Auditoria interna de ti 2

2.106 visualizações

Publicada em

GOVERNACA DE TI

Publicada em: Negócios
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
2.106
No SlideShare
0
A partir de incorporações
0
Número de incorporações
4
Ações
Compartilhamentos
0
Downloads
94
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Auditoria interna de ti 2

  1. 1. Específica TI Auditoria de Tecnologia da Informação 1
  2. 2. TECNOLOGIA DA INFORMAÇÃO E ATIVIDADE DE FISCALIZAÇÃO 2
  3. 3. Auditoria de TI •Abordagens –Auditoria de Governança de TI –Auditoria de Sistemas –Auditoria de Segurança da Informação –Auditoria de Dados –Auditoria de Contratação de TI 3
  4. 4. Método de Auditoria de TI •Fases –Levantamento –Planejamento –Execução –Elaboração do Relatório –Monitoramento 4
  5. 5. Método de Auditoria de TI •Matrizes –Planejamento –Achados •Técnicas de Auditoria de Conformidade •Técnicas de Auditoria Operacional 5
  6. 6. Levantamento •Informações iniciais –Objetivos institucionais –Legislação aplicável –Estrutura organizacional •Avaliação dos Controles Internos –O auditor, para determinar a extensão e o alcance da fiscalização, deve examinar e avaliar o grau de confiabilidade dos controles internos (Normas de Auditoria da Intosai) 6
  7. 7. Avaliação dos Controles de TI •Avaliação limitada: avaliação menos profunda dos controles gerais e de aplicativos, que pode ser realizada por equipes compostas somente por auditores que não detenham conhecimentos específicos de TI. Os controles pertinentes são examinados na extensão necessária para o atendimento dos objetivos da auditoria. 7
  8. 8. Avaliação dos Controles de TI •Controles Gerais •Controles de Aplicativos •Análise de Dados 8
  9. 9. Controles Gerais •Políticas e padrões organizacionais, especialmente relacionados à TI •Organização e administração da TI •Segregação de funções •Procedimentos de Segurança •Controles físicos (de acesso e de ambiente) •Controles lógicos de acesso 9
  10. 10. Controles Gerais •Desenvolvimento de sistema e alterações de programas •Plano de Continuidade de Negócios •Computação de usuário final 10
  11. 11. Controles de Aplicativos •Controles e procedimentos que garantem que apenas as transações válidas são processadas e registradas •Controle no(a): –Entrada de Dados –Processamento de Dados –Saída de Dados 11
  12. 12. Controle de Aplicativos •São específicos dos sistemas e são implementados para prevenir, detectar e corrigir erros e irregularidades em transações durante a entrada, processamento e saída de dados •Possui como objetivo garantir um processamento confiável e exato, a partir de controles incorporados diretamente em programas aplicativos, nas três áreas de operação: entrada, processamento e saída de dados 12
  13. 13. Análise de Dados •Segundo princípios geralmente aceitos de auditoria, quanto menor a confiabilidade dos controles gerais ou de aplicativo (ou se esses não forem avaliados), maior a extensão dos testes necessários para determinar a confiabilidade dos dados •Papel da evidência: –Única evidência para fundamentar um achado –Evidência auxiliar ou de ratificação –Informação geral (histórico, descrições etc.) 13
  14. 14. Planejamento •Nesta fase, deve ser definido: –Objetivo da auditoria –Objeto da auditoria –Universo a ser auditado (escopo) –Técnicas e procedimentos a serem utilizados –Critérios de auditoria –Etapas e cronogramas –Recursos humanos e materiais 14
  15. 15. Etapas do Planejamento •Visão geral •Avaliação dos Controles Internos •Elaboração da Matriz de Planejamento –A Avaliação dos Controles Internos deve ser feita caso não tenha sido realizada a fase de Levantamento 15
  16. 16. Visão Geral •Objetivos institucionais •Estrutura Organizacional •Legislação Aplicável •Práticas Administrativas •Planos Estratégicos •Descrição do Objeto da Fiscalização 16
  17. 17. Conhecendo o auditado •Compreender o negócio é essencial para identificar os riscos e controles •Direcionar os esforços da auditoria de forma mais eficiente •Entender o negócio –Processos –Pessoas –Tecnologia 17
  18. 18. Conhecendo o auditado •Algumas questões a serem respondidas –Existem problemas que o auditor deveria conhecer melhor? –Há alguma previsão de mudança na organização? –Quais são os principais sistemas e bases de dados? –Quem o auditor deve entrevistar para obter as informações de que necessita? 18
  19. 19. Conhecendo o auditado •Fontes de informação: –Levantamento de auditorias anteriores –Relatórios de auditorias realizadas –Relatórios de auditoria interna –Discussão com a gerência e com outros auditores que já realizaram trabalhos na unidade a ser auditada –Orçamento da unidade auditada –Documentos de estratégia de TI ou Plano Diretor de TI –Legislação e normas aplicáveis –Entrevistas –Internet 19
  20. 20. Matriz de Planejamento •Instrumento para organizar as informações relevantes do planejamento de um auditoria •Homogeneização do entendimento da equipe e demais envolvidos quanto a: –O objetivo do trabalho –Os passos a serem seguidos –A estratégia metodológica a ser adotada •Orienta os integrantes da equipe nas fases de execução e de elaboração do relatório 20
  21. 21. Matriz de Planejamento Questões de Auditoria Informações requeridas Fontes de Informação Detalhamento do Procedimento Objetos Membro responsável Período Possíveis Achados Apresentar, em forma de perguntas, os diferentes aspectos que compõem o escopo da fiscalização e que devem ser investigados com vistas à satisfação do objetivo Identificar as informações necessárias para responder à questão de auditoria Identificar as fontes de cada item de informação requerida da coluna anterior. Estas fontes estão relacionadas com as técnicas empregadas Descrever as tarefas que serão realizadas, de forma clara, esclarecendo os aspectos a serem abordados (itens de verificação ou check list) Indicar o documento, o projeto, o programa. O processo ou o sistema no qual o procedimento será aplicado. Exemplos: contrato, folha de pagamento, base de dados, ata, edital, ficha financeira, processo licitatório, orçamento. Pessoa(s) da equipe encarregada(s) da execução de cada procedimento Dia(s) em que o procedimento será executado Esclarecer com precisão que conclusões ou resultados podem ser alcançados 21
