologia da Informação - CGTI. (Anexo 1 - Principal - folhas 2/171) 3.4.7 - Conclusão da equipe: A despeito do quantitativo de pessoal efetivo da área de TI ter passado de 5 (cinco) para 11 (onze) servidores, não foi apresentado à equipe nenhum documento que evidenciasse a avaliação do quadro de pessoal da Coordenação Geral de Tecnologia da Informação - CGTI. Aliás, esse aumento não foi pautado em pedidos formais da CGTI à alta administração ministerial e sim, a descentralização efetuada por estudos e metodologia do próprio Ministério do Planejamento Orçamento e Gestão - MPOG. Essa ausência de avaliação liga-se ao achado relativo à falta de documento formal que retrate os papéis e responsabilidades específicos no setor de TI, afinal, sem a definição das atribuições e os respectivos postos responsáveis, não é possível avaliar a necessidade de pessoal, a não ser pelo excesso e acúmulo de serviços na unidade, demonstrando a falta de planejamento e o caráter reativo das decisões referente ao preenchimento de pessoal da CGTI. 3.4.8 - Proposta de encaminhamento: Recomendar ao Ministério da Ciência e Tecnologia que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, observando àpráticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI. 3.5 - Papel sensível exercido por não servidor 3.5.1 - Situação encontrada: O gestor do MCT afirma que há servidores que exercem a gerência de projetos; sem haver, contudo, designação formal. Considerando que não foi apresentado qualquer documento que comprove o exercício da supracitada atividade por servidores, conclui-se que o MCT não possui gerente de projeto nos contratos firmados. E mais, as atividades desse papel sensível são desenvolvidas por agentes da contratada, sem que haja a intervenção pelo lado do Ministério, conforme constata-se por meio do Relatório de Organização e Planejamento (fl. 171 do Anexo I), apresentado pela empresa Módulo no âmbito do contrato 02.0003.00/2009. 3.5.2 - Objetos nos quais o achado foi constatado: Contrato 02.0003.00/2009 - Contrato de fornecimento, instalação e gerenciamento de sistema informatizado de gestão de riscos na área de TI. 3.5.3 - Causas da ocorrência do achado: Inexistência ou insuficiência de segregação de funções 3.5.4 - Efeitos/Conseqüências do achado: Comprometimento com relação à segurança e efetividade na execução de atividades sensíveis de TI sob responsabildade de não servidores do ente. (efeito potencial) 3.5.5 - Critérios:7 de 41 25/5/2011 13:07
  8. 8. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=4&... Instrução Normativa 4/2008, SLTI/MPOG, art. 2º, inciso IX Norma Técnica - ITGI - Cobit 4.1, PO4.13 - Pessoal chave de TI 3.5.6 - Evidências: Ofício nº 005/2010_CGTI (Volume Principal - folhas 13/14) Relatorio de Organização e Planejamento_Modulo (Anexo 1 - Principal - folha 171) 3.5.7 - Conclusão da equipe: O agente público está, em toda a sua atividade funcional, sujeito aos mandamentos da lei e às exigências do bem comum, e deles não se pode afastar ou desviar, sob pena de praticar ato inválido e expor-se a responsabilidade disciplinar, civil e criminal, conforme o caso. No âmbito das boas práticas relativas à tecnologia da informação, o caminho é semelhante, de forma que se espera encontrar dentro de um setor de TI uma estrutura formal (Cobit 4.1, PO4.5), com papéis e responsabilidades formalmente definidos (Cobit 4.1, PO4.6). Ademais, os papéis sensíveis devem ter seus responsáveis formalmente designados (Cobit 4.1, PO4.13). Vale destacar que papéis sensíveis são aqueles relacionados à gestão de TI, ou seja, planejamento, coordenação, supervisão, controle e supervisão. Essas atribuições devem ser atribuídas a servidores efetivos, vez que o papel de gestão é encargo precípuo da Administração Pública e seus agentes. No caso em tela, pôde-se perceber claramente no contrato entre o MCT e a Módulo Security que as atribuições de gerente de projetos é exercida unicamente por pessoas da contratada, restando aos servidores do MCT a função residual de apoiar o projeto. Esse quadro com funções gerenciais ou sensíveis exercidas por funcionários de empresas contratadas evidencia a vulnerabilidade e dependência do órgão em relação à contratada, e ainda demonstra uma afronta ao disposto no art. 5º, III, da Instrução Normativa nº 4, de 19 de maio de 2008, expedida pela Secretaria de Logística e Tecnologia da Informação - SLTI, fato que deve ser corrigido pelo MCT. 3.5.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho 1992, art. 43, I, ao Ministério da Ciência e Tecnologia que, em atenção às disposições contidas no Decreto-Lei nº 200, de 25 de fevereiro de 1967, art. 10, §7º, ocupe todos os papéis sensíveis (que executam tarefas de planejamento, coordenação, supervisão e controle) com servidores públicos. 