TCU - Portal de Pesquisa Textual                                          http://contas.tcu.gov.br/portaltextual/MostraDoc...
TCU - Portal de Pesquisa Textual                                         http://contas.tcu.gov.br/portaltextual/MostraDocu...
TCU - Portal de Pesquisa Textual                                       http://contas.tcu.gov.br/portaltextual/MostraDocume...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
TCU - Portal de Pesquisa Textual                                          http://contas.tcu.gov.br/portaltextual/MostraDoc...
TCU - Portal de Pesquisa Textual                                       http://contas.tcu.gov.br/portaltextual/MostraDocume...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
TCU - Portal de Pesquisa Textual                                    http://contas.tcu.gov.br/portaltextual/MostraDocumento...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
TCU - Portal de Pesquisa Textual                                          http://contas.tcu.gov.br/portaltextual/MostraDoc...
Acórdão tcu 758 2011 - mre - avaliação de controles de ti
Acórdão tcu 758 2011 - mre - avaliação de controles de ti
Acórdão tcu 758 2011 - mre - avaliação de controles de ti
Acórdão tcu 758 2011 - mre - avaliação de controles de ti
Acórdão tcu 758 2011 - mre - avaliação de controles de ti
Acórdão tcu 758 2011 - mre - avaliação de controles de ti
Acórdão tcu 758 2011 - mre - avaliação de controles de ti
Acórdão tcu 758 2011 - mre - avaliação de controles de ti
Acórdão tcu 758 2011 - mre - avaliação de controles de ti
Acórdão tcu 758 2011 - mre - avaliação de controles de ti
Acórdão tcu 758 2011 - mre - avaliação de controles de ti
Acórdão tcu 758 2011 - mre - avaliação de controles de ti
Acórdão tcu 758 2011 - mre - avaliação de controles de ti
Acórdão tcu 758 2011 - mre - avaliação de controles de ti
Acórdão tcu 758 2011 - mre - avaliação de controles de ti
Próximos SlideShares
Carregando em…5
×

Acórdão tcu 758 2011 - mre - avaliação de controles de ti

1.342 visualizações

Publicada em

Entidade: Ministério das Relações Exteriores - MRE
RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA
DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES
DE MELHORIA. DETERMINAÇÕES, RECOMENDAÇÕES E ALERTAS

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
1.342
No SlideShare
0
A partir de incorporações
0
Número de incorporações
28
Ações
Compartilhamentos
0
Downloads
8
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Acórdão tcu 758 2011 - mre - avaliação de controles de ti

  1. 1. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=9&... Pesquisa: Livre Em Formulário Quarta-feira, 25 de Maio de 2011. Pesquisa número: 3 Expressão de Pesquisa: "AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO" Bases pesquisadas: Acórdãos; Decisões; Relações; Atas Documento da base: Acórdão Documentos recuperados: 11 Documento mostrado: 9 Status na Coletânea: Não Selecionado Visualizar este documento no formato: Formato Padrão para Acórdãos Coletânea Status do Documento na Coletânea: [Não Selecionado] Voltar à lista de documentos Anterior | Próximo Identificação Acórdão 758/2011 - Plenário Número Interno do Documento AC-0758-10/11-P Grupo/Classe/Colegiado GRUPO I / CLASSE V / Plenário Processo 018.911/2010-2 Natureza Relatório de Auditoria Entidade Entidade: Ministério das Relações Exteriores - MRE Interessados Responsável: Hélio Vitor Ramos Filho (CPF 512.168.097-04) Sumário RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES DE MELHORIA. DETERMINAÇÕES, RECOMENDAÇÕES E ALERTAS Assunto Relatório de Auditoria Ministro Relator AROLDO CEDRAZ Representante do Ministério Público não atuou Unidade Técnica 5ª Secretaria de Controle Externo - Secex/5 Advogado Constituído nos Autos1 de 32 25/5/2011 13:12
  2. 2. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=9&... não há Relatório do Ministro Relator A 5ª Secretaria de Controle Externo - Secex/5 realizou auditoria no Ministério das Relações Exteriores - MRE no período de 28/7 a 10/9/2010, com o objetivo de avaliar controles gerais de tecnologia da informação - TI e verificar se estão de acordo com a legislação pertinente e com as boas práticas de governança de TI. 2. As ocorrências detectadas foram apresentadas pela equipe de auditoria nos seguintes termos (fls. 7/32): "3 - ACHADOS DE AUDITORIA 3.1 - Falhas no orçamento de TI constante da LOA - Lei Orçamentária Anual. 3.1.1 - Situação encontrada: Por meio do item 4.2 do Ofício1421/2010-5ª Secex, foram solicitados o plano de gastos de TI para 2010 e a vinculação entre os gastos e as ações previstas (fls. 382/386 do vol. 1 do Anexo 1). Em atendimento, a Divisão de Informática do MRE (DINFOR) apresentou o plano de metas para 2010, onde constam as metas, as ações, os responsáveis e os prazos de execução. O PDTI contém o plano de investimento, que traz a previsão de gastos para cada ação (fl. 204 do Anexo 1). Contudo, o orçamento de TI está detalhado em apenas dois elementos de despesa: Locação de Software e Equipamentos de Processamento de Dados. O primeiro elemento registra o total de R$ 20.000.000,00, quase 90% do orçamento de TI, o que dificulta o controle e a transparência dos investimentos. Outra informação que merece destaque é a existência de mais de uma unidade gestora que executa os investimentos de TI, ou seja, não há centralização dos gastos referentes à TI do órgão. Cita-se, por exemplo, o projeto BrazilTradeNet, que está sob os cuidados de outro departamento. 3.1.2 - Efeitos/Consequências do achado: Risco de inexecução de serviços por falta de previsão orçamentária. (efeito potencial). Falta de transparência no orçamento de Tecnologia da Informação 3.1.3 - Critérios: Lei 12017/2009, art. 9º, inciso II. Norma Técnica - ITGI - Cobit 4.1, PO5.3 - Orçamentação de TI. Norma Técnica - MPOG - Gespública - Instrumento para Avaliação da Gestão Pública - Ciclo 2010 - critério de avaliação 7.3. 3.1.4 - Evidências: Planilha T4_previsão_orçamento_de_ti.xls (Anexo 1 - Volume 5 - folhas 2238/2241). Extrato do Volume 4 da Lei 12.214, de 26/1/2010 (LOA/2010) (Anexo 1 - Volume 3 - folha 717). 3.1.5 - Conclusão da equipe: O MRE apresentou falha em sua orçamentação de TI, que deve ser mais bem detalhada, considerando todos os elementos possíveis de classificação. Pode-se citar a existência de outros subelementos de despesa possíveis de serem utilizados, tais como: Suporte de Infraestrutura, Suporte a Usuários de Tecnologia da Informação, Hospedagem de Sistemas, Locação de Equipamentos de Processamento de Dados, Manutenção de Conservação de Equipamentos de Processamento de Dados, Comunicação de Dados e Desenvolvimento de Software. Ainda quanto ao orçamento de TI, a existência de outras unidades gestoras que executam o orçamento demonstra que não há centralização e consolidação dos gastos referentes à TI do órgão, o que pode resultar em falhas no planejamento, gastos em duplicidade, entre outros. Para exemplificar, cita-se o projeto BrazilTradeNet do Departamento de Promoção. Tal projeto consta na LOA/2010 (Lei 12.214, de 26/1/2010) com a previsão de R$ 18 milhões (fl. 717 do vol. 3 do Anexo 1), porém não está inserido no orçamento de TI do órgão. Vale mencionar que o PDTI prevê a reunião dessas UG, a fim de aprimorar o processo de orçamentação. Por fim, destaca-se que a descentralização da execução das atividades relacionadas à tecnologia da informação dentro de um órgão, por si só, não representa impropriedade, mas uma faculdade do administrador. Entretanto, as falhas na governança e a2 de 32 25/5/2011 13:12
