TCU - Portal de Pesquisa Textual                                          http://contas.tcu.gov.br/portaltextual/MostraDoc...
TCU - Portal de Pesquisa Textual                                       http://contas.tcu.gov.br/portaltextual/MostraDocume...
TCU - Portal de Pesquisa Textual                                         http://contas.tcu.gov.br/portaltextual/MostraDocu...
TCU - Portal de Pesquisa Textual                                         http://contas.tcu.gov.br/portaltextual/MostraDocu...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                         http://contas.tcu.gov.br/portaltextual/MostraDocu...
TCU - Portal de Pesquisa Textual                                         http://contas.tcu.gov.br/portaltextual/MostraDocu...
TCU - Portal de Pesquisa Textual                                         http://contas.tcu.gov.br/portaltextual/MostraDocu...
TCU - Portal de Pesquisa Textual                                         http://contas.tcu.gov.br/portaltextual/MostraDocu...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
TCU - Portal de Pesquisa Textual                                         http://contas.tcu.gov.br/portaltextual/MostraDocu...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
TCU - Portal de Pesquisa Textual                                    http://contas.tcu.gov.br/portaltextual/MostraDocumento...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
TCU - Portal de Pesquisa Textual                                       http://contas.tcu.gov.br/portaltextual/MostraDocume...
TCU - Portal de Pesquisa Textual                                          http://contas.tcu.gov.br/portaltextual/MostraDoc...
TCU - Portal de Pesquisa Textual                                         http://contas.tcu.gov.br/portaltextual/MostraDocu...
TCU - Portal de Pesquisa Textual                                         http://contas.tcu.gov.br/portaltextual/MostraDocu...
Acórdão tcu 592 2011 - dnocs - avaliação de controles de ti
Acórdão tcu 592 2011 - dnocs - avaliação de controles de ti
Acórdão tcu 592 2011 - dnocs - avaliação de controles de ti
Acórdão tcu 592 2011 - dnocs - avaliação de controles de ti
Acórdão tcu 592 2011 - dnocs - avaliação de controles de ti
Acórdão tcu 592 2011 - dnocs - avaliação de controles de ti
Acórdão tcu 592 2011 - dnocs - avaliação de controles de ti
Acórdão tcu 592 2011 - dnocs - avaliação de controles de ti
Próximos SlideShares
Carregando em…5
×

Acórdão tcu 592 2011 - dnocs - avaliação de controles de ti

661 visualizações

Publicada em

Entidade: Departamento Nacional de Obras Contra as Secas - Dnocs

RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA
DA INFORMAÇÃO. CONSTATAÇÃO DE PRECARIEDADES E OPORTUNIDADES DE MELHORIA.
DETERMINAÇÕES E RECOMENDAÇÕES

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
661
No SlideShare
0
A partir de incorporações
0
Número de incorporações
25
Ações
Compartilhamentos
0
Downloads
2
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Acórdão tcu 592 2011 - dnocs - avaliação de controles de ti

  1. 1. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... Pesquisa: Livre Em Formulário Quarta-feira, 25 de Maio de 2011. Pesquisa número: 3 Expressão de Pesquisa: "AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO" Bases pesquisadas: Acórdãos; Decisões; Relações; Atas Documento da base: Acórdão Documentos recuperados: 11 Documento mostrado: 8 Status na Coletânea: Não Selecionado Visualizar este documento no formato: Formato Padrão para Acórdãos Coletânea Status do Documento na Coletânea: [Não Selecionado] Voltar à lista de documentos Anterior | Próximo Identificação Acórdão 592/2011 - Plenário Número Interno do Documento AC-0592-08/11-P Grupo/Classe/Colegiado GRUPO I / CLASSE V / Plenário Processo 019.052/2010-3 Natureza Relatório de Auditoria Entidade Entidade: Departamento Nacional de Obras Contra as Secas - Dnocs Interessados Responsável: Elias Fernandes Neto, diretor-geral (CPF 019.792.054-34) Sumário RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO. CONSTATAÇÃO DE PRECARIEDADES E OPORTUNIDADES DE MELHORIA. DETERMINAÇÕES E RECOMENDAÇÕES Assunto Relatório de Auditoria Ministro Relator AROLDO CEDRAZ Representante do Ministério Público não atuou Unidade Técnica Secretaria de Controle Externo no Estado do Ceará - Secex/CE Advogado Constituído nos Autos1 de 26 25/5/2011 13:11
  2. 2. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... não há Relatório do Ministro Relator A Secretaria de Controle Externo no Estado do Ceará - Secex/CE realizou auditoria no Departamento Nacional de Obras Contra as Secas - Dnocs, no período de 26/7 a 22/10/2010, com o objetivo de avaliar controles gerais de tecnologia da informação - TI e verificar se estão de acordo com a legislação pertinente e com as boas práticas de governança de TI. 2. As ocorrências detectadas foram apresentadas pela equipe de auditoria nos seguintes termos (fls. 7/26): "2 - ACHADOS DE AUDITORIA 2.1 - Auditoria interna não apoia avaliação da TI. 2.1.1 - Situação encontrada: O DNOCS informou, por meio de resposta ao item 1.4 do questionário Perfil GovTI 2010 (Anexo I, fl. 22), que foi realizada, por iniciativa própria da instituição, auditoria no uso de softwares. Porém, verificou-se que tal auditoria tratou-se na verdade de levantamento dos softwares em uso em todo o DNOCS, por ocasião da edição de portaria que regulamentava o uso de software livre naquela instituição. Dessa forma, não se tratou de participação da auditoria interna nem foi formalmente uma auditoria de TI. 2.1.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.1.3 - Causas da ocorrência do achado: Deficiências de controles 2.1.4 - Efeitos/Consequências do achado: Deficiências na governança de TI, gestão de riscos e controles internos. (efeito potencial) 2.1.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, ME2.1 - Monitorar e avaliar os controles internos. 2.1.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 1.4 (Anexo 1 - Principal - folha 22) Resposta ao item 10.2 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16) 2.1.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.1.8 - Conclusão da equipe: A equipe evidenciou que não foram realizadas auditorias de TI no órgão. 2.1.9 - Proposta de encaminhamento: Recomendar ao DNOCS que, em atenção ao princípio constitucional da eficiência, promova ações para que a auditoria interna apoie a avaliação da TI, observando as orientações contidas no Cobit 4.1, ME2 - Monitorar e avaliar os controles internos. 2.2 - Inexistência de avaliação da gestão de TI. 2.2.1 - Situação encontrada: O DNOCS informou, por meio de resposta ao item 1.2 do questionário Perfil GovTI 2010 (Anexo I, fl. 21) que a Alta Administração da instituição acompanha os indicadores de benefício dos principais sistemas de informação e toma decisões a respeito quando as metas de benefício não são atingidas. Porém, quando chamado a apresentar evidências, o DNOCS informou que este acompanhamento é realizado de forma informal (OF 471 OF 471/2010-01- Secex/Ce). Ademais, em reunião realizada em 10/08/2010, que teve participação da Alta Administração do DNOCS, evidenciou-se o desconhecimento desta em relação a real situação de TI do órgão. Acrescenta-se que a instituição não implementou formalmente indicadores e metas para a gestão de TI, razão pela qual se torna improvável a ocorrência do acompanhamento pela Alta Administração.2 de 26 25/5/2011 13:11
