Vous êtes sur la page 1sur 151

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

GRUPO I CLASSE VII Plenrio. TC 011.772/2010-7 Natureza: Relatrio de Auditoria Interessado: Tribunal de Contas da Unio. Unidade: Secretaria de Fiscalizao de Tecnologia da Informao (Sefti) Advogado constitudo nos autos: no h. Sumrio: TMS 6/20010. GESTO E USO DE TECNOLOGIA DA INFORMAO (TI). RELATRIO CONSOLIDADEO. 21 TRABALHOS, ABRANGENDO 315 ORGANIZAES PBLICAS FEDERAIS. CONSIDERAES A RESPEITO DAS CONTRATAES DE SOLUES DE TI PELO SISTEMA DE REGISTRO DE PREOS (SRP). CONSIDERAES SOBRE O TEMA GOVERNANA CORPORATIVA E GOVERNANA DE TI. RECOMENDAES E DETERMINAES. RELATRIO Trata-se de relatrio consolidado das aes do TMS 6/2010, cujo objeto foi avaliar se a gesto e o uso da tecnologia da informao esto de acordo com a legislao e aderentes s boas prticas de governana de TI. 2. O objetivo maior dessa fase do trabalho consiste em agregar os resultados de todas as fiscalizaes previstas, de modo a sintetizar os achados e concluses sobre a gesto e uso de TI na Administrao Pblica Federal (APF). 3. Passo a transcrever, a seguir, o relatrio de consolidao das informaes obtidas nessas Auditorias, nos moldes apresentados pela equipe coordenadora da Secretaria de Fiscalizao de Tecnologia da Informao (Sefit): [...] INTRODUO Origem do TMS Por meio de Comunicao da Presidncia do TCU de carter reservado na sesso de 31/3/2010, foi apresentado o plano de fiscalizao para 2010/2011, quando foi ento aprovado o Tema de Maior Significncia (TMS) 6 Gesto e uso de TI (Tecnologia da Informao), para ser conduzido sob coordenao da Sefti. Posteriormente, por meio de diversos despachos do relator, Ministro Aroldo Cedraz (TC 009.329/2010-2), foram autorizadas as 21 fiscalizaes que compuseram este TMS. Viso geral Por que TI importante na APF? O levantamento de auditoria que resultou no Acrdo 2.308/2010-TCU-Plenrio, um dos trabalhos integrantes do presente TMS, solicitou que os entes pesquisados elencassem os sistemas de informao de maior relevncia no suporte para cada uma das suas trs principais aes finalsticas, solicitando ainda que a informao contemplasse o nvel de criticidade do sistema para a consecuo da ao (pergunta 5.1, fl. 26, anexo 2). Os dados apresentados no Quadro 1 (incluindo todas as respostas enviadas no levantamento supra, inclusive as que chegaram aps a prolao do acrdo) registram que 74% dos pesquisados declararam que seu negcio afetado se os seus sistemas de informao pararem de funcionar de forma adequada. Quadro 1 Maturidade de governana de TI e existncia de sistemas crticos Criticidade Maturidade Maturidade Maturidade Total (Se o sistema parar, o negcio...) inicial intermediria aprimorada ... para imediatamente. 82 63 9 154 51%
1

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

... para em uma semana. 12 6 3 21 7% ... para em um ms. 5 1 6 2% ... afetado, mas no para. 27 13 3 43 14% ... no afetado. 50 26 1 77 26% Total 176 179 16 301 100% Quando analisamos os dados da previso oramentria dos 77 pesquisados que informaram que seu negcio no afetado pela parada dos seus sistemas de informao (apndice ), observamos que 38 deles possuem previso de gastos em TI acima de R$ 1 milho, sugerindo a possibilidade de erro na avaliao empreendida por alguns gestores e a dependncia dos sistemas de informao na quase totalidade das organizaes da APF pesquisadas. Esses dados evidenciam a importncia da TI na conduo das polticas pblicas do Governo Federal. Antecedentes da fiscalizao Os seguintes antecedentes fundamentam a estratgia que foi proposta para a conduo do TMS 6 Gesto e uso de TI: por meio de levantamento em 255 entes da APF realizado no ano de 2007, o relator do processo no TCU registrou que No se pode ignorar que os fatos evidenciados neste Levantamento de Auditoria preocupam, pois sugerem um quadro inquietante da governana de TI na Administrao Pblica Federal (voto do Acrdo 1.603/2008-TCU-Plenrio); por meio de auditoria integrada, com foco em controles da governana de TI e testes substantivos em processos de contratao de servios de TI, o TCU identificou inmeras falhas, algumas delas consideradas graves pelo Relator (relatrio e item 10 do voto do Acrdo 2.471/2008-TCUPlenrio); o Acrdo 2.471/2008-TCU-Plenrio expediu diversas medidas que podem contribuir para reduzir de forma significativa as falhas acima relacionadas e para aperfeioar a gesto pblica (item 11 do voto do Acrdo 2.471/2008-TCU-Plenrio). No mesmo sentido, o Acrdo 1.603/2008- TCUPlenrio tambm expediu diversas recomendaes estruturantes sobre o tema governana de TI; por diversas vezes, esta Corte se deparou com constataes graves decorrentes, dentre outros, da falta de implantao de uma estrutura adequada nos entes pblicos para lidar com aspectos da governana de TI, em especial na rea de segurana da informao. Citamos como exemplos os indcios de fraude no mdulo de consignaes do sistema Siape (Acrdo 1.505/2007-TCU-Plenrio), as falhas de segurana da informao no sistema Infoseg (Acrdo 71/2008-TCU-Plenrio), os indcios de fraude na concesso de benefcios gerenciados pelo Cadastro nico (Acrdo 906/2009-TCU-Plenrio) e as falhas nos controles e indcios de fraude no sistema do Cadastro Integrado da Dvida Ativa da Unio Cida (Acrdo 3.382/2010-TCU-Plenrio); havia determinao, contida no item 9.9 do Acrdo 1.603/2008-TCU-Plenrio, para que a Sefti desse continuidade aos trabalhos de acompanhamento da governana de TI, nos seguintes termos: 9.9. determinar Secretaria de Fiscalizao de Tecnologia da Informao Sefti que realize fiscalizaes nas reas consideradas mais crticas da governana de TI nos rgos/entidades fiscalizados e organize outros levantamentos com o intuito de acompanhar e manter base de dados atualizada com a situao da governana de TI na Administrao Pblica Federal; rgos Governantes Superiores (OGS) Conforme descrito no voto condutor do Acrdo 1.145/2011-TCU-Plenrio, os OGS so aqueles que tm a responsabilidade por normatizar e fiscalizar o uso e a gesto de TI em seus respectivos segmentos da Administrao Pblica Federal. Assim, os OGS sero os destinatrios das orientaes propostas neste trabalho. Do relatrio daquele decisum, extramos onze OGS: Conselho Nacional de Justia (CNJ); Conselho Nacional do Ministrio Pblico (CNMP); Advocacia-Geral da Unio (AGU/PR); Controladoria-Geral da Unio (CGU/PR);
2

