TCU - Portal de Pesquisa Textual                                          http://contas.tcu.gov.br/portaltextual/MostraDoc...
TCU - Portal de Pesquisa Textual                                          http://contas.tcu.gov.br/portaltextual/MostraDoc...
TCU - Portal de Pesquisa Textual                                          http://contas.tcu.gov.br/portaltextual/MostraDoc...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
TCU - Portal de Pesquisa Textual                                       http://contas.tcu.gov.br/portaltextual/MostraDocume...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                      http://contas.tcu.gov.br/portaltextual/MostraDocumen...
TCU - Portal de Pesquisa Textual                                       http://contas.tcu.gov.br/portaltextual/MostraDocume...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
TCU - Portal de Pesquisa Textual                                        http://contas.tcu.gov.br/portaltextual/MostraDocum...
TCU - Portal de Pesquisa Textual                                        http://contas.tcu.gov.br/portaltextual/MostraDocum...
TCU - Portal de Pesquisa Textual                                       http://contas.tcu.gov.br/portaltextual/MostraDocume...
TCU - Portal de Pesquisa Textual                                     http://contas.tcu.gov.br/portaltextual/MostraDocument...
Acórdão tcu 465 2011 - anatel - avaliação de controles de ti
Acórdão tcu 465 2011 - anatel - avaliação de controles de ti
Acórdão tcu 465 2011 - anatel - avaliação de controles de ti
Acórdão tcu 465 2011 - anatel - avaliação de controles de ti
Acórdão tcu 465 2011 - anatel - avaliação de controles de ti
Acórdão tcu 465 2011 - anatel - avaliação de controles de ti
Acórdão tcu 465 2011 - anatel - avaliação de controles de ti
Acórdão tcu 465 2011 - anatel - avaliação de controles de ti
Acórdão tcu 465 2011 - anatel - avaliação de controles de ti
Acórdão tcu 465 2011 - anatel - avaliação de controles de ti
Próximos SlideShares
Carregando em…5
×

Acórdão tcu 465 2011 - anatel - avaliação de controles de ti

1.132 visualizações

Publicada em

Entidade: Agência Nacional de Telecomunicações - Anatel
RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA
DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES
DE MELHORIA. DETERMINAÇÕES, RECOMENDAÇÕES E ALERTAS

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
1.132
No SlideShare
0
A partir de incorporações
0
Número de incorporações
23
Ações
Compartilhamentos
0
Downloads
10
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Acórdão tcu 465 2011 - anatel - avaliação de controles de ti

  1. 1. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... Pesquisa: Livre Em Formulário Quarta-feira, 25 de Maio de 2011. Pesquisa número: 3 Expressão de Pesquisa: "AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO" Bases pesquisadas: Acórdãos; Decisões; Relações; Atas Documento da base: Acórdão Documentos recuperados: 11 Documento mostrado: 6 Status na Coletânea: Não Selecionado Visualizar este documento no formato: Formato Padrão para Acórdãos Coletânea Status do Documento na Coletânea: [Não Selecionado] Voltar à lista de documentos Anterior | Próximo Identificação Acórdão 465/2011 - Plenário Número Interno do Documento AC-0465-06/11-P Grupo/Classe/Colegiado GRUPO I / CLASSE V / Plenário Processo 017.791/2010-3 Natureza Relatório de Auditoria Entidade Entidade: Agência Nacional de Telecomunicações - Anatel Interessados Responsável: Ronaldo Sardenberg, presidente Sumário RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADES DE MELHORIA. DETERMINAÇÕES, RECOMENDAÇÕES E ALERTAS Assunto Relatório de Auditoria Ministro Relator AROLDO CEDRAZ Representante do Ministério Público não atuou Unidade Técnica 1ª Secretaria de Controle Externo - Secex-1 Advogado Constituído nos Autos1 de 27 25/5/2011 13:08
  2. 2. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... não há Relatório do Ministro Relator A 1ª Secretaria de Controle Externo - Secex/1 realizou auditoria na Agência Nacional de Telecomunicações - Anatel, no período de 26/7 a 27/8/2010, com o objetivo de avaliar controles gerais de tecnologia da informação - TI e verificar se estão de acordo com a legislação pertinente e com as boas práticas de governança de TI. 2. As ocorrências detectadas foram apresentadas pela equipe de auditoria nos seguintes termos (fls. 49/79): "3 - ACHADOS DE AUDITORIA 3.1 - Falhas no Plano Estratégico Institucional 3.1.1 - Situação encontrada: Em resposta ao item 2.1 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel declarou que executa um processo periódico de planejamento institucional, embora este não esteja formalmente instituído (fls. 5 do Volume Principal). Mediante o item 1 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, foram solicitadas informações acerca do planejamento estratégico da Anatel, assim como evidências que comprovassem a resposta da Agência ao mencionado questionamento (fls. 14 do Volume Principal). Consta das evidências encaminhadas pelo Ofício nº 086/2010/AUD-Anatel, de 16/7/2010 (fls. 5/39 do Anexo 1 - Principal), que o planejamento estratégico da Agência está tratado no Plano Geral de Atualização da Regulamentação das Telecomunicações no Brasil (PGR), aprovado mediante a Resolução nº 516, de 30 de outubro de 2008. No entanto, após análise de tal documento, acostado às fls. 2/17 do Anexo 4 - Principal, foram verificadas as seguintes falhas: a) não foram tratados os pontos mencionados no critério 2 do Instrumento para Avaliação da Gestão Pública - Gespública, tais como a definição do negócio, missão, visão e avaliação do ambiente interno. O primeiro parágrafo da introdução contém um breve entendimento sobre o ambiente externo do negócio institucional da Anatel; b) há previsão apenas dos objetivos e iniciativas estratégicas associados à área finalística da Agência, principalmente no tocante ao seu papel regulamentador. As atividades de suporte à área finalística da Autarquia, tais como aquelas relacionadas à própria área de TI, não receberam tratamento estratégico de longo prazo, sendo inseridas somente em uma ação de curto prazo, denominada V.17 - Revisão dos procedimentos administrativos e organizacionais da Anatel, no sentido de torná-los aderentes ao novo cenário convergente das telecomunicações; e c) não foram estabelecidos indicadores de desempenho, de acordo com os objetivos estratégicos previstos no plano. 3.1.2 - Objetos nos quais o achado foi constatado: Planejamento estratégico institucional. 3.1.3 - Efeitos/Conseqüências do achado: Risco de a instituição não conseguir atuar de forma eficiente no atingimento dos seus objetivos finalísticos (efeito potencial). 3.1.4 - Critérios: Constituição Federal, art. 37, caput; Decreto Lei 200/1967, art. 6º, inciso I, e art. 7º; Norma Técnica - MPOG - Gespública - Instrumento para Avaliação da Gestão Pública - Ciclo 2010 - critério de avaliação 2. 3.1.5 - Evidências: Resposta ao item 2.1 do questionário Perfil GovTI 2010 (Volume Principal - folha 5); Resposta ao item 1 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 - Principal - folhas 5/39); Plano Geral de Atualização da Regulamentação das Telecomunicações no Brasil (PGR) (Anexo 4 - Principal - folhas 2/17). 3.1.6 - Esclarecimentos dos responsáveis:2 de 27 25/5/2011 13:08