  22. 22. Elaboração da Matriz de Planejamento •Elaborar o objetivo da auditoria, após o diagnóstico da situação, e determinar a linha de investigação, mediante a formulação das questões de auditoria •Determinar, para cada questão de auditoria, possíveis achados, ou seja, onde se deseja chegar com a investigação •Identificar as informações requeridas e onde as obter (fontes de informação) 22
  23. 23. Elaboração da Matriz de Planejamento •Elaborar procedimentos e descrevê-los passo a passo, para colher informações, analisá-las e obter as evidências com objetivo de responder às questões de auditoria •Identificar o membro da equipe responsável pelo procedimento •Especificar o período de realização do procedimento (cronograma) •Identificar os objetos que foram analisados (fase de execução) 23
  24. 24. Execução da auditoria •Etapas da fase de execução: –Aplicação dos Procedimento definidos –Acumulação de Evidências –Desenvolvimento dos Achados –Elaboração da Matriz de Achados 24
  25. 25. Desenvolvimento dos Achados •Consiste no acúmulo organizado de informações (ou evidências) apropriadas e necessárias para esclarecê-los e sustentá-los 25
  26. 26. Atributos de uma achado •Condição (Situação Encontrada) •Critério (Situação Desejada) •Causas •Efeitos 26
  27. 27. Premissas dos Achados •Os achados da auditoria devem levar em conta o nível de risco associado •Bom senso em apresentar achados de baixo risco •Deve-se ser realista, usar a empatia •Cada falha apontada deve estar suportada por evidências e papéis de trabalho 27
  28. 28. Matriz de Achados •Composta das seguintes informações: –Achado –Situação Encontrada –Critério –Evidência –Causas –Efeitos –Encaminhamento (Proposta) 28
  29. 29. Matriz de Achados Achado Situação Encontrada Critério Evidência Causas Efeitos Encaminhamento Correspondência com o Achado constante na Matriz de Planejamento Situação existente, identificada e documentada durante a fase de execução da auditoria Legislação, norma, jurisprudência, entendimento doutrinário ou padrão adotado Informações obtidas durante a auditoria no intuito de documentar os achados e de respaldar as opiniões e conclusões da equipe O que motivou a ocorrência do achado Consequências do achado Propostas da equipe de auditoria. Deve conter identificação do(s) responsável (is) A1 ... A2 ... An ... 29
  30. 30. Elaboração do Relatório •O Relatório de Auditoria é o instrumento formal e técnico por intermédio do qual a equipe de auditoria comunica: –O objetivo do trabalho –A metodologia (como foi executado) –Os achados (resultado obtido) –As conclusões (avaliações e opiniões) –A proposta (recomendações e determinações) 30
  31. 31. Requisitos de um Relatório Efetivo •Clareza •Convicção •Concisão •Exatidão •Relevância •Tempestividade •Objetividade 31
  32. 32. Monitoramento •Etapas da fase de monitoramento –Verificações das Ações Tomadas –Aplicação dos Procedimentos –Acumulação das Evidências –Elaboração da Matriz de Achados –Elaboração do Relatório 32
  33. 33. Controles Gerais de TI •Objetivo dos Controles –Prevenir fraudes, erros, desperdícios, abusos –Proteger o ativo –Assegurar a obediência às diretrizes, planos, normas e procedimentos –Assegurar a validade e integridade dos dados para tomada de decisão –Caráter preventivo –Voltados para a correção de desvios –Instrumentos auxiliares de gestão em todos os níveis hierárquicos 33
  34. 34. Controles Gerais de TI •Consistem na estrutura, políticas e procedimentos que se aplicam aos sistemas aplicativos e base de dados de uma organização •Influem no ambiente em que os sistemas aplicativos e os controles irão operar •Buscam garantir a integridade dos sistemas com um todo, incluindo todos os aplicativos, dados e arquivos. 34
  35. 35. Controles Gerais de TI •Durante uma auditoria em que seja necessário avaliar algum sistema ou base de dados em particular, é preciso inicialmente avaliar os controles gerais que atuam sobre a estrutura computacional da unidade auditada •Um ambiente de controle estável e bem gerenciado reforça a efetividade dos controles de aplicativos 35
  36. 36. Controles Gerais de TI •Políticas e padrões organizacionais, especialmente relacionados à TI •Organização e administração da TI •Segregação de funções •Procedimentos de Segurança •Controles Físicos (de Acesso e Ambiente) •Controles Lógicos de Acesso 36
  37. 37. Controles Gerais de TI •Desenvolvimento de sistema e alterações de programas •Plano de Continuidade de Negócios (PCN) •Computação de usuário final 37
  38. 38. Normas e Padrões em Auditoria de TI •Constituição Federal •Legislação Brasileira •CobIT – Governança de TI •NBR ISO/IEC 38500 – Governança de TI •ITIL – Serviços de TI •NBR ISO/IEC 20000 – Serviços de TI •Série NBR ISO/IEC 27000 – Segurança da Informação •Outros padrões 38
  39. 39. AUDITORIA DE SISTEMAS DE INFORMAÇÃO 39
  40. 40. Auditoria de Sistemas •Aborda aspectos de integridade, disponibilidade, confidencialidade, aderência às normas (conformidade), controles internos, entrada, processamento e saída de dados, efetividade, satisfação e usabilidade de um sistema de informação em particular •Sistemas ainda em desenvolvimento podem ser avaliados e acompanhados 40
  41. 41. Auditoria de Sistemas •Principais enfoques –Entendimento do negócio: compreender o negócio é essencial para identificar os riscos e avaliar os controles; –Verificação da aderência dos aplicativos à logica e às regras de negócio; –Análise do controles gerais aplicados aos sistemas; –Análise dos controles internos dos aplicativos; –Verificação da satisfação dos usuários. 41