  3. 3. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=9&... ausência de supervisão e coordenação destas atividades executadas de forma descentralizada podem gerar problemas na alocação de recursos (humanos, financeiros e outros) e problemas nos controles relativos à segurança da informação, além de disputas internas. 3.1.6 - Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Ministério das Relações Exteriores que aperfeiçoe o processo de elaboração do orçamento de TI, necessário ao cumprimento das disposições contidas Lei 12.017/2009 (LDO 2009/2010), art. 9º, II c/c Anexo II, XVIII, ou das que vierem a lhe suceder, de maneira que as solicitações de orçamento das despesas de TI estejam baseadas nas ações que se pretende executar, observando as práticas contidas no Cobit 4.1, processo PO5.3 - Orçamentação de TI e na Gespública, critério de avaliação 7.3. 3.2 - Falhas no processo de software. 3.2.1 - Situação encontrada: Por intermédio do item 5 do Ofício 1421/2010-5ª Secex, solicitaram-se informações sobre o processo de desenvolvimento de software. Em atendimento, o MRE apresentou um manual, denominado de "Metodologia de Desenvolvimento e Manutenção de Sistemas - MDMS" (fls. 387/427 do vol. 2 do Anexo 1) com vistas a fornecer informações sobre o processo de desenvolvimento de software. O manual encontra-se na sua versão 1.0, datado de 2008, e contém a descrição dos papéis dos profissionais envolvidos, tais como: cliente, usuário, líder de projetos, líder de implementação, líder de banco de dados, entre outros. Além disso, o documento descreve as fases do projeto e da manutenção dos sistemas. Não obstante a apresentação do manual, não foram apresentados os artefatos que comprovam a aplicação do processo em questão. A equipe então reiterou o pedido de tais artefatos. Em resposta, a DINFOR apresentou o modelo de Termo de Validação e Aceite (TVA), bem como um exemplo de utilização desse termo (fls. 707/708 do vol. 3 do Anexo 1), porém o termo é apenas um dos itens solicitados como artefatos. Assim, a não apresentação dos demais itens (por exemplo, registro de aceite dos requisitos, registro de histórico das mudanças, cronograma de acompanhamento do projeto) resulta em falha no processo de software, pois não ficou comprovada sua aplicabilidade. 3.2.2 - Efeitos/Consequências do achado: Inexistência de parâmetros de aferição de qualidade para contratação de desenvolvimento de sistemas. (efeito potencial). Deficiência no processo de contratação, decorrente da inexistência de metodologia que assegure boa contratação de desenvolvimento de sistemas. (efeito potencial). 3.2.3 - Critérios: Instrução Normativa 4/2008, SLTI/MPOG, art. 12, inciso II. Lei 8666/1993, art. 6º, inciso IX. Norma Técnica - ITGI - Cobit 4.1, PO8.3 - Padrões de desenvolvimento e de aquisições. 3.2.4 - Evidências: Manual - Metodologia de Desenvolvimento e Manutenção de Sistemas - MDMS (Anexo 1 - Volume 1 - folhas 387/427). Termo de Validação e Aceite - TVA (Anexo 1 - Volume 3 - folhas 707/708). 3.2.5 - Conclusão da equipe: Apesar da apresentação do manual, contendo a metodologia de desenvolvimento de software, não ficou comprovada sua aplicabilidade, desrespeitando o art. 6º, inc. IX, da Lei 8.666/93 e o art. 12, II, da IN 04/2008 - SLTI/MPOG. 3.2.6 - Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Ministério das Relações Exteriores que, em atenção ao disposto na Lei 8.666/93, art. 6º, inc. IX, e às disposições contidas na Instrução Normativa 04/2008 - SLTI/MPOG, art. 12, II, aperfeiçoe seu processo de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de software, vinculando o contrato com o processo de software, sem o qual o objeto não estará precisamente definido. Recomendar ao Ministério das Relações Exteriores que, quando do aperfeiçoamento de seu processo de software, considere as Normas NBR ISO/IEC 12.207 e 15.504.3 de 32 25/5/2011 13:12
  4. 4. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=9&... 3.3 - Inexistência de avaliação do quadro de pessoal de TI. 3.3.1 - Situação encontrada: Por meio do item 3.7 do Ofício 421/2010-5ª Secex, foram solicitadas informações relativas à estrutura de gestão de pessoas do setor de informática, quanto à suficiência para o desempenho das atribuições da área e para o atendimento das necessidades do órgão. Em resposta, O MRE apresentou o Despacho ao Memo CISET/150, 7 de julho de 2010, onde constam as informações descritas a seguir. Quanto aos papéis sensíveis (voltados às atividades de planejamento, execução e controle), informou que apenas servidores da carreira são designados para ocupá-los. Em relação às atribuições e papéis dos profissionais de TI, elas estão descritas no Regimento Interno do MRE, aprovado em 2008. Por fim, apresentou a planilha contendo os quantitativos de servidores e prestadores de serviços que atuam na área de TI. Em suma, não apresentou estudos qualitativos ou quantitativos sobre o quadro de pessoal (fls. 366/375 do Anexo 1). 3.3.2 - Efeitos/Consequências do achado: Dependência do serviço de empresas terceirizadas (efeito potencial). Recursos humanos de TI insuficientes para atender às necessidades do negócio. (efeito potencial). Falta de competências apropriadas na área de TI. (efeito potencial). 3.3.3 - Critérios: ACÓRDÃO 71/2007, item 9.2.23, Tribunal de Contas da União, Plenário. Decreto 5707/2006, art. 1º, inciso III. Norma Técnica - ITGI - Cobit 4.1, PO4.12 - Pessoal de TI. 3.3.4 - Evidências: Despacho ao Memo CISET/150, de 7 de julho de 2010 (Anexo 1 - Volume 1 - folhas 366/375). Regimento Interno da Secretaria de Estado das Relações Exteriores (RISE/MRE) (Anexo 1 - Volume 1 - folhas 345/366). 3.3.5 - Conclusão da equipe: Não foram apresentados estudos qualitativos ou quantitativos que justifiquem o quadro de pessoal necessário para área TI do órgão. Além do mencionado na situação encontrada, o próprio PDTI, no capítulo que trata de Gestão de Pessoas, relata que, por meio da análise das atividades desempenhadas para manutenção da estrutura e dos serviços de TI, do volume expressivo de demandas represadas e considerando as necessidades identificadas, verifica-se que o quadro de pessoal não é suficiente. Assim, é preciso realizar avaliação mais abrangente para que se defina o quadro de pessoal necessário para atuar na área de TI. 3.3.6 - Proposta de encaminhamento: Recomendar ao Ministério das Relações Exteriores que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência) e ao Decreto 5.707/2006, art. 1º, inciso III, elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI. 3.4 - Inexistência de Comitê de Segurança da Informação e Comunicações. 3.4.1 - Situação encontrada: Por meio do item 8 do Ofício 1421/5ª Secex, solicitaram-se evidências sobre a atuação do Comitê de Segurança da Informação e Comunicações. O pedido foi reiterado no item 7 do Ofício de Requisição 01-794, de 18/10/2010. O MRE não apresentou resposta quanto à atuação do Comitê de Segurança da Informação e Comunicações. 3.4.2 - Efeitos/Consequências do achado: Não otimização das ações de segurança da informação. (efeito potencial). 3.4.3 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VI. Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3. Norma Técnica - NBR - ISO/IEC 27002, item 6.1.2 - Coordenação de segurança da4 de 32 25/5/2011 13:12
  5. 5. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=9&... informação. 3.4.4 - Conclusão da equipe: Diante da ausência de evidências relativas à instituição e atuação do Comitê de Segurança da Informação e Comunicações, entende-se que ele não foi estabelecido no âmbito do Ministério. 3.4.5 - Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Ministério das Relações Exteriores que, em atenção ao disposto na Instrução Normativa GSI/PR 01/2008, art. 5º, VI c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27.002, item 6.1.2 - Coordenação de segurança da informação. 3.5 - Inexistência de Gestor de Segurança da Informação e Comunicações. 3.5.1 - Situação encontrada: Por intermédio do item 8.2 do Ofício 1421/2010-5º Secex, solicitaram-se evidências da atuação do Gestor de Segurança da Informação. Essa solicitação foi reiterada no item 7 do Ofício de Requisição 01-794, de 18/10/2010. O MRE não apresentou evidências sobre a atuação do Gestor de Segurança da Informação. 3.5.2 - Efeitos/Consequências do achado: Não otimização das ações de segurança da informação. (efeito potencial). 3.5.3 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso IV; art. 7º Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2. Norma Técnica - NBR - ISO/IEC 27002, 6.1.3 - Atribuição de responsabilidade para segurança da informação. 3.5.4 - Conclusão da equipe: Conclui-se pela inexistência do Gestor de Segurança da Informação e Comunicações designado formalmente no MRE, descumprindo o disposto na Instrução Normativa GSI/PR 01/2008, art. 5º, IV e art. 7º, c/c Norma Complementar 03/IN01 /DSIC/GSIPR, item 5.3.7.2. 