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Gabinete de Segurana Institucional (GSI/PR); Ministrio do Planejamento, Oramento e Gesto (MP); Secretaria de Logstica e Tecnologia da Informao (SLTI/MP); Secretaria do Oramento Federal (SOF/MP); Departamento de Coordenao e Governana das Estatais (Dest/MP); Fundao Escola Nacional de Administrao Pblica (Enap/MP); Secretaria do Tesouro Nacional (STN/MF). Para os fins deste trabalho, identificamos ainda outros trs OGS de interesse: Cmara de Polticas de Gesto, Desempenho e Competitividade (CGDC) do Conselho de Governo; Comit Gestor da Poltica Nacional de Desenvolvimento de Pessoal; Comisso Interministerial de Governana Corporativa e de Administrao de Participaes Societrias da Unio (CGPAR). A CGDC OGS de interesse devido ao seguinte dispositivo do Decreto 7.478/2011 (sublinhou-se): Art. 2 Compete CGDC: (...) II estabelecer diretrizes estratgicas e planos para formulao e implementao de polticas de melhoria da gesto da administrao pblica federal; O Comit Gestor da Poltica Nacional de Desenvolvimento de Pessoal OGS de interesse devido ao seguinte dispositivo do Decreto 5.707/2006: Art. 7 Fica criado o Comit Gestor da Poltica Nacional de Desenvolvimento de Pessoal, com as seguintes competncias: I avaliar os relatrios anuais dos rgos e entidades, verificando se foram observadas as diretrizes da Poltica Nacional de Desenvolvimento de Pessoal; II orientar os rgos e entidades da administrao pblica federal direta, autrquica e fundacional na definio sobre a alocao de recursos para fins de capacitao de seus servidores; III promover a disseminao da Poltica Nacional de Desenvolvimento de Pessoal entre os dirigentes dos rgos e das entidades, os titulares das unidades de recursos humanos, os responsveis pela capacitao, os servidores pblicos federais e suas entidades representativas; e IV zelar pela observncia do disposto neste Decreto. A CGPAR OGS de interesse devido ao seguinte dispositivo do Decreto 6.021/2007 (sublinhou-se): Art. 3 Compete CGPAR: (...) I aprovar diretrizes e estratgias relacionadas participao acionria da Unio nas empresas estatais federais, com vistas : (...) b) promoo da eficincia na gesto, inclusive quanto adoo das melhores prticas de governana corporativa; O apndice contm os normativos que estabelecem os mandatos dos OGS. Controle interno e auditoria interna Dentre os trabalhos realizados na conduo deste TMS, citam-se catorze auditorias para avaliao de controles gerais de TI (ver item adiante). Considerando que, nas reunies de encerramento dessas auditorias, por vezes no restava cristalina aos gestores a diferena entre controle interno e auditoria interna, entende-se oportuno trazer baila as definies a seguir, constantes da IN TCU 63/2010: Art. 1 (...) X. controles internos: conjunto de atividades, planos, mtodos, indicadores e procedimentos interligados, utilizado com vistas a assegurar a conformidade dos atos de gesto e a concorrer para que os objetivos e metas estabelecidos para as unidades jurisdicionadas sejam alcanados;
3

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

XI. rgos de controle interno: unidades administrativas, integrantes dos sistemas de controle interno da administrao pblica federal, incumbidas, entre outras funes, da verificao da consistncia e qualidade dos controles internos, bem como do apoio s atividades de controle externo exercidas pelo Tribunal. A ttulo de complemento, transcrevem-se ainda dois excertos das normas contidas na Estrutura Internacional de Prticas Profissionais (International Professional Practices Framework IPPF), marco de referncia do Instituto de Auditores Internos (The Institute of Internal Auditors IIA), que contm orientaes para que a atividade de auditoria interna (AI) seja efetiva: Definio de Auditoria Interna: A auditoria interna uma atividade independente e objetiva que presta servios de avaliao e de consultoria com o objetivo de adicionar valor e melhorar as operaes de uma organizao. A auditoria auxilia a organizao a alcanar seus objetivos atravs de uma abordagem sistemtica e disciplinada para a avaliao e melhoria da eficcia dos processos de gerenciamento de risco, controle e governana corporativa. (...) IPPF 2120-1: O gestor e a alta administrao so responsveis pelos processos de gesto de risco e controles da organizao. Pelos excertos transcritos, observa-se que a atividade de controle interno tem por objetivo mitigar os riscos de que a organizao no alcance seus objetivos e a responsabilidade pela sua implantao (ou no) inerente ao gestor responsvel pelo processo que recebe o controle. Por sua vez, a auditoria interna uma atividade, exercida de forma independente da gesto, que tem como um dos objetivos a avaliao dos controles internos. Critrios de auditoria e evoluo normativa Em 2007, ao conduzir TMS para avaliar a governana de TI (Acrdo 2.471/2008-TCUPlenrio), o TCU praticamente s dispunha de critrios relacionados s boas prticas, como o Cobit (framework da governana de TI) e a NBR 17.799:2005 (atualmente NBR 27.002:2005 norma de boas prticas em segurana da informao). Os trabalhos realizados naquele ano deram origem aos Acrdos 1.603/2008 e 2.471/2008, ambos do Plenrio do TCU, que induziram a positivao de diversos critrios de auditoria para a governana de TI no ordenamento jurdico brasileiro. Tais normas foram ento utilizadas como critrios neste TMS, sendo que os resultados sugerem que diversas dessas normas ainda no so de conhecimento dos gestores, em especial as relacionadas segurana da informao. Assim, foi composto um quadro sinttico com os critrios utilizados em cada tema auditado, e prope-se determinar Sefti que promova a divulgao dos critrios de auditoria contidos no Apndice , a fim de continuar a atividade de orientao que vem desenvolvendo (subitem ). Objetivos e questes de auditoria Objetivos O objetivo geral da fiscalizao foi avaliar se a gesto e o uso da tecnologia da informao esto de acordo com a legislao e aderentes s boas prticas da governana de TI. Constituem-se objetivos especficos da fiscalizao: elaborao de questionrio eletrnico para levantamento da situao da governana de TI na APF (doravante chamado perfil GovTI2010); atualizao da base de dados com o perfil da governana de TI na APF; elaborao das matrizes de planejamento e possveis achados para a avaliao de controles gerais de TI; realizao de treinamento para avaliao de controles gerais de TI; avaliao de controles gerais em catorze jurisdicionados; validao das respostas dos questionrios perfil GovTI2010 (nos catorze jurisdicionados); avaliao de quatro objetos especficos de TI; avaliao da atuao dos rgos governantes superiores (SLTI/MP, GSI/PR, CGU/PR etc);
4