  3. 3. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... Durante a fiscalização, os gestores da Anatel apresentaram novas evidências, contendo a definição da missão institucional da entidade, bem como indicadores e metas para avaliar a sua gestão. Adicionalmente, foi apresentado o Plano de Trabalho da Anatel para o ano de 2010, no qual são reproduzidos os objetivos estratégicos da Agência relacionados no PGR, com a inclusão de dois novos objetivos estratégicos: 1) Promover a gestão organizacional segundo os princípios da qualidade, com vistas a atender às necessidades dos colaboradores internos, das prestadoras, fornecedores e especialmente dos usuários e consumidores dos serviços de telecomunicações, sempre voltada para a consecução de resultados e com aperfeiçoamento constante; e 2) Otimizar a fiscalização e o uso eficiente do espectro. Além disso, o referido plano demonstra a vinculação entre as ações de curto prazo (apenas para o ano de 2010) e os objetivos nele definidos (Anexo 4 - Principal - folhas 18/66). 3.1.7 - Conclusão da equipe: Tendo em vista as evidências apresentadas e os esclarecimentos obtidos dos gestores da Anatel, entende-se que a Agência possui um planejamento estratégico institucional, conforme demonstrado no Plano Geral de Atualização da Regulamentação das Telecomunicações no Brasil (PGR) e no Plano de Trabalho da Anatel para o ano de 2010. Entretanto, deve-se destacar que o referido planejamento não é consolidado em um documento único, com a definição dos objetivos estratégicos referentes às áreas finalísticas e de suporte da entidade, e com ferramentas que demonstrem a correlação entre tais objetivos e as ações de curto, médio e longo prazos necessárias ao seu atingimento. 3.1.8 - Proposta de encaminhamento: Recomendar à Anatel que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), e ao Decreto Lei nº 200/67, art. 6º, inciso I, e art. 7º, aperfeiçoe o Processo de Planejamento Estratégico Institucional, considerando o disposto no critério de avaliação nº 2 da Gespública. 3.2 - Falhas no processo de Planejamento Estratégico Institucional 3.2.1 - Situação encontrada: A Anatel declarou, em resposta ao item 2.1 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que executa um processo periódico de planejamento institucional, embora este não esteja formalmente instituído (fls. 5 do Volume Principal). Posteriormente, foram solicitadas, mediante o item 1 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, informações relacionadas ao planejamento estratégico da Anatel, assim como evidências que comprovassem a resposta da Agência ao mencionado questionamento (fls. 14 do Volume Principal). Após análise das evidências apresentadas mediante o Ofício nº 086/2010 /AUD-Anatel, de 16/7/2010 (fls. 5/39 do Anexo 1 - Principal), foi constatado que o Plano Geral de Atualização da Regulamentação das Telecomunicações no Brasil (PGR), acostado às fls. 2/17 do Anexo 4 - Principal, não estabelece vinculação entre as ações e os objetivos/iniciativas nele relacionados. Antes, tais ações estariam relacionadas a diretrizes instituídas pelo Ministério das Comunicações, mediante a Portaria nº 178, de 22 de abril de 2008. Além disso, embora tenham sido apresentados documentos que demonstram o acompanhamento das ações do PGR, não restou comprovada sua avaliação. Cabe salientar que, conforme o texto introdutório do documento, cuja aprovação ocorreu em outubro de 2008, essa revisão deve ocorrer a cada dois anos. 3.2.2 - Objetos nos quais o achado foi constatado: Planejamento estratégico institucional. 3.2.3 - Efeitos/Conseqüências do achado: Risco de a instituição não conseguir atuar de forma eficiente no atingimento de seus objetivos finalísticos (efeito potencial). 3.2.4 - Critérios: Constituição Federal, art. 37, caput; Decreto Lei 200/1967, art. 6º, inciso I, e art. 7º; Norma Técnica - MPOG - Gespública - Instrumento para Avaliação da Gestão Pública - Ciclo 2010 - critério de avaliação 2. 3.2.5 - Evidências: Resposta ao item 2.1 do questionário Perfil GovTI 2010 (Volume Principal - folha3 de 27 25/5/2011 13:08
  4. 4. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... 5); Resposta ao item 1 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 - Principal - folhas 5/39); Plano Geral de Atualização da Regulamentação das Telecomunicações no Brasil (PGR) (Anexo 4 - Principal - folhas 2/17). 3.2.6 - Esclarecimentos dos responsáveis: Os gestores da Anatel afirmaram, durante a fiscalização, que, tendo em vista a necessidade de avaliação do PGR a cada dois anos, há previsão de que ela ocorra no primeiro semestre de 2011. 3.2.7 - Conclusão da equipe: Considerando as ocorrências verificadas, pode-se inferir que a Anatel possui um processo de planejamento estratégico não instituído formalmente. Ademais, considerando que o prazo para a avaliação do PGR ainda está em curso, conforme definido no próprio documento, não foi possível verificar evidências de sua revisão. Apesar disso, faz-se necessário salientar que, embora os gestores da Agência tenham afirmado que tal avaliação ocorrerá no primeiro semestre de 2011, não há controles implementados por meio da definição de cronogramas e tarefas processuais, necessários para o seu cumprimento. Não obstante tais constatações, abstemo-nos de propor novas medidas saneadoras, tendo em vista que no item 3.1.8 deste relatório já foram propostas recomendações que alcançam a presente ocorrência. 3.3 - Falhas no PDTI 3.3.1 - Situação encontrada: A Anatel informou, em resposta ao item 2.2 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que executa um processo periódico de planejamento de TI, embora este não esteja formalmente instituído. Além disso, no tocante ao item 2.3, alegou que o seu Plano Diretor de TI (PDTI): 1) vincula as ações de TI a indicadores e metas de negócio; 2) vincula os custos de TI a atividades e projetos de TI; e 3) não é publicado na internet para acesso livre (fls. 5 do Volume Principal). Por meio do item 2 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, foram solicitadas informações a respeito do planejamento de TI da Anatel e evidências que comprovassem a resposta da Agência ao questionário realizado (fls. 14 do Volume Principal). Em resposta encaminhada por meio do Ofício nº 086/2010/AUD-Anatel, de 16/7/2010, foram remetidas cópias do Plano de Trabalho de 2010 da Superintendência de Administração Geral - SAD (fls. 40/50 do Anexo 1 - Principal) e do Plano Diretor de TI/2010 da Anatel (fls. 51/82-A do Anexo 1 - Principal). Mediante análise da documentação apresentada, foram constatadas as seguintes falhas: a) o PDTI não prevê necessidades de informações alinhadas à estratégia da Anatel, tampouco plano de investimentos, gestão de riscos ou caracterização do ambiente externo da área de TI (há apenas um breve esclarecimento quanto ao ambiente interno, no tópico 3 do documento); b) embora haja previsão de algumas contratações de serviços e aquisições de equipamentos, não há correlação entre tais iniciativas e os objetivos e iniciativas estratégicas da Anatel; c) os objetivos de TI relacionados no tópico 4.2 do PDTI apresentam apenas diretrizes genéricas, sem qualquer relação com as estratégias institucionais da Anatel; e d) não há indicadores de desempenho, vinculados aos objetivos da área de TI, com vistas a avaliar a sua atuação. 3.3.2 - Objetos nos quais o achado foi constatado: Planejamento de TI. 3.3.3 - Efeitos/Conseqüências do achado: Ações de TI não alinhadas ao negócio (efeito potencial). 3.3.4 - Critérios: Instrução Normativa 4/2008, SLTI/MPOG, art. 4º, inciso III; Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI. 3.3.5 - Evidências: Resposta aos itens 2.2 e 2.3 do questionário Perfil GovTI 2010 (Volume Principal - folha 5);4 de 27 25/5/2011 13:08