3.6 - Falhas no orçamento de TI constante da LOA. 3.6.1 - Situação encontrada: O processo de elaboração do orçamento de tecnologia da informação - TI do Ministério da Ciência e Tecnologia - MCT não contém elementos essenciais, como alocação orçamentária às ações constantes dos planejamentos estratégico ou tático de TI; e não classifica, ou classifica erroneamente, o crédito orçamentário nos elementos e subelementos associados a despesas de TI. 3.6.2 - Objetos nos quais o achado foi constatado: Orçamento Planilha com o orçamento aprovado para o exercício de 2010 contemplando o programa 0750 (Apoio Administrativo) com elementos e subelementos relativos à área de Tecnologia da Informação. Planilhas contendo os contratos do MCT relativos a links de comunicação e aos bens e serviços de TI. 3.6.3 - Causas da ocorrência do achado: Deficiências de controles 3.6.4 - Efeitos/Conseqüências do achado: Risco de inexecução de serviços por falta de previsão orçamentária. (efeito potencial) 3.6.5 - Critérios: Lei 12017/2009, art. 9º, inciso II Norma Técnica - ITGI - Cobit 4.1, PO5.3 - Orçamentação de TI Norma Técnica - MPOG - Gespública - Instrumento para Avaliação da Gestão Pública - Ciclo 2010 - critério de avaliação 7.3 3.6.6 - Evidências: Planilha Controle item d (Anexo 1 - Principal - folha 171)8 de 41 25/5/2011 13:07
  9. 9. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=4&... 3.6.7 - Conclusão da equipe: A Administração Pública para cumprir com suas finalidades básicas de prestar serviços à sociedade e realizar investimentos, necessita de recursos, ou seja, receitas. Esses recursos são necessários para a realização dos gastos, as despesas públicas. Entretanto, a tarefa de arrecadar receitas e realizar gastos necessita ser efetivada de forma planejada. Dessa forma, o poder público deve planejar como, quando e em que gastar o que ganham ou recebem a título de receitas. Para realizar tal tarefa de forma planejada a Administração Pública utiliza-se do Plano Plurianual - PPA, Lei de Diretrizes Orçamentárias - LDO e da Lei Orçamentária Anual - LOA. Esses são os Instrumentos de Planejamento da Administração Pública previstos na Constituição da República. Nota-se que o orçamento público não se trata de uma mera peça contábil onde são elencadas despesas e receitas. Esse instrumento serve para compor uma gestão correta e eficiente dos gastos governamentais. Assim, diante do crescente aumento de despesas ligadas à tecnologia da informação (TI), exsurge a necessidade de que esses gastos sejam devidamente planejados e evidenciados na LOA, de forma que a gestão e o controle possam ter elementos de atuação. O achado que ora tratamos vai de encontro a essa premissa fundamental, na medida em que o próprio MCT, em resposta ao questionário e no seu PDTI, reconhece o fato de que a alocação de recursos é reativa, ou seja, a solicitação do orçamento de TI é feita com base na estimativa dos custos das contratações previstas, o que sustenta a inexistência de planejamento estratégico ou tático das ações de TI. Aliás, esse fato já pode ser percebido quando tratamos da ausência de fato de um PDTI no MCT. Mais uma vez, fica clara a interligação entre os controles gerais avaliados nesse relatório. Já em relação à classificação correta do crédito orçamentário nos elementos e subelementos associados a despesas de TI, podemos notar que a adequabilidade dessa associação é elemento fundamental para que o orçamento cumpra a sua função de auxiliar a gestão e oferecer subsídios para atuação do controle externo sobre os gastos. Para melhor analisarmos esse achado, utilizamos, além das informações prestadas pelo MCT, uma planilha, constante do disco III (fl. 172 do Anexo 1), fornecida pela Secretaria do Tesouro Nacional (STN) à Secretaria de fiscalização de tecnologia da informação - SEFTI. Com base nesses elementos foi possível identificar que a solicitação de gastos da área de TI do MCT é associada aos elementos e subelementos destinados à sua natureza, entretanto, há classificações inadequadas, a exemplo da classificação feita no elemento e subelemento 39.57 (Serviços Técnicos Profissionais de Tecnologia da Informação realizados por pessoa jurídica) que apresenta-se de forma genérica, sem detalhar o tipo de gasto. Esse tipo de associação genérica além de possui a maior materialidade e englobar os contratos mais significantes, tenta substituir o enquadramento do item de gasto em um detalhamento maior dos subelementos ligados à área de TI, existindo, conforme a aludida planilha, outros itens bem mais específicos, que nos permitem ter noção do objeto real a ser liquidado e, portanto, maior controle. O fato de classificar em elemento e subelemento genérico, além de prejudicar sobremaneira o controle sobre a gestão dos gastos de TI, pode indicar a existência de contrato guarda-chuva, ocorrência repudiada pela legislação e por esta Corte de Contas. Na prática, as indicações que essas falhas na classificação orçamentária apontaram se concretizaram quando foram feitos testes substantivos em dois contratos do MCT, onde em um deles havia a junção de objetos técnica e economicamente divisíveis, sem que houvesse o seu parcelamento, o chamado contrato guarda-chuva, e no outro uma liquidação de despesa em elemento e subelemento inadequado. As constatações verificadas nessa seara corroboram com o fato já explicitado pelo MCT de que não há orçamentação em TI baseada no planejamento de suas ações. Assim, a ausência de controle do órgão sobre a execução, além de impedir uma gestão adequada, contribui para o ciclo vicioso de orçamentos inadequados, baseado apenas nos pagamentos dos contratos em vigor ou nas contratações necessárias a serem feitas. A falta de classificação adequada, além de evidenciar a liquidação de contratos apenas no nível de elementos, quando existem subelementos específicos para a despesa,9 de 41 25/5/2011 13:07