3.5.5 - Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Ministério das Relações Exteriores que, em atenção ao disposto na Instrução Normativa GSI/PR 01/2008, art. 5º, IV e art. 7º, c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie Gestor de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item 6.1.3 - Atribuição de responsabilidade para segurança da informação. 3.6 - Inexistência de plano anual de capacitação. 3.6.1 - Situação encontrada: Por intermédio do item 9 do Ofício 1421/2010-5ª Secex, solicitou-se o plano de capacitação de TI. Em resposta, o MRE apresentou apenas a formação do atual Chefe da DINFOR. No PDTI (fl. 203 do v.p. do Anexo 1), há informações sobre o quadro atual da Divisão de Informática e uma tabela com as necessidades de seis treinamentos para 2010. Portanto, não há vigente no MRE um plano de capacitação de profissionais de TI nos moldes do que estabelece o Decreto 5.707/2006. 3.6.2 - Efeitos/Consequências do achado: Não otimização do potencial dos recursos humanos. (efeito potencial). Desatualização do quadro de pessoal em termos de conhecimento/capacitação. (efeito potencial). 3.6.3 - Critérios: Decreto 5707/2006, art. 5º, § 2º Norma Técnica - ITGI - Cobit 4.1, PO7.2-Competências Pessoais. Norma Técnica - ITGI - Cobit 4.1, PO7.4 - Treinamento do Pessoal. Portaria 208/2006, Ministério do Planejamento, art. 2º, inciso I; art. 4º 3.6.4 - Evidências: PDTI - Plano de Gestão de Pessoas (Anexo 1 - Principal - folha 203). 3.6.5 - Conclusão da equipe:5 de 32 25/5/2011 13:12
  6. 6. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=9&... O MRE não possui plano de capacitação de profissionais de TI, nos moldes definidos pelo Decreto 5.707/2006 e pela Portaria MP 208/2006. 3.6.6 - Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Ministério das Relações Exteriores que, em atenção às disposições contidas no Decreto 5.707/2006, art. 5º, 2º, c/c Portaria MP 208/2006, art. 2º, I e art. 4º, elabore Plano Anual de Capacitação. 3.7 - Inexistência de Política de Segurança da Informação e Comunicações (POSIC). 3.7.1 - Situação encontrada: Por meio do item 8 do Ofício 1421/2010-5ª Secex, solicitou-se a Política de Segurança da Informação e Comunicações (POSIC). O pedido foi reiterado no item 7 do Ofício de Requisição 01-794, de 18/10/2010. Em resposta, o MRE entregou diversas normas operacionais de classificação de documentos, uso de sistemas de informática e manuseio de equipamentos de TI. Todos os documentos apresentados estão inseridos às fls. 62/176 do Anexo 1, bem como no CD, na pasta "Normas de Comunicação". A título de exemplo, citam-se alguns deles: 1) Norma DCD 1/2006 - dispõe sobre a utilização de correio eletrônico no MRE (fls. 87/89 do Anexo 1); 2) Segurança da Informação - Norma de Correio Eletrônico - Versão 1.0 (fls. 72/78 do Anexo 1); 3) Circular Postal 26/04 - Orientações sobre spyware (fl. 159 do Anexo 1); 4) Circular Postal 01/2009 - Computadores Portáteis (fl. 172 do Anexo 1). Contudo, não foi apresentada a política de segurança da informação nos moldes definidos pela Norma Complementar 03/IN01/DSIC/GSIPR. Essa norma recomenda que na elaboração da POSIC sejam incluídos itens como escopo, conceitos e definições, referências legais, princípios, diretrizes gerais, penalidades, competências e responsabilidades e atualização. A definição da POSIC também pode ser encontrada no relatório que subsidiou o voto condutor do Acórdão 1603/08 - Plenário, da seguinte forma: "A política de segurança da informação é o documento que contém as diretrizes da instituição quanto ao tratamento da segurança da informação. Em geral, esse é o documento da gestão da segurança da informação a partir do qual derivam os documentos específicos para cada meio de armazenamento, transporte, manipulação ou tratamento específico da segurança da informação em TI." Assim, a POSIC possui as diretrizes superiores, sendo um documento de gestão. A partir do qual, derivam todos os demais. O MRE apresentou, conforme mencionado, diversos documentos específicos, que tratam de segurança da informação, contudo, não apresentou a norma superior. Outro fator que indica a ausência da POSIC é a não definição da estrutura da gestão da segurança da informação, como a designação do Gestor e do Comitê de Segurança da Informação, relatados nos itens 3.4 e 3.5 deste relatório. 3.7.2 - Efeitos/Consequências do achado: Falhas nos procedimentos de segurança. (efeito potencial). 3.7.3 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VII. Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR. Norma Técnica - NBR - ISO/IEC 27002, item 5.1 - Política de segurança da informação. 3.7.4 - Evidências: Resposta ao item 8 do Ofício 1421/2010-5ª Secex (Anexo 1 - Principal - folhas 62/176). CD-ROM contendo a resposta ao Of 1421/2010-5ª Secex (Volume Principal - folhas 1/2). 3.7.5 - Conclusão da equipe: Dessa forma, apesar de as evidências apresentadas tratarem diretamente de regras sobre segurança da informação, em especial da sua operacionalização, elas não substituem a Política de Segurança da Informação estabelecida na Norma Complementar 03/IN01/DSIC/GSIPR, a qual define as diretrizes superiores e orienta os demais normativos internos do órgão.6 de 32 25/5/2011 13:12
  7. 7. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=9&... 3.7.6 - Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Ministério das Relações Exteriores que, em atenção ao disposto na Instrução Normativa GSI/PR 01/2008, art. 5º, VII, implante Política de Segurança da Informação e Comunicações, observando as práticas contidas na Norma Complementar 03/IN01/DSIC/GSIPR. 3.8 - Inexistência de processo de gerenciamento de projetos. 3.8.1 - Situação encontrada: Por intermédio do item 6 do Ofício 1421/2010-5º Secex, solicitaram-se o processo de gerenciamento de projetos, bem como evidências da aplicação desse processo em projetos em execução. O MRE não apresentou respostas em relação a esse item. O gerenciamento de projeto envolve, dentre outros, os seguintes elementos: definição de papéis, definição de escopo, cronograma, orçamento, lista de riscos, fases do ciclo de vida do projeto e plano de execução. 3.8.2 - Efeitos/Consequências do achado: Risco de insucesso de projetos relevantes, pela falta de estrutura de gestão de projetos. (efeito potencial). 3.8.3 - Critérios: Norma Técnica - ITGI - Cobit 4.1, PO10.2 - Estrutura de gerência de projetos. 3.8.4 - Evidências: Resposta ao Ofício 1421/2010 - 5ª Secex (Anexo 1 - Principal - folhas 11/221). 3.8.5 - Conclusão da equipe: Entende-se que não há um processo de gerenciamento de projetos estabelecido no órgão. Com efeito, compromete-se a gestão de cada projeto, que envolve pessoas, técnicas e sistemas em prol de determinados objetivos. 3.8.6 - Proposta de encaminhamento: Recomendar ao Ministério das Relações Exteriores que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implante uma estrutura formal de gerência de projetos, observando as orientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos e do PMBOK. 3.9 - Inexistência de processo de gestão de riscos de segurança da informação (GRSIC). 3.9.1 - Situação encontrada: Por intermédio do item 8.7 do Ofício 1421/2010-5º Secex, solicitaram-se informações relativas ao processo de gestão de riscos de segurança da informação e comunicações, com a descrição dos papéis dos profissionais envolvidos, lista de atividades e outros documentos. Tal pedido foi novamente feito pelo item 6 do Ofício de Requisição 01-794, de 18/10/2010. O MRE não apresentou respostas quanto a esses itens. 3.9.2 - Efeitos/Consequências do achado: Desconhecimento das ameaças e respectivos impactos relacionados à segurança da informação. (efeito potencial). 3.9.3 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VII. Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 04/IN01/DSIC/GSIPR. Norma Técnica - ITGI - Cobit 4.1, PO9.4 - Avaliação de riscos. Norma Técnica - NBR - 27005 - Gestão de riscos de segurança da informação. 3.9.4 - Conclusão da equipe: Entende-se que não há de processo de gestão de riscos de segurança da informação (GRSIC) em vigor no Ministério. 3.9.5 - Proposta de encaminhamento: Determinar ao Ministério das Relações Exteriores que, em atenção ao disposto na Instrução Normativa GSI/PR 01/2008, art. 5º, VII c/c Norma Complementar 04/IN01 /DSIC/GSIPR, implemente processo de gestão de riscos de segurança da informação. 3.10 - Inexistência do Plano Estratégico Institucional 3.10.1 - Situação encontrada: Por intermédio do item 1 do Ofício 1421/2010-5ª Secex, solicitaram-se7 de 32 25/5/2011 13:12