  5. 5. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... Resposta ao item 2 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 - Principal - folhas 40/98). 3.3.6 - Esclarecimentos dos responsáveis: Os gestores da Anatel confirmaram as conclusões preliminares, obtidas mediante análise da resposta da Agência ao item 2 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010. 3.3.7 - Conclusão da equipe: Diante das evidências obtidas, entende-se que a Agência possui planejamento de TI, conforme demonstrado em seu Plano Diretor de TI para o ano de 2010. No entanto, as disposições contidas na Instrução Normativa 4/2008, SLTI/MPOG, art. 4º, inciso III, e em manuais de boas práticas não foram cumpridas, como se pode constatar pela falta de objetivos bem definidos da área de TI, assim como pela inexistência de plano de investimentos, gestão de riscos e indicadores de desempenho. 3.3.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Anatel que, em atenção às disposições contidas no Decreto-Lei nº 200/67, art. 6º, inciso I, e na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 3º, aperfeiçoe o processo de Planejamento Estratégico de TI, de maneira que o Plano Diretor de Tecnologia da Informação - PDTI esteja em conformidade com as diretrizes constantes na Instrução Normativa nº 04/2008-SLTI/MPOG, art. 4º, III, e as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI. 3.4 - Falhas no processo de planejamento de TI 3.4.1 - Situação encontrada: A Anatel informou, em resposta ao item 2.2 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que executa um processo periódico de planejamento de TI, embora este não esteja formalmente instituído (fls. 5 do Volume Principal). Por meio do item 2 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, foram solicitadas informações a respeito do planejamento de TI da Anatel, e evidências que comprovassem a resposta da Agência ao questionário realizado (fls. 14 do Volume Principal). Após a análise das evidências encaminhadas mediante o Ofício nº 086/2010 /AUD-Anatel, de 16/7/2010 (fls. 40/98 do Anexo 1 - Principal), foram verificadas as seguintes impropriedades: a) o PDTI foi elaborado apenas pela área de TI e aprovado por instâncias superiores da Anatel; b) as ações constantes do PDTI não foram desdobradas em curto e médio prazos. O Plano de Trabalho da Superintendência de Administração Geral (SAD) apresenta apenas as ações de curto prazo, para o ano de 2010, vinculadas aos objetivos estratégicos da Anatel nele definidos; e c) não há informações quanto à avaliação do plano, muito embora a sua vigência seja anual. 3.4.2 - Objetos nos quais o achado foi constatado: Planejamento de TI. 3.4.3 - Efeitos/Conseqüências do achado: Risco de as ações de TI não estarem alinhadas ao negócio (efeito potencial). 3.4.4 - Critérios: Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI. 3.4.5 - Evidências: Resposta ao item 2 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 - Principal - folhas 40/98); Resposta ao item 2.2 do questionário Perfil GovTI 2010 (Volume Principal - folha 5). 3.4.6 - Esclarecimentos dos responsáveis: Os gestores da Anatel afirmaram, durante a fiscalização, que a avaliação do PDTI seria realizada ainda no ano de 2010. 3.4.7 - Conclusão da equipe: Diante das evidências apresentadas, entende-se que a Anatel possui um processo de planejamento de TI informal, que não é realizado em estrito cumprimento às boas práticas,5 de 27 25/5/2011 13:08
  6. 6. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... visto que elaborado apenas no âmbito da própria área de TI. Ademais, considerando que o ano de 2010 foi o primeiro exercício em que a Agência realizou, formalmente, um planejamento de TI, não foi identificada qualquer avaliação do PDTI. Apesar disso, cumpre ressaltar que, embora tal revisão ainda estivesse prevista para aquele ano, não há controles implementados, por meio da definição de cronogramas e tarefas processuais, necessários para assegurar o seu cumprimento. 3.4.8 - Proposta de encaminhamento: Recomendar à Anatel que, em atenção ao princípio constitucional da eficiência, aperfeiçoe o processo de Planejamento Estratégico de TI, observando as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI. 3.5 - Inexistência de comitê de TI 3.5.1 - Situação encontrada: A Anatel declarou, em resposta ao item 1.1 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que a sua Alta Administração: 1) designou um Comitê de TI para auxiliá-la nas decisões relativas à gestão e ao uso corporativo de TI; 2) designou representantes de todas as áreas relevantes para o negócio institucional para compor o Comitê de TI; e 3) monitora regularmente o funcionamento do Comitê de TI (fls. 4 do Volume Principal). Por meio do item 3 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, foram solicitadas informações quanto à organização e aos relacionamentos da área de TI da Anatel, bem como evidências que comprovassem as respostas da Agência ao questionamento supra (fls. 14/15 do Volume Principal). No entanto, a documentação apresentada por meio do Ofício nº 086/2010 /AUD-Anatel, de 16/7/2010, não demonstra a criação de um comitê, apenas a intenção de sua instauração (fls. 99/123 do Anexo 1 - Principal), o que indica desconformidade entre as respostas assinaladas pela Anatel aos itens 1.1 e 2.4 do Questionário Perfil GovTI 2010. 3.5.2 - Objetos nos quais o achado foi constatado: Organização e relacionamentos da área de TI. 3.5.3 - Efeitos/Conseqüências do achado: Sobreposição de ações de TI por parte das áreas de negócio que integrariam o comitê de TI (efeito potencial); Priorização inadequada das ações de TI devido à ausência da participação das áreas de negócio da instituição (efeito potencial). 3.5.4 - Critérios: Constituição Federal, art. 37, caput; Instrução Normativa 4/2008, SLTI/MPOG, art. 4º, inciso IV; Norma Técnica - ITGI - Cobit 4.1, PO4.3 - Comitê diretor de TI; Norma Técnica - ITGI - Cobit 4.1, PO4.2 - Comitê estratégico de TI. 3.5.5 - Evidências: Resposta ao item 3 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 - Principal - folhas 99/123); Resposta ao item 1.1 do questionário Perfil GovTI 2010 (Volume Principal - folha 4). 3.5.6 - Esclarecimentos dos responsáveis: Os gestores da Anatel informaram, durante a fiscalização, que assinalaram equivocadamente o questionário realizado, visto que a instauração do Comitê de TI da Agência ainda está em andamento. 3.5.7 - Conclusão da equipe: Pelas evidências apresentadas, confirmadas pelos gestores da Anatel, entende-se que não há Comitê de TI implantado na Agência. 3.5.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Anatel que, em atenção ao disposto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4º, IV, implante Comitê de Tecnologia da Informação que envolva as diversas áreas da Agência e que se responsabilize por alinhar os investimentos de Tecnologia da Informação com os objetivos institucionais e por apoiar a priorização de projetos a serem implantados, considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 -6 de 27 25/5/2011 13:08