  3. 3. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... 2.2.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.2.3 - Causas da ocorrência do achado: Deficiências de controles 2.2.4 - Efeitos/Consequências do achado: Impossibilidade de verificação de possibilidades de melhoria na gestão de TI. (efeito potencial) 2.2.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, ME1.5 - Relatórios gerenciais Norma Técnica - ITGI - Cobit 4.1, ME1.4 - Avaliar o desempenho Norma Técnica - ITGI - Cobit 4.1, ME1.6 - Ações corretivas Norma Técnica - ITGI - Cobit 4.1, ME2 - Monitorar e avaliar os controles internos 2.2.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal - folha 24) Resposta ao item 1.2 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16) 2.2.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.2.8 - Conclusão da equipe: A equipe evidenciou que a Alta Administração do DNOCS não avalia a gestão da TI daquele órgão. 2.2.9 - Proposta de encaminhamento: Recomendar ao DNOCS que, em atenção ao princípio constitucional da eficiência, estabeleça um processo de avaliação da gestão de TI, observando as orientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 - Relatórios gerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controles internos. 2.3 - Inexistência de avaliação do quadro de pessoal de TI. 2.3.1 - Situação encontrada: Conforme resposta ao item 6.1 do questionário Perfil GovTI 2010 (Anexo I, fl. 23), a força de trabalho da área de TI do DNOCS era composta, em 10/05/2010, por 4 servidores e 4 estagiários, sendo que 2 dos servidores eram detentores de funções de confiança, respectivamente Coordenador de Gestão Estratégica e Chefe de Serviço de Informática. Todavia, quando da execução da auditoria, constatou-se que um dos servidores elencados na resposta ao questionário já havia deixado os quadros da instituição, restando assim apenas três servidores, sendo que dois deles ocupam função gerencial. O DNOCS afirmou, em resposta ao item 3.7 do Ofício 471/2010-01-Secex/Ce que "Em relação a Recursos Humanos na área de TI nosso setor encontra-se totalmente deficitário, como descrito no item 3.4, item 2.2.3 e nas páginas 19 a 22 do PDTI, salientamos que no momento não existe contrato para a prestação de serviços na área de TI. Necessitamos com urgência recompor nossa equipe . Em relação ao item 3.6 do referido Ofício, o DNOCS argumentou ainda que com o término do contrato de terceirização (vide item 2.2.3 deste questionário) as áreas de Banco de Dados, Segurança da Informação entre outras se encontram carentes de especialistas". A auditoria confirmou a grave precariedade em que se encontra a área de TI do DNOCS, que tem equipe insuficiente para atender às demandas. O quadro agrava-se ainda mais em virtude de não haver prepostos da área de TI nas Coordenações Estaduais. Nesses casos, segundo informado pelo Coordenador de Gestão Estratégica, as demandas de TI nas unidades fora da Sede acumulam-se até que, pelo menos uma vez por ano, em visita da equipe de TI, são solucionados os problemas. A situação da área de TI também é sentida nos sistemas de informação daquele órgão. Conforme evidenciado às folhas 28/31, poucas são as unidades organizacionais que dispões de solução corporativa de TI que atenda às suas necessidades de negócio. São muitos os casos em que o controle das atividades cruciais do negócio é feito de forma não automatizada, com o auxílio de planilhas eletrônicas e até com relatórios em papel, os quais apresentam sério risco de comprometimento da integridade, disponibilidade e confidencialidade3 de 26 25/5/2011 13:11
  4. 4. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... das informações tratadas naquela autarquia. No documento apresentado pelo DNOCS como Plano Diretor de Tecnologia da Informação (Arquivo PDTI.pdf, Anexo I, fl. 19), consta, à página 22, a tabela 5 que indica, para a área de TI, a quantidade existente de pessoal e a desejável. Conforme se observa, à época da elaboração do PDTI, no 1º semestre de 2009, o DNOCS apontou na coluna Desejável a quantidade de técnicos necessários para o desenvolvimento das atividades da área de TI. Todavia, não são apresentados os critérios ou métodos utilizados pelo órgão para chegar a tais números. Além disso, o órgão apresenta apenas a demanda de cargos técnicos, não fazendo referência à necessidade de servidores efetivos para as atividades de gestão (planejamento, organização, supervisão e controle). Ressalta-se ainda que a situação exposta na tabela acima reflete momento anterior do DNOCS que contava com a prestação de serviços terceirizados. Dessa forma, não há evidências de que o quantitativo de técnicos solicitado pelo DNOCS de fato seja o adequado para o pleno funcionamento da área de TI daquela instituição, nem de que, caso sejam providos os técnicos solicitados, haverá estrutura de pessoal suficiente para as atividades de gestão. 2.3.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce Arquivo eletrônico PDTI.pdf 2.3.3 - Causas da ocorrência do achado: Deficiências de controles 2.3.4 - Efeitos/Consequências do achado: Recursos humanos de TI insuficientes para atender às necessidades do negócio. (efeito real) Falta de competências apropriadas na área de TI. (efeito real) 2.3.5 - Critérios: ACÓRDÃO 71/2007, item 9.2.23, Tribunal de Contas da União, Plenário Constituição Federal, art. 37, caput Decreto 5707/2006, art. 1º, inciso III Norma Técnica - ITGI - Cobit 4.1, PO4.12 - Pessoal de TI 2.3.6 - Evidências: Arquivo PDTI.PDF no CD (Anexo 1 - Principal - folha 19) Resposta ao questionário Perfil GovTI 2010 - Item 6 (Anexo 1 - Principal - folhas 23/24) Resposta ao item 3.7 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 13) 2.3.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.3.8 - Conclusão da equipe: Com base nas respostas do DNOCS, em reuniões realizadas no curso da auditoria e na observação direta, a equipe constatou a inexistência de avaliação do atual quadro de TI que aponte a real necessidade de pessoal naquele órgão. 2.3.9 - Proposta de encaminhamento: Recomendar ao DNOCS que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência) e ao Decreto 5707/2006, art. 1º, inciso III, elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI. 2.4 - Inexistência de classificação da informação. 2.4.1 - Situação encontrada: Conforme resposta ao questionário Perfil GovTI 2010 (Anexo I, fl. 24), item 7.1, O DNOCS informou que a instituição não realiza classificação das informações produzidas ou manuseadas pela instituição. 2.4.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce4 de 26 25/5/2011 13:11