  8. 8. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=9&... informações acerca do planejamento estratégico institucional do órgão. O pedido foi reiterado no item 1 do Ofício de Requisição 01-794/2010. Todavia, até o fechamento desse relatório, o MRE não apresentou evidências quanto ao item. 3.10.2 - Efeitos/Consequências do achado: Ausência de referencial para verificar o alinhamento estratégico das ações da área de TI com o negócio da instituição. (efeito real) Risco de a instituição não conseguir atuar de forma eficiente no atingimento dos seus objetivos finalísticos. (efeito potencial) 3.10.3 - Critérios: Constituição Federal, art. 37, caput. Decreto Lei 200/1967, art. 6º, inciso I; art. 7º Norma Técnica - MPOG - Gespública - Instrumento para Avaliação da Gestão Pública - Ciclo 2010 - critério de avaliação 2. 3.10.4 - Conclusão da equipe: Entende-se que o MRE não possui o Plano Estratégico Institucional (PEI). 3.10.5 - Proposta de encaminhamento: Recomendar ao Ministério das Relações Exteriores que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência) e no Decreto Lei 200/1967, art. 6º, inciso I, e art. 7º, elabore um Plano Estratégico Institucional, considerando o previsto no critério de avaliação 2 do Gespública. 3.11 - Inexistência do processo de gestão de configuração 3.11.1 - Situação encontrada: Por meio do item 7 do Ofício 1421/2010-5ª Secex, solicitaram-se informações sobre o processo de gestão de serviços de TI, com intuito de buscar evidências sobre três processos de gestão: de mudanças, de incidentes e de configuração. O MRE não apresentou evidências quanto a esses processos. Por intermédio do item 5 do Ofício de Requisição 01-794/2010, de 18 de agosto de 2010, solicitaram-se novamente os dados referentes ao processo de gestão de configuração. Contudo, o MRE não confirmou a existência desse processo, o que gera o entendimento de que o órgão não possui processo de gestão de configuração estabelecido no seu ambiente de TI. Vale destacar que esse processo pode ser considerado como base para os demais, e cujo elemento essencial é o banco de dados de configuração do ambiente computacional (Configuration Management Database - CMDB). Diante disso, o não estabelecimento do processo de gestão de configuração implica a inviabilidade do estabelecimento dos demais processos analisados nessa fiscalização, quais sejam, o de gestão de mudanças e gestão de incidentes. 3.11.2 - Efeitos/Consequências do achado: Desatualização ou deficiência da configuração de TI. (efeito potencial). 3.11.3 - Critérios: Constituição Federal, art. 37, caput. Norma Técnica - ITGI - Cobit 4.1, DS9 - Gerenciar Configurações. 3.11.4 - Evidências: Resposta ao item 7 do Ofício 1421/2010-5ª Secex (Anexo 1 - Principal - folhas 7/9). Ofício de Requisição 01-794/2010 (Anexo 1 - Principal - folhas 11/12). 3.11.5 - Conclusão da equipe: Entende-se que o MRE não possui processo de gestão de configuração de serviços de tecnologia da informação. 3.11.6 - Proposta de encaminhamento: Recomendar ao Ministério das Relações Exteriores que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente processo de gestão de configuração de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000). 3.12 - Inexistência do processo de gestão de incidentes. 3.12.1 - Situação encontrada: Por meio do item 7 do Ofício 1421/2010-5ª Secex, solicitaram-se informações8 de 32 25/5/2011 13:12
  9. 9. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=9&... sobre o processo de gestão de serviços de TI, com intuito de buscar evidências sobre três processos de gestão: de mudanças, de incidentes e de configuração. O MRE não apresentou evidências quanto a esses processos, o que resultou na conclusão pela inexistência desses processos no órgão. O processo de gestão de incidentes permite restaurar o serviço à operação normal o mais rápido possível, minimizando os impactos negativos nas atividades finalísticas do órgão. O processo de gestão de configuração, conforme relatado no item 3.11 deste relatório, é fundamental para a existência do processo de gestão de incidentes. 3.12.2 - Efeitos/Consequências do achado: Ocorrência de incidentes sem o devido gerenciamento. (efeito potencial). Paralisação dos serviços de TI. (efeito potencial). Paralisação das atividades da organização. (efeito potencial). 3.12.3 - Critérios: Constituição Federal, art. 37, caput. Norma Técnica - NBR - ISO/IEC 27002, item 10.1.2 - Gestão de mudanças. Norma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar a central de serviços e incidentes. 3.12.4 - Evidências: Resposta ao item 7 do Ofício 1421/2010-5ª Secex (Anexo 1 - Principal - folhas 7/9). Ofício de Requisição 01-794/2010 (Anexo 1 - Principal - folhas 11/12). 3.12.5 - Conclusão da equipe: O MRE não possui um processo de gestão de incidentes estabelecido. 3.12.6 - Proposta de encaminhamento: Recomendar ao Ministério das Relações Exteriores que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente processo de gestão de incidentes de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a central de serviços e incidentes e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000 e a NBR 27.002). 3.13 - Inexistência do processo de gestão de mudanças. 3.13.1 - Situação encontrada: Por meio do item 7 do Ofício 1421/2010-5ª Secex, solicitaram-se informações sobre o processo de gestão de serviços de TI, com intuito de buscar evidências sobre três processos de gestão: de mudanças, de incidentes e de configuração. O MRE não apresentou evidências quanto a esses processos, o que resultou na conclusão pela inexistência desses processos no órgão. O processo de gestão de mudanças constitui um procedimento preventivo que visa garantir que métodos padronizados sejam utilizados para o manuseio eficiente de todas as mudanças, atenuando o impacto das mudanças relacionadas a incidentes e melhorando as operações do dia-a-dia da organização. Assim como no processo de gestão de incidentes, o de mudanças pressupõe, para seu perfeito funcionamento, a existência e o pleno funcionamento do processo de gestão de configuração. 3.13.2 - Efeitos/Consequências do achado: Não avaliação do impacto de eventuais mudanças. (efeito potencial). Solicitações de mudanças não controladas. (efeito potencial). 3.13.3 - Critérios: Constituição Federal, art. 37, caput. Norma Técnica - ITGI - Cobit 4.1, AI6 - Gerenciar mudanças. Norma Técnica - NBR - ISO/IEC 27002, 12.5.1 - Procedimentos para controle de mudanças. 3.13.4 - Evidências: Resposta ao item 7 do Ofício 1421/2010-5ª Secex (Anexo 1 - Principal - folhas 7/9). Ofício de Requisição 01-794/2010 (Anexo 1 - Principal - folhas 11/12). 3.13.5 - Conclusão da equipe: O Ministério não possui processo de gestão de mudanças estabelecido. 3.13.6 - Proposta de encaminhamento:9 de 32 25/5/2011 13:12