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

obteno da relao de causa-efeito entre maturidade dos controles gerais de TI e desconformidades nos objetos especficos de TI; obteno da relao de causa-efeito entre a atuao dos rgos governantes superiores e a situao da governana de TI na APF; ratificao ou retificao da situao da governana de TI declarada no perfil GovTI2010, em confronto com a que for evidenciada in loco. Por oportuno, apresentamos o conceito de controles gerais de TI obtido de documento do Instituto de Auditores Internos intitulado GTAG Information Technology Controls Auditing: Controles gerais de TI Aplicam-se a todos os componentes do sistema, dos processos, e dos dados de uma organizao ou ambiente. Controles gerais incluem, mas no esto limitados s polticas de segurana da informao, de administrao, de acesso e de autenticao, de segregao de funes chaves de TI, de gesto de aquisio e implementao de sistemas, de gesto de mudanas, de cpias de segurana e de continuidade do negcio. (traduo livre). Escopo Fazem parte do escopo das auditorias que compuseram a Fiscalizao de Orientao Centralizada (FOC): controles gerais de TI; contratos de solues de TI, nos quais se buscava evidenciar consequncias da ausncia ou deficincia dos controles gerais de TI. Uma vez que inexistia contrato de TI em vigor no Dnocs, ente auditado pela Secex/CE, aquela unidade tcnica no realizou os testes substantivos nas contrataes de TI. Considerando ainda o cenrio obtido por meio do TMS realizado em 2007 (Acrdo 2.471/2008-TCU-Plenrio) e os resultados iniciais do levantamento que gerou o Acrdo 2.308/2010TCU-Plenrio, havia expectativa de que os rgos pblicos ainda se encontrassem com pouca maturidade de governana de TI. Assim, optou-se pela estratgia de desenvolver um mtodo para avaliar a governana de TI em instituies com baixa maturidade, de tal forma que auditores no especialistas em TI, orientados por auditores especialistas, pudessem executar a avaliao pretendida. O mtodo foi construdo por meio de questes e procedimentos de auditoria para que fossem avaliadas duas principais classes de objetos: controles dos processos organizacionais da governana de TI e alguns produtos e artefatos resultantes da execuo desses processos. Tambm foram estabelecidos parmetros mnimos que garantissem a existncia dos produtos ou dos controles avaliados, tudo em funo do escopo pretendido (maior amplitude e menor profundidade na avaliao). Os parmetros foram baseados nos critrios de auditoria positivados na legislao brasileira (ver item Critrios de auditoria e evoluo normativa) e nas boas prticas nacionais e internacionais, como Cobit, normas NBR ISO/IEC 38.500, 27.002, 12.207, 15.504 e 20.000 e PMBoK. Assim, a inexistncia de registro de achado de auditoria na FOC (o que praticamente no ocorreu) no significa que o jurisdicionado encontra-se aderente s boas prticas, mas sim que foram implantados os elementos mnimos verificados no escopo deste trabalho, elementos que podem ser deduzidos a partir das requisies de informaes feitas nos trabalhos de campo, que esto contidas no Apndice . Fiscalizaes integrantes do TMS Conforme ser detalhado adiante, este TMS foi conduzido por meio de 21 trabalhos: um levantamento de auditoria; catorze auditorias para avaliao de controles gerais de TI (ACGTI), conduzidas na modalidade Fiscalizao de Orientao Centralizada (FOC); quatro auditorias em objetos especficos de TI (e.g., sistemas, contratos, projetos); um monitoramento de deliberaes com orientaes aos OGS; uma fiscalizao consolidadora dos vinte trabalhos anteriores, que se materializa neste relatrio. Questes de auditoria
5

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

O levantamento perfil GovTI2010 foi realizado por meio de trinta questes, subdivididas em 152 itens, organizadas segundo sete (das oito) dimenses do Gespblica: liderana, estratgias e planos, cidados, sociedade, informaes e conhecimento, pessoas e processos (anexo 2, fls. 25v-26v). Cada uma das catorze auditorias que integraram a FOC de avaliao de controles gerais de TI foi realizada por meio das doze questes de auditoria a seguir: O Unidade executa o processo de planejamento estratgico institucional de acordo com as boas prticas? O Unidade executa o processo de planejamento estratgico de TI de acordo com as boas prticas? A organizao da rea de TI adequada s atividades a que ela deve dar suporte? O Unidade executa o processo oramentrio de TI segundo a legislao e as boas prticas? H processo de software estabelecido no Unidade? H processo de gerenciamento de projetos de TI estabelecido no Unidade? H processos de gesto de servios de TI que apoiem o Unidade na administrao da qualidade dos servios de TI? O Unidade executa os processos corporativos de segurana da informao segundo a legislao e as boas prticas? H plano de capacitao de profissionais de TI que auxilie no desenvolvimento das competncias necessrias para a boa execuo dos trabalhos? O Unidade realiza monitorao do desempenho da gesto e uso de TI? O Unidade realiza o processo de contratao de bens e servios de TI segundo as normas vigentes? O Unidade realiza o processo de gesto de contratos de bens e servios de TI segundo as normas vigentes? Cada uma das quatro auditoras especficas teve suas prprias questes de auditoria, definidas de acordo com o objeto especfico auditado. Questes de auditoria no se aplicam ao monitoramento nos rgos governantes superiores. As questes de auditoria da FOC, com seus possveis achados, encontram-se no Apndice . Registre-se que dos 57 possveis achados apenas dois no foram evidenciados em qualquer das catorze fiscalizaes. Estratgia metodolgica Este trabalho seguiu o roteiro de auditoria de conformidade do TCU, mas no necessariamente guarda conformidade com todo o contedo das Normas de Auditoria do TCU (NAT), uma vez que todo o planejamento e boa parte da execuo das fiscalizaes ocorreram antes da publicao das NAT em 8/12/2010. Diretrizes seguidas no planejamento Foram seguidas as seguintes diretrizes no planejamento da FOC: o resultado deve trazer viso sistematizada e sistmica; o TMS como um todo deve equilibrar abrangncia e profundidade das questes de auditoria, por meio de uma abordagem iterativa e incremental; a Sefti deve fornecer suporte metodolgico, inclusive treinamento, a todos os participantes; a Sefti deve fornecer apoio durante a execuo de todas as fiscalizaes, inclusive com um AUFC integrando a equipe em tempo parcial. Estratgia de conduo O trabalho foi dividido em sete fases, a saber: preparao; 1 fase levantamento do perfil GovTI; 2 fase auditorias-piloto; 3 fase avaliao dos controles gerais de TI;
6