  5. 5. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... 2.4.3 - Causas da ocorrência do achado: Deficiências de controles 2.4.4 - Efeitos/Consequências do achado: Risco de divulgação indevida de informação restrita. (efeito potencial) 2.4.5 - Critérios: ACÓRDÃO 2023/2005, item 9.1.4, Tribunal de Contas da União, Plenário Decreto 4553/2002, art. 6º, § 2º, inciso I; art. 6º, § 2º, inciso II; art. 67 Norma Técnica - NBR - ISO/IEC 27002, item 7.2 - Classificação da informação. 2.4.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal - folha 24) Resposta ao item 8 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16) 2.4.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.4.8 - Conclusão da equipe: A equipe evidenciou que o DNOCS não dispõe de norma institucional de classificação da informação. 2.4.9 - Proposta de encaminhamento: Determinar, com fulcro no art. 43, I, da Lei nº 8.443/1992, ao DNOCS que, em atenção ao disposto no Decreto nº 4553/2002, art. 6º, § 2º, inciso II e art. 67, crie critérios de classificação das informações a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observando o disposto pelo item 7.2 da NBR ISO/IEC 27002. 2.5 - Inexistência de Comitê de Segurança da Informação e Comunicações. 2.5.1 - Situação encontrada: A Instrução Normativa nº 1/2008, do GSI/PR, norma que aprova orientações para a Gestão da Segurança da Informação e Comunicações para órgãos e entidades da Administração Pública Federal, direta e indireta, conceitua a Gestão de Segurança da Informação e Comunicações como ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à tecnologia da informação e comunicações. A norma define ainda a necessidade de que os órgãos e entidades constituam Comitê de Segurança da Informação, que deve ter entre suas atribuições assessorar na implementação das ações de segurança da informação e comunicações e propor normas relativas à segurança da informação e comunicações. Conforme resposta ao OF 471/2010-01-Secex/Ce (Anexo I, fl. 13), item 8.3, o DNOCS não apresentou evidências de existência de Comitê de Segurança da Informação naquele órgão, situação comprovada quando da realização da auditoria por meio de entrevista aos gestores. 2.5.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.5.3 - Causas da ocorrência do achado: Deficiências de controles 2.5.4 - Efeitos/Consequências do achado: Não otimização das ações de segurança da informação. (efeito potencial) 2.5.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VI Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3 Norma Técnica - NBR - ISO/IEC 27002, item 6.1.2 - Coordenação de segurança da informação 2.5.6 - Evidências:5 de 26 25/5/2011 13:11
  6. 6. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal - folha 24) Resposta ao item 8 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16) 2.5.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.5.8 - Conclusão da equipe: O DNOCS não constituiu formalmente Comitê Segurança da Informação e Comunicações, conforme evidências apresentadas. 2.5.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VI c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item 6.1.2 - Coordenação de segurança da informação. 2.6 - Inexistência de comitê de TI 2.6.1 - Situação encontrada: Conforme resposta à questão 1.1 do questionário PerfilGovTI 2010 (Anexo I, fl. 21), a Administração do DNOCS não constituiu um Comitê de TI para auxiliá-la nas decisões relativas à gestão e ao uso corporativos de TI 2.6.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.6.3 - Causas da ocorrência do achado: Deficiências de controles 2.6.4 - Efeitos/Consequências do achado: Sobreposição de ações de TI por parte das áreas de negócio que integrariam o comitê de TI. (efeito potencial) Priorização inadequada das ações de TI devido à ausência da participação das áreas de negócio da instituição. (efeito potencial) 2.6.5 - Critérios: Constituição Federal, art. 37, caput Instrução Normativa 4/2008, SLTI/MPOG, art. 4º, inciso IV Norma Técnica - ITGI - Cobit 4.1, PO4.3 - Comitê diretor de TI Norma Técnica - ITGI - Cobit 4.1, PO4.2 - Comitê estratégico de TI 2.6.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 1.1 (Anexo 1 - Principal - folha 21) Resposta ao item 3.2 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 13) 2.6.7 - Esclarecimentos dos responsáveis: O DNOCS informou que após a reunião realizada dia 10/08/2010, na qual foi confirmada à equipe de auditoria que não havia Comitê de TI no DNOCS, a Coordenação de Gestão Estratégica em conjunto com a Direção Geral e demais Diretorias elaborou a Portaria de criação do Comitê de Tecnologia da Informação, que foi assinada pelo Sr. Diretor Geral em 25 de Agosto de 2010 (Anexo I - Fls. 83/86). No momento, a Coordenação de Gestão Estratégica está aguardando a indicação dos membros para efetiva atuação do comitê. Dessa forma, entende-se que, apesar de formalmente constituído, não houve nenhuma reunião do Comitê, razão pela qual se mantêm o teor do achado. (Anexo 1 - Principal - folha 82) 2.6.8 - Conclusão da equipe: Diante do exposto, a equipe concluiu que a alta administração do DNOCS não constituiu plenamente um Comitê de TI na organização. 2.6.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em atenção ao disposto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4º, IV, implante Comitê de Tecnologia da Informação que envolva as diversas áreas do DNOCS, que se responsabilize por alinhar os investimentos de Tecnologia da Informação com os objetivos6 de 26 25/5/2011 13:11
  7. 7. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... institucionais e apoiar a priorização de projetos a serem implantados, considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor de TI. 2.7 - Inexistência de controles que promovam a regular gestão contratual 2.7.1 - Situação encontrada: O DNOCS, em resposta ao item 12 do OF nº 471/2010-01-Secex/Ce, informou apenas que não houve contratação de TI nos anos de 2009/2010 . Informou ainda, no item 7.11 do questionário Perfil GovTI 2010 que, na fase de gestão dos contratos de TI, as diretrizes legais são observadas, mas há grande variação nos procedimentos adotados. Dessa forma, constatou-se que inexiste um procedimento uniforme normatizado pela entidade, o que evidencia a ausência daqueles controles de gestão de contratos. 2.7.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.7.3 - Causas da ocorrência do achado: Deficiências de controles 2.7.4 - Efeitos/Consequências do achado: Risco de ineficiência no acompanhamento da execução contratual, podendo resultar na qualidade/prazo insatisfatórios de serviços e produtos entregues. (efeito potencial) 2.7.5 - Critérios: ACÓRDÃO 669/2008, item 9.4.15, Tribunal de Contas da União, Plenário Instrução Normativa 4/2008, SLTI/MPOG, art. 20 Norma Técnica - ITGI - Cobit 4.1, ME3.3 - Avaliar a conformidade com requisitos externos Norma Técnica - ITGI - Cobit 4.1, DS2.4 - Monitorar o desempenho do fornecedor Norma Técnica - ITGI - Cobit 4.1, AI5.2 - Gerir contratos com fornecedores 2.7.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.11 (Anexo 1 - Principal - folha 26) Resposta ao item 12 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 17) 2.7.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.7.8 - Conclusão da equipe: A equipe evidenciou o Dnocs não implementa controles que promovam a regular gestão do contrato. 2.7.9 - Proposta de encaminhamento: Recomendar ao DNOCS que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente controles que promovam a regular gestão contratual e que permitam identificar se todas as obrigações do contratado foram cumpridas antes do ateste do serviço. 2.8 - Inexistência de controles que promovam o cumprimento da IN4 2.8.1 - Situação encontrada: O DNOCS informou que, visto que não houve contratações na área de TI nos anos de 2009/2010, não foram implementados controles que promovessem o cumprimento da IN nº 4/2008 - SLTI. Atualmente, os controles resumem-se à análise jurídica das solicitações para publicação de editais. 2.8.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.8.3 - Causas da ocorrência do achado: Deficiências de controles 2.8.4 - Efeitos/Consequências do achado: Descumprimento do processo de planejamento previsto na IN4/2008 - SLTI/MPOG. (efeito potencial) 2.8.5 - Critérios: Constituição Federal, art. 37, caput 2.8.6 - Evidências:7 de 26 25/5/2011 13:11