  10. 10. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=9&... Recomendar ao Ministério das Relações Exteriores que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 17.799:2005, à semelhança das orientações contidas no Cobit 4.1, processo AI6 - Gerenciar mudanças e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000). 3.14 - Falhas no PDTI 3.14.1 - Situação encontrada: Por meio do item 2.2 do Ofício 1421/2010-5ª Secex, foi solicitado o plano estratégico de TI ou documento equivalente. Em atendimento, a Divisão de Informática do MRE (DINFOR) apresentou o Plano Diretor de Tecnologia da Informação (PDTI), aprovado pelo Comitê Estratégico de Tecnologia da Informação do MRE, por intermédio da Resolução 1, de 25 de maio de 2010. O PDTI foi publicado no Diário Oficial da União, em 1º de junho de 2010, conforme fl. 243 do Anexo 1. Segundo informações dos gestores (fls. 184 do Anexo 1), os integrantes da DINFOR realizaram curso na ENAP e se basearam nas orientações do Ministério do Planejamento Orçamento e Gestão para elaborar o PDTI. A construção do documento, segundo informado (fls. 184 do Anexo 1), dividiu-se em 4 etapas: levantamento da situação atual, levantamento das necessidades de informação, estudo da situação desejada e elaboração do documento. Embora seja elogiável o fato de o plano apresentado possuir alguns elementos essenciais previstos para um artefato desse tipo, foi detectada a ausência de indicadores de TI que permitam acompanhar de maneira objetiva o funcionamento da TI no MRE. A obtenção de indicadores, embora não seja tarefa fácil, configura atividade considerada obrigatória na construção de um PDTI, de modo a tornar objetivo o acompanhamento da execução do plano e, em especial, para viabilizar o controle objetivo da governança de TI pela Alta Administração. 3.14.2 - Efeitos/Consequências do achado: Ações de TI não alinhadas ao negócio. (efeito potencial). 3.14.3 - Critérios: Instrução Normativa 4/2008, SLTI/MPOG, art. 4º, inciso III. Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI. 3.14.4 - Evidências: PDTI (Anexo 1 - Principal - folhas 184/244). 3.14.5 - Conclusão da equipe: Não obstante o PDTI apresentar diversos elementos essenciais, constatou-se a ausência de indicadores. 3.14.6 - Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Ministério das Relações Exteriores que, em atenção às disposições contidas no Decreto-Lei 200/67, art. 6º, inciso I, e na Instrução Normativa 04/2008 - SLTI/MPOG, art. 3º, aperfeiçoe o processo de planejamento de Planejamento Estratégico de TI, de maneira que o Plano Diretor de Tecnologia da Informação - PDTI esteja em conformidade com as diretrizes constantes na Instrução Normativa 04/2008-SLTI/MPOG, art. 4º, III, e as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI. 3.15 - Falhas no processo de planejamento de TI 3.15.1 - Situação encontrada: Por meio do item 2.2 do Ofício 1421/2010-5ª Secex, foi solicitado o plano estratégico de TI ou documento equivalente. Em atendimento, a Divisão de Informática do MRE (DINFOR) apresentou o Plano Diretor de Tecnologia da Informação (PDTI), aprovado pelo Comitê Estratégico de Tecnologia da Informação do MRE, por intermédio da Resolução 1, de 25 de maio de 2010. O PDTI foi publicado no Diário Oficial da União, em 1º de junho de 2010, conforme fl. 243 do Anexo 1. Mesmo considerando que os integrantes da DINFOR realizaram curso na ENAP e se basearam nas orientações do Ministério do Planejamento Orçamento e Gestão (MPOG), sobretudo no modelo de referência para elaborarem o PDTI. a participação das unidades integrantes do Ministério na elaboração do PDTI se consubstanciou nas respostas dos questionários elaborados pela equipe responsável pela elaboração do plano (fls. 653/681 do Anexo 1). Contudo, nas atividades previstas na etapa de levantamento da situação atual, não foi considerado na análise o levantamento do parque tecnológico presente nos postos no10 de 32 25/5/2011 13:12
  11. 11. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=9&... exterior. De qualquer maneira, é importante ressaltar que o PDTI vigente é o primeiro documento dessa natureza elaborado pelo órgão, uma vez que, em 2007, no âmbito de Fiscalização Orientada Centralizada (FOC), constatou-se que o MRE não possuía PDTI (TC 026.179/2007-8). Sendo assim, embora o PDTI preveja a inclusão do parque tecnológico existente nos postos no exterior,a não inclusão dessas informações na execução da etapa de levantamento da situação atual reflete uma falha no processo de planejamento de TI. 3.15.2 - Efeitos/Consequências do achado: Risco de as ações de TI não estarem alinhadas ao negócio. (efeito potencial). 3.15.3 - Critérios: Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI. 3.15.4 - Evidências: PDTI (Anexo 1 - Principal - folhas 184/244). Questionário aplicado às unidades do MRE (Anexo 1 - Volume 2 - folhas 653/681). 3.15.5 - Conclusão da equipe: Houve falha no processo de planejamento estratégico de TI, evidenciada pela não inclusão no PDTI do MRE das informações referentes à infraestrutura tecnológica utilizada nos postos do exterior . 3.15.6 - Proposta de encaminhamento: Considerando que o encaminhamento proposto no item 3.14.6 é suficiente para sanear este ponto, abstemo-nos de sugerir nova proposta. 3.16 - Falhas na avaliação da gestão de TI. 3.16.1 - Situação encontrada: Por meio do item 10.1 do Ofício 1421/2010-5ª Secex, foram solicitadas informações relativas à avaliação da gestão de TI do MRE. Todavia, o órgão não apresentou evidências dessa avaliação. Destaca-se que o órgão instituiu o Comitê Estratégico de TI, que é um mecanismo importante de deliberação e monitoramento acerca da gestão de TI. Em 2010, o Comitê aprovou o primeiro PDTI, cumprindo importante etapa para Gestão de TI do órgão. Percebe-se, portanto, as melhorias implementadas no que tange à avaliação da gestão de TI, sobretudo quando comparado ao que foi evidenciado na fiscalização realizada em 2007 (TC 026.179/2007-8 - Fiscalis 657/2007), quando na oportunidade constataram-se as inexistências tanto do Comitê de TI quanto do Plano Diretor de TI. Porém, em decorrência do não envio das evidências solicitadas pela equipe de auditoria e da ausência de indicadores de TI no PDTI (conforme relatado no item 3.14) - condição essencial para o monitoramento e avaliação da gestão de TI, pode-se afirmar que há falhas na avaliação da gestão de TI no âmbito do MRE. 3.16.2 - Efeitos/Consequências do achado: Impossibilidade de verificação de possibilidades de melhoria. (efeito potencial). Decisões gerenciais baseadas em informações incompletas ou errôneas. (efeito potencial). Falha na entrega/priorização de serviços de TI. (efeito potencial). 3.16.3 - Critérios: Norma Técnica - ITGI - Cobit 4.1, ME1.5 - Relatórios gerenciais. Norma Técnica - ITGI - Cobit 4.1, ME1.4 - Avaliar o desempenho. Norma Técnica - ITGI - Cobit 4.1, ME1.6 - Ações corretivas. Norma Técnica - ITGI - Cobit 4.1, ME2 - Monitorar e avaliar os controles internos. 3.16.4 - Evidências: PDTI (Anexo 1 - Principal - folhas 185/242). 3.16.5 - Conclusão da equipe: Não obstante a instituição do Comitê Estratégico de TI e da aprovação, por esse, do primeiro PDTI do órgão, entende-se que, em decorrência da ausência de indicadores de TI, há falhas na avaliação da gestão de TI do MRE (fls. 185/242 do Anexo 1). 3.16.6 - Proposta de encaminhamento: Recomendar ao Ministério das Relações Exteriores que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), aperfeiçoe o processo de avaliação da gestão de TI, observando as orientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 - Relatórios gerenciais, ME1.6 - Ações corretivas e ME2 - monitorar e avaliar os controles internos. 3.17 - Falhas no inventário dos ativos de informação.11 de 32 25/5/2011 13:12
  12. 12. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=9&... 3.17.1 - Situação encontrada: Por intermédio do item 8.5.1 do Ofício 1421/2010-5º Secex, solicitou-se a amostra mais recente do inventário dos ativos de informação do órgão. Em atendimento, o gestor apresentou informações sobre o ambiente de TI do MRE, incluindo a descrição da infraestrutura lógica e física. O documento enviado (fls. 464/530 do vol. 2 do Anexo 1) contém a relação de computadores considerados servidores corporativos de serviços de TI. Apesar de trazer informações importantes sobre os ativos de informação, a equipe entendeu que a lista apresentada não poderia ser considerada como tal, por estarem ausentes itens essenciais, tais como a descrição da importância de cada ativo de informação para o negócio, conforme preconiza o item 7.1 da ABNT NBR ISO/IEC 27.002. Assim, por intermédio do item 3 do Ofício de Requisição 03-794, de 27/8/2010, solicitou-se outra amostra da última versão do inventário de ativos da informação. Em resposta, o Chefe da Dinfor apresentou as relações de servidores e de sistemas de TI disponíveis no MRE (fls. 682/706 do vol. 3 do Anexo 1). O documento, entretanto, não faz menção aos equipamentos de TI que estão disponíveis nos postos do MRE no exterior, que ultrapassam o número de 200 e também precisam ter seus ativos de informação inventariados. Diante disso, entende-se que o inventário de ativos de informação enviado pelo MRE não reflete de maneira completa o ambiente de TI do MRE, pois não considera os postos no exterior. Além disso, não descreve a importância de cada ativo de informação para o negócio, configurando, dessa forma, falhas no inventário. 