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

4 fase auditorias especficas; 5 fase monitoramentos (rgos governantes superiores); 6 fase consolidao. Preparao Realizada por meio de levantamento de auditoria (TC 001.484/2010-9; Acrdo 2.196/2010-TCU-1 Cmara), teve por objetivo coletar informaes que possam subsidiar o planejamento de auditorias relacionadas ao TMS. 1 fase levantamento perfil GovTI2010 Realizado tambm por meio de levantamento de auditoria (TC 000.390/2010-0; Acrdo 2.308/2010-TCU-Plenrio), teve por objetivo acompanhar e manter base de dados atualizada com a situao da governana de TI na Administrao Pblica Federal. 2 fase auditorias-piloto Nessa fase foram realizadas duas auditorias-piloto. A auditoria-piloto para avaliao de controles gerais de TI teve o objetivo de validar as matrizes de planejamento e osofcios de requisio de informaes que seriam utilizadas na FOC (3 fase), de modo a mitigar futuros riscos de auditorias. Uma vez validada a matriz, foi elaborado treinamento visando capacitar os auditores das unidades tcnicas e da Sefti nas questes e procedimentos de auditoria a serem utilizados nas prximas fases do TMS 2010. A auditoria-piloto para teste dos papis de trabalho foi realizada no Departamento Nacional de Infraestrutura de Transportes (Dnit), onde tambm se realizou a primeira auditoria especfica, no Sistema de Acompanhamento de Contratos (Siac) da Autarquia, iniciando o processo de avaliao de causa-efeito pretendido neste trabalho (item ). Dentre os papis de trabalho validados, destacamos o Ofcio de Comunicao de Auditoria, cujo modelo encontra-se no apndice , que continha o pedido das informaes que os gestores deveriam apresentar s equipes para a avaliao da governana de TI. Considerando que as informaes contidas no ofcio supra podem ser orientadoras para os gestores, prope-se determinar Sefti que d publicidade, inclusive por meio do stio do TCU na internet, s informaes acerca da governana de tecnologia da informao que foram solicitadas aos gestores nesta fiscalizao (subitem ). 3 fase avaliao dos controles gerais de TI Nessa fase foram avaliados os controles gerais de TI nos entes jurisdicionados selecionados. As fiscalizaes foram realizadas em trs etapas contendo cinco, cinco e trs auditorias, respectivamente, num total de treze auditorias, sendo que cada etapa foi executada sequencialmente s demais, de forma a proporcionar o melhor aproveitamento dos recursos humanos disponveis na unidade coordenadora. Aproximadamente 25 dias antes do incio de cada etapa, foi enviado um ofcio de requisio de informaes a cada um dos entes jurisdicionados selecionados para aquela etapa. Esse ofcio teve como objetivo solicitar antecipadamente alguns documentos e informaes necessrios execuo dos procedimentos de auditoria, o que em tese reduziria o esforo necessrio durante a fase de execuo. Uma vez selecionados os entes jurisdicionados, a Secex, de cuja clientela o ente faz parte, foi convidada a coordenar a auditoria proposta, com o apoio operacional e metodolgico da Sefti. Os entes selecionados foram quatro Ministrios (Sade, Cincia e Tecnologia, Relaes Exteriores e Planejamento), cinco autarquias (Dnit, Susep, Anatel, Dnocs e FNDE), uma fundao (Ibama), dois tribunais (TRT das 2 e 4 Regies), uma empresa pblica (Finep) e uma sociedade de economia mista (Amazonas Energia). Catorze equipes participaram da FOC, sendo uma de cada uma das onze unidades tcnicas do TCU a seguir Secex/AM, Secex/CE, Secex/RJ, Secex/RO, Secex/RR, Secex/RS, Secex/SP, Secex/1, Secex/5, Secex/6, Secex/9 e trs equipes da Sefti. A seleo dos jurisdicionados auditados seguiu o seguinte critrio: escolha da instituio com contratos de maior materialidade para prestao de servios de TI dentro da clientela das unidades
7

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

tcnicas participantes, com homologao pela Secex que realizaria a auditoria, cabendo eventuais ajustes em funo da experincia de cada Secex com seus auditados. Cabe destacar que a seleo dos jurisdicionados a serem auditados, feita pela coordenao em conjunto com as unidades tcnicas do TCU, no estatisticamente representativa, o que no permite a generalizao dos resultados aqui apresentados. A fase de planejamento dessas auditorias, de durao de duas semanas, foi caracterizada por um treinamento prtico, na forma de execuo da fiscalizao assistida pela Sefti, sobre as questes e procedimentos de auditoria definidos na etapa de preparao e validados na auditoria-piloto de controles gerais (2 fase). O treinamento previsto para essa fase foi realizado por meio de videoconferncia no caso de auditoria sob a responsabilidade de uma ou mais Secex situadas nos estados, e presencialmente para as Secex da sede. Nessa etapa de planejamento, houve um auditor da Sefti alocado em cada equipe em tempo integral. Durante a fase de execuo, prevista para trs semanas, o auditor de TI da Sefti integrou a equipe por uma semana, de modo a orientar e auxiliar a execuo de alguns procedimentos. As atividades previstas para a fase de relatrio foram de responsabilidade das Secex, estando a Sefti e seus auditores disposio para o esclarecimento de dvidas e sugestes sobre o tema. No mesmo perodo, o auditor de TI da Sefti que participou do trabalho foi alocado em tempo parcial na atividade de acompanhamento da elaborao do relatrio final. Importante ressaltar que, embora a Sefti tenha disponibilizado recursos para todas as equipes de auditoria, os processos (TC) foram coordenados e conduzidos pelas Secex, cabendo Sefti alocar um auditor para participar das equipes, em tempo integral na fase de planejamento e em tempo parcial na fase de execuo. Ao final de cada etapa, um dos entes j avaliados em controles gerais de TI foi selecionado, segundo critrios de relevncia estabelecidos pela Sefti, para ter algum aspecto especfico de um objeto de TI avaliado detalhadamente (auditoria especfica). 4 fase auditorias especficas As auditorias especficas foram realizadas por AUFC da Sefti acerca de alguns aspectos especficos de objetos de TI de jurisdicionados que receberam avaliao de controles gerais de TI, de forma a evidenciar possveis consequncias das fragilidades na governana de TI detectadas poca. Foram selecionados os seguintes objetos: contratos de entes da APF com o Serpro, devido materialidade e aos indcios, obtidos no primeiro grupo de auditorias, de que esses contratos no estavam aderentes ao arcabouo legal (TC 022.241/2010-8); sistema informatizado que suporta o Sistema Nacional de Transplantes, devido s fragilidades identificadas nos controles gerais relativos segurana da informao no Datasus durante a ACGTI no Ministrio da Sade, materialidade do programa (com dotao aproximada de R$ 1,3 bilho para 2010) e ao apoio do sistema poltica de governo com grande relevncia social, uma vez que se interfere em aspectos de manuteno e qualidade da vida humana (TC 029.074/2010-0); Contrato 02.003.00/2009, firmado entre o Ministrio de Cincia e Tecnologia (MCT) e a empresa Mdulo Security Solutions S.A. (Mdulo), cujo objeto consultoria em segurana da informao, incluindo suas possveis implicaes na governana de TI do Ministrio, devido ao seguinte: identificao de fragilidades nos controles gerais relativos segurana da informao no MCT durante a ACGTI; materialidade do contrato (R$ 3.292.151,00); existncia de representao de equipe de auditoria registrando indcios de irregularidade na gesto do contrato (TC 022.815/2010-4); possibilidade de multiplicao na APF desse tipo de contrato, devido edio das Normas Complementares do GSI sobre gesto de segurana da informao (TC 029.120/2010-1). 5 fase monitoramento nos OGS Essa fase teve como objetivo monitorar as determinaes e recomendaes contidas em diversos acrdos estruturantes (e.g., Acrdos 1.094/2004, 2.471/2008, 1.603/2008, todos do Plenrio do TCU). Por essas determinaes e recomendaes estarem relacionadas ao tema abordado pelo TMS 2010, alm do fato de que as aes empreendidas pelos OGS deveriam ter impacto na situao da governana de TI na APF, optou-se por inserir seus monitoramentos no escopo do trabalho.
8