  10. 10. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=4&... também indica que não existe gastos relevantes com aquele objeto de gasto, o que não é verdadeiro. Essa observações comprovam a necessidade premente de haver uma classificação adequada dos gastos de TI aos subelementos existentes para essa espécie, sob pena de transparecer informações inverídicas e inadequadas, seja para a gestão, seja para o controle. 3.6.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, ao Ministério da Ciência e Tecnologia que, em atenção às disposições contidas Lei nº 12.017, de 12 de agosto de 2009 (LDO 2009/2010), art. 9º, II c/c Anexo II, XVIII, aperfeiçoe o processo de elaboração do orçamento de TI, de maneira que se faça constar, na Lei Orçamentária Anual, a correspondente previsão e classificação das despesas de tecnologia da informação do Ministério da Ciência e Tecnologia, observando as práticas contidas no Cobit 4.1, processo PO5.3 - Orçamentação de TI e na Gespública, critério de avaliação 7.3. 3.7 - Falhas no controle da execução do orçamento de TI. 3.7.1 - Situação encontrada: O controle da execução do orçamento de TI é realizado sem formalização e padronização, por um único servidor da CGTI. Ainda, existem outros setores do MCT que executam despesas de TI sem que haja o conhecimento daquela Coordenação, o que corrobora a existência de falhas. 3.7.2 - Objetos nos quais o achado foi constatado: Orçamento Planilha com o orçamento aprovado para o exercício de 2010 contemplando o programa 0750 (Apoio Administrativo) com elementos e subelementos relativos à área de Tecnologia da Informação. Orçamento Planilha de controle da execução das despesas da área de TI Questionário Perfil GovTI 2010 respondido pelo MCT. 3.7.3 - Causas da ocorrência do achado: Deficiências de controles 3.7.4 - Efeitos/Conseqüências do achado: Desconhecimento da disponibilização orçamentária do setor de TI. (efeito potencial) 3.7.5 - Critérios: Lei 4320/1964, art. 75, inciso III Norma Técnica - MPOG - Gespública - Instrumento para Avaliação da Gestão Pública - Ciclo 2010 - critério de avaliação 7.3 Norma Técnica - ITGI - Cobit 4.1, PO5.4 - Gerência de custos 3.7.6 - Evidências: Planilha Controle item d (Anexo 1 - Principal - folha 171) Planilha Controle item e (Anexo 1 - Principal - folha 172) Planilha Orçamento - MCT (Anexo 1 - Principal - folha 172) 3.7.7 - Conclusão da equipe: A ausência de padronização e, principalmente, de formalização no controle da execução das despesas da área de TI impedem que haja a continuidade no aludido controle e que este seja feito periodicamente e com uma metodologia definida. O fato de somente um servidor realizar o controle faz com que todas as informações fiquem concentradas em sua posse. Caso o servidor, de alguma forma, não permaneça lotado na CGTI, o controle dessas despesas ou não será mais realizado, já que não há a formalização de um processo e uma norma interna que determine a obrigatoriedade desse acompanhamento; ou esse não será realizado da mesma forma que anteriormente, ante a falta de padronização. Ainda com relação ao controle efetuado, é possível notar que há despesas de TI que são realizadas por outros setores do MCT, que não são controlados pela CGTI. Depreende-se essa afirmação da comparação entre a planilha de Orçamento do MCT com a Planilha de Controle do MCT. A título exemplificativo, nota-se que, na primeira, houve a solicitação de recursos para o elemento e subelemento 36.54, Programa 1421, enquanto que, na segunda, o valor solicitado permanece zerado. Isso se dá em razão do controle ser efetuado somente no Programa 0750 e na Ação 2000, conforme o próprio servidor da CGTI, que realiza esse controle, confirmou. 3.7.8 - Proposta de encaminhamento:10 de 41 25/5/2011 13:07