3.17.2 - Efeitos/Consequências do achado: Dificuldade de recuperação de ativo de informação. (efeito potencial). 3.17.3 - Critérios: Norma Técnica - NBR - ISO/IEC 27002, item 7.1.1 - inventário de ativos. Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1. 3.17.4 - Evidências: Inventário de ativos (Anexo 1 - Volume 3 - folhas 682/706). Documentação da Infraestrutura de TI do MRE (Anexo 1 - Volume 2 - folhas 464/530). 3.17.5 - Conclusão da equipe: Não obstante a apresentação dos documentos mencionados na situação encontrada, entende-se que os tais inventários apresentam falhas, em especial quanto às orientações do item 7.1 da ABNT NBR ISO/IEC 27002 e a não conter todas as informações sobre os ativos de informação presentes nos postos do MRE no exterior. 3.17.6 - Proposta de encaminhamento: Recomendar ao Ministério das Relações Exteriores que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), aperfeiçoe o procedimento de inventário de ativos de informação, de maneira que todos os ativos de informação estejam inventariados e tenham um proprietário responsável, à semelhança das orientações contidas no item 7.1 da NBR ISO/IEC 27.002. 3.18 - Irregularidades na contratação 3.18.1 - Situação encontrada: Para realização de testes substantivos, foram selecionados dois contratos: o Contrato 02/2009 e o 03/3010. O Contrato DCD 02/2009 (fls. 1033/1042 - Anexo 1 - Volume 4), firmado em 23/01/2009, entre o Ministério das Relações Exteriores e a empresa Politec Tecnologia da Informação S/A - CNPJ 01.645.738/0001-79, com vigência de doze meses a partir da data de sua assinatura, podendo ser prorrogado por períodos subsequentes de doze meses, tem por objeto a contratação de serviços técnicos especializados em Tecnologia da Informação, complementares às atividades do Departamento de Comunicações e Documentação (DCD) do Ministério das Relações Exteriores (MRE), para atendimento e suporte operacional aos usuários dos sistemas informatizados, com geração e tratamento de informações gerenciais e atividades acessórias inerentes ao processo. As informações sobre o escopo, atividades e requisitos técnicos referentes à execução deste Contrato estão contidas no Edital do Pregão Eletrônico DCD 10/2008 e seus anexos (fls. 1090/1161 - Anexo 1 - Volume 5) e na Proposta da Contratada, datada de 9 de dezembro de 2008, com os documentos que a compõem (fls. 986/1007 - Anexo 1 - Volume 4).12 de 32 25/5/2011 13:12
  13. 13. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=9&... O Contrato Emergencial DCD 03/2010 (fls. 839/846 - Anexo 1 - Volume 3), firmado em 22/4/2010, entre o Ministério das Relações Exteriores e a empresa Politec Tecnologia da Informação S/A - CNPJ 01.645.738/0001-79, com vigência limitada à primeira ocorrência de um dos seguintes fatos: a) 180 dias contados a partir da data de sua assinatura, não cabendo prorrogação, conforme inciso IV do Artigo 24 da Lei 8.666/93; ou b) início efetivo da execução dos serviços por empresa ganhadora de processo licitatório para esse fim, conforme definido nos respectivos Edital e Termo de Referência. O contrato tem por objeto a prestação e serviços técnicos de informática, complementares às atividades do Departamento de Comunicações e Documentação do Ministério das Relações Exteriores - MRE, na área de desenvolvimento e manutenção de aplicativos e administração de banco de dados. As informações sobre o escopo, atividades e requisitos referentes à execução deste Contrato estão contidas no Projeto Básico (fls. 777/788 - Anexo 1 - Volume 3) e na Proposta Financeira da Contratada (fls. 789/799 - Anexo 1 - Volume 3). Assim, os testes substantivos nos Contratos 02/2009 e 03/2010 tiveram como objetivo avaliar a aderência do procedimento licitatório adotado à legislação, e constatadas as seguintes impropriedades: I - Com relação ao Contrato DCD 02/2009: a) Planejamento da contratação desconsiderou a IN 04/2008-SLTI O MRE não executou o processo de planejamento da contratação da forma prevista na legislação. Não há, no processo de contratação, os artefatos exigidos pelo art. 9º da IN 04/2008-SLTI. Esse normativo prevê a existência de quatro documentos, cujos conteúdos estão definidos nos arts. 10 a 16 da mencionada IN. São eles: Análise de viabilidade da contratação; Plano de sustentação; Estratégia da contratação; e Análise de riscos. Esses documentos devem ser elaborados na ordem em que são descritos no normativo, uma vez que o resultado de um serve de insumo para o próximo. Além disso, a Lei de Licitações e Contratos (Lei 8.666/93), em seu art. 6º, informa que o projeto básico será elaborado com base nos estudos técnicos preliminares, que assegurem a viabilidade técnica,e possibilitem a avaliação do custo, definição dos métodos e do prazo de execução, entre outros elementos. No mesmo sentido, o TCU, em processo envolvendo a Companhia de Eletricidade do Acre (Eletroacre), se manifestou no Acórdão 1.182/2004-P da seguinte forma: "9.3.1.8. confecção de projeto básico com base em estudos técnicos preliminares e nas necessidades da entidade, com vistas à aquisição de serviços de informática, de forma a permitir a caracterização correta e a definição do custo do objeto a ser contratado, a elaboração de orçamento detalhado, de livre acessibilidade pelos potenciais licitantes, e a indicação dos recursos orçamentários para seu pagamento." b) Objetivo da contratação - ausência de elementos básicos No processo de contratação que resultou no Contrato DCD 02/2009, o MRE não elaborou os documentos exigidos pela IN 04/2008-SLTI. Os fundamentos da contratação estão expostos no Memorando DINFOR/18/AINF, de 18/09/2008 (fls. 1009/1012 do vol. 4 do Anexo 1). O gestor fundamentou a necessidade da contratação com o argumento de que o Tribunal de Contas da União, após auditoria realizada em 2007, recomendou o desmembramento do objeto do contrato anteriormente em vigor em pelo menos dois lotes diferentes. O objeto da contratação em exame diz respeito aos serviços para atendimento e suporte operacional aos usuários dos sistemas informatizados do Ministério das Relações Exteriores, com geração e tratamento de informações gerenciais e atividades acessórias inerentes ao processo. Na justificativa para a contratação, o gestor afirma que a demanda estimada foi feita com base na demanda anteriormente existente, acrescida da expectativa de crescimento com a incorporação de novos diplomatas e assistentes de chancelaria. Contudo, no projeto básico existe apenas uma estimativa para a disponibilidade de mão de obra, não havendo elementos que evidenciem a relação entre a demanda prevista e a quantidade de serviço a ser contratado, nem os demonstrativos de resultados a serem alcançados em termos de economicidade e de melhor aproveitamento dos recursos humanos, materiais ou financeiros disponíveis, conforme preceitua o art. 2º do Decreto 2.271/97. c) Soluções disponíveis no mercado - análise de mercado - ausência Conforme já mencionado, não existe o documento "Análise de Viabilidade da Contratação", nos moldes do art. 10 da IN/04. Com isso, o levantamento de soluções13 de 32 25/5/2011 13:12