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Falhas e impropriedades eventualmente encontradas nas auditorias das fases anteriores podem ter como uma de suas causas a ausncia ou a deficincia de orientaes e normativos que fundamentem a atuao dos gestores de TI. Em virtude dessa provvel constatao, era necessrio realizar monitoramento das aes referentes promoo da governana de TI conduzidas pelos rgos com essa competncia. Uma nica ao de fiscalizao conduzida pela Sefti (TC 028.772/2010-5; Acrdo 1.145/2011-TCU-Plenrio) monitorou deliberaes contidas em sete acrdos, dirigidas a onze rgos governantes superiores. 6 fase consolidao O objetivo dessa fase consiste em agregar os resultados de todas as fiscalizaes previstas, de modo a sintetizar os achados e concluses sobre a gesto e uso de TI na APF, o que se faz por meio deste relatrio. Avaliaes do trabalho Como medida para avaliar o trabalho realizado, foram feitas duas avaliaes: uma com as equipes participantes e outra com os responsveis pelos jurisdicionados auditados nas ACGTI. A avaliao feita pelos analistas do TCU que participaram da FOC (sntese no anexo 4, fl. 34) teve como objetivo avaliar a atuao da Sefti como unidade coordenadora dos trabalhos, bem como buscar oportunidades de melhoria no processo de conduo de FOC, uma vez que, como unidade tcnica especializada, razovel imaginar que esse tipo de trabalho (coordenao de FOC) seja uma atividade relativamente comum Sefti. A coordenao desta Secretaria teve ndice de 90% de satisfao e recebeu informaes que constituem oportunidades de melhoria. A avaliao feita com os responsveis pelos entes auditados (sntese no anexo 4, fl. 1) teve como objetivo verificar a satisfao no relacionamento entre auditor e auditado, alm de possibilitar o aperfeioamento individual das condutas das diversas equipes em trabalhos futuros. A pesquisa indicou 94% de satisfao dos auditados com as equipes de auditoria e registrou oportunidades de melhoria para a atuao dessas. Limitaes A limitao registrada por algumas equipes diz respeito demora, por parte do auditados, em responder s solicitaes das equipes e em disponibilizar as informaes requeridas. Volume de recursos fiscalizados O volume de recursos fiscalizados foi de cerca de R$ 47,6 bilhes, conforme consta do apndice . O valor corresponde a soma dos valores dos contratos analisados nas diversas auditorias, mais a soma dos valores dos contratos de obras do Dnit cadastrados no Sistema de Acompanhamento de Contratos Siac, objeto da auditoria do TC 010.474/2010-2. Benefcios estimados Devido aos objetivos pretendidos com este TMS, no se obtiveram benefcios quantificveis. Os benefcios no quantificveis se traduzem na induo de melhorias na organizao interna (governana e gesto de TI) das catorze unidades auditadas, bem como induo da melhoria da estrutura da governana de TI de toda a APF por meio de orientaes aos rgos governantes superiores. Processos conexos Os processos conexos a este so os constantes do apndice . RESULTADOS DA AVALIAO EMPREENDIDA Processo de planejamento estratgico institucional Considerando que a governana de TI deve prover meios para que as aes de TI estejam alinhadas ao negcio, a primeira questo de auditoria da FOC (O Unidade executa o processo de planejamento estratgico institucional de acordo com as boas prticas?) buscou evidenciar como os entes auditados organizam suas estratgias de negcio de longo prazo, o que normalmente resulta em um documento chamado Plano Estratgico Institucional (PEI).
9

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

O que se esperava, segundo o previsto no critrio 2 do Programa Nacional de Gesto Pblica e Desburocratizao (Gespblica), eram documentos resultantes do planejamento de longo prazo do negcio com as seguintes caractersticas: publicados formalmente; elaborados com a participao de todas as partes envolvidas em sua execuo; elaborados com mtodos e tcnicas reconhecidos no mercado, o que conduz a planejamentos de melhor qualidade; desdobrados pelas diversas reas executoras, em planos de mdio e curto prazo; divulgados; avaliados periodicamente. Registre-se que o Gespblica, institudo pelo Decreto 5.378/2005, uma diretriz presidencial focada no cumprimento do princpio da eficincia e, em 2010, teve dotao de R$ 5,35 milhes (ao 2D330000 Fomento Melhoria da Gesto Pblica do Programa 1.088 Fortalecimento da Capacidade de Gesto Pblica, constante do volume II da Lei 12.214/2010 LOA 2010). O Quadro 2 apresenta o resultado obtido na avaliao in loco, o qual evidencia que mais da metade dos auditados no possuem planos de negcio para o longo prazo. Alm disso, exceo do Ministrio da Sade, os demais auditados tinham planos incompletos (e.g., falta de metas para os objetivos estratgicos) e apresentavam outras falhas decorrentes da ausncia da totalidade das caractersticas elencadas no item . Em outra linha de anlise, os dados constantes do Apndice (linha A da tabela) evidenciam que cinco auditados que declararam possuir processo de planejamento estratgico institucional de fato no o possuem, ante a ausncia de evidncias apresentadas s equipes do TCU, o que sugere que a situao descrita no Acrdo 2.308/2010-TCU-Plenrio pode ser pior, ou seja, pode haver mais pesquisados que no executam o processo de planejamento estratgico institucional alm dos 21% que declararam no o executar. Registre-se que, no monitoramento realizado (TC 028.772/2010-5, Acrdo 1.145/2011TCU-Plenrio), foi identificado que o nico OGS a orientar seus jurisdicionados quanto ao tema foi o CNJ, o que contribuiu para a suposta melhora da situao, se comparados os dados de 2007 e 2010 (anexo 2, fl. 4, item 42), sendo que, diante do cenrio evidenciado, h oportunidade e convenincia para aprimoramento da atuao dos demais OGS. Quadro 2 Processo de planejamento estratgico (achados) SE/MCT SE/MRE TRT-RS TRT-SP SE/MS SE/MP Anatel FNDE Dnocs Ibama

Susep

Finep

Possveis achados Inexistncia do Plano Estratgico X X X X X X X X Institucional Falhas no Plano Estratgico X X X X X Institucional Falhas no Processo de X X X X X Planejamento Estratgico Institucional A consequncia mais direta da ausncia ou deficincia do planejamento institucional a impossibilidade de os gestores demonstrarem que atendem ao princpio constitucional da eficincia, uma vez que no se pode avaliar sua gesto por meio de parmetros objetivos de comparao entre o planejado e o executado. o que se requer, por exemplo, na Deciso Normativa TCU 110/2010, quanto ao primeiro elemento a constar do relatrio de auditoria de gesto: 1. Avaliao dos resultados quantitativos e qualitativos da gesto, em especial quanto eficcia e eficincia no cumprimento dos objetivos e metas (fsicas e financeiras) planejados e/ou pactuados para o exerccio, identificando as causas de insucessos no desempenho da ao administrativa. (grifamos)
10