  7. 7. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... Comitê diretor de TI. 3.6 - Falhas na avaliação do quadro de pessoal de TI 3.6.1 - Situação encontrada: Com relação à organização e aos relacionamentos da área de TI da Anatel, foi solicitado à Agência, mediante o item 3.7 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, que informasse se a estrutura de recursos humanos do seu setor de informática (quantitativo e qualificação dos servidores) é suficiente para o desempenho das atribuições da área e para o atendimento das necessidades da entidade, anexando estudos que embasem tal informação (fls. 15 do Volume Principal). Como evidência, foi encaminhado pela Autarquia, por intermédio do Ofício nº 086/2010/AUD-Anatel, de 16/7/2010, um levantamento quantitativo acerca da adequabilidade da estrutura de recursos humanos da área de TI da Anatel (fls. 123 do Anexo 1 - Principal). Entretanto, tal estudo não apresenta memória de cálculo ou qualquer fundamentação com o fito de demonstrar como se chegou ao número apresentado. Ademais, não há informação quanto ao perfil dos profissionais necessários para atender às demandas da área de TI da Agência. 3.6.2 - Objetos nos quais o achado foi constatado: Organização e relacionamentos da área de TI. 3.6.3 - Efeitos/Conseqüências do achado: Dependência do serviço de empresas terceirizadas (efeito potencial); Recursos humanos de TI insuficientes para atender às necessidades do negócio (efeito potencial); Falta de competências apropriadas na área de TI (efeito potencial). 3.6.4 - Critérios: ACÓRDÃO 71/2007, item 9.2.23, Tribunal de Contas da União, Plenário; Decreto 5707/2006, art. 1º, inciso III; Norma Técnica - ITGI - Cobit 4.1, PO4.12 - Pessoal de TI. 3.6.5 - Evidências: Resposta ao item 3.7 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 - Principal - folha 123). 3.6.6 - Esclarecimentos dos responsáveis: Durante a fiscalização, os gestores da Anatel apresentaram nova evidência, contendo a memória de cálculo do levantamento apresentado em resposta ao item 3 do anexo I do Ofício nº 607/2010-TCU/Secex/1. Alegaram que a metodologia utilizada em tal estudo foi a estimativa, por parte da própria área de TI, da força de trabalho necessária para a conclusão de produtos associados a cada processo realizado naquele setor, com vistas a evidenciar o grau de adequabilidade da estrutura de recursos humanos de TI (Anexo 4 - Principal - folhas 67/70). 3.6.7 - Conclusão da equipe: Diante das evidências apresentadas e dos esclarecimentos obtidos, pode-se concluir que a Anatel realizou estudo quantitativo de adequabilidade da estrutura de recursos humanos da área de TI, o qual demonstra haver alto grau de dependência de empresas terceirizadas na Agência, visto que há apenas 32 servidores e 167 profissionais terceirizados alocados na área de TI. Ademais, não consta informação quanto ao perfil dos profissionais necessários para suprir as demandas da área de TI da entidade. 3.6.8 - Proposta de encaminhamento: Recomendar à Anatel que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), e no Decreto nº 5.707/2006, art. 1º, inciso III, aperfeiçoe o estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI. 3.7 - Falhas no processo de software 3.7.1 - Situação encontrada: Em resposta ao item 7.3 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel alegou que possui um processo de software em nível de capacidade/maturidade gerenciado, o qual, segundo os conceitos extraídos da ABNT NBR ISO/IEC 15.504, é caracterizado quando há um processo informal repetido várias vezes, com a implementação de conceitos de qualidade de processo7 de 27 25/5/2011 13:08
  8. 8. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... (fls. 7 do Volume Principal). Com a finalidade de comprovar a resposta da Agência a tal questionamento e para obter informações com relação ao seu processo de desenvolvimento de software, foi realizada a requisição constante do item 5 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010 (fls. 15 do Volume Principal). Mediante análise das evidências apresentadas pelo Ofício nº 086/2010 /AUD-Anatel, de 16/7/2010 (fls. 138/200 do Anexo 1 - Principal), pode-se confirmar a resposta apresentada, haja vista que o processo de software utilizado na Anatel possui os elementos essenciais definidos para esta auditoria, embora ainda não tenha sido aprovado e publicado. 3.7.2 - Objetos nos quais o achado foi constatado: Processo de desenvolvimento de software. 3.7.3 - Efeitos/Conseqüências do achado: Inexistência de parâmetros formais de aferição de qualidade para contratação de desenvolvimento de sistemas; Deficiência no processo de contratação, decorrente da inexistência de metodologia que assegure boa contratação de desenvolvimento de sistemas (efeito potencial). 3.7.4 - Critérios: Instrução Normativa 4/2008, SLTI/MPOG, art. 12, inciso II; Lei 8666/1993, art. 6º, inciso IX; Norma Técnica - ITGI - Cobit 4.1, PO8.3 - Padrões de desenvolvimento e de aquisições. 3.7.5 - Evidências: Resposta ao item 7.3 do questionário Perfil GovTI 2010 (Volume Principal - folha 7); Resposta ao item 5 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 - Principal - folhas 138/200). 3.7.6 - Esclarecimentos dos responsáveis: Os gestores da Anatel confirmaram as evidências apresentadas e informaram que a aprovação e publicação do processo de software da Agência já está prevista. 3.7.7 - Conclusão da equipe: Diante das evidências apresentadas, restou demonstrado que a Anatel possui um nível de capacidade/maturidade de processo de desenvolvimento de software gerenciado, vez que, embora este possua os elementos essenciais definidos na matriz de planejamento desta fiscalização, ainda carece de aprovação e publicação, com vistas a assegurar a aderência das rotinas de trabalho da área de TI da Agência ao processo por ela definido. 3.7.8 - Proposta de encaminhamento: Recomendar à Anatel que, em observância aos níveis de capacidade/maturidade definidos na ABNT NBR ISO/IEC 15.504, aprove e publique o seu processo de desenvolvimento de software, com vistas a assegurar a aderência das rotinas de trabalho da área de TI ao processo definido pela própria Agência. 3.8 - Inexistência de processo de gerenciamento de projetos 3.8.1 - Situação encontrada: A Anatel declarou, em resposta ao item 7.4 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que pratica o gerenciamento de projetos, mas não adota qualquer padrão interno ou de mercado (fls. 7 do Volume Principal). Mediante o item 6 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, solicitaram-se informações quanto ao processo de gerenciamento de projetos, bem como evidências que comprovassem a resposta da Agência ao questionário realizado (fls. 15 do Volume Principal). Em sua resposta, encaminhada pelo Ofício nº 086/2010/AUD-Anatel, de 16/7/2010, a Agência apresentou cópia de uma tela do SCOP (Sistema de Controle de Projetos da Anatel), com a função de acompanhamento de projetos (fls. 201/202 do Anexo 1 - Principal). 3.8.2 - Objetos nos quais o achado foi constatado: Processo de gerenciamento de projetos de TI. 3.8.3 - Efeitos/Conseqüências do achado: Risco de insucesso de projetos relevantes, pela falta de estrutura de gestão de8 de 27 25/5/2011 13:08