  11. 11. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=4&... Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, ao Ministério da Ciência e Tecnologia que, em atenção ao princípio constitucional da eficiência e às disposições contidas na Lei nº 4.320, de 17 de março de 1964, art. 75, inciso III, aperfeiçoe, no âmbito da área de TI da instituição, os procedimentos de controle da execução orçamentária, a fim de se obter prontamente informações acerca dos gastos e da disponibilidade de recursos do setor de TI. 3.8 - Inexistência de processo de software. 3.8.1 - Situação encontrada: O Ministério da Ciência e Tecnologia - MCT, conforme resposta ao item 7.3 do Questionário: Perfil GovTI 2010, não possui processo de software estabelecido e formalizado. 3.8.2 - Objetos nos quais o achado foi constatado: Acordo de cooperação técnica celebrado entre o MCT e o Centro de Tecnologia da Informação Renato Archer - CTI 3.8.3 - Causas da ocorrência do achado: Inexistência de controles 3.8.4 - Efeitos/Conseqüências do achado: Deficiência no processo de contratação, decorrente da inexistência de metodologia que assegure boa contratação de desenvolvimento de sistemas. (efeito potencial) Inexistência de parâmetros de aferição de qualidade para contratação de desenvolvimento de sistemas. (efeito potencial) 3.8.5 - Critérios: Instrução Normativa 4/2008, SLTI/MPOG, art. 12, inciso II Lei 8666/1993, art. 6º, inciso IX Norma Técnica - ITGI - Cobit 4.1, PO8.3 - Padrões de desenvolvimento e de aquisições. 3.8.6 - Evidências: Resposta do MCT ao item 7.3 do questionário PerfilGovTI 2010. (Volume Principal - folha 43) 3.8.7 - Conclusão da equipe: A implantação de um Programa de Qualidade começa pela definição e implantação de um processo de software, o processo deve estar documentado, ser compreendido e seguido. Assim, o interesse no processo de software está baseado em duas premissas: a qualidade de um produto de software é fortemente dependente da qualidade do processo pelo qual ele é construído e mantido; e o processo de software pode ser definido, gerenciado, medido e melhorado. Desta forma, a existência de processo de software envolve critérios de qualidade perseguidos pelos órgãos ou entidade. Com isso podemos definir processos de software como as diversas fases necessárias para produzir e manter um produto de software, requerendo a organização lógica de diversas atividades técnicas e gerenciais envolvendo agentes, métodos, ferramentas, artefatos e restrições que possibilitam disciplinar, sistematizar e organizar o desenvolvimento e manutenção de produtos de software. Uma vez que o resultado esperado está identificado, é necessário descrevermos as características que esperamos que nosso guia apresente para satisfazer o cliente que irá utilizá-lo. Conforme constatado, o Ministério da Ciência e Tecnologia não possui um processo de software formal, aprovado e publicado, fato no mínimo contraditório, quando se nota que o MCT apóia e promove o Programa para Promoção da Exportação do Software Brasileiro - Programa SOFTEX, e a Melhoria de Processo do Software Brasileiro - MPS.Br, fomentando, assim, a implantação de processo de software na iniciativa privada, sendo que ele mesmo não possui seu próprio processo. 3.8.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao Ministério da Ciência e Tecnologia que, em atenção ao disposto na Lei nº 8.666, de 21 de junho de 1993, art. 6º, inc. IX, e às disposições contidas na Instrução Normativa nº 04, de 19 de maio de 2008 - SLTI/MPOG, art. 12, II, defina formalmente um processo [de desenvolvimento] de software, previamente à contratação de serviços de desenvolvimento ou manutenção de software, em11 de 41 25/5/2011 13:07
  12. 12. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=4&... consonância com os Acórdãos nº 2.023/2005-Plenário (item 9.1.5) e 436/2008-Plenário (item 9.1.5), vinculando cada contrato ao processo de desenvolvimento de software, sem o qual o objeto não estará precisamente definido. Recomendar ao Minitério da Ciência e Tecnologia que, ao definir seu processo de software, observe as práticas contidas no Cobit 4.1, processo PO8.3 - Padrões de desenvolvimento e de aquisições. 3.9 - Inexistência de processo de gerenciamento de projetos. 3.9.1 - Situação encontrada: O Ministério da Ciência e Tecnologia - MCT não possui processo de gerenciamento de projetos definido e formalizado, conforme o próprio órgão reconheceu em resposta ao item 7.4 do Questionário: Pervil GovTI2010. 3.9.2 - Objetos nos quais o achado foi constatado: Questionário Perfil GovTI 2010 respondido pelo MCT. 3.9.3 - Causas da ocorrência do achado: Inexistência de controles 3.9.4 - Efeitos/Conseqüências do achado: Risco de insucesso de projetos/processos relevantes, pela falta de estrutura de gestão de projetos. (efeito potencial) 3.9.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, PO10.2 - Estrutura de gerência de projetos 3.9.6 - Evidências: Resposta do MCT ao item 7.4 do questionário Perfil GovTI 2010. (Volume Principal - folha 43) 3.9.7 - Conclusão da equipe: Diante dos crescentes desafios que se impõem às organizações públicas e privadas de adquirir, utilizar e prestar novos e eficientes serviços frente à crescente demanda por quantidade e qualidade, essas instituições utilizam ferramentas capazes de facilitar a adaptação e implementação de estratégias e a capacidade de oferecer novos produtos e serviços, sem que haja a perda da otimização do desempenho organizacional. Nesse contexto, é preciso encontrar respostas para alguns fatores críticos desse cenário, como a agilidade, a