ADE

Dnit

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Outra consequncia a impossibilidade de alinhar o uso da TI ao negcio, para que essa contribua para o alcance dos objetivos organizacionais, j que esses objetivos no so explicitados ou mensurveis objetivamente. A ausncia de cultura de planejamento de longo prazo para o negcio consiste em uma lacuna no campo da governana corporativa, lacuna esta que limita a maturidade da governana de TI nas organizaes, como relatado no pargrafo adiante. Por oportuno, transcreve-se a seguir excerto do discurso proferido pelo Sr. Jorge Gerdau, presidente da Cmara de Polticas de Gesto, Desempenho e Competitividade do Conselho de Governo, no evento de lanamento do Plano Estratgico do TCU para o perodo 2011-2015, que evidencia que aquele dirigente compartilha o entendimento exposto ao longo desta seo: Eu, hoje, estou convicto de que no trabalho que os senhores colocaram, fico extremamente feliz porque eu gostaria que em todos os Ministrios, todas as grandes atividades, tivesse um mapa estratgico como esse (...) (sublinhou-se). Pesquisa na legislao, cujo produto encontra-se nos apndices e , identificou que o normativo que estabelece a estrutura regimental de treze dos 37 rgos da administrao direta do Poder Executivo no se refere a qualquer documento de planejamento institucional. Para os outros 24 rgos, o decreto presidencial que define a estrutura regimental estabeleceu como responsabilidade do secretrio-executivo da pasta coordenar, consolidar e submeter ao Ministro de Estado o plano de ao global da [pasta] (itens 5 a 28 do apndice ). Assim, por meio de diligncia (exemplo fl. 9), solicitaram-se aos 24 secretriosexecutivos as seguintes informaes: cpia eletrnica do Plano de Ao Global consolidado, conforme previsto no respectivo decreto de regimento interno, identificado no apndice ; o endereo de publicao do Plano de Ao Global na internet, caso esteja ali publicado; cpia do documento que formaliza a submisso do Plano de Ao Global ao Ministro de Estado, conforme previsto no respectivo decreto de regimento interno, identificado no apndice ; caso exista, cpia do documento de aprovao do Plano de Ao Global pelo Ministro de Estado, conforme previsto no respectivo decreto de regimento interno, identificado no apndice ; caso exista, cpia eletrnica do documento de referncia que defina o processo de trabalho utilizado para a elaborao do Plano de Ao Global. O Quadro 3 resume as respostas encaminhadas em ateno s diligncias (fls. 9-306, principal e v.1): Quadro 3 Tabulao das respostas sobre a existncia do Plano de Ao Global (PAG) Ofcio rgo diligenciado PAG Internet Submisso Aprovao Processo Sefti 408 Casa Civil da Presidncia da Repblica no no no no no Ministrio da Agricultura, Pecuria e 409 Abastecimento no no no no no Ministrio da Cincia, Tecnologia e 410 Inovao SIM SIM no no no 411 Ministrio da Educao no no no no no 412 Ministrio da Fazenda no no no no SIM 413 Ministrio da Integrao Nacional no no no no no 414 Ministrio da Justia SIM no no no SIM 415 Ministrio da Previdncia Social SIM no no SIM SIM 416 Ministrio da Sade SIM no no no no 417 Ministrio das Cidades no no no no no 418 Ministrio de Minas e Energia no no no no no 419 Ministrio do Desenvolvimento Agrrio No respondeu aps o prazo de 30 dias. Ministrio do Desenvolvimento, Indstria e 420 Comrcio Exterior SIM SIM no no no 421 Ministrio do Desenvolvimento Social e SIM no no no no
11

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Combate Fome 422 Ministrio do Esporte No respondeu aps o prazo de 30 dias. 423 Ministrio do Meio Ambiente no no no no no Ministrio do Planejamento, Oramento e 424 Gesto no no no no no 425 Ministrio do Trabalho e Emprego SIM no no no SIM 426 Ministrio do Turismo no no no no no 427 Ministrio dos Transportes no no no no no Secretaria de Assuntos Estratgicos da 428 Presidncia da Repblica no no no no no Secretaria de Relaes Institucionais da 429 Presidncia da Repblica no no no no no Secretaria-Geral da Presidncia da 430 Repblica no no no no no Secretaria de Aviao Civil da Presidncia 431 da Repblica no no no no no Legenda: PAG apresentou evidncia de que existe plano de ao global ou outro documento que consolida o planejamento de todo a instituio?; Internet apresentou evidncia de que publica o plano consolidado na Internet?; Submisso apresentou evidncia de que o SecretrioExecutivo submeteu o plano consolidado ao Ministro?; Aprovao apresentou evidncia de que o Ministro aprovou o plano consolidado?; Processo apresentou evidncia de que existe um processo formal de planejamento que conduz a um plano consolidado? A anlise da legislao sobre o tema (apndice ) juntamente com o Quadro 3 permite chegar s seguintes concluses: a ausncia de referncia a qualquer documento de planejamento institucional no normativo que estabelece a estrutura regimental de treze rgos constitui lacuna de atribuio de responsabilidade nesses rgos com respeito ao tema; no h normativo que estabelea o que um Plano de Ao Global (PAG), apesar de haver normativo que obrigue 24 rgos com status de ministrio a ter um; a maioria dos Ministrios diligenciados (17 de 24, ou seja 71%) no possui PAG; dos sete rgos que apresentaram um documento que entendem por PAG, cinco (71%) no do publicidade do documento na internet; em nenhum dos 24 Ministrios diligenciados, o secretrio-executivo deu cumprimento ao dispositivo regimental de submeter ao Ministro de Estado o plano de ao global; somente em um caso h evidncia de que o Ministro de Estado aprovou formalmente o documento do PAG; a maioria dos Ministrios (20 de 24, ou seja 83%) no tem processo de trabalho para elaborar um PAG. Os dados apresentados sobre o PAG no item corroboram a necessidade de definio, pela Cmara de Polticas de Gesto, Desempenho e Competitividade (CGDC) do Conselho de Governo, de uma orientao sobre como deve ser o processo de planejamento institucional nos rgos e entidades do Poder Executivo Federal, sem prejuzo de que seja proposto dar cincia aos 23 Ministrios de que os secretrios-executivos no submeteram aos Ministros de Estado o Plano de Ao Global da pasta, o que afronta os respectivos decretos que estabelecem sua Estrutura Regimental (considerou-se que a aprovao do PAG pelo Ministro da Previdncia Social supriu a no submisso formal pelo secretrio-executivo). Conclui-se que carece de aperfeioamento a cultura de planejamento institucional de longo prazo, em especial nos rgos e entidades do Poder Executivo e do Ministrio Pblico, motivo pelo qual se propem recomendaes para a Cmara de Polticas de Gesto, Desempenho e Competitividade (CGDC) do Conselho de Governo e para o CNMP nos termos a seguir. Recomendar que, em ateno ao Decreto-Lei 200/1967, art. 6, inciso I, e art. 7, normatize a obrigatoriedade de que todos os entes sob sua jurisdio estabeleam processo de planejamento
12

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

estratgico institucional, observando as boas prticas sobre o tema, a exemplo do critrio de avaliao 2 do Gespblica, contemplando, pelo menos (subitem ): elaborao, com participao de representantes dos diversos setores da organizao, de um documento que materialize o plano estratgico institucional de longo prazo, contemplando, pelo menos, objetivos, indicadores e metas para a organizao; aprovao, pela mais alta autoridade da organizao, do plano estratgico institucional; desdobramento do plano estratgico pelas unidades executoras; divulgao do plano estratgico institucional para conhecimento dos cidados brasileiros, exceto nos aspectos formalmente declarados sigilosos ou restritos; acompanhamento peridico do alcance das metas estabelecidas, para correo de desvios; divulgao interna e externa do alcance das metas, ou dos motivos de no as ter alcanado. Processo de planejamento estratgico de TI A segunda questo de auditoria da FOC (O Unidade executa o processo de planejamento estratgico de TI de acordo com as boas prticas?) buscou evidenciar como os entes auditados organizam suas estratgias de longo prazo para que a tecnologia da informao apoie o negcio, o que normalmente se faz em um documento chamado Plano Estratgico de TI (Peti) ou Plano Diretor de TI (PDTI). O que se esperava, segundo o previsto no processo PO1 Planejamento Estratgico de TI do Cobit 4.1, eram documentos decorrentes do processo de planejamento de longo prazo da TI com as seguintes caractersticas: publicados formalmente; elaborados com a participao de todas as partes interessadas (TI e reas de negcio); elaborados com mtodos e tcnicas reconhecidos no mercado, o que conduz a planejamentos de melhor qualidade; desdobrados pelas diversas reas executoras, em planos de mdio e curto prazo; divulgados; avaliados periodicamente; alinhados com o plano estratgico institucional. O Quadro 4 apresenta o resultado obtido na avaliao in loco, no qual se evidencia que nove dos catorze auditados no possuem os planos em questo, enquanto os demais auditados tinham planos incompletos (e.g., falta de metas para os objetivos estratgicos) ou apresentavam outras falhas decorrentes da ausncia da totalidade das caractersticas elencadas no item . Quadro 4 Processo de planejamento estratgico de TI (achados) SE/MCT SE/MRE TRT-RS TRT-SP SE/MS SE/MP Anatel FNDE Dnocs Ibama