  8. 8. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... Resposta ao questionário Perfil GovTI 2010 - Item 7.10 (Anexo 1 - Principal - folha 25) Resposta ao item 11 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 17) 2.8.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.8.8 - Conclusão da equipe: A equipe evidenciou o Dnocs não implementa controles que promovam o cumprimento da IN nº 4/2008 - SLTI. 2.8.9 - Proposta de encaminhamento: Recomendar ao DNOCS que, em atenção ao princípio constitucional da eficiência, implemente controles que promovam o cumprimento do processo de planejamento previsto na Instrução Normativa nº 4/2008 - SLTI/MPOG. 2.9 - Inexistência de equipe de tratamento e resposta a incidentes em redes computacionais (ETRI). 2.9.1 - Situação encontrada: Conforme resposta ao questionário Perfil GovTI 2010 (Anexo I, fl. 24), item 7.2, O DNOCS informou que a instituição não tem uma equipe específica de gestão de tratamento e resposta a incidentes em redes computacionais. 2.9.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.9.3 - Causas da ocorrência do achado: Deficiências de controles 2.9.4 - Efeitos/Consequências do achado: Falhas relativas às notificações e às atividades relacionadas a incidentes de segurança em redes de computadores. (efeito potencial) 2.9.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso V Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 05/IN01/DSIC/GSIPR 2.9.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal - folha 24) Resposta ao item 8 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16) 2.9.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.9.8 - Conclusão da equipe: A equipe evidenciou que o DNOCS não dispõe de equipe de tratamento e resposta a incidentes em redes computacionais. 2.9.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais, observando as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR. 2.10 - Inexistência de Gestor de Segurança da Informação e Comunicações. 2.10.1 - Situação encontrada: Conforme informado pelo DNOCS, em resposta ao OF 471/2010-01-Secex/Ce (Anexo I, fl. 16), Item 8, não há no órgão gestor de segurança da informação por falta de pessoal especializado. Conforme constatado, a atual equipe não dispõe de servidor com os conhecimentos necessários à atuação no papel de gestor de segurança da informação. 2.10.2 - Objetos nos quais o achado foi constatado: Arquivo eletrônico PEI.pdf Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce8 de 26 25/5/2011 13:11
  9. 9. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... 2.10.3 - Causas da ocorrência do achado: Deficiências de controles 2.10.4 - Efeitos/Consequências do achado: Não otimização das ações de segurança da informação. (efeito potencial) 2.10.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso IV; art. 7º Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2 Norma Técnica - NBR - ISO/IEC 27002, 6.1.3 - Atribuição de responsabilidade para segurança da informação. 2.10.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal - folha 24) Resposta ao item 8 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16) 2.10.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.10.8 - Conclusão da equipe: O DNOCS não tem designação formal de gestor de segurança da informação, situação que faz com que eventuais atividades de segurança da informação, quando feitas, não ocorrem de forma coordenada. 2.10.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, IV e art. 7º, c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie Gestor de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item 6.1.3 - Atribuição de responsabilidade para segurança da informação. 2.11 - Inexistência de inventário dos ativos de informação. 2.11.1 - Situação encontrada: Com relação ao inventário dos ativos de informação, o DNOCS informou, em resposta ao item 7.1 do questionário Perfil GovTI 2010 (Anexo I, fl. 24) que implementou formalmente o processo de inventariar todos os ativos de informação, aí incluindo dados, hardware, software e instalações. Todavia, apresentou como evidência um inventário dos bens patrimoniais da área de TI relativo apenas a equipamentos, evidenciado por meio do arquivo relação de ativos de TI (CD-ROM, Anexo I, fl. 19). O documento apresentado é um relatório extraído do Sistema de Controle Patrimonial do DNOCS que traz apenas informações referentes a equipamentos de TI do DNOCS, mas não se trata de um inventário de ativos de informação. Conforme dispõe a Norma Técnica NBR-ISSO/IEC 27002, no item 7.1.2, convém que todos os ativos sejam claramente identificados e um inventário de todos os ativos importantes seja estruturado e mantido. Segundo a norma 27002-2 (item 7.1), o inventário de ativos deve incluir todas as informações necessárias que permitam recuperar de um desastre, não se tratando apenas de bens constantes no patrimônio. Ainda segundo a referida norma, por Ativo entende-se qualquer componente (seja humano, tecnológico, software ou etc,) que sustenta um ou mais processos de negócio de uma unidade ou área de negócio. Dessa forma, os ativos englobam, além dos itens de hardware, os programas aplicativos, os sistemas operacionais, as instalações físicas e as pessoas, entre outros. São considerados elementos essenciais de inventário de ativos: a) lista de ativos; b) tipo do ativo: c) formato; d) localização; e) informações sobre cópia de segurança; f) importância do ativo para o negócio; g) proprietário do ativo. Dessa forma, verifica-se que o DNOCS, ao contrário do apresentado, não dispõe de um inventário de ativos de informação, conforme prevê a norma.9 de 26 25/5/2011 13:11