capacidade de adaptação, o poder de inovar de forma rápida e eficiente, e o potencial de aprimoramento contínuo sob grandes restrições de recursos. Em resposta a essas exigências, fortalecem-se os sistemas de gerenciamento de projetos, como forma de gerir os empreendimentos temporários, únicos e multifuncionais, que caracterizam o processo de implementação de estratégias, inovação, adaptação e aprimoramento. O projeto para implementação de uma ou mais estratégias organizacionais tem sempre o objetivo de levar a empresa de um determinado posicionamento presente para outro mais vantajoso no futuro. Para que haja o alcance dos seus objetivos, os projetos precisam ser gerenciados, de maneira que a aplicação de conhecimentos, habilidades, ferramentas e técnicas adequadas às atividades do projeto, a fim de cumprir seus requisitos. A aplicação dos conhecimentos requer a adoção eficaz de processos apropriados. Cada área de conhecimento envolvida na nova empreitada abrange diversos processos no gerenciamento de projetos. Como o gerenciamento de projetos é uma área de atuação e conhecimento que tem ganhado, nos últimos anos, cada vez mais reconhecimento e importância. Um dos principais difusores do gerenciamento de projetos e da profissionalização do gerente de projetos é o Instituto de Gerenciamento de Projetos (PMI - Project Management Institute). Uma das principais iniciativas do PMI na difusão do conhecimento em gerenciamento de projetos é a publicação de um guia do Conjunto de Conhecimentos em Gerenciamento de Projetos (Guia PMBOK - Project Management Body of Knowledge). Além de conceituar os aspectos fundamentais do gerenciamento de projetos, de forma a promover um vocabulário comum aos usuários, o Guia PMBOK documenta (define e descreve) processos de gerenciamento de projetos e os apresenta didaticamente, organizados em um capítulo por área de conhecimento. Em cada processo, são abordadas suas entradas e saídas, suas características, bem como os artefatos, técnicas e ferramentas envolvidas. Como é possível notar, a ausência de processos de gerenciamento de projetos na12 de 41 25/5/2011 13:07
  13. 13. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=4&... instituição impede que as novas soluções a serem implementadas tenham o sequenciamento adequado (processo definido), fato que impede o controle do órgão sobre a qualidade e adequabilidade do novo produto. No caso do MCT, a consequência real da ausência desse controle geral foi observada quando da realização de teste substantivo no contrato 02.003.00/2009, firmado com a empresa Módulo Security Solutions S/A , sujo objeto é a instalação e gerenciamento de sistema informatizado de gestão de riscos na área de TI, com fornecimento de serviços técnicos especializados, com vistas a auxiliar, acompanhar e subsidiar a Coordenação-Geral de Gestão da Tecnologia da Informação - CGTI na formulação e implementação da Política de Segurança da Informação e Comunicações. O objeto desse contrato é um projeto. Contudo, a inexistência de um processo de gerenciamento de projetos no MCT repassa à contratada toda a responsabilidade pela gerência, inclusive os prazos, as soluções e a forma de fazer, restando ao Ministério a função residual de apenas aceitar ou não os produtos, sem critérios de adequabilidade à sua necessidade. Essa realidade é facilmente verificada desde a elaboração do termo de referência da citada contratação onde se indica a realização pela contratada das seguintes atividades de planejamento: organograma do projeto, elaboração do plano de ação do projeto, estabelecimento da agenda de trabalho e do cronograma físico-financeiro. Resta latente o repasse de uma atividade precípuo e indelegável do contratante, no caso o MCT, decorrente da ausência de um processo de gerência de projetos definido no órgão. 3.9.8 - Proposta de encaminhamento: Recomendar ao Ministério da Ciência e Tecnologia que implante uma estrutura formal de gerência de projetos no âmbito da área de tecnologia da informação da instituição, observando as práticas contidas no Cobit 4.1, processo PO8.3 - Padrões de desenvolvimento e de aquisições. 3.10 - Inexistência do processo de gestão de configuração 3.10.1 - Situação encontrada: Como pode ser comprovado pela ausência de resposta ao item 7.6 do Questionário: Perfil GovTI 2010, o Ministério da Ciência e Tecnologia - MCT não possui processo de gestão de configuração. 3.10.2 - Objetos nos quais o achado foi constatado: Questionário Perfil GovTI 2010 respondido pelo MCT. 3.10.3 - Causas da ocorrência do achado: Inexistência de controles 3.10.4 - Efeitos/Conseqüências do achado: Desatualização ou deficiência da configuração de TI. (efeito potencial) 3.10.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, DS9 - Gerenciar Configurações. 