  14. 14. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=9&... disponíveis no mercado e a análise de projetos similares não estão disponíveis no processo. Assim, não constam no processo licitatório os estudos de análise de mercado com a apresentação das soluções existentes para atender à demanda nem a justificativa para escolha daquelas soluções que seriam contratadas, tal como preconiza a Lei 8.666/1993, art. 6º, inciso IX. d) Estimativa de preço - custos globais - falha O Termo de Referência, Anexo I do Edital de Pregão Eletrônico DCD 10/2008, que é parte integrante do Contrato DCD 02/2009, apresenta, no item 5.1.6, estimativa de demanda de serviços tomando por base o total de horas mensais de cada tipo de profissional que prestaria o serviço. A estimativa de horas mensais trabalhadas está dividida pelo perfil profissional, e, ao final, apresenta-se o custo global estimado. Contudo essas estimativas não possuem memória de cálculo, baseando-se tão somente em estudos de atendimento existentes na Unidade, que registram a quantidade de chamadas e pedidos à Central de Atendimento nos últimos três anos. O MRE enviou 7 consultas de preços. Desse grupo de empresas que as receberam, apenas 3 responderam à pesquisa (fl. 1008 do vol. 4 do Anexo 1). Quanto à forma como é feita a pesquisa de preço, cabe acrescentar que, no voto do Acórdão 2170/2007-Plenário, o Ministro Relator orienta a adoção de uma "cesta de preços aceitáveis", ou seja, um conjunto de preços oriundo, por exemplo, de pesquisas junto a fornecedores, valores adjudicados em licitações de órgãos públicos - inclusos aqueles constantes no Comprasnet -, valores registrados em atas de SRP, entre outras fontes disponíveis tanto para os gestores como para os órgãos de controle - a exemplo de compras/contratações realizadas por corporações privadas em condições idênticas ou semelhantes àquelas da Administração Pública -, desde que, com relação a qualquer das fontes utilizadas, sejam expurgados os valores que, manifestamente, não representem a realidade do mercado. e) Fase interna - outras desconformidades - parecer jurídico A IN 04/2008-SLTI prevê quatro documentos essenciais para a montagem do processo de contratação de TI. Da leitura dos Pareceres da Consultoria Jurídica do Ministério das Relações Exteriores CJ/CGDA 402/2008, de 28/10/2008 e 421/2008, de 04/11/2008, percebe-se que não se apontou a ausência de tais documentos, o que leva a concluir que a análise dos termos do processo de contratação desconsiderou parcialmente IN 04/2008-SLTI (fls. 1013/1027 do, vol. 4, Anexo 1). II - Com relação ao Contrato DCD 03/2010: a) Planejamento da contratação desconsiderou a IN 04/2008-SLTI O MRE não executou o processo de planejamento da contratação da forma prevista na legislação, conforme já analisado para o Contrato DCD 02/2009. b) Objetivo da contratação - ausência de elementos básicos No processo de contratação que resultou no contrato emergencial, o MRE não confeccionou os documentos exigidos pela IN/04. Os fundamentos da contratação estão expostos no Memorando 13, de 31/3/2010 (fls. 749/758 do vol. 3 do Anexo 1). O gestor caracteriza a situação emergencial, em decorrência de diversas liminares da justiça, as quais impediram a realização do certame. O alinhamento com o PPA é a única menção ao planejamento de médio e longo prazos, uma vez que o PDTI do órgão foi aprovado posteriormente a este processo de contratação. Por fim, não há no projeto básico a relação entre a demanda prevista e a quantidade de serviço a ser contratada, nem os demonstrativos de resultados a serem alcançados em termos de economicidade e de melhor aproveitamento dos recursos humanos, materiais ou financeiros disponíveis, conforme preceitua o art. 2º do Decreto 2.271/97. c) Requisitos da contratação - impertinência O projeto básico, parte integrante do contrato, exige o perfil profissional de cada um dos prestadores de serviço. A título de exemplo, o Codificador de Programas deve possuir nível médio completo, experiência em técnicas de programação orientadas a objeto, dentre outros requisitos (fl. 778 do vol. 3 do Anexo 1). A apresentação dos profissionais que estarão envolvidos na execução do objeto do contrato pode-se dar no momento da contratação, para que tal exigência não comprometa o caráter competitivo do certame. d) Soluções disponíveis no mercado - análise de mercado - ausência Conforme mencionado na letra a do item II relativa ao Contrato 03/2010, não14 de 32 25/5/2011 13:12
  15. 15. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=9&... existe o documento denominado "Análise de Viabilidade da Contratação", nos moldes do art. 10 da IN/04. Com isso, o levantamento de soluções disponíveis no mercado e a análise de projetos similares não estão disponíveis no processo. Assim, não constam, no processo licitatório, os estudos de análise de mercado com a apresentação das soluções existentes para atender à demanda nem a justificativa para escolha daquelas soluções que seriam contratadas, tal como preconiza a Lei 8.666/1993, art. 6º, inciso IX. e) Modelo de gestão do contrato - cláusulas de penalidades - falha A Cláusula décima sexta (fl. 890 do vol. 3 do Anexo 1), que trata das Penalidades, é genérica, dispondo apenas que, além do previsto em lei, haveria multa de 10% sobre o valor global do contrato por falta grave e que acarrete a execução insatisfatória do objeto do contrato. f) Estimativa de preço - custos globais - falha O projeto básico, parte integrante do Contrato DCD 03/2010, apresenta estimativa de preço em relação ao total de horas mensais de cada tipo de profissional que prestaria o serviço. A estimativa de horas mensais trabalhadas está dividida pelo perfil profissional, e, ao final, apresenta-se o custo global estimado. Contudo essas estimativas não possuem memória de cálculo ou justificativa. O MRE enviou nove consultas de preços. Desse grupo de empresas que as receberam, apenas 4 responderam à pesquisa (fls. 789/825 do vol. 3 do Anexo 1). Nos mesmos termos da análise do contrato 02/2009, não houve fundamentação para os preços estimados que balizaram a Contratação. g) Estimativa de preços - DFP do orçamento-base - falha Em resposta a pesquisa de preços formulada pelo MRE, quatro empresas enviaram suas propostas de prestação de serviços técnicos especializados na área de Tecnologia da Informação. Todavia, ao analisar o processo, verifica-se que apenas uma empresa enviou a Planilha detalhada dos preços, as demais se limitaram a informar o preço global dos serviços, dividido pelos perfis de cada profissional. h) Fase interna - outras desconformidades - parecer jurídico A IN 04/2008-SLTI prevê quatro documentos essenciais para a montagem do processo de contratação de TI. Da leitura dos Pareceres da Consultoria Jurídica do Ministério das Relações Exteriores CJ/CGDA 402/2008, de 28/10/2008 e 421/2008, de 04/11/2008, percebe-se que não se apontou a ausência de tais documentos, o que leva a concluir que a análise dos termos do processo de contratação desconsiderou parcialmente IN 04/2008-SLTI (fls. 1013/1027 do, vol. 4, Anexo 1). 3.18.2 - Efeitos/Consequências do achado: Risco da ocorrência de aquisições ou contratações que não atendam à necessidade do órgão (efeito potencial). Risco da ocorrência de aquisições ou contratações antieconômicas 3.18.3 - Critérios: ACÓRDÃO 2471/2008, item 9.1, Tribunal de Contas da União, Plenário. ACÓRDÃO 2471/2008, item 9.2, Tribunal de Contas da União, Plenário. São também considerados critérios para este achado, de maneira geral, a Lei 8.666/1993 e a IN 04/2008 - SLTI/MPOG. 3.18.4 - Conclusão da equipe: I - Em relação ao Contrato DCD 02/2009: Quanto ao processo de planejamento da contratação, entende-se que o processo de planejamento da contratação previsto na IN 04/2008-SLTI não foi executado. Essa etapa é fundamental ao processo de contratação, já que sem ela haverá grande dificuldade para conduzir a gestão contratual. Os artefatos previstos na IN/04 devem constar no processo de contratação de TI (Achado "Irregularidades na contratação", item I, alínea a). Sobre os objetivos da contratação, apesar da necessidade de continuidade da prestação dos serviços caracterizada pelo gestor, o processo de contratação careceu dos elementos obrigatórios exigidos pelo art. 2º do Decreto 2.271/97 e pelo art. 3º da IN 04/2008-SLTI (Achado "Irregularidades na contratação", item I, alínea b). Em relação à análise de mercado, a inexistência no processo de contratação do documento Análise de Viabilidade da Contratação, com o levantamento de soluções disponíveis no mercado e a análise de projetos similares, os quais são necessários para subsidiar a decisão15 de 32 25/5/2011 13:12