  10. 10. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... 2.11.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce Arquivo eletrônico "relação de ativos de TI" 2.11.3 - Causas da ocorrência do achado: Deficiências de controles 2.11.4 - Efeitos/Consequências do achado: Dificuldade de recuperação de ativo de informação. (efeito potencial) 2.11.5 - Critérios: Norma Técnica - NBR - ISO/IEC 27002, item 7.1.1 - inventário de ativos. Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1. 2.11.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal - folha 24) Resposta ao item 8 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16) Arquivo eletrônico "relação de ativos de informação.pdf" (Anexo 1 - Principal - folha 19) 2.11.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.11.8 - Conclusão da equipe: A equipe evidenciou que o DNOCS não implementou formalmente processo corporativo de inventário de ativos de informação. 2.11.9 - Proposta de encaminhamento: Determinar ao DNOCS que, em atenção ao disposto na Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando as práticas contidas no item 7.1 da NBR ISO/IEC 27002. 2.12 - Inexistência de plano anual de capacitação. 2.12.1 - Situação encontrada: O DNOCS informou, por meio de resposta ao item 9 do OF 471/2010-01-Secex/Ce (Anexo I, fl. 17) que está elaborando um plano para capacitação em governança de TI. Todavia, não apresentou evidências deste processo de elaboração. Esclarece-se que o Plano de capacitação é documento oficial que deve ser publicado até 31/12 do ano anterior (Portaria 208/2006, Ministério do Planejamento, art. 4º), contendo todas as capacitações previstas para a entidade. A equipe constatou durante os trabalhos de execução de auditoria que existe efetivamente uma servidora do quadro efetivo do órgão que está sendo treinada em governança de TI. O DNOCS informou também que apesar de haver no órgão uma comissão de capacitação, esta não cuida das questões de TI nas devidas especificidades. 2.12.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.12.3 - Causas da ocorrência do achado: Deficiências de controles 2.12.4 - Efeitos/Consequências do achado: Não otimização do potencial dos recursos humanos. (efeito potencial) Desatualização do quadro de pessoal em termos de conhecimento/capacitação. (efeito potencial) 2.12.5 - Critérios: Decreto 5707/2006, art. 5º, § 2º Norma Técnica - ITGI - Cobit 4.1, PO7.2-Competências Pessoais Norma Técnica - ITGI - Cobit 4.1, PO7.4 - Treinamento do Pessoal Portaria 208/2006, Ministério do Planejamento, art. 2º, inciso I; art. 4º 2.12.6 - Evidências: Resposta ao item 9 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16)10 de 26 25/5/2011 13:11
  11. 11. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... 2.12.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.12.8 - Conclusão da equipe: A equipe evidenciou que o DNOCS não implementou formalmente processo para elaboração e acompanhamento de plano anual de capacitação. 2.12.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em atenção às disposições contidas no Decreto nº 5.707/2006, art. 5º, 2º, c/c Portaria MP nº 208/2006, art. 2º, I e art. 4º, elabore Plano Anual de Capacitação, o qual compreenderá as definições dos temas, as metodologias de capacitação a serem implementadas, bem como as ações de capacitação voltadas à habilitação de seus servidores. 2.13 - Inexistência de Política de Segurança da Informação e Comunicações (POSIC). 2.13.1 - Situação encontrada: Conforme resposta ao questionário Perfil GovTI 2010 (Anexo I, fl. 24), item 7.2, o DNOCS informou que a instituição não formalizou uma POSIC. Já na resposta ao OF 471/2010-01-Secex/Ce (Anexo I, fl. 16), o órgão informou que está aguardando a recomposição do quadro de pessoal para implementar todas essas políticas. Durante a execução da auditoria, a equipe constatou que não há nenhuma atividade em andamento para elaboração de uma POSIC no DNOCS. 2.13.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.13.3 - Causas da ocorrência do achado: Deficiências de controles 2.13.4 - Efeitos/Consequências do achado: Falhas nos procedimentos de segurança. (efeito potencial) 2.13.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VII Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR Norma Técnica - NBR - ISO/IEC 27002, item 5.1 - Política de segurança da informação 2.13.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal - folha 24) Resposta ao item 8 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16) 2.13.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.13.8 - Conclusão da equipe: A equipe evidenciou que o DNOCS não dispõe de uma Política de Segurança da Informação e Comunicações formalizada. 2.13.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII, implante Política de Segurança da Informação e Comunicações, observando as práticas contidas na Norma Complementar 03/IN01/DSIC/GSIPR. 2.14 - Inexistência de processo de gerenciamento de projetos. 2.14.1 - Situação encontrada: Conforme resposta ao questionário Perfil GovTI 2010 (Anexo I, fl. 24), item 7.4, o DNOCS informou que a instituição não pratica o gerenciamento de projetos. Acrescenta ainda que formalmente a instituição ainda não elaborou, por falta de pessoal, um estudo para que fosse avaliado qual processo seria o mais adequado à realidade do órgão. De fato, verificou-se em reunião junto à área de TI da instituição que o atual11 de 26 25/5/2011 13:11
  12. 12. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... quadro de pessoal, além de insuficiente, não tem nenhum profissional com conhecimentos necessários em gestão 2.14.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.14.3 - Causas da ocorrência do achado: Deficiências de controles 2.14.4 - Efeitos/Consequências do achado: Risco de insucesso de projetos relevantes, pela falta de estrutura de gestão de projetos. (efeito potencial) 2.14.5 - Critérios: Norma Técnica - ITGI - Cobit 4.1, PO10.2 - Estrutura de gerência de projetos 2.14.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.4 (Anexo 1 - Principal - folha 24) Resposta ao item 6 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 15) 2.14.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.14.8 - Conclusão da equipe: Conforme evidenciado, constatou-se que o DNOCS não dispõe de processo para gerenciamento de projetos de TI. 2.14.9 - Proposta de encaminhamento: Recomendar ao DNOCS que implante uma estrutura formal de gerência de projetos, observando as orientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos e do PmBok, dentre outras boas práticas de mercado. 2.15 - Inexistência de processo de gestão de riscos de segurança da informação (GRSIC). 2.15.1 - Situação encontrada: O DNOCS informou, por meio de resposta ao questionário Perfil GovTI 2010, item 7, que não implementou processo para análise dos riscos aos quais a informação crítica para o negócio está submetida. Complementou ainda que aguarda recomposição do quadro de pessoal para implementar todas este e outros processos de segurança da informação. 2.15.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.15.3 - Causas da ocorrência do achado: Deficiências de controles 2.15.4 - Efeitos/Consequências do achado: Desconhecimento das ameaças e respectivos impactos relacionados à segurança da informação. (efeito potencial) 2.15.5 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VII Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 04/IN01/DSIC/GSIPR Norma Técnica - ITGI - Cobit 4.1, PO9.4 - Avaliação de riscos. Norma Técnica - NBR - 27005 - Gestão de riscos de segurança da informação 2.15.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal - folha 24) Resposta ao item 8 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16) 2.15.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.15.8 - Conclusão da equipe: A equipe evidenciou que o DNOCS não implementou formalmente processo12 de 26 25/5/2011 13:11