3.10.6 - Evidências: Minuta do Plano Diretor de Segurança da Informação, encaminhando como resposta da questão 8 desta auditoria. (Anexo 1 - Principal - folha 170) Resposta do MCT ao item 7.6 do questionário PerfilGovTI 2010. (Volume Principal - folha 44) 3.10.7 - Conclusão da equipe: O processo de gestão de configuração compõe os processos de gestão de serviços de TI que tratam da entrega dos serviços solicitados, o que inclui entrega de serviço, gerenciamento da segurança e continuidade, serviços de suporte para os usuários e o gerenciamento de dados e recursos operacionais. O processo de gestão de configuração tem por objetivo fornecer um modelo lógico da infraestrutura ou serviços por meio da identificação, controle, manutenção e verificação das versões dos itens de configuração (IC) existentes. Logo, esse é um processo base para os demais processos de gestão de serviços é a partir de sua existência que se é possível assegurar a integridade das configurações de hardware e software, podendo requer o estabelecimento e a manutenção de um repositório de configuração preciso e completo. Esse processo inclui a coleta inicial das informações de configuração, o estabelecimento de um perfil básico, a verificação e a auditoria das informações de13 de 41 25/5/2011 13:07
  14. 14. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=4&... configuração e a atualização do repositório de configuração conforme necessário. Um gerenciamento de configuração eficaz facilita uma maior disponibilidade do sistema, minimiza as questões de produção e soluciona problemas com mais rapidez (Cobit 4.1 - DS9). 3.10.8 - Proposta de encaminhamento: Recomendar ao Ministério da Ciência e Tecnologia que, em atenção ao princípio constitucional da eficiência, implemente, no âmbito da área de tecnologia da informação da instituição, processo de gestão de configuração de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração. 3.11 - Inexistência do processo de gestão de incidentes. 3.11.1 - Situação encontrada: O Ministério da Ciência e Tecnologia - MCT não possui processo de gestão de incidentes, conforme constatado pela ausência de resposta ao item 7.6 do Questionário: Perfil GovTI 2010. 3.11.2 - Objetos nos quais o achado foi constatado: Questionário Perfil GovTI 2010 respondido pelo MCT. 3.11.3 - Causas da ocorrência do achado: Inexistência de controles 3.11.4 - Efeitos/Conseqüências do achado: Ocorrência de incidentes sem o devido gerenciamento. (efeito potencial) 3.11.5 - Critérios: Constituição Federal, art. 37, caput Norma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar incidentes e service desk. Norma Técnica - NBR - ISO/IEC 27002, item 10.1.2 - Gestão de mudanças. 3.11.6 - Evidências: Resposta do MCT ao item 7.6 do questionário PerfilGovTI 2010. (Volume Principal - folha 44) 3.11.7 - Conclusão da equipe: O processo de gestão de incidentes compõe os processos de gestão de serviços de TI que tratam da entrega dos serviços solicitados, o que inclui entrega de serviço, gerenciamento da segurança e continuidade, serviços de suporte para os usuários e o gerenciamento de dados e recursos operacionais. O processo de gestão de incidentes tem por objetivo restaurar o serviço à operação normal o mais rápido possível, minimizando os impactos negativos nas áreas de negócio. Logo, é reativo. A resposta efetiva e em tempo adequado a dúvidas e problemas dos usuários de TI requer uma central de serviço (service desk) e processos de gerenciamento de incidentes bem projetados e implementados. Esse processo inclui a implementação de uma central de serviços capacitada para o tratamento de incidentes, incluindo registro, encaminhamento, análise de tendências, análise de causa-raiz e resolução. Os benefícios ao negócio incluem aumento de produtividade por meio de resolução rápida dos chamados dos usuários (Cobit 4.1 - DS8). 3.11.8 - Proposta de encaminhamento: Recomendar ao Ministério da Ciência e Tecnologia que, em atenção ao princípio constitucional da eficiência, implemente, no âmbito da área de tecnologia da informação da instituição, processo de gestão de incidentes de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a central de serviços e incidentes. 3.12 - Inexistência do processo de gestão de mudanças. 3.12.1 - Situação encontrada: O Ministério da Ciência e Tecnologia - MCT não possui processo de gestão de mudanças, como pôde ser verificado pela ausência de resposta ao item 7.6 do Questionário: Perfil GovTI 2010. 3.12.2 - Objetos nos quais o achado foi constatado: Questionário Perfil GovTI 2010 respondido pelo MCT. 3.12.3 - Causas da ocorrência do achado: Inexistência de controles 3.12.4 - Efeitos/Conseqüências do achado:14 de 41 25/5/2011 13:07