Susep

Finep

Possveis achados Inexistncia do PDTI X X X X X X X(2) X X Falhas no PDTI X X X X(1) X(1) Falhas no Processo de X X X X Planejamento de TI (1) Consta do relatrio original com o ttulo: Falhas no Plano Diretor de TI (PDTI) (2) Consta do relatrio original com o ttulo: Inexistncia de Plano Diretor de Tecnologia da Informao Em outra linha de anlise, os dados constantes do Apndice (linha B da tabela) evidenciam que houve dois auditados que declararam possuir processo de planejamento estratgico de TI, mas que, ante a ausncia de evidncias apresentadas s equipes do TCU, de fato no o possuem, o que sugere que a situao descrita no Acrdo 2.308/2010-TCU-Plenrio pode ser de fato ainda pior, ou seja, pode haver mais pesquisados que no executam o processo de planejamento estratgico de TI alm dos 61% que declararam no o executar. Registre-se que, no monitoramento realizado (TC 028.772/2010-5; Acrdo 1.145/2011TCU-Plenrio), foi identificado que o CNJ e a SLTI/MP orientaram seus jurisdicionados quanto ao tema,
13

ADE

Dnit

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

e, mesmo assim, observa-se que os diversos auditados ainda no tinham dado cumprimento s orientaes contidas na Resoluo CNJ 99/2009 e na IN SLTI 4/2008. Entretanto, orientao contida na IN SLTI 4/2010 trata apenas da obrigatoriedade de elaborao de PDTI anteriormente s contrataes, e no de uma orientao sobre como estabelecer um processo de planejamento estratgico de TI, sendo, diante do cenrio evidenciado, oportuna e conveniente a atuao dos OGS. Assim como ocorre com as deficincias no planejamento estratgico de negcio, uma das consequncias da ausncia ou deficincia no planejamento de longo prazo para a TI consiste na impossibilidade de evidenciar cumprimento ao princpio constitucional da eficincia. De fato, em todos os processos de contratao analisados nas catorze fiscalizaes, no havia demonstrao de que a despesa executada consistia na melhor alocao de recursos possvel. Outra consequncia da ausncia desse tipo de planejamento pode ser evidenciada no caso relatado no Acrdo 2.023/2005-TCU-Plenrio, quando, aps o trmino (bem-sucedido) do desenvolvimento de um sistema que suportaria a implementao de uma ao do governo, houve um retardo de dois anos para que o sistema entrasse em produo. A causa do ocorrido foi que, devido ausncia de planejamento da TI como um todo, no foi prevista a substituio da infraestrutura tecnolgica (servidores, equipamentos de rede etc) por outra de maior velocidade capaz de suportar o novo sistema. Sobre o tema, cabe registrar que o plano estratgico de TI tratado nesse item no um documento do setor de TI da organizao, mas um documento da organizao, vez que formaliza a alocao de recursos (financeiros, humanos, materiais etc) para que a TI atenda s demandas do negcio. Registre-se que essa ressalva constou de fala do Ministro substituto do TCU Augusto Sherman em evento do Ciclo de Palestras 2011 promovido pelo TCU em 4 de agosto de 2011, cujo pblico-alvo foi a alta administrao dos rgos do Poder Judicirio. Conclui-se que carece de aperfeioamento a cultura de planejamento de longo prazo de TI, sendo que h necessidade de orientao dos OGS dos rgos e entidades do Poder Executivo e do Ministrio Pblico nesse sentido, motivo pelo qual se propem recomendaes para a Cmara de Polticas de Gesto, Desempenho e Competitividade (CGDC) do Conselho de Governo e para o CNMP nos termos a seguir. Recomendar que, em ateno ao Decreto-Lei 200/1967, art. 6, inciso I, e art. 7, normatize a obrigatoriedade de que todos os entes sob sua jurisdio estabeleam processo de planejamento estratgico de TI, observando as boas prticas sobre o tema, a exemplo do processo PO1 Planejamento Estratgico de TI do Cobit 4.1, contemplando, pelo menos (subitem ): elaborao, com participao de representantes dos diversos setores da organizao, de um documento que materialize o plano estratgico de TI, contemplando, pelo menos: objetivos, indicadores e metas para a TI organizacional, sendo que os objetivos devem estar explicitamente alinhados aos objetivos de negcio constantes do plano estratgico institucional; alocao de recursos (financeiros, humanos, materiais etc); estratgia de terceirizao; aprovao, pela mais alta autoridade da organizao, do plano estratgico de TI; desdobramento do plano estratgico de TI pelas unidades executoras; divulgao do plano estratgico de TI para conhecimento dos cidados brasileiros, exceto nos aspectos formalmente declarados sigilosos ou restritos; acompanhamento peridico do alcance das metas estabelecidas, para correo de desvios; divulgao interna e externa do alcance das metas, ou os motivos de no as ter alcanado. Estrutura de TI A terceira questo de auditoria da FOC buscou verificar se a organizao da TI organizacional era adequada s atividades a que ela deve dar suporte. Nesse tema foram avaliados: funcionamento dos comits de TI; definio e ocupao de papis sensveis dentro da TI; forma de avaliao do quadro de pessoal de TI.
14

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Um comit estratgico de TI tem como funes bsicas assegurar que a governana de TI seja adequadamente tratada, aconselhar a direo estratgica de TI e revisar os grandes investimentos (Cobit 4.1, PO4.2). J um comit de direo de TI tem como atribuies tpicas priorizar os investimentos de TI em alinhamento com a estratgia e as prioridades do negcio da instituio, acompanhar o status dos projetos e resolver conflitos por recursos e monitorar os nveis de servio e as melhorias implantadas na organizao (Cobit 4.1, PO4.3). Segundo as boas prticas, espera-se encontrar dentro de um setor de TI uma estrutura formal (Cobit 4.1, PO4.5), com papis e suas responsabilidades formalmente definidos (Cobit 4.1, PO4.6), em que os papis sensveis encontrem-se com responsveis formalmente designados (Cobit 4.1, PO4.13) e que os responsveis pela gesto da TI das organizaes sejam integrantes do quadro da organizao (Decreto-Lei 200/1967, art. 10, 7). O Quadro 5 apresenta o resultado obtido na avaliao in loco, no qual se evidencia que: em sete auditados o comit no estava institudo e em outros cinco estava institudo, mas no era atuante. Somente em dois entes identificaram-se comits atuantes; ainda h organizaes em que as atividades de gesto (planejamento, coordenao, controle e superviso) so exercidas na prtica por no servidores pblicos. A quase totalidade dos auditados no possui uma avaliao das suas necessidades de pessoal no setor de TI, a despeito do recorrente argumento de que falta pessoal nesses setores. Quadro 5 Estrutura de TI (achados) SE/MCT SE/MRE TRT-RS TRT-SP SE/MS SE/MP Anatel FNDE Dnocs Ibama