  9. 9. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... projetos (efeito potencial). 3.8.4 - Critérios: Norma Técnica - ITGI - Cobit 4.1, PO10.2 - Estrutura de gerência de projetos. 3.8.5 -Evidências: Resposta ao item 7.4 do questionário Perfil GovTI 2010 (Volume Principal - folha 7); Resposta ao item 6 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 - Principal - folhas 201/202). 3.8.6 - Esclarecimentos dos responsáveis: Durante a fiscalização, os gestores da Anatel confirmaram que a única tarefa executada, no tocante ao processo de gerenciamento de projetos, é o acompanhamento mediante o Sistema SCOP. 3.8.7 - Conclusão da equipe: Tendo em vista as evidências apresentadas, entende-se que, embora a Anatel realize um acompanhamento de projetos por meio do Sistema SCOP, não há um processo de gerenciamento de projetos instaurado sob os preceitos do Cobit 4.1. 3.8.8 - Proposta de encaminhamento: Recomendar à Anatel que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implante uma estrutura formal de gerência de projetos, observando as orientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos, e no PMBOK, dentre outras boas práticas de mercado. 3.9 - Inexistência do processo de gestão de incidentes 3.9.1 - Situação encontrada: Em resposta ao item 7.6 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel alegou que não implantou corporativamente o processo de gestão de incidentes, previsto entre os processos de gestão de serviços de TI da biblioteca ITIL (Information Technology Infraestructure Library), versão 3 (fls. 8 do Volume Principal). Posteriormente, foram solicitadas, por meio do item 7 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, informações com relação ao processo de gestão de serviços de TI da Anatel, bem como evidências que comprovassem a resposta assinalada ao questionário realizado (fls. 15/16 do Volume Principal). No entanto, tendo em vista a resposta da Agência ao questionário, não foi apresentada qualquer documentação. 3.9.2 - Objetos nos quais o achado foi constatado: Processo de gestão de serviços de TI. 3.9.3 - Efeitos/Conseqüências do achado: Ocorrência de incidentes sem o devido gerenciamento (efeito potencial); Paralisação dos serviços de TI (efeito potencial); Paralisação das atividades da organização (efeito potencial). 3.9.4 - Critérios: Constituição Federal, art. 37, caput; Norma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar a Central de Serviço e os Incidentes; Norma Técnica - NBR - ISO/IEC 27002, item 13 - Gestão de incidentes de segurança da informação; Norma Técnica - NBR - ISO/IEC 20000, item 8.2 - Gerenciamento de incidentes. 3.9.5 - Evidências: Resposta ao item 7.6 do questionário Perfil GovTI 2010 (Volume Principal - folha 8). 3.9.6 - Esclarecimentos dos responsáveis: Durante a fiscalização, os gestores da Anatel apresentaram dois relatórios de consultoria realizada pelo Serviço Federal de Processamento de Dados (SERPRO), entre os meses de dezembro de 2008 e maio de 2009, contendo a avaliação do nível de maturidade da Agência com relação a processos de gerenciamento de serviços de TI, com vistas à adequação de tais processos às melhores práticas preconizadas pela biblioteca ITIL, versão 2, bem como uma proposta de melhoria da sua central de serviços (Anexo 4 - Principal - folhas 71/112). 3.9.7 - Conclusão da equipe:9 de 27 25/5/2011 13:08
  10. 10. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... Embora a Agência atenda aos pré-requisitos mínimos para a execução do processo e demonstre intenção de aperfeiçoar seu gerenciamento, os elementos obtidos durante a fiscalização informam que o seu nível de maturidade, com base no modelo proposto pela IT Service Management Forum - United Kingdom (itSMF/UK), ainda está distante do desejável. Desse modo, entende-se que a Anatel não possui ainda processo de gestão de incidentes, conforme preconizado nos critérios utilizados. 3.9.8 - Proposta de encaminhamento: Recomendar à Anatel que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente processo de gestão de incidentes de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a central de serviços e incidentes, e de outras boas práticas de mercado (como as mencionadas na NBR ISO/IEC 20000 e na NBR 27002). 3.10 - Inexistência do processo de gestão de mudanças 3.10.1 - Situação encontrada: Em resposta ao item 7.6 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel alegou que não implantou corporativamente o processo de gestão de mudanças, previsto entre os processos de gestão de serviços de TI da biblioteca ITIL (Information Technology Infraestructure Library), versão 3 (fls. 8 do Volume Principal). Por meio do item 7 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, foram solicitadas informações acerca do processo de gestão de serviços de TI da Anatel, bem como evidências que comprovassem a resposta assinalada ao questionário realizado (fls. 15/16 do Volume Principal). No entanto, tendo em vista a resposta da Agência ao referido questionário, não foi apresentada qualquer documentação. 3.10.2 - Objetos nos quais o achado foi constatado: Processo de gestão de serviços de TI. 3.10.3 - Efeitos/Conseqüências do achado: Não avaliação do impacto de eventuais mudanças (efeito potencial); Solicitações de mudanças não controladas (efeito potencial). 3.10.4 - Critérios: Constituição Federal, art. 37, caput; Norma Técnica - ITGI - Cobit 4.1, AI6 - Gerenciar mudanças; Norma Técnica - NBR - ISO/IEC 27002, 12.5.1 - Procedimentos para controle de mudanças. 3.10.5 - Evidências: Resposta ao item 7.6 do questionário Perfil GovTI 2010 (Volume Principal - folha 8). 3.10.6 - Esclarecimentos dos responsáveis: À exceção dos relatórios mencionados no item 3.9.6 deste Relatório, não foram apresentados outros documentos. 3.10.7 - Conclusão da equipe: Diante das evidências obtidas, conclui-se que a Anatel não possui processo de gestão de mudanças, conforme preconizam os critérios utilizados nesta auditoria, o que corrobora o entendimento de que o seu nível de maturidade, com base no modelo proposto pela IT Service Management Forum - United Kingdom (itSMF/UK), ainda está distante do desejável. 3.10.8 - Proposta de encaminhamento: Recomendar à Anatel que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 17799:2005, à semelhança das orientações contidas no Cobit 4.1, processo AI6 - Gerenciar mudanças, e de outras boas práticas de mercado (como as mencionadas na NBR ISO/IEC 20000). 3.11 - Inexistência do processo de gestão de configuração 3.11.1 - Situação encontrada: Em resposta ao item 7.6 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel alegou que não implantou corporativamente o processo de gestão de configuração, previsto entre os processos de gestão10 de 27 25/5/2011 13:08
  11. 11. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... de serviços de TI da biblioteca ITIL (Information Technology Infraestructure Library), versão 3 (fls. 8 do Volume Principal). Posteriormente, por intermédio do item 7 do anexo I do Ofício nº 607/2010- TCU/Secex/1, de 29/6/2010, foram solicitadas informações a respeito do processo de gestão de serviços de TI da Anatel, bem como evidências que comprovassem a resposta assinalada ao questionário realizado (fls. 15/16 do Volume Principal). No entanto, tendo em vista a resposta da Agência ao questionário, não foi apresentada qualquer documentação. 3.11.2 - Objetos nos quais o achado foi constatado: Processo de gestão de serviços de TI. 3.11.3 - Efeitos/Conseqüências do achado: Desatualização ou deficiência da configuração de TI (efeito potencial). 3.11.4 - Critérios: Constituição Federal, art. 37, caput; Norma Técnica - ITGI - Cobit 4.1, DS9 - Gerenciar Configurações; Norma Técnica - NBR - ISO/IEC 20000, item 9.1 - Gerenciamento de configuração. 3.11.5 - Evidências: Resposta ao item 7.6 do questionário Perfil GovTI 2010 (Volume Principal - folha 8). 3.11.6 - Esclarecimentos dos responsáveis: À exceção dos relatórios mencionados no item 3.9.6 deste Relatório, não foram apresentados outros documentos. 3.11.7 - Conclusão da equipe: Diante dos documentos apresentados, conclui-se que a Anatel não possui processo de gestão de configuração, conforme definido nos critérios utilizados nesta auditoria. 3.11.8 - Proposta de encaminhamento: Recomendar à Anatel que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente processo de gestão de configuração de serviços de tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração, e de outras boas práticas de mercado (como as indicadas na NBR ISO/IEC 20000). 