  15. 15. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=4&... Não avaliação do impacto de eventuais mudanças. (efeito potencial) Solicitações de mudanças não controladas. (efeito potencial) 3.12.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, AI6 - Gerenciar mudanças. Norma Técnica - NBR - ISO/IEC 27002, 12.5.1 - Procedimentos para controle de mudanças 3.12.6 - Evidências: Resposta do MCT ao item 7.6 do questionário PerfilGovTI 2010. (Volume Principal - folha 44) 3.12.7 - Conclusão da equipe: O processo de gestão de mudanças tem por objetivo garantir que métodos padronizados e procedimentos são utilizados para o manuseio eficiente de todas as mudanças minimizando o impacto das mudanças relacionadas a incidentes melhorando as operações do dia-a-dia da organização. Logo, é preventivo. Todas as mudanças, incluindo manutenções e correções de emergência, relacionadas com a infraestrutura e as aplicações no ambiente de produção são formalmente gerenciadas de maneira controlada. As mudanças (incluindo procedimentos, processos, parâmetros de sistemas e de serviço) devem ser registradas, avaliadas e autorizadas antes da implementação e revisadas em seguida, tendo como base os resultados efetivos e planejados. Isso assegura a mitigação de riscos de impactos negativos na estabilidade ou na integridade do ambiente de produção (Cobit 4.1 - AI6). O gerenciamento do processo de "Gerenciar Mudanças" que satisfaça ao requisito do negócio para a TI de atender aos requisitos de negócio em alinhamento com a estratégia da organização, reduzindo retrabalho e defeitos na entrega de soluções e serviços. 3.12.8 - Proposta de encaminhamento: Recomendar ao Ministério da Ciência e Tecnologia que, em atenção ao princípio constitucional da eficiência, estabeleça, no âmbito da área de tecnologia da informação da instituição, procedimentos formais de controle de demandas e de mudanças, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 17799:2005, à semelhança das orientações contidas no Cobit 4.1, processo AI6 - Gerenciar mudanças. 3.13 - Falhas no Comitê de Segurança da Informação e Comunicações. 3.13.1 - Situação encontrada: O Comitê de Segurança e Tecnologia da Informação - CSTI, do Ministério da Ciência e Tecnologia - MCT, de acordo com as evidências apresentadas pelo gestor, se reuniu apenas uma vez, consoante única ata apresentada, fato que demonstra a falta de funcionamento ordinário e efetivo daquele colegiado. 3.13.2 - Objetos nos quais o achado foi constatado: Regimento Interno do Comitê Gestor de Segurança e Tecnologia da Informação - CSTI 3.13.3 - Causas da ocorrência do achado: Inexistência ou insuficiência de segregação de funções 3.13.4 - Efeitos/Conseqüências do achado: Não otimização das ações de segurança da informação. (efeito potencial) 3.13.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VI; art. 6º Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3 Norma Técnica - NBR - ISO/IEC 27002, item 6.1.2 - Coordenação de segurança da informação 3.13.6 - Evidências: Ata da única reunião do Comitê de Segurança e Tecnologia da Informação - CSTI. (Anexo 1 - Principal - folhas 26/27) 3.13.7 - Conclusão da equipe: Como já visto no achado "Falhas no Comitê de TI" o MCT possui um único comitê de TI denominado Comitê Gestor de Segurança e Tecnologia da Informação, instituído pela Portaria nº 114, de 12 de fevereiro de 2010. Este comitê além de apoiar a alta administração,15 de 41 25/5/2011 13:07
  16. 16. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=4&... priorizar e coordenar investimentos e projetos de tecnologia da informação tem competência para referendar decisões técnicas de segurança, arquitetura e infraestrutura de TI e propor ações corretivas e disciplinares cabíveis nos casos de quebra de segurança. Mesmo com atribuições tão relevantes, o referido comitê reuniu-se apenas uma vez para deliberar sobre o seu regimento interno, deixando de discutir outros assuntos relevantes que se encontram pendentes, como é o caso da aprovação da Política de Segurança da Informação e Comunicação (POSIC) do MCT onde a minuta da POSIC encontra-se pronta a mais de seis meses sem que o referido colegiado delibere a esse repeito. 3.13.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho 1992, art. 43, I, ao Ministério da Ciência e Tecnologia que, em atenção à portaria de constituição e ao regimento do Comitê Gestor de Segurança e Tecnologia da Informação - CSTI, monitore o funcionamento do Comitê de Segurança da Informação e Comunicações, de maneira que o mesmo exerça as suas atribuições. 3.14 - Inexistência de Política de Segurança da Informação e Comunicações (POSIC). 3.14.1 - Situação encontrada: O Ministério da Ciência e Tecnologia - MCT não possui uma Política de Segurança da Informação e Comunicações (POSIC) aprovada e publicada, conforme se depreende da documentação encaminhada, em resposta ao item 8.2 do Ofício nº 398/2010-Sefti. 3.14.2 - Objetos nos quais o achado foi constatado: Questionário Perfil GovTI 2010 respondido pelo MCT. 3.14.3 - Causas da ocorrência do achado: Inexistência de controles 3.14.4 - Efeitos/Conseqüências do achado: Falhas nos procedimentos de segurança. (efeito potencial) 3.14.