  16. 16. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=9&... quanto à escolha de solução de prestação de serviço mais adequada, expôs o Ministério das Relações Exteriores ao risco de ter realizado uma contratação demasiadamente onerosa, bem como de não ver atingidos os resultados esperados (Achado "Irregularidades na contratação", item I, alínea c). Com relação à Estimativa de preço, entende-se que não houve fundamentação para os preços estimados que orientaram a contratação (Achado "Irregularidades na contratação", item I, alínea d). No que tange ao parecer jurídico, entende-se que os controles utilizados pela Consultoria Jurídica do MRE para análise dos processos licitatórios mostraram-se falhos, pois não foram considerados importantes aspectos prévios e necessários à licitação (Achado "Irregularidades na contratação", item I, alínea e). II - No que tange ao Contrato DCD 03/2010: Com relação à falha no processo de planejamento de contratação de TI, entende-se que esse processo não foi executado conforme a IN 04/2008-SLTI. Essa etapa é fundamental ao processo de contratação, já que a partir dela deriva todo o restante, inclusive os elementos para conduzir a gestão contratual. Portanto, os artefatos criados pela IN/04 devem constar no processo de contratação de TI (Achado "Irregularidades na contratação", item II, alínea a). Com relação ao objetivo da contratação, apesar da situação emergencial caracterizada pelo gestor, o processo de contratação careceu dos elementos obrigatórios exigidos pelo art. 2º do Decreto 2.271/97, bem como a devida vinculação entre o objeto, o planejamento estratégico institucional e o PDTI, indo de encontro ao posicionamento desta Corte de Contas (Achado "Irregularidades na contratação", item II, alínea b). No que tange aos requisitos da contratação, o caso em tela apresentou impropriedades na definição dos atributos técnicos obrigatórios que serviriam de critérios para seleção do fornecedor, pois incluiu itens impertinentes ou irrelevantes para a execução do objeto do contrato, que podem ter comprometido ou frustrado a competitividade da licitação, afrontando o disposto no art. 3º, § 1º, inciso I da Lei 8.666/1993 e no item 9.1.8 do Acórdão TCU 2.471/2008 - Plenário (Achado "Irregularidades na contratação", item II, alínea c). No que se refere à análise de mercado, em decorrência da inexistência da análise de viabilidade da contratação, não há no processo o levantamento de soluções disponíveis no mercado e a análise de projetos similares, os quais são necessários para subsidiar a decisão quanto à prestação de serviço, não obstante se tratar de contrato emergencial. Com efeito, o Ministério incorre no risco de realizar contratação de forma demasiadamente onerosa, bem como de não ver atingidos os resultados esperados (Achado "Irregularidades na contratação", item II, alínea d). Em relação às cláusulas de penalidades, elas estão previstas tão-somente de forma genérica, o que impossibilita a aplicação de sanções de forma objetiva, propiciando a ineficiência na prestação dos serviços (Achado "Irregularidades na contratação", item II, alínea e). Com relação à Estimativa de preço, entende-se que não houve fundamentação para os preços estimados que orientaram a contratação (Achado "Irregularidades na contratação", item II, alíneaf). No que se refere ao DFP do orçamento-base, o seu não preenchimento por parte das empresas que informaram a proposta na pesquisa de preços, dificultou o julgamento da proposta mais vantajosa (Achado "Irregularidades na contratação", item II, alínea g). Quanto ao parecer jurídico, entende-se que os controles utilizados pela Consultoria Jurídica do MRE para análise dos processos licitatórios mostraram-se falhos, pois não foram considerados importantes aspectos prévios e necessários à licitação (Achado "Irregularidades na contratação", item II, alíneah). 3.18.5 - Proposta de encaminhamento: Alertar o Ministério das Relações Exteriores quanto às seguintes impropriedades constatadas no processo de contratação referente ao Contrato DCD 02/2009: a) Não execução do processo de planejamento previsto na IN 04/2008- SLTI/MPOG, observando a sequência lógico-temporal entre as tarefas e os ritos de aprovação dos artefatos produzidos ao longo do processo (Achado "Irregularidades na contratação", item I, alínea a);16 de 32 25/5/2011 13:12
  17. 17. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=9&... b) Ausência de elementos básicos na fundamentação do objetivo da contratação, decorrente do descumprimento dos arts. 6º, I, e art. 10 parágrafo 7º do Decreto-lei 200/67 e art. 2º, I, II e III, do Decreto 2.271/1997 (Achado "Irregularidades na contratação", item I, alínea b); c) Inexistência da análise de mercado, não permitindo que o administrador conclua pela conveniência e oportunidade da contratação, decorrente do descumprimento do art. 6º, inciso IX, alínea f; art. 7º, § 2º, inciso II; art. 15, incisos II e V; art. 24, inciso VII; art. 40, § 2º, inciso II; art. 43, inciso IV; art. 44, § 3º; e art. 48, todos da Lei 8.666/93 (Achado "Irregularidades na contratação", item I, alínea c); d) Ausência de pesquisa de preços nos processos de contratação referentes à prestação de serviços de tecnologia da informação, com estimativas de preços suficientemente fundamentadas e detalhadas, utilizando-se, para isso, além das pesquisas de preços junto a fornecedores, outras fontes como, por exemplo, contratos junto a outros órgãos da Administração Pública, em conformidade com o disposto no art. 40, § 2º, inciso II, c/c o art. 43, inciso IV da Lei 8.666/93 (Achado "Irregularidades na contratação", item I, alínea d); e) Falha no parecer jurídico que não realizou a análise do processo de contratação sob a orientação da IN 04/2008-SLTI (Achado "Irregularidades na contratação", item I, alínea e); Alertar o Ministério das Relações Exteriores quanto às seguintes impropriedades constatadas no processo de contratação referente ao Contrato DCD 03/2010: a) Não execução do processo de planejamento previsto na IN 04/2008- SLTI/MPOG, observando a sequência lógico-temporal entre as tarefas e os ritos de aprovação dos artefatos produzidos ao longo do processo (Achado "Irregularidades na contratação", item II, alínea a); b) Ausência de elementos básicos na fundamentação do objetivo da contratação, decorrente do descumprimento dos arts. 6º, I e art. 10 parágrafo 7º do Decreto-lei 200/67 e art. 2º, I, II e III do Decreto 2.271/1997 (Achado "Irregularidades na contratação", item II, alíneab); c) Exigência de atributos técnicos obrigatórios que frustram o caráter competitivo do certame por não indicarem necessariamente maior capacidade do fornecedor ou por não servirem para avaliar aspecto relevante ou pertinente do serviço e aferir a qualidade técnica da proposta, descumprindo o disposto no item 9.1.8 do Acórdão TCU 2.471/2008 - Plenário (Achado "Irregularidades na contratação", item II, alíneac); d) Inexistência da análise de mercado, não permitindo que o administrador conclua pela conveniência e oportunidade da contratação, decorrente do descumprimento do art. 6º, inciso IX, alínea f; art. 7º, § 2º, inciso II; art. 15, incisos II e V; art. 24, inciso VII; art. 40, § 2º, inciso II; art. 43, inciso IV; art. 44, § 3º; e art. 48, todos da Lei 8.666/93 (Achado "Irregularidades na contratação", item II, alínea d); e) Inexistência de cláusulas de penalidades específicas quanto às possíveis falhas na execução dos serviços, em desacordo com os princípios da proporcionalidade e da prudência, e também do art. 14, II, d, da IN 04/2008-SLTI (Achado "Irregularidades na contratação", item II, alínea e); f) Ausência de pesquisa de preços nos processos de contratação referentes à prestação de serviços de tecnologia da informação, com estimativas de preços suficientemente fundamentadas e detalhadas, utilizando-se, para isso, além das pesquisas de preços junto a fornecedores, outras fontes como, por exemplo, contratos junto a outros órgãos da Administração Pública, em conformidade com o disposto no art. 40, § 2º, inciso II, c/c o art. 43, inciso IV da Lei 8.666/93 (Achado "Irregularidades na contratação", item II, alínea f); g) Inexistência do preenchimento, quando da pesquisa de preços, do Demonstrativo de Formação de Preços (DFP), dificultando a análise da proposta mais vantajosa pela Administração, descumprindo o Acórdão 2.170/2007 - Plenário (Achado "Irregularidades na contratação", item II, alínea g); h) Falha no parecer jurídico que não realizou a análise do processo de contratação sob a orientação da IN 04/2008-SLTI (Achado "Irregularidades na contratação", item II, alínea h). 3.19 - Irregularidades na gestão contratual17 de 32 25/5/2011 13:12

×