3.12 - Inexistência de Política de Segurança da Informação e Comunicações (POSIC) 3.12.1 - Situação encontrada: A Anatel declarou que não formalizou a sua política corporativa de segurança da informação, tratada no item 7.2 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010 (fls. 7 do Volume Principal). Por meio do item 8 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, foram solicitadas informações relacionadas ao processo de gestão da segurança da informação da Anatel, assim como evidências que comprovassem a resposta da Agência ao questionário realizado (fls. 16/17 do Volume Principal). Pela análise das evidências apresentadas mediante o Ofício nº 086/2010 /AUD-Anatel, de 16/7/2010 (fls. 204/206 do Anexo 1 - Principal), verificou-se que, em 30/4/2010, foi realizada a primeira reunião da Comissão de Segurança da Informação da Anatel (CSI), a qual foi instituída em 7/1/2010. De acordo com a Ata da referida reunião, o primeiro assunto a ser tratado pela dita comissão seria a elaboração da POSIC da Agência. 3.12.2 - Objetos nos quais o achado foi constatado: Processos corporativos de segurança da informação. 3.12.3 - Efeitos/Conseqüências do achado: Falhas nos procedimentos de segurança (efeito potencial). 3.12.4 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VII; Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 03/IN01/DSIC/GSIPR; Norma Técnica - NBR - ISO/IEC 27002, item 5.1 - Política de segurança da informação. 3.12.5 - Evidências:11 de 27 25/5/2011 13:08
  12. 12. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... Resposta ao item 7.2 do questionário Perfil GovTI 2010 (Volume Principal - folha 7); Resposta ao item 8 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 - Principal - folhas 204/206). 3.12.6 - Esclarecimentos dos responsáveis: Foi confirmado, pelos gestores da Anatel, que a POSIC da Agência ainda está em processo de elaboração, conforme demonstrado nos registros de reuniões realizadas pela CSI (Anexo 4 - Principal - folhas 113/123). 3.12.7 - Conclusão da equipe: Diante das evidências apresentadas, verifica-se que a Anatel ainda não possui uma POSIC formalizada. 3.12.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Anatel que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII, implante Política de Segurança da Informação e Comunicações, observando as práticas contidas na Norma Complementar 03/IN01/DSIC/GSIPR. 3.13 - Inexistência de classificação da informação 3.13.1 - Situação encontrada: Em resposta ao item 7.1 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel declarou que não implementou formalmente o processo de classificação da informação para o negócio (fls. 7 do Volume Principal). Por meio dos itens 8.4 e 8.6 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010 (fls. 16 do Volume Principal), foram solicitadas evidências que comprovassem as respostas da Agência ao questionamento supra. No entanto, tendo em vista a resposta da Autarquia ao questionário, não foi apresentada qualquer documentação. 3.13.2 - Objetos nos quais o achado foi constatado: Processos corporativos de segurança da informação. 3.13.3 - Efeitos/Conseqüências do achado: Risco de divulgação indevida de informação restrita (efeito potencial). 3.13.4 - Critérios: ACÓRDÃO 2023/2005, item 9.1.4, Tribunal de Contas da União, Plenário; Decreto 4553/2002, art. 6º, § 2º, inciso I, art. 6º, § 2º, inciso II, e art. 67; Norma Técnica - NBR - ISO/IEC 27002, item 7.2 - Classificação da informação. 3.13.5 - Evidências: Resposta ao item 7.1 do questionário Perfil GovTI 2010 (Volume Principal - folha 7). 3.13.6 - Esclarecimentos dos responsáveis: Embora não tenham apresentado evidências, os gestores da Anatel afirmaram que as informações sob responsabilidade da Agência são classificadas, de forma automática, nos sistemas por ela utilizados, conforme as diretrizes instituídas no art. 64 do Regulamento da Anatel, aprovado pelo Decreto nº 2.338/97. 3.13.7 - Conclusão da equipe: Considerando que o art. 64 do Regulamento da Anatel institui apenas diretrizes para a classificação das informações sob responsabilidade da Agência, entende-se que não há formalização de critérios que relacionem os tipos de informação aos respectivos graus de sigilo. 3.13.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Anatel que, em atenção ao disposto no Decreto nº 4553/2002, art. 6º, § 2º, inciso II, e art. 67, crie critérios de classificação das informações a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observando as práticas contidas no item 7.2 da NBR ISO/IEC 27.002. 3.14 - Inexistência de inventário dos ativos de informação 3.14.1 - Situação encontrada: Em resposta ao item 7.1 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel declarou que não implementou formalmente um inventário de ativos da informação sob sua responsabilidade (fls.12 de 27 25/5/2011 13:08
  13. 13. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... 7 do Volume Principal). Por meio dos itens 8.4 e 8.5 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010 (fls. 16 do Volume Principal), foram solicitadas evidências que comprovassem as respostas da Agência ao questionamento supra. No entanto, tendo em vista a resposta da Autarquia ao questionário, não foi apresentada qualquer documentação. 3.14.2 - Objetos nos quais o achado foi constatado: Processos corporativos de segurança da informação. 3.14.3 - Efeitos/Conseqüências do achado: Dificuldade de recuperação de ativo de informação (efeito potencial). 3.14.4 - Critérios: Norma Técnica - NBR - ISO/IEC 27002, item 7.1.1 - inventário de ativos; Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1; Resolução 90/2009, CNJ, art. 9º, § 2º 3.14.5 - Evidências: Resposta ao item 7.1 do questionário Perfil GovTI 2010 (Volume Principal - folha 7). 3.14.6 - Conclusão da equipe: Tendo em vista a resposta da Agência ao questionário Perfil GovTI 2010, corroborada por informações coletadas durante a fiscalização, verifica-se que a Anatel não possui um inventário de ativos de informação, contendo sua base de dados e arquivos, contratos e acordos, documentação de sistemas, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negocio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas, conforme definido no item 7.1.1 da Norma Técnica - NBR - ISO/IEC 27002. 3.14.7 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Anatel que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII, c/c a Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando as práticas contidas no item 7.1 da NBR ISO/IEC 27.002. 3.15 - Inexistência de equipe de tratamento e resposta a incidentes em redes computacionais (ETRI) 3.15.1 - Situação encontrada: Em resposta ao item 7.1 do Questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel declarou que não implementou formalmente o gerenciamento dos incidentes de segurança da informação (fls. 7 do Volume Principal). Por meio do item 8.8 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010 (fls. 17 do Volume Principal), foram solicitadas evidências que comprovassem a resposta assinalada ao questionário realizado. No entanto, tendo em vista a resposta da Agência ao questionário, não foi apresentada qualquer documentação. 3.15.2 - Objetos nos quais o achado foi constatado: Processos corporativos de segurança da informação. 3.15.3 - Efeitos/Conseqüências do achado: Falhas relativas às notificações e às atividades relacionadas a incidentes de segurança em redes de computadores (efeito potencial). 3.15.4 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso V; Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 05/IN01/DSIC/GSIPR. 3.15.5 - Evidências: Resposta ao item 7.1 do questionário Perfil GovTI 2010 (Volume Principal - folha 7). 3.15.6 - Esclarecimentos dos responsáveis:13 de 27 25/5/2011 13:08