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VII Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR Norma Técnica - NBR - ISO/IEC 27002, item 5.1 - Política de segurança da informação 3.14.6 - Evidências: Minuta do Plano Diretor de Segurança da Informação, encaminhando como resposta da questão 8 desta auditoria. (Anexo 1 - Principal - folha 170) 3.14.7 - Conclusão da equipe: Segundo o inciso II, art. 2 da Instrução Normativa n 01, de 13 de junho de 2008, do Gabinete de Segurança Institucional da Presidência da República - GSI/PR, Política de Segurança da Informação e Comunicações - POSIC é o documento aprovado pela autoridade responsável pelo órgão ou entidade da Administração Pública Federal, direta e indireta, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação e comunicações. O MCT apresentou a minuta do seu Plano Diretor de Segurança da Informação, datado de agosto de 2008, em que consta, no item 11.1.1 do citado plano, a justificativa de que a alta direção deve estabelecer uma política clara e demonstrar apoio e comprometimento com a segurança da informação por meio da emissão e manutenção de uma política de segurança da informação para todo o Ministério da Ciência e Tecnologia. O documento da política deve ser aprovado pela direção, publicado e comunicado, de forma adequada, para todos os usuários. Com isso, resta evidente a inexistência, no âmbito do MCT, da POSIC, conforme normatização efetuada pela IN GSI/PR n 01, de 2008. Conforme a norma complementar n 3, de 30 de junho de 2009, do GSI/PR, a Política de Segurança da Informação e Comunicações declara o comprometimento da alta direção organizacional com vistas a prover diretrizes estratégicas, responsabilidades, competências e o apoio para implementar a gestão de segurança da informação e comunicações nos órgãos ou entidades da Administração Pública Federal, direta e indireta. Logo, a ausência da POSIC impede o estabelecimento e implementação das16 de 41 25/5/2011 13:07
  17. 17. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=4&... diretrizes de segurança, com vistas a viabilizar e assegurar a disponibilidade, integridade, confidencialidade e autenticidade da informação, o que deixa o órgão ou entidade vulnerável aos riscos inerentes à utilização e contratação de serviços de TI, a exemplo de ausência de normas de segurança para contratos de prestação de serviço, segurança dos ativos da entidade, classificação da informação e normas sobre gestão da continuidade operacional. 3.14.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, ao Ministério da Ciência e Tecnologia que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01, de 13 de junho de 2008, art. 5º, VII, aprove Política de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item 5.1 - Política de segurança da informação. 3.15 - Inexistência de Gestor de Segurança da Informação e Comunicações. 3.15.1 - Situação encontrada: No Ministério da Ciência e Tecnologia - MCT não existe um Gestor de Segurança da Informação e Comunicação nomeado, conforme consta no item 1, letra a do Ofício nº 004/2010_CGTI (fl. 12 do Anexo I). Embora o gestor tenha afirmado, na mesma letra, que a Gestão de Segurança é exercida pelo presidente do Comitê Gestor de Segurança, não há designação formal para tal função. 3.15.2 - Objetos nos quais o achado foi constatado: Regimento Interno do Comitê Gestor de Segurança e Tecnologia da Informação - CSTI 3.15.3 - Causas da ocorrência do achado: Inexistência ou insuficiência de segregação de funções 3.15.4 - Efeitos/Conseqüências do achado: Não otimização das ações de segurança da informação. (efeito potencial) 3.15.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso IV; art. 7º Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2 Norma Técnica - NBR - ISO/IEC 27002, 6.1.3 - Atribuição de responsabilidade para segurança da informação. 3.15.6 - Evidências: Resposta ao ofício de requisição nº 1127-3 (Anexo 1 - Principal - folha 72) 3.15.7 - Conclusão da equipe: O Ministério da Ciência e Tecnologia - MCT, a exemplo da política de segurança da informação, não possui o gestor de segurança da informação e comunicações, logo, não há responsável para, dentre outras atribuições, promover cultura de segurança da informação e comunicações; acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança; coordenar o Comitê de Segurança da Informação e Comunicações e propor normas relativas à segurança da informação e comunicações, consoante art. 7 da Instrução Normativa SGI/PR n 01, de 13 de junho de 2008. 3.15.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, ao Ministério da Ciência e Tecnologia que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01, de 13 de junho de 2008, art. 5º, IV e art. 7º, c/c Norma Complementar 03/IN01 /DSIC/GSIPR, item 5.3.7.2, nomeie Gestor de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item 6.1.3 Atribuição de responsabilidade para segurança da informação. 3.16 - Inexistência de equipe de tratamento e resposta a incidentes em redes computacionais (ETRI). 3.16.1 - Situação encontrada: O Ministério da Ciência e Tecnologia - MCT não possui uma equipe de tratamento e resposta a incidentes em redes computacionais - ETRI. 3.16.2 - Objetos nos quais o achado foi constatado: Minuta do Plano Diretor de Segurança da Informação.17 de 41 25/5/2011 13:07

×