  13. 13. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... corporativo de gestão de riscos de segurança da informação e comunicações. 2.15.9 - Proposta de encaminhamento: Determinar ao DNOCS que, em atenção ao disposto na Norma Complementar 04/IN01/DSIC/GSIPR, implemente processo de gestão de riscos de segurança da informação a fim de, entre outros objetivos, avaliar regularmente a probabilidade e o impacto dos riscos identificados, utilizando métodos qualitativos e quantitativos, observando as práticas contidas no Cobit 4.1, processo PO9 - Avaliar e gerenciar riscos de TI e na NBR 27005 - Gestão de Riscos de Segurança da Informação. 2.16 - Inexistência de processo de software. 2.16.1 - Situação encontrada: O DNOCS informou que não há na instituição um processo formal de desenvolvimento e de garantia de qualidade do software, conforme resposta ao item 7.3 do questionário Perfil GovTI 2010 (Anexo I, fl. 24). Além disso, em complemento à resposta do questionário, informou no item 5 do OF 471/2010-01-Secex/Ce (Anexo I, fl. 14) que "a metodologia de desenvolvimento necessita ser mais bem definida. Hoje não é utilizado nenhum processo de qualidade de software. A área de desenvolvimento de sistemas está resumida hoje a uma única pessoa" O DNOCS dispõe de uma solução de sistema de informação denominada SISTEMA APOENA, o qual é composto por vários módulos e subsistemas que deveriam atender todas as áreas de negócio da organização. Conforme documentação apresentada referente a julho de 2010 (Fls. 27/36), o Apoena é composto de 34 módulos que abrangem tanto áreas fins do órgão, como gestão de obras e de recursos hídricos, quanto áreas meio como folha de pagamento e contabilidade. Segundo informou o Coordenador de Gestão Estratégica, os módulos do sistema Apoena estão em diferentes estágios de desenvolvimento, sendo que alguns estão finalizados mas não são utilizados pelos respectivos gestores, outros ainda em fase inicial de desenvolvimento e os demais já têm desenvolvimento avançado. O Coordenador de Gestão Estratégica afirmou ainda em reunião realizada em 10/08/2010, da qual também participou a Diretoria do DNOCS, de que nenhum dos módulos do Apoena estava efetivamente sendo utilizado pelas áreas de negócio da instituição. Todavia, em reuniões posteriores com as áreas de negócio do DNOCS, evidenciou-se que alguns dos módulos do Apoena são efetivamente utilizados pelos gestores, até sem o conhecimento da Coordenação de Gestão Estratégica. Observou-se ainda que existe no DNOCS solução de TI, no caso o Sistema de Monitoramento Eletrônico de Reservatórios, no qual a solução foi implementada pela área fim, sem participação da Coordenação de Gestão Estratégica, unidade esta que, de acordo com o Regimento Interno do órgão, deveria ser responsável pela mesma. Apenas após a implementação a área de TI do DNOCS passou a participar do projeto. Um dos argumentos apresentados pela Coordenação de Gestão Estratégica para a ausência de um processo de software foi a existência de apenas um servidor do DNOCS na equipe destinado, entre outras funções, ao desenvolvimento de software. Conforme observação direta realizada, a equipe constatou a situação de extrema gravidade em que se encontra a área de desenvolvimento de sistemas, entendendo ser urgente para o órgão a estruturação de uma equipe de TI com as competências necessárias para a implementação de um processo de software que atenda à instituição. Acrescenta-se ainda que a definição e implementação de um processo de software, com a previsão dos artefatos a serem produzidos neste processo, é indispensável para que se possa realizar uma contratação de empresa prestadora de serviços de desenvolvimento de software (Lei 8.666/93, art, 6º, inciso IX). 2.16.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce Sistema Apoena - Relação de Módulos e Subsistemas 2.16.3 - Causas da ocorrência do achado: Deficiências de controles 2.16.4 - Efeitos/Consequências do achado: Deficiência no processo de contratação, decorrente da inexistência de metodologia que assegure boa contratação de desenvolvimento de sistemas. (efeito potencial)13 de 26 25/5/2011 13:11
  14. 14. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... Inexistência de parâmetros de aferição de qualidade para contratação de desenvolvimento de sistemas. (efeito potencial) 2.16.5 - Critérios: Instrução Normativa 4/2008, SLTI/MPOG, art. 12, inciso II Lei 8666/1993, art. 6º, inciso IX Norma Técnica - ITGI - Cobit 4.1, PO8.3 - Padrões de desenvolvimento e de aquisições. 2.16.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.3 (Anexo 1 - Principal - folha 24) Resposta ao item 5 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 14) 2.16.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado, contudo esclareceu que o que havia informado inicialmente à equipe de auditoria era que alguns módulos do alguns módulos do APOENA foram desenvolvidos, mas estão sendo utilizados apenas na Administração Central, como por exemplo, o Sistema de Controle Patrimonial, outros foram desenvolvidos, mas nunca foram utilizados como o Sistema de Veículos e alguns foram desenvolvidos parcialmente como o Sistema de Acompanhamento de Obras, Sistema de Acompanhamento de Produção dos Perímetros Irrigados, dentre outros, que foram interrompidos após o término do contrato de serviços executivos para a área de TI. Não procede assim a informação apresentada pela equipe de que a área de TI havia informado que não havia nenhum sistema em produção. (Anexo 1 - Principal - folha 82) 2.16.8 - Conclusão da equipe: Diante do exposto, concluiu-se da inexistência de qualquer processo formal para o processo de produção de software, evidenciando a irregularidade apontada. 2.16.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em atenção ao disposto na Lei nº 8.666/1993, art. 6º, inc. IX, e às disposições contidas na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 12, II, defina um processo de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de software, vinculando o contrato com o processo de software, sem o qual o objeto não estará precisamente definido. Recomendar ao DNOCS que, quando do estabelecimento de seu processo de software, considere as Normas NBR ISO/IEC 12207 e 15504. 2.17 - Inexistência do PDTI 2.17.1 - Situação encontrada: Na resposta no item 2.2 do questionário Perfil GovTI 2010 (Anexo I - Fl. 22), o DNOCS informou que a instituição desenvolve alguns planos estratégicos de TI, mas não de maneira periódica. Como evidência, o DNOCS respondeu no item 2.1 da resposta ao OF 471/2010-01-Secex/CE (Anexo I, Fl. 12) que "dentro do PEI existe o planejamento da Coordenação de Gestão Estratégica que contempla os Serviços de Informática". O referido PEI (Arquivo PEI.pdf), tratado no item 2.1, é na verdade uma Proposta de Plano de Ação para o biênio 2009/2010, elaborada pela administração do DNOCS, que todavia não foi aprovada formalmente. Na referida Proposta, a Coordenação de Gestão Estratégica incluiu as seguintes ações referentes à área de TI: 1.1 Plano Diretor de Tecnologia da Informação; 1.2 - Contratação de empresa para a área de informática; 1.3 - Aquisição de equipamentos de informática e 1.4 - Novo acesso a internet (tecnologia MPLS). Não há no documento referências do alinhamento dessas ações de TI com as diretrizes traçadas pelas demais diretorias do DNOCS. Além do disposto do arquivo PEI.pdf, o DNOCS apresentou como evidência da realização de Planejamento de TI pelo DNOCS o documento Plano Diretor de Tecnologia da Informação (Arquivo PDTI.pdf), elaborado para o exercício de 2009 e aprovado pela direção do DNOCS por meio da Portaria nº 330 DG/CRH de 16 de julho de 2009, e publicado no Boletim Administrativo edição extra de 16 de julho de 2009. Todavia a análise do Plano Diretor de Tecnologia apresentado evidenciou que o mesmo carece de itens essenciais para que possa ser considerado um plano propriamente dito (IN 2/2008-art. 4º, III), entre os quais se destacam:14 de 26 25/5/2011 13:11