Susep

Finep

Possveis achados Inexistncia de comit de TI X X X X X X X Falhas relativas ao comit de TI X X X X X Inexistncia de definio formal X X X X de papis e responsabilidades Papis sensveis sem responsvel Papel sensvel exercido por no X X X servidor Inexistncia de avaliao do X X X X X X X X X X X X quadro de pessoal de TI Falhas na avaliao do quadro de X pessoal de TI Inadequao do quadro de X X pessoal de TI Com respeito aos comits de TI, os dados constantes do Apndice (linha C da tabela) evidenciam que houve um auditado que declarou possuir comit institudo, mas que, ante a ausncia de evidncias apresentadas equipe do TCU, de fato no o possui, sugerindo que a situao descrita no Acrdo 2.308/2010-TCU-Plenrio de fato pode ser ainda pior, ou seja, pode haver mais pesquisados que no possuem comits de TI alm dos 68% que declararam no o possuir. Registre-se que, no monitoramento realizado (TC 028.772/2010-5; Acrdo 1.145/2011TCU-Plenrio), foi identificado que o nico OGS a orientar seus jurisdicionados quanto obrigatoriedade de designar formalmente comits de TI foi o CNJ (a obrigao criada pela SLTI/MP por meio da IN SLTI 4/2008 foi extinta com a publicao da nova verso da norma, a IN SLTI 4/2010), e, mesmo assim, observou-se que um auditado do Poder Judicirio ainda no tinha dado cumprimento orientao da Resoluo 90/2009-CNJ, art. 12, sendo, diante do cenrio evidenciado, oportuna e conveniente a atuao dos demais OGS. Registre-se, por oportuno, que h um documento de autoria da SLTI/MP que trata de Diretrizes do Sisp para criao de comits de TI (disponvel em
15

ADE

Dnit

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

http://www.sisp.gov.br/dotlrn/clubs/gestodetisisp/file-storage/index?folder_id=13084935), que pode ser utilizado como base para atuao dos OGS. A consequncia da ausncia de comits de TI ou comits institudos, mas no atuantes, pode ser evidenciada no relatrio de auditoria do TC 029.120/2010-1. Naqueles autos foi registrado que a ausncia de reunies do comit inviabilizou a apreciao de produtos de um contrato, tornando o prosseguimento da execuo do contrato parcialmente invivel, visto que a apreciao dos produtos era competncia do comit (anexo 2, fl. 209, itens 398-400). Est em apurao a responsabilidade do presidente do comit por omisso na convocao das reunies, assim como possvel dano decorrente de tal omisso. Destarte, prope-se recomendar SLTI/MP que normatize a obrigatoriedade de que os entes sob sua jurisdio estabeleam comits de TI, observando as boas prticas sobre o tema, a exemplo do Cobit 4.1, PO4.2 comit estratgico de TI e PO4.3 comit diretor de TI (subitem ). Recomendao anloga deve ser proposta ao CNMP e CGPAR. Quanto s deficincias do quadro de servidores nos setores de TI, exemplificam-se a seguir dois casos que evidenciam o tipo de risco a que a organizao fica exposta em tais situaes: fundamentao de contratao produzida (e assinada) por funcionrio de empresa contratada (anexo 2, fl. 38v), isto , um particular justificando a execuo de despesa com recursos pblicos; funcionrio de empresa contratada mantendo relao de subordinao direta com servidor pblico e executando atividade de fiscalizao do contrato no qual a empresa contratada seu prprio empregador (anexo 2, fl. 141). A mitigao desses riscos passa pelo preenchimento das funes sensveis dos setores de TI com servidores pblicos, o que no prescinde de prvia avaliao formal da adequao (quantitativa e qualitativa) do quadro de pessoal desses setores, de forma que se prope recomendar ao MP que oriente os rgos e entidades sob sua jurisdio a realizar avaliao quantitativa e qualitativa do pessoal do setor de TI, de forma a delimitar as necessidades de recursos humanos para que estes setores realizem a gesto das atividades de TI da organizao (subitem ). Recomendao anloga deve ser proposta ao CNJ, ao CNMP e CGPAR. Em outra linha de anlise, trazemos excerto do relatrio do Acrdo 2.308/2010-TCUPlenrio, que trata da forma de seleo dos dirigentes de TI das organizaes pesquisadas (anexo 2, fl. 5): 58. Observa-se que 76% das instituies respondentes indicaram que seu dirigente mximo de TI tem experincia em gesto de TI. Portanto, em 24% das instituies respondentes o dirigente mximo supostamente no tem a experincia necessria em gesto de TI, o que preocupante. 59. Tambm deve ser ressaltado que, em relao formao acadmica dos dirigentes de TI: a frequncia de cursos superiores fora da rea de TI maior que na rea de TI; a frequncia de cursos de ps-graduao (lato ou stricto sensu) fora da rea de gesto e governana de TI menor que a de cursos tcnicos de TI ou a de cursos fora da rea de TI; 60. Estes nmeros reforam a impresso de que ainda muito baixo o investimento das instituies na preparao de gestores de TI para efetivamente gerenciar a TI institucional, especialmente em contextos de alto requerimento de governana corporativa e de TI. Considerando a materialidade dos recursos despendidos com TI no Governo Federal (da ordem de R$ 18,1 bilhes), a condio estratgica da TI nas organizaes pblicas (ver item ) e o fato de que as lideranas so fator crtico de sucesso nos processos de governana e gesto (Acrdo 2.308/2011TCU-Plenrio), recomendvel disciplinar o acesso s funes de direo dos setores de TI com base em competncias tcnicas e gerenciais preestabelecidas. Nesse sentido, prope-se recomendar ao MP que, em ateno ao Decreto 5.707/2006, art. 5, 2, c/c o art. 1, III, discipline a forma de acesso s funes de liderana nos setores de Tecnologia da Informao, considerando as competncias multidisciplinares necessrias para estas funes, que incluem, mas no se limitam a conhecimentos em TI (subitem ). Recomendao anloga deve ser proposta ao CNJ, ao CNMP e CGPAR.
16

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

A ttulo de contribuio, cita-se o estudo Gesto e Desenvolvimento de Competncias Gerenciais Relacionadas Tecnologia da Informao, disponvel em http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/trabalhos_academicos_TCU/biblioteca_dig ital/gestao_e_desenvolvimento_de_competencias_gerenciais_rela.pdf, que pode ser til no disciplinamento recomendado. Oramentao de TI Com relao ao processo oramentrio de TI, espera-se que os entes elaborem suas propostas (planejamento do oramento) com base nas aes que efetivamente pretendem