  42. 42. Auditoria de Sistemas •Características –Avaliação das funcionalidades do sistema –Diversidade de situações: cada sistema implementa funcionalidades específicas do negócio para o qual foi desenvolvido –Necessidade de conhecimento da legislação relacionada ao negócio suportado pelo sistema –Necessidade de conhecimentos específicos de Tecnologia da Informação –Avaliação de aspectos de conformidade e aspectos operacionais –Em geral, são auditorias que demandam mais tempo que auditorias de contratações, por exemplo. 42
  43. 43. Controles de Aplicativos •Têm como objetivo garantir que o processamento seja confiável e exato (integridade das transações) a partir de controles incorporados diretamente em programas aplicativos nas três áreas de operação (entrada, processamento e saída de dados) •Os controles são específicos para cada aplicativo pois estão relacionados com a lógica do negócio implementada 43
  44. 44. Controles de Aplicativos •Os controles de acesso podem variar entre diferentes aplicativos •Os controles gerais oferecem alguma garantia de que os objetivos gerais de controle são satisfeitos, agindo como fundação, sobre a qual os controles de aplicativo específicos podem ser projetados 44
  45. 45. Controles de Aplicativos •Controles de Entrada de Dados –São projetados para garantir que os dados são convertidos para um formato padrão e inseridos na aplicação de forma precisa, completa e tempestiva –Eles devem detectar transações não autorizadas, incompletas, duplicadas ou errôneas, e assegurar que sejam controladas até serem corrigidas –São também conhecidos como críticas de entrada de dados. Críticas de formatos (data, número), regras de negócio, regras de integridade 45
  46. 46. Controles de Aplicativos •Controles de Processamento –Devem assegurar que todos os dados sejam processados e que o aplicativo seja executado com sucesso, usando os arquivos, as rotinas e a lógica de processamento corretos –As rotinas de tratamento de erros devem ser capazes de identificar transações com erros, gerando mensagens claras e objetivas, e suspender seu processamento sem afetar a execução de outras transações válidas 46
  47. 47. Controles de Aplicativos •O controle deve ser capaz de registrar a ocorrência dos principais erros para que seja possível identificá-los tempestivamente e corrigi-los 47
  48. 48. Controles de Aplicativos •Controles de Saída de Dados –Devem garantir a integridade e a correta e tempestiva distribuição dos dados de saída –Permitem a revisão e confronto das contagens de registro de saída com totais de controle para garantir que os dados não foram inseridos ou omitidos indevidamente (ex.: totalizadores) –Devem existir controles para classificar relatórios considerados confidenciais, críticos ou de acesso geral, além de restringir o acesso de dados confidenciais somente às pessoas autorizadas 48
  49. 49. Satisfação dos Usuários •Busca levantar informações sobre a eficácia e a eficiência dos sistemas sob o ponto de vista de seus usuários •Verificado por meio de questionários e entrevistas •Pode revelar diversos aspectos, problemas, inconformidades, entre outros fatos que não seriam detectados apenas pela análise técnica dos sistemas e seus controles (ex.: deficiências de treinamento) •Pode ser utilizado para obter indícios sobre a confiabilidade dos dados 49
  50. 50. Auditoria de Governança de TI •Aborda aspectos gerenciais da área de TI e visa certificar-se de que a gestão dos serviços oferecidos, dos investimentos de TI, das pessoas integrantes, das políticas, do processo de controle e da própria estrutura organizacional concorrem para que a organização atinja seus objetivos de forma eficiente •Governança pressupõe gestão contínua dos riscos tecnológicos 50
  51. 51. AUDITORIA DE GOVERNANÇA DE TI 51
  52. 52. Governança •“É a maneira pela qual o poder é exercido na administração dos recursos sociais e econômicos de um país visando o desenvolvimento” World Bank. 1992. Governance and development. Washington, DC : The World Bank. http://documents.worldbank.org/curated/en/1992/04/440582/governance-development 52
  53. 53. Governança Corporativa •Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, conselho de administração, diretoria e órgãos de controle. As boas práticas de governança corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso ao capital e contribuindo para a sua longevidade. Site: http://www.ibgc.org.br/Secao.aspx?CodSecao=17, acessado em 21/01/2014. 53
  54. 54. Governança Corporativa •Surgiu para superar o “conflito de agência” decorrente da separação entre a propriedade (acionistas) e a gestão empresarial (agentes especializados com poder de decisão sobre a propriedade). O conflito de agência ou conflito agente-principal ocorre quando os interesses do gestor não estão alinhados com os do proprietário. IBIDEM, Origem da Boa Governança 54
  55. 55. Governança x Gestão •Gestão – O sistema de controles e processos necessário para alcançar os objetivos estratégicos estabelecidos pela direção da organização (NBR ISO/IEC 38500, item 1.6.9) •Gestão controla tarefas executivas, enquanto governança controla a gestão. •Governança não controla diretamente tarefas executivas. Ela monitora os controles sobre as tarefas executivas e adota medidas corretivas sob certas condições de risco pré-definidas. 55
  56. 56. Auditoria de Governança de TI •Objetivos da Governança de TI –Assegurar que as ações de TI estejam alinhadas com o negócio da organização, agregando-lhe valor –Medir o desempenho da área de TI, alocar propriamente os recursos e mitigar os riscos inerentes –Gerenciar e controlar as iniciativas de TI nas organizações para garantir o retorno de investimentos e a adoção de melhorias nos processos organizacionais 56
  57. 57. Auditoria de Governança de TI •Como o CobIT pode ser utilizado nas auditorias? –Seus objetivos de controle são utilizados como critérios de auditoria –Ele é referenciado como um guia, uma referência de boas práticas de Governança de TI –Não possui o mesmo peso de uma lei ou norma –Utilizado principalmente para propor recomendações a órgãos e entidades –Contudo, ele pode ser utilizado para propor determinações quando combinado com os normativos existentes (ex.: Acórdão 669/2008-TCU-Plenário) ou caso a equipe de auditoria considere que a sua não implementação ocasiona riscos muito elevados (Acórdão 10033/2009) 57
  58. 58. AUDITORIA DE BANCO DE DADOS 58
  59. 59. Auditoria de Dados •Aborda os dados contidos em meios de armazenamento eletrônico a fim de se certificar que são íntegros, confiáveis e em conformidade com as leis que regem o negócio •Possibilita a verificação de toda a base de dados auditada •Permite o cruzamento de informações com outras bases de dados a fim de verificar a fidedignidade dos registros auditados 59
  60. 60. Auditoria de Dados •Quando realizar? –Existência de um grande volume de dados para analisar –Possibilidade de se verificar até 100% dos dados armazenados –Necessidade de se utilizar dados processados por computador para fundamentar achados de auditoria –Necessidade de se determinar se os dados podem ser considerados completos e exatos –Possibilidade de comparação de informações obtidas em diferentes fontes 60
  61. 61. Indícios de problemas na confiabilidade dos dados •Documentação ausente ou precária •Sistemas antigos, que exigem muita manutenção •Estrutura de dados complexas e desorganizadas •Alta rotatividade de pessoal e treinamento inadequado ou em escala insuficiente •Falta de padrões para o processamento de dados, especialmente quanto à segurança, acesso e controle de mudança de programas 61
  62. 62. Auditoria de Dados •Benefícios –Auditorias mais eficientes, eficazes e abrangentes –Pode produzir uma redução do tempo para execução de auditoria posterior –Pareceres mais conclusivos –Resultados mais expressivos 62
  63. 63. Auditoria de Dados •Dificuldades –Heterogeneidade na forma de apresentação dos dados –Grande complexidade dos dados –Complexidade da análise que se pretende fazer sobre os dados –Disposição desordenada dos dados armazenados –Qualidade precária dos dados –Dificuldade de obtenção das bases de dados –Ausência de chaves comuns entre os arquivos 63
  64. 64. Escopo e Planejamento •Identificar os arquivos mais adequados –Contato com a área de TI do órgão auditado –Mapeamento dos principais arquivos –Definição dos campos a serem obtidos –A dificuldade de mapear arquivos ou a falta de tempo podem conduzir a uma abordagem com definição imediata das informações necessárias, sem o estudo prévio das bases de dados relacionadas 64
  65. 65. Escopo e Planejamento •Mapeamento dos principais arquivos –Obter o Modelo de Dados, se houver –Junto a área técnica, identificar qual o objetivo dos principais arquivos –Identificar os arquivos que tenham relação com as questões de auditoria 65
  66. 66. Escopo e Planejamento •Definição dos campos a serem obtidos –Solicitar o layout dos arquivos selecionados –Junto com a área técnica, identificar qual a chave primária dos arquivos –Para cada arquivo, identificar os campos que tenham relação com as questões de auditoria formuladas –Certificar-se de que os arquivos e campos selecionados responderão às questões de auditoria 66
  67. 67. Escopo e Planejamento •Observações na definição dos campos a serem obtidos –Verificar se estão faltando informações que seriam úteis –Chaves primárias sempre devem ser recuperadas –Campos calculados devem ser evitados. Deve-se dar preferência aos campos atômicos –Os dados não obrigatoriamente estão armazenados na forma que aparecem nas telas e relatórios de sistemas informatizados 67
  68. 68. Escopo e Planejamento •Definir a geração dos dados –Definir o período e/ou situação a ser contemplada –Definir de comum acordo o melhor formato dos arquivos e a data de geração –Requisitar formalmente a geração dos arquivos 68
  69. 69. Escopo e Planejamento •Observações na definição da geração dos dados –O arquivo não deve ser um back-up –Necessidade de fornecimento de layout dos arquivos junto aos dados –Tipos de formatos (alguns) •Dados em formatos ASCII de comprimento fixo ou •Formatos compatíveis com MS Excel, Access ou •Formatos CSV •Como última alternativa, relatório padrão ou elaborado 69
  70. 70. Escopo e Planejamento •Observações finais – O planejamento de uma auditoria de dados toma mais tempo que os demais tipos de auditoria. Isso se deve à necessidade de se conhecer previamente as bases de dados e o negócio –Contatos, negociação e pedido de geração de bases pertencentes a órgãos não abrangidos pela auditoria devem ser feitos nesta fase, quando for o caso –Em virtude da necessidade de extração de dados, pode ser conveniente a interrupção da auditoria nessa fase, até que os arquivos sejam recebidos 70
  71. 71. Execução •Tipos de testes –Testes de integridade de dados: determinam se o universo contém todos os elementos de dados e registros relevantes para o objetivo da auditoria –Testes de autenticidade de dados: verificam se os dados refletem sua fonte –Testes de exatidão do processamento: informam se todos os registros relevantes foram processados de forma completa e se todos os processamentos atenderam aos objetivos 71
  72. 72. AUDITORIA DE CONTRATAÇÃO DE BENS E SERVIÇOS DE TI 72
  73. 73. Auditoria de Contratação de TI •Certifica que os procedimentos adotados pela organização para aquisição de bens e serviços de TI e gestão dos respectivos contratos são eficazes, eficientes, atendem aos objetivos e necessidades do negócio e obedecem aos dispositivos legais 73
  74. 74. O Antigo Modelo de Contratação de TI •Consiste na reunião de todos os serviços de informática da organização em um único e grande contrato, adjudicado a uma única empresa, com pagamentos realizados por hora trabalhada. •Essas contratações equivalem a um CPD completo e terceirizado. 74
  75. 75. O Antigo Modelo de Contratação de TI •Serviços normalmente incluídos –Planejamento –Coordenação-geral de projetos –Administração e suporte de redes –Suporte a usuários –Projeto e desenvolvimento de sistemas –Administração de dados e serviços –Documentação de projetos –Processamento de imagens –Serviços técnicos de processamento de dados –Serviços de digitação, operação de microcomputadores 75
  76. 76. Desvantagem do Antigo Modelo de Contratação de TI •Ausência de parcelamento do objeto –Potencial limitação à competição –Risco de onerar indevidamente o contrato –Risco estratégico (dependência) –Risco na segurança da informação •Pagamento por homem-hora (HH) –Risco exclusivo do contratante –Antieconômico: “Paradoxo lucro-incompetência” –Risco de remuneração de horas improdutivas 76
  77. 77. Desvantagem do Antigo Modelo de Contratação de TI •Potencial limitação à competição nas licitações –Requisitos de habilitação e de pontuação da proposta técnica estabelecidos no edital muito abrangentes; –Restringe, em regra, a participação no certame às grandes empresas, afastando-se as empresas de menor porte, restringindo a competição •Risco de onerar indevidamente o contrato 77
  78. 78. Desvantagem do Antigo Modelo de Contratação de TI •Risco estratégico (dependência) –Monopolização do conhecimento do setor de TI pela única empresa contratada –Fragilização do controle da Administração sobre dados e sistemas institucionais –Alta dependência da Administração em relação à empresa contratada –Na eventual impossibilidade de a empresa continuar a executar o contrato (falência, extinção, dificuldades financeiras etc.), a Administração teria dificuldade na execução de todos os serviços de informática 78
  79. 79. Desvantagem do Antigo Modelo de Contratação de TI •Risco na Segurança da Informação –Uma única empresa contratada teria acesso a todos os sistemas e dados do órgão/entidade, inclusive os estratégicos e sigilosos, aliado ao fato de, em regra, não existir política de segurança definida e implementada. 79
  80. 80. Desvantagem do Antigo Modelo de Contratação de TI •Risco exclusivo do contratante •Antieconômico: o pagamento da contratada com base exclusivamente em horas trabalhadas possibilita a ocorrência do chamado lucro- incompetência: quanto menor a qualificação dos profissionais alocados na prestação de serviço, maior o número de horas necessárias para executá-lo, maior o lucro da empresa contratada e maior o custa para a Administração 80
  81. 81. Desvantagem do Antigo Modelo de Contratação de TI •Remuneração de todas as horas de disponibilidade dos empregados da empresa, ainda que não produtivas, de modo que a empresa é, muitas vezes, remunerada sem que haja a contraprestação em serviços efetivamente realizados (hipótese de contratação por posto de serviço). 81
  82. 82. Maiores problemas do Antigo Modelo •Ausência de mecanismos para gestão do contrato (devido à ausência de planejamento) –Qual o “tamanho” do serviço? –Qual a qualidade esperada do serviço? –Quais os indicadores (objetivos) para mensuração? –Quais os procedimentos para acompanhamento e fiscalização? –Qual será o instrumento de controle utiliado? 82
  83. 83. Maiores problemas do Antigo Modelo •Recursos Humanos –“... Preparados para executar as atividades estratégicas de planejar, definir, espedcificar, supervisionar e controlar a operação de seus setores de informática de maneira independente das empresas prestadoras de serviço...” Excerto do voto condutor do Acórdão nº 786/2006 TCU- Plenário 83
  84. 84. Planejamento de TI •Conveniente é que se tenha o planejamento estratégico da organização e, a partir dele, retirem-se as informações necessárias ao planejamento de TI, pois são altamente interdependentes. »IN nº 04, art. 4º, parágrafo único. 84
  85. 85. Novo Modelo de Contratação de TI •O Novo Modelo de Contratação de TI se baseia: –No planejamento da contratação –No parcelamento dos serviços de TI em tantos itens quantos sejam tecnicamente possíveis, convenientes ao órgão e economicamente viável •Em licitação independente •No estabelecimento de exigências de habilitação e de avaliação da proposta técnica específicas para cada serviço 85
  86. 86. Planejamento de TI •Plano Diretor de TI – PDTI É o instrumento de diagnóstico, planejamento e gestão dos recursos e processos de Tecnologia da Informação que visa atender às necessidades tecnológicas e de informação de um órgão ou entidade para um determinado período. »IN nº 04, art. 2º, inciso XXII. 86
  87. 87. Planejamento de TI •“Inconcebível que se inicie processo de informatização sem se proceder ao levantamento prévio de necessidades, que seja realizado em harmonia como planejamento estratégico da instituição e seu plano diretor de informática”. »Acórdão 1.521/2003-TCU-Plenário. 87
  88. 88. Planejamento de TI •Jurisprudência do TCU –Acórdão 1.521/2003-TCU-Plenário –Acórdão 1.558/2003-TCU-Plenário –Acórdão 2.094/2004-TCU-Plenário –Acórdão 667/2005-TCU-Plenário –Acórdão 1.970/2006-TCU-Plenário –Acórdão 1.603/2008-TCU-Plenário –Acórdão 2.471/2008-TCU-Plenário 88
  89. 89. Parcelamento dos Serviços de TI •Os serviços devem ser parcelados, na medida da viabilidade técnica e econômica, permitindo-se, assim, licitações distintas para cada parcela, ampliando-se a competitividade e proporcionando-se o melhor aproveitamento dos recursos disponíveis no mercado (Lei 8.666/93, art. 23, §§ 1º e 2º e IN nº 04/2010, art. 5º, I e II). 89
  90. 90. Parcelamento dos Serviços de TI •Vantagens: –Possibilita a participação de empresas especialistas, reduzindo-se preço e aumentando- se qualidade. –A redução do risco estratégico e de segurança para a Administração, que não dependerá de uma única empresa para dar andamento às atividades do setor de informática (vide art. 2º, § único da IN nº 02/2008). 90
  91. 91. Parcelamento dos Serviços de TI •Em observância ao princípio da segregação de funções, o órgão não poderá contratar o mesmo prestador para realizar serviços de execução e fiscalização relativos ao mesmo objeto (IN nº 02/2008, § 2º e 19, I e II) •IN nº 04/2010 – “Art. 6 Nos casos em que a avaliação, mensuração ou fiscalização da Solução de Tecnologia da Informação seja objeto de contratação, a contratada que provê a Solução de Tecnologia da Informação não poderá ser a mesma que a avalia, mensura ou fiscaliza”. 91
  92. 92. Parcelamento dos Serviços de TI •Jurisprudência do TCU –Súmula 247/TCU –Acórdão 1.521/2003-Plenário –Acórdão 1.558/2003-Plenário –Acórdão 667/2005-Plenário –Acórdão 2.103/2005-Plenário –Acórdão 116/2006-Plenário –Acórdão 786/2006-Plenário 92
  93. 93. Pagamento por Resultados •Instrução Normativa nº 04/2010 –Art. 15 •§ 2º A aferição de esforço por meio da métrica homem- hora apenas poderá ser utilizada mediante justificativa e sempre vinculada à entrega de produtos de acordo com prazos e qualidade previamente definidos. •§ 3º É vedado contratar por posto de trabalho alocados, salvo os casos justificados mediante a comprovação obrigatória de resultados compatíveis com o posto previamente definido. 93
  94. 94. Pagamento por Resultados •Acórdão 667/2005-TCU-Plenário –“9.3.3 adote metodologias de mensuração de serviços prestados que privilegiem a remuneração das contratadas mediante a mensuração de resultados e que eliminem a possibilidade de remunerar as empresas com base na quantidade de horas trabalhadas ou nos postos de trabalho”. 94
  95. 95. Qualidade •Instrução Normativa nº 04/2010 –“Art. 15 A Estratégia da Contratação será elaborada a partir da Análise de Viabilidade da Contratação e do Plano de Sustentação, contendo no mínimo: •III – indicação, pela equipe de Planejamento da Contratação, dos termos contratuais, observado o disposto nos §§ 1º e 2º deste artigo, sem prejuízo do estabelecido na Lei nº 8.666, de 1993, relativos a: 95
  96. 96. Qualidade •Instrução Normativa nº 04/2010 “Art. 15 III (...) relativos a: a) Fixação de procedimentos e de Critérios de Aceitação dos serviços prestados ou bens fornecidos, abrangendo métricas, indicadores e valores mínimos aceitáveis; 96
  97. 97. Qualidade (...) c) Definição de metodologia de avaliação da qualidade e da adequação da Solução de Tecnologia da Informação às especificações funcionais e tecnológicas; 97
  98. 98. Controle Efetivo sobre a Execução do Contrato •Instrução Normativa nº 04/2010 –“Art. 20 A fase de Gerenciamento do Contrato visa acompanhar e garantir a adequada prestação dos serviços e fornecimento dos bens que compõem a Solução de Tecnologia da Informação durante todo o período de execução do contrato...” 98
  99. 99. Controle Efetivo sobre a Execução do Contrato •Instrução Normativa nº 02/2008 –“Art. 31 O acompanhamento e a fiscalização da execução do contrato consistem na verificação da conformidade da prestação dos serviços e da alocação dos recursos necessários, de forma a assegurar o perfeito cumprimento do contrato...” 99
  100. 100. Controle Efetivo sobre a Execução do Contrato •Instrução Normativa nº 02/2008 –“Art. 32 (...) Parágrafo único. O órgão ou entidade contratante deverá estabelecer ainda reuniões periódicas, de modo a garantir a qualidade da execução e o domínio dos resultados e processos já desenvolvidos por parte do corpo técnico do órgão contratante”. 100
  101. 101. Processo de Contratação de TI •“Na contratação de bens e serviços de TI é essencial a adoção de processo de trabalho formalizado, padronizado e judicioso quanto ao custo, à oportunidade e aos benefícios advindos para a organização. Esse processo melhora o relacionamento com os fornecedores e prestadores de serviços, maximiza a utilização dos recursos financeiros alocados à área de TI e contribui decisivamente para que os serviços de TI dêem o necessário suporte às ações da organização no alcance de seus objetivos e suas metas” »Acórdão 1.603/2008-TCU-Plenário 101
  102. 102. Instruções Normativas •A Secretaria de Logística e Tecnologia da Informação – SLTI do Ministério do Planejamento editou as Instruções Normativas 02/2008 e 04/2008, as quais contemplam a maior parte das recomendações do TCU quanto à implementação do novo modelo de contratação de serviços de TI (Acórdãos 786/2006- TCU-Plenário, item 9.4; 1.480/2007-TCU-Plenário, item 9.1.2.6; e 1.999/2007-TCU-Plenário, item 9.4.1.1) 102
  103. 103. Instruções Normativas •Acórdão 1.915/2010-Plenário: “9.1 considerar que a Instrução Normativa nº 04/2008, da Secretaria de Logística e Tecnologia da Informação – SLTI/MP, implementa, ainda que parcialmente, mas em sua maior parte, as recomendações monitoradas”. 103
  104. 104. Instruções Normativas •A IN/SLTI nº 04/2010 dispõe sobre o processo de contratação de Soluções de Tecnologia da Informação pelos órgãos integrantes do Sistema de Administração dos Recursos de Informação e Informática (SISP) do Poder Executivo Federal. •A IN/SLTI nº 02/2008, que substitui a IN/MARE nº 18/1997, dispõe sobre regras e diretrizes para a contratação de serviços, continuados ou não. Essa norma aplica-se subsidiariamente à IN/SLTI nº 04/2010. 104
  105. 105. Decreto nº 7.174/2010 •“Art. 2 A aquisição de bens e serviços de tecnologia da informação e automação deverá ser precedida da elaboração de planejamento da contratação, incluindo projeto básico ou termo de referência contendo as especificações do objeto a ser contratado...” 105
  106. 106. CobIT 4.1 •AI5.1 Controle sobre aquisições –“desenvolver e seguir um conjunto de procedimento e padrões consistente com o processo de licitação e a estratégia de aquisição gerais da organização para adquirir infraestrutura, instalações, hardware, software e serviços de TI necessários ao negócio”. 106
  107. 107. Planejamento da Contratação •O planejamento da contratação é: –A forma pela qual se definem os bens e serviços de TI que se necessita adquirir e os produtos e resultados decorrentes; –O instrumento por meio do qual se definem quantidades (dentro do limite de alteração de 25%), prazos e forma de entrega; –Processo que conduz à elaboração de projeto básico ou termo de referência; 107
  108. 108. Planejamento da Contratação •O planejamento da contratação é (cont.): –Processo no qual se demonstra, por meio do projeto básico, a conexão entre a contratação e o planejamento existente (IN/SLTI nº 02/2008, art. 15, I, c). 108
  109. 109. Planejamento da Contratação •Instrução Normativa nº 04/2010 “Art. 4 As contratações de que trata esta Instrução Normativa deverão ser precedidas de planejamento, elaborado em harmonia com o PDTI, alinhado à estratégia do órgão ou entidade. Parágrafo único. Inexistindo o planejamento estratégico formalmente documentado, será utilizado o documento existente no órgão ou entidade, a exemplo do Plano Plurianual ou instrumento equivalente, registrando no PDTI a ausência do planejamento estratégico do órgão e indicando os documento utilizados. 109
  110. 110. Planejamento da Contratação •Instrução Normativa nº 04/2010 –Art. 8 AS contratações de serviços de TI deverão seguir três fases: •I – Planejamento da Contratação •II – Seleção do Fornecedor; e •III – Gerenciamento do Contrato 110
  111. 111. Planejamento da Contratação •Instrução Normativa nº 04/2010 –Art. 18 É obrigatória a execução da fase de Planejamento da Contratação, independentemente do tipo de contratação, inclusive nos casos de: •I – inexigibilidade; •II – dispensa de licitação ou licitação dispensada; •III – criação ou adesão à Ata de Registro de Preços; e •IV – contratações com uso de verbas de organismos internacionais com Banco Mundial, BIRD e outros. 111
  112. 112. Planejamento da Contratação •Instrução Normativa nº 04/2010 –Art. 9 A fase de Planejamento da Contratação terá início com o recebimento pela Área de Tecnologia da Informação do Documento de Oficialização da Demanda, a cargo da Área Requisitante da Solução, que conterá no mínimo: •I – necessidade da contratação, considerando os objetivos estratégicos e as necessidades corporativas da instituição, bem como o seu alinhamento ao PDTI; 112
  113. 113. Planejamento da Contratação •Instrução Normativa nº 04/2010 •II – a explicitação da motivação e demonstrativo de resultados a serem alcançados com a contratação da Solução de Tecnologia da Informação; •III – indicação da fonte de recursos para a contratação; •IV – indicação do Integrante Requisitante para composição da Equipe de Planejamento da Contratação. 113
  114. 114. Planejamento da Contratação •Instrução Normativa nº 04/2010 –Art. 10 A fase de Planejamento da Contratação consiste nas seguintes etapas: •I – Análise de Viabilidade da Contratação; •II – Plano de Sustentação; •III – Estratégia da Contratação; •IV – Análise de Riscos; e •V – Termo de Referência ou Projeto Básico. 114
  115. 115. Análise de Viabilidade da Contratação •Art. 11 A Análise de Viabilidade da Contratação será realizada pelos integrantes Técnico e Requisitante, compreendendo as seguintes tarefas: I – definição e especificação dos requisitos (...) II – identificação das diferentes soluções que atendam aos requisitos (...) III – análise e comparação entre os custos totais de propriedade das soluções identificadas, levando-se em conta os valores de aquisição dos ativos, insumos, garantia e manutenção (...) 115
  116. 116. Análise de Viabilidade da Contratação IV – escolha da Solução de Tecnologia da Informação e justificativa da solução escolhida (...) V – avaliação das necessidades de adequação do ambiente do órgão ou entidade para viabilizar a execução contratual, que servirá de subsídio para o Plano de Inserção (...) 116
  117. 117. Análise de Viabilidade da Contratação •A IN nº 04/2010 no parágrafo único do art. 11 estabelece que: •“A Análise da Viabilidade da Contratação será aprovada e assinada pela Equipe de Planejamento da Contratação”. 117
  118. 118. Plano de Sustentação •Art. 14 O Plano de Sustentação será elaborado pelos integrantes Técnico e Requisitante, contendo no mínimo: I – recursos materiais e humanos necessários à continuidade do negócio; II – continuidade do fornecimento da Solução de Tecnologia da Informação em eventual interrupção contratual; 118
  119. 119. Plano de Sustentação III – atividades de transição contratual e encerramento do contrato (...) IV – estratégia de independência do órgão ou entidade contratante com relação à contratada (...) Parágrafo único. O Plano de Sustentação será aprovado e assinado pela Equipe de Planejamento da Contratação. 119
  120. 120. Estratégia da Contratação •A IN nº 04/2010 estabelece: –Art. 15 A Estratégia da Contratação será elaborada a partir da Análise de Viabilidade da Contratação e do Plano de Sustentação, contendo no mínimo: •I – indicação, pelo Integrante Técnico da Solução de Tecnologia da Informação a ser contratada; •II – definição, pelo Integrante Técnico, das responsabilidades da contratada que não poderá se eximir do cumprimento integral do contrato mesmo havendo subcontratação; 120
  121. 121. Estratégia da Contratação •III – indicação, pela Equipe de Planejamento da Contratação, dos termos contratuais (...) •IV – elaboração, pelos Integrantes Administrativo e Técnico, do orçamento detalhado em preços unitários, fundamentado em pesquisa de mercado, a exemplo de contratações similares, valores oficiais de referência, pesquisa junto a fornecedores ou tarifas públicas. »Acórdão 525/2008-TCU-2ªCâmara, item 9.1.9 121
  122. 122. Estratégia da Contratação •Art. 15 (...) –V – elaboração, pelo Integrante Requisitante, da estimativa do impacto econômico-financeiro no orçamento do órgão ou entidade, com indicação das fontes de recurso; –VI – elaboração, pela Equipe de Planejamento da Contratação, dos seguintes modelos de documentos: •A) termo de compromisso, contendo declaração de manutenção de sigilo (...) •B) termo de ciência da declaração de manutenção (...) 122
  123. 123. Termos Contratuais •Art. 15 (...) –III – indicação, pela Equipe de Planejamento da Contratação, dos termos contratuais, observado o disposto nos §§ 1º e 2º deste artigo, sem prejuízo do estabelecido na Lei nº 8.666/93 relativos a: •A) fixação de procedimentos e Critérios de Aceitação dos serviços prestados ou bens fornecidos, abrangendo métricas, indicadores e valores mínimos aceitáveis; •B) quantificação ou estimativa prévia do volume de serviços demandados ou quantidade de bens a serem fornecidos, para comparação e controle; 123
  124. 124. Termos Contratuais c) definição de metodologia de avaliação da qualidade e da adequação da Solução de Tecnologia da Informação às especificações funcionais e tecnológicas; d) garantia de inspeções e diligências, quando aplicáveis, e suas formas de exercício; e) Forma de pagamento, que será efetuado em função dos resultados obtidos; f) cronograma de execução física e financeira; g) definição de mecanismos formais de comunicação a serem utilizados para troca de informações entre a contratada e a Administração; e 124
  125. 125. Termos Contratuais –H) definição clara e detalhada das sanções administrativas, de acordo com os artigos 86, 87 e 88 da Lei nº 8.666/93, juntamente com o art. 7º da Lei nº 10.520/02, observando: 1. vinculação aos termos contratuais; 2. proporcionalidade das sanções previstas ao grau do prejuízo causado pelo descumprimento das respectivas obrigações; 3. as situações em que advertências ou multas serão aplicadas, com seus percentuais correspondentes, que obedecerão uma escala gradual para as sanções recorrentes; 125
  126. 126. Termos Contratuais 4. as situações em que o contrato será rescindido por parte da Administração devido ao não atendimento de termos contratuais, da recorrência de aplicação de multas e outros motivos; 5. As situações em que a contratada terá suspensa a participação em licitações e impedimento para contratar com a Administração; e 6. As situações em que a contratada será declarada inidônea para licitar ou contratar com a Administração, conforme previsto em lei (...) 126
  127. 127. Estabelecimento de Níveis de Serviço A verificação da adequação da prestação do serviço (e da qualidade) poderá ser realizada com base no Acordo de Níveis de Serviço (SLA) previamente definido no ato convocatório e pactuado pelas partes. 127
  128. 128. Estabelecimento de Níveis de Serviço •Um acordo de nível de serviço é um instrumento para a gestão das expectativas em relação ao contrato. Sua meta consiste em definir uma estrutura para a gestão da qualidade e quantidade dos serviços entregues e, por conseguinte, atender à demanda contratada a partir de um entendimento claro do conjunto de compromissos. •É documento base para garantir que ambas as partes usarão os mesmos critérios para avaliar a qualidade do serviço, bem como para servir de parâmetro ao pagamento dos serviços e eventuais punições em decorrência de descumprimentos das metas acordadas. 128
  129. 129. Estabelecimento de Níveis de Serviço •A IN nº 02/2008 estabelece no seu Anexo I: •XXII – Acordo de Nível de Serviço – ANS, para os fins desta Instrução Normativa, é um ajuste escrito, anexo ao contrato, entre o provedor de serviços e o órgão contratante, que define, em bases compreensíveis, tangíveis, objetivamente observáveis e comprováveis, os níveis esperados de qualidade da prestação do serviço e respectivas adequações de pagamento (...) 129
  130. 130. Estabelecimento de Níveis de Serviço •IN nº 02/2008, Art. 17: –Quando for adotado o Acordo de Níveis de Serviços, este deverá ser elaborado com base nas seguintes diretrizes: I – antes da contrução dos indicadores, os serviços e resultados esperados já deverão estar claramente definidos e identificados, diferenciando-se as atividades consideradas críticas das secundárias; II – os indicadores e metas devem ser construídos de forma sistemática, de modo que possam contribuir cumulativamente para o resultado global do serviço e não interfiram negativamente uns nos outros; 130
  131. 131. Estabelecimento de Níveis de Serviço •III – os indicadores devem refletir fatores que estão sob controle do prestador de serviço; •IV – previsão de fatores, fora do controle do prestador, que possam interferir no atendimento das metas; •V – os indicadores deverão ser objetivamente mensuráveis, de preferência facilmente coletáveis, relevantes e adequados à natureza e características do serviço e compreensíveis; •VI – evitar indicadores complexos ou sobrepostos; •VII – as metas deve ser realistas e definidas com base em uma comparação apropriada; 131
  132. 132. Estabelecimento de Níveis de Serviço •VIII – os pagamentos deverão ser proporcionais ao atendimento das metas estabelecidas no ANS, observando-se o seguinte: –a) as adequações nos pagamentos estarão limitadas a uma faixa específica de tolerância, abaixo da qual o fornecedor se sujeitará às sanções legais; e –b) na determinação da faixa de tolerância de que trata a alínea anterior, considerar-se-á a relevância da atividade, com menor ou nenhuma margem de tolerância para as atividades consideradas críticas. 132
  133. 133. Estabelecimento de Níveis de Serviço •IX – o não atendimento das metas, por ínfima ou pequena diferença, em indicadores não críticos, poderá ser objeto apenas de notificação nas primeiras ocorrências, de modo a não comprometer a continuidade da contratação. 133
  134. 134. Referências •IN nº 02/2008 do SLTI/MPOG •IN nº 04/2010 do SLTI/MPOG •Acórdãos do Tribunal de Contas da União •CobIT 4.1 •ITIL v3 •Manual de Auditoria de Sistemas do TCU 134

×