  15. 15. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... - alinhamento das ações propostas à estratégia do órgão; - estabelecimento de indicadores de desempenho, de acordo com os objetivos estratégicos, com vistas a avaliar a atuação da área de TI; - plano de investimentos, com o detalhamento financeiro das ações; - necessidade de contratação de serviços, uma vez que o plano apresentado apresenta a demanda de pessoal técnico, e não de serviços necessários, em desconformidade com o disposto na IN 2/2008-art. 4º Finalmente, vale ressaltar que o plano apresentado refere-se ao exercício de 2009, e, conforme as respostas do DNOCS ao OF 471/2010-Secex/Ce, itens 2.2.3, 2.2.4 e 2.2.5, o plano proposto para 2009 não foi executado em virtude de: "À época da elaboração do Plano estratégico de TI e do Plano Diretor de Tecnologia da Informação - PDTI existia um contrato com uma empresa de terceirização de mão de obra que supria parcialmente as necessidades da Instituição na área de TI (vide PDTI, págs. 19 a 22). Em Abril de 2009 foi formalizado o documento em anexo (Mem. 12/CGPE/CGE) com a avaliação de riscos em TI por insuficiência de recursos humanos na área. Em julho de 2009 o contrato com a empresa citada foi encerrado por decisão judicial. Desde então a área de TI passou a contar apenas com o quadro de pessoal permanente existente (vide item 3.4 deste questionário). Na tentativa de dar continuidade ao Plano, e suprir minimamente as necessidades da área, foi solicitada a contratação de uma nova empresa para prestação de serviços seguindo as orientações da IN04/2008-SLTI através de processo licitatório (processo 59400.5705/2009-08). Com a anulação do referido procedimento, nova solicitação foi realizada através do processo 59400.545/2010-36 iniciado em 26/01/2010. Enquanto o processo citado tramitava, foram pesquisados alguns registros de preços no sentido de resolver de maneira emergencial as carências registradas. Dessa forma foram solicitadas adesões a atas de registro de preços processo 59400.2524/2010-55, nenhuma das solicitações aqui referenciadas foi concretizadas até esta data." (Anexo I, Fl. 12). 2.17.2 - Objetos nos quais o achado foi constatado: Arquivo eletrônico PEI.pdf Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce Plano Diretor de Tecnologia da Informação 2.17.3 - Causas da ocorrência do achado: Deficiências de controles 2.17.4 - Efeitos/Consequências do achado: Ações de TI não alinhadas ao negócio. (efeito potencial) 2.17.5 - Critérios: Constituição Federal, art. 37, caput Decreto Lei 200/1967, art. 6º, inciso I; art. 7º Instrução Normativa 4/2008, SLTI/MPOG, art. 2º, inciso X; art. 3º; art. 4º, inciso III Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI 2.17.6 - Evidências: Arquivo PDTI.PDF no CD (Anexo 1 - Principal - folha 19) Resposta ao item 2 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 12) 2.17.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.17.8 - Conclusão da equipe: Apesar de ter apresentado um documento intitulado Plano Diretor de Tecnologia da Informação para o exercício de 2009, tal documento carece de elementos básicos para que o mesmo possa ser considerado efetivamente um PDTI, além de não haver versão do documento válida para o exercício de 2010. Ressalta-se aqui que este achado relaciona-se diretamente ao achado "Inexistência do Plano Estratégico Institucional". 2.17.9 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em atenção ao princípio constitucional da eficiência e às disposições contidas no Decreto-Lei nº 200/67, art. 6º, inciso I, e na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 3º, implante,15 de 26 25/5/2011 13:11
  16. 16. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... na área de tecnologia da informação do DNOCS, um processo de planejamento de Planejamento Estratégico de TI que organize as estratégias, as ações, os prazos, os recursos financeiros, humanos e materiais, tendo como produto a elaboração e aprovação de um Plano Diretor de Tecnologia da Informação - PDTI, observando as diretrizes constantes na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4, III, e as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI. 2.18 - Inexistência do Plano Estratégico Institucional 2.18.1 - Situação encontrada: Em resposta ao OF nº 471/2010-01-Secex/Ce (Anexo I, fls. 01/08), o DNOCS encaminhou o arquivo eletrônico "PEI.PDF" - CD Anexo I, Fl. 19, afirmando que o mesmo tratava-se do Plano Estratégico Institucional (PEI) daquela autarquia. Conforme consta na resposta ao item 1.2.1 do OF nº 471/2010-01-Secex/Ce, o DNOCS assim declarou: "Existe um plano estratégico institucional (PEI), o qual foi dado conhecimento à Diretoria Colegiada, não tendo sido entretanto objeto de nenhum ato de formalização. O PEI se constitui em um instrumento de trabalho para o encaminhamento das diversas demandas da Instituição junto ao Ministério da Integração Nacional e outros parceiros." Todavia, a equipe de auditoria verificou que o referido documento eletrônico, que tem, na folha 01 o título "DNOCS - PROPOSTA DE PLANO DE AÇÃO 2009/2010" não se tratava de um PEI, visto que não apresenta itens essenciais como: definição de negócio, missão e visão; declaração e objetivos e as iniciativas estratégicas do ente e estabelecimento de indicadores de desempenho, de acordo com os objetivos estratégicos (Norma Técnica - MPOG - Gespública - Instrumento para Avaliação da Gestão Pública - Ciclo 2010 - critério de avaliação 2). Além do exposto, com relação ao envolvimento das áreas de negócio no planejamento estratégico institucional, o DNOCS informou em resposta ao item 1.2.2 do OF nº 471/2010-01-Secex/Ce que "Foi solicitado a cada Diretoria que elaborasse o seu planejamento institucional. Posteriormente o mesmo foi consolidado em um único documento e encaminhado à Diretoria Colegiada.". A avaliação do documento apresentado evidencia que houve a elaboração de propostas de cada uma das três Diretorias do DNOCS, contudo não há indícios de que houve interação entre essas áreas organizacionais na elaboração da Proposta. Cada Diretoria elaborou, individualmente, sua proposta as quais foram consolidadas num único documento. Com relação à divulgação do alegado Plano Estratégico Institucional, o DNOCS informou que "A divulgação ocorreu de maneira informal tendo sido dado conhecimento aos servidores do conteúdo do mesmo por meio das diversas Diretorias.", porém não apresentou nenhuma evidência da forma informal como se deu a divulgação. 