  14. 14. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... A inexistência de ETRI foi confirmada pelos gestores da Anatel, durante a fiscalização. 3.15.7 - Conclusão da equipe: Tendo em vista a resposta da Anatel ao questionário Perfil GovTI 2010 e a confirmação de tal informação durante a execução desta auditoria, conclui-se que a Agência não possui uma ETRI. 3.15.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Anatel que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais, observando as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR. 3.16 - Inexistência de processo de gestão de riscos de segurança da informação (GRSIC) 3.16.1 - Situação encontrada: A Anatel declarou, em resposta ao item 7.1 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que não implementou formalmente o processo de análise dos riscos aos quais a informação crítica para o negócio está submetida, considerando, pelo menos, confidencialidade, integridade e disponiblidade (fls. 7 do Volume Principal). Por intermédio do item 8.7 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010 (fls. 16/17 do Volume Principal), foram solicitadas evidências que comprovassem a resposta assinalada ao questionário realizado. No entanto, tendo em vista a resposta da Agência ao questionário, não foi apresentada qualquer documentação. 3.16.2 - Objetos nos quais o achado foi constatado: Processos corporativos de segurança da informação. 3.16.3 - Efeitos/Conseqüências do achado: Desconhecimento das ameaças e respectivos impactos relacionados à segurança da informação (efeito potencial). 3.16.4 - Critérios: Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da República, art. 5º, inciso VII; Norma Técnica - Gabinete de Segurança Institucional - Presidência da República - Norma Complementar 04/IN01/DSIC/GSIPR; Norma Técnica - ITGI - Cobit 4.1, PO9.4 - Avaliação de riscos; Norma Técnica - NBR - 27005 - Gestão de riscos de segurança da informação. 3.16.5 - Evidências: Resposta ao item 7.1 do questionário Perfil GovTI 2010 (Volume Principal - folha 7). 3.16.6 - Esclarecimentos dos responsáveis: Os gestores da Anatel confirmaram, durante a fiscalização, que a Agência não executa um GRSIC. 3.16.7 - Conclusão da equipe: Diante das ocorrências verificadas, pode-se concluir que a Anatel não implementou formalmente e não executa um GRSIC. 3.16.8 - Proposta de encaminhamento: Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à Anatel que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII, c/c a Norma Complementar 04/IN01/DSIC/GSIPR, implemente processo de gestão de riscos de segurança da informação. 3.17 - Ausência da área de gestão TI no plano anual de capacitação 3.17.1 - Situação encontrada: Em resposta ao item 6.3 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel declarou que elabora e executa um plano de capacitação para atender às necessidades de capacitação em gestão de TI (fls. 7 do Volume Principal). Por meio do item 9.2 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, foram solicitadas evidências que comprovassem a resposta da Agência a tal14 de 27 25/5/2011 13:08
  15. 15. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... questionamento (fls. 17 do Volume Principal). Na documentação encaminhada, consta cópia do Plano Anual de Capacitação da Anatel 2010, bem como planilha avulsa, contendo o quantitativo de servidores por capacitação prevista (fls. 207/250 do Anexo 1 - Volume 1). Após análise de tais informações, verificou-se que, embora estejam previstas capacitações voltadas para a área de gestão de TI, tais eventos não foram contemplados efetivamente no plano de capacitação. 3.17.2 - Objetos nos quais o achado foi constatado: Capacitação de profissionais de TI. 3.17.3 - Efeitos/Conseqüências do achado: Desatualização do quadro de pessoal da área de tecnologia da informação (efeito potencial). 3.17.4 - Critérios: Decreto 5707/2006, art. 5º, § 2º; Norma Técnica - ITGI - Cobit 4.1, PO7.2-Competências Pessoais; Norma Técnica - ITGI - Cobit 4.1, PO7.4 - Treinamento do Pessoal; Resolução 90/2009, CNJ, art. 3º 3.17.5 - Evidências: Resposta ao item 6.3 do questionário Perfil GovTI 2010 (Volume Principal - folha 7); Resposta ao item 9.2 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 - Volume 1 - folhas 207/250). 3.17.6 - Esclarecimentos dos responsáveis: Os gestores da Anatel informaram, durante a fiscalização, que os cursos e eventos envolvendo gestão de TI foram previstos fora do plano anual de capacitação, em virtude da pouca demanda por tais conhecimentos, e apresentaram, ainda, nova documentação referente à capacitação dos gestores de TI (Anexo 4 - Principal - folhas 124/128). 3.17.7 - Conclusão da equipe: Diante das evidências apresentadas pela Anatel, verificou-se que a Agência envida esforços para a capacitação de seus servidores da área de TI. No entanto, os cursos e eventos previstos não foram devidamente formalizados no Plano Anual de Capacitação 2010. 3.17.8 - Proposta de encaminhamento: Recomendar à Anatel que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), quando elaborar o próximo Plano Anual de Capacitação, contemple ações de capacitação voltadas para a gestão de tecnologia da informação, observando as práticas contidas no Cobit 4.1, processos PO7.2 - Competências Pessoais e PO7.4 - Treinamento do Pessoal. 3.18 - Ausência de avaliação da gestão de TI 3.18.1 - Situação encontrada: Foi declarado pela Anatel, em resposta ao item 1.2 do questionário Perfil GovTI 2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que a sua Alta Administração: 1) estabeleceu objetivos (diretrizes) de desempenho de gestão e de uso corporativos de TI; 2) estabeleceu indicadores de desempenho de gestão e de uso corporativos de TI; 3) não recebe e avalia regularmente informações sobre o desempenho relativo à gestão e ao uso corporativos de TI; e 4) não acompanha os indicadores de benefício dos principais sistemas de informação e não toma decisões a respeito quando as metas de benefício não são atingidas (fls. 4 do Volume Principal). Por meio do item 10 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, foram solicitadas informações sobre o processo de monitoração do desempenho na gestão e uso da TI, bem como evidências que comprovassem a resposta ao questionamento supra (fls. 17 do Volume Principal). Todavia, a Anatel não apresentou resposta versando sobre o assunto. 3.18.2 - Objetos nos quais o achado foi constatado: Monitoração do desempenho da gestão e uso de TI. 3.18.3 - Efeitos/Conseqüências do achado: Perda de importante instância de controle do desempenho da área de TI, a saber, a alta administração da Agência; Demora na identificação de desconformidades na área de TI e na adoção de15 de 27 25/5/2011 13:08