2.18.2 - Objetos nos quais o achado foi constatado: Arquivo eletrônico PEI.pdf Questionário: Perfil GovTI 2010 2.18.3 - Causas da ocorrência do achado: Deficiências de controles 2.18.4 - Efeitos/Consequências do achado: Ausência de referencial para verificar o alinhamento estratégico das ações da área de TI com o negócio da instituição. (efeito real) Risco de a instituição não conseguir atuar de forma eficiente no atingimento dos seus objetivos finalísticos. (efeito potencial) 2.18.5 - Critérios: Constituição Federal, art. 37, caput Decreto Lei 200/1967, art. 6º, inciso I; art. 7º Norma Técnica - MPOG - Gespública - Instrumento para Avaliação da Gestão Pública - Ciclo 2010 - critério de avaliação 2 2.18.6 - Evidências: Arquivo eletrônico - DNOCS - PROPOSTA DE PLANO DE AÇÃO 2009/2010 - Resposta ao item 1.2.1 do OF nº 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 19) 2.18.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82)16 de 26 25/5/2011 13:11
  17. 17. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... 2.18.8 - Conclusão da equipe: Embora o DNOCS afirme que existe um plano estratégico institucional (PEI), o qual foi dado conhecimento à Diretoria Colegiada, não tendo sido entretanto objeto de nenhum ato de formalização, a evidência apresentada é um plano de ação que não contempla nenhum dos elementos essenciais previstos no Gespública. Além disso, o DNOCS não apresentou evidências de que existe um processo formal de planejamento estratégico implementado na instituição. Frente ao exposto, a equipe de auditoria concluiu que o DNOCS não executa um processo de planejamento estratégico institucional. 2.18.9 - Proposta de encaminhamento: Recomendar ao Dnocs que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência) e no Decreto Lei nº 200/1967, art. 6º, inciso I, e art. 7º, elabore um Plano Estratégico Institucional, considerando o previsto no critério de avaliação nº 2 do Gespública. 2.19 - Inexistência do processo de gestão de configuração 2.19.1 - Situação encontrada: O DNOCS não realiza atividades relativas ao processo de gestão de configuração, conforme demonstrado na resposta ao item 7.6 do questionário Perfil GovTI 2010 (anexo I, fl. 25). 2.19.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.19.3 - Causas da ocorrência do achado: Deficiências de controles 2.19.4 - Efeitos/Consequências do achado: Desatualização ou deficiência da configuração de TI. (efeito potencial) 2.19.5 - Critérios: Constituição Federal, art. 37, caput Norma Técnica - ITGI - Cobit 4.1, DS9 - Gerenciar Configurações. 2.19.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.6 (Anexo 1 - Principal - folha 25) Resposta ao item 7 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 15) 2.19.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.19.8 - Conclusão da equipe: A equipe evidenciou que o DNOCS não implementa processo de Gestão de Configuração. 2.19.9 - Proposta de encaminhamento: Recomendar ao DNOCS que, em atenção ao princípio constitucional da eficiência, implemente processo de gestão de configuração de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração. 2.20 - Inexistência do processo de gestão de incidentes. 2.20.1 - Situação encontrada: O DNOCS não realiza atividades relativas ao processo de gestão de incidentes conforme demonstrado na resposta ao item 7.6 do questionário PerfilGovTI 2010 (Anexo I, fl. 25). Conforme já abordado anteriormente,a atual equipe de TI é composta de três servidores, dos quais dois ocupam cargo gerencial. Dessa forma, há uma carência de recursos humanos, efetivos ou terceirizados, em número e em especialização. A situação atual do órgão faz com que a maioria dos incidentes seja tratados à medida que ocorrem, não havendo um processo preventivo de atuação. Como exemplo das dificuldades encontradas pela atual equipe de TI, cita-se o fato de indisponibilidade total da rede do DNOCS por três dias, de 24 a 28 de setembro, devido a problemas de refrigeração na sala onde estão localizados os diversos equipamentos servidores da instituição, o que só não comprometeu mais as atividades da organização em virtude do baixo uso de sistemas de informação corporativos que hoje se faz no DNOCS.17 de 26 25/5/2011 13:11
  18. 18. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&... 2.20.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.20.3 - Causas da ocorrência do achado: Deficiências de controles 2.20.4 - Efeitos/Consequências do achado: Ocorrência de incidentes sem o devido gerenciamento. (efeito potencial) Paralisação dos serviços de TI. (efeito potencial) Paralisação das atividades da organização. (efeito potencial) 2.20.5 - Critérios: Constituição Federal, art. 37, caput Norma Técnica - NBR - ISO/IEC 27002, item 10.1.2 - Gestão de mudanças. Norma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar a central de serviços e incidentes. 2.20.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.6 (Anexo 1 - Principal - folha 25) Resposta ao item 7 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 15) 2.20.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.20.8 - Conclusão da equipe: A equipe evidenciou que o DNOCS não implementa processo de gestão de incidentes. 2.20.9 - Proposta de encaminhamento: Recomendar ao DNOCS que, em atenção ao princípio constitucional da eficiência, implemente processo de gestão de incidentes de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a central de serviços e incidentes e de outras boas práticas de mercado (como a NBR 26.000 e a NBR 27.002). 2.21 - Inexistência do processo de gestão de mudanças. 2.21.1 - Situação encontrada: O DNOCS não realiza atividades relativas ao processo de gestão de mudanças, conforme demonstrado na resposta ao item 7.6 do questionário Perfil GovTI 2010. 2.21.2 - Objetos nos quais o achado foi constatado: Questionário: Perfil GovTI 2010 Resposta ao OF nº 471/2010-01-Secex/Ce 2.21.3 - Causas da ocorrência do achado: Deficiências de controles 2.21.4 - Efeitos/Consequências do achado: Não avaliação do impacto de eventuais mudanças. (efeito potencial) Solicitações de mudanças não controladas. (efeito potencial) 2.21.5 - Critérios: Constituição Federal, art. 37, caput Norma Técnica - ITGI - Cobit 4.1, AI6 - Gerenciar mudanças. Norma Técnica - NBR - ISO/IEC 27002, 12.5.1 - Procedimentos para controle de mudanças 2.21.6 - Evidências: Resposta ao questionário Perfil GovTI 2010 - Item 7.6 (Anexo 1 - Principal - folha 25) Resposta ao item 7 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 15) 2.21.7 - Esclarecimentos dos responsáveis: O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor deste achado. (Anexo 1 - Principal - folha 82) 2.21.8 - Conclusão da equipe: A equipe de auditoria evidenciou que o DNOVS não implementa processo de gestão de mudanças.18 de 26 25/5/2011 13:11

×