  16. 16. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... medidas saneadoras (efeito potencial). 3.18.4 - Critérios: Norma Técnica - ITGI - Cobit 4.1, ME1.5 - Relatórios gerenciais; Norma Técnica - ITGI - Cobit 4.1, ME1.4 - Avaliar o desempenho; Norma Técnica - ITGI - Cobit 4.1, ME1.6 - Ações corretivas; Norma Técnica - ITGI - Cobit 4.1, ME2 - Monitorar e avaliar os controles internos. 3.18.5 - Evidências: Resposta ao item 1.2 do questionário Perfil GovTI 2010 (Volume Principal - folha 4). 3.18.6 - Esclarecimentos dos responsáveis: Durante a fase de execução desta auditoria, os gestores da Anatel apresentaram os Relatórios de Gestão da Agência para os anos de 2008 e 2009, contendo apenas um indicador e meta para avaliar o atendimento de solicitações de serviços de manutenção de sistemas da informação (Anexo 4 - Principal - folhas 35/57). 3.18.7 - Conclusão da equipe: Diante das ocorrências verificadas, entende-se que, embora a área de TI da Anatel possua um indicador e meta para avaliar os serviços de manutenção dos seus sistemas de informação, não há suficiente avaliação da gestão de TI da Agência, vez que, afora a ausência de acompanhamento pela alta administração, não foram definidos objetivos de desempenho nem indicadores e metas suficientes para avaliar a atuação da área de TI de forma mais abrangente, incluindo suas diversas atribuições. 3.18.8 - Proposta de encaminhamento: Recomendar à Anatel que, em atenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência), estabeleça um processo de avaliação da gestão de TI, observando as orientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 Relatórios gerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controles internos. 3.19 - Irregularidades na contratação 3.19.1 - Situação encontrada: Foram realizados testes substantivos de conformidade das contratações objeto do Processo nº 53500.018861/2009, o qual originou os Termos de Registro de Preços nº 65/2009 (fls. 615/638 do Anexo 2 - Volume 3) e 68/2009 (fls. 644/667 do Anexo 2 - Volume 3), do Processo nº 53500.005360/2010, que originou o Termo de Registro de Preços nº 2/2010 (fls. 760/775 do Anexo 2 - Volume 3), e do Processo nº 53500.018770/2009, nos quais foram constatadas as seguintes impropriedades: I - com relação aos Processos nº 53500.018861/2009 (aquisição de servidores, incluindo licenças de sistemas operacionais e de banco de dados necessários para a sua operacionalização, bem como instalação, configuração, suporte, garantia de funcionamento por 36 meses e assistência técnica "on-site") e 53500.005360/2010 (aquisição do Lote IV remanescente do Pregão Amplo nº 36/2009 - Processo nº 53500.018861/2009 -, correspondente a 55 novos servidores e 23 licenças de software SQL Server): a) falha na estimativa dos custos globais: Para realizar a pesquisa de preços de mercado, a Anatel encaminhou correspondências a diversos fornecedores, tendo obtido como resposta os resultados consolidados no Informe nº 130/2009/ADADF/ADAD (fls. 426/434 do Anexo 2 - Volume 2). Para os lotes I, II e IV, por terem sido apresentadas mais de 3 propostas, optou a Unidade por desconsiderar o maior e o menor valor ofertado para fins de cálculo da média aritmética. Com essa metodologia, foram obtidos os seguintes valores para cada um dos quatro lotes em que foi dividida a licitação: Lote I - Valor inicialmente estimado: R$ 1.857.770,48 Lote II - Valor inicialmente estimado: R$ 1.861.135,85 Lote III - Valor inicialmente estimado: R$ 1.759.019,74 Lote IV - Valor inicialmente estimado: R$ 705.152,93 Entretanto, para os lotes I e II, a autarquia promoveu a redução dos valores inicialmente estimados, alegando que os mesmos apresentavam um sobrepreço de aproximadamente 40% em relação ao que se pratica no mercado, e que, em outras licitações para aquisição de equipamentos de informática, existiram grandes diferenças entre os preços16 de 27 25/5/2011 13:08
  17. 17. TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&... estimados para a licitação e os efetivamente apresentados no ato da sessão pública. Aduziu, ainda, que tal redução tornou mais precisa a estimativa de preços, que passou a ser de R$ 1.114.662,29 para o Lote I e de R$ 1.116.681,51 para o Lote II. Apesar de a referida redução de preços ter se revelado de todo pertinente, visto que foram apresentados pelas concorrentes valores inferiores a essa nova estimativa da Administração, tendo sido o Lote I adquirido por R$ 669.000,00 e o Lote II por R$ 565.000,00 (Informe nº 141/2009/ADADF - fls. 576/577 do Anexo 2 - Volume 2), consideramos que faltaram nos autos as evidências necessárias para justificar os valores de referência efetivamente utilizados no certame, em inobservância ao princípio da motivação, pois deveria a Anatel ter feito constar do processo as fontes de pesquisa que demonstrariam o mencionado sobrepreço de 40% nas cotações originalmente apresentadas. Tal providência, vale dizer, é mesmo uma obrigação legal, ante a necessidade de ser realizada uma ampla pesquisa de mercado para se proceder ao registro de preços (art. 15, § 1º, da Lei nº 8.666/93), o que naturalmente inclui contratações anteriores da própria Administração Pública. b) falhas decorrentes da não submissão da Anatel à Lei nº 10.520/2002 e ao Decreto nº 5.450/2005: Com base no disposto no art. 22, inc. II, da Lei nº 9.472/1997, que atribuiu competência ao Conselho Diretor da Anatel para aprovar normas próprias de licitação e contratação, a Agência elaborou seu Regulamento de Contratações, aprovado por meio da Resolução nº 5/1998. Como efeito da aplicação desse Regulamento próprio e da não submissão da Agência à Lei nº 10.520/2002 e ao Decreto nº 5.450/2005, pode-se mencionar, no presente certame, a ocorrência das seguintes impropriedades/irregularidades: ausência de justificativa para a não realização de Pregão Eletrônico e ilegalidade na adesão, por outros órgãos/entidades, a Registro de Preços promovido pela Anatel. Em virtude da complexidade do assunto e de o mesmo afetar todas as contratações da Anatel, e não somente a ora em análise, optou-se por tratá-lo separadamente, tendo sido, para este fim, autuado o TC 025.251/2010-4, que trata de representação desta equipe de auditoria acerca de possíveis irregularidades no Regulamento de Contratações da Anatel, razão pela qual abstemo-nos de tecer comentários adicionais nestes autos. II - com relação ao Processo nº 53500.018770/2009 (aquisição de 765 microcomputadores desktop, incluindo instalação, configuração, suporte e garantia de funcionamento por 36 meses): a) falha na estimativa dos custos unitários: Para proceder à contratação em apreço, a Anatel realizou: 1) pesquisa de mercado, em maio de 2009, com as empresas Datagraphics, Itautec, Positivo e LTA-RH; 2) consulta ao Comprasnet, entre 29 de junho e 2 de julho de 2009, na qual foram identificadas três Atas de Registro de Preços; e 3) consulta dos preços contidos em mais cinco Atas de Registro de Preços, entre as quais foi selecionada, para adesão, a ata registrada, em 13/11/2008, mediante o pregão eletrônico nº 72/2008, promovido pelo Centro Federal de Educação Tecnológica do Rio Grande do Norte (CEFET/RN), pelo valor unitário de R$ 1.712,81 (fls. 941/1007 do Anexo 2 - Volume 4). O contrato foi assinado em novembro de 2009. No entanto, em relação à pesquisa de mercado realizada, ao se comparar as características dos produtos cotados pelas empresas Datagraphics, Positivo e LTA-RH com os requisitos do objeto da contratação, constantes do Termo de Referência nº 34/2009 (fls. 915/938 do Anexo 2 - Volume 4), foram constatadas diversas incongruências, tais como: 1) caso os equipamentos apresentassem 1 slot tipo PCI Express x16 ocupado pela controladora de vídeo, o Termo de Referência exigia apenas 1 slot livre tipo PCI adicional (item 3.3.2.2, fls. 919 do Anexo 2 -Volume 4). Todavia, os produtos cotados junto às empresas Positivo e LTA-RH apresentavam 2 slots livres tipo PCI adicionais (itens 3, fls. 951 e 961 do Anexo 2 - Volume 4); 2) o Termo de Referência exigia que os equipamentos possuíssem uma interface controladora de vídeo com memória compartilhada e com suporte à resolução de 1024x768 (item 3.3.4.3, fls. 920 do Anexo 2 - Volume 4). Não obstante, nos produtos cotados junto às empresas Positivo e LTA-RH, não foram especificados requisitos quanto à possibilidade de compartilhamento da memória da interface controladora de vídeo, havendo previsão somente17 de 27 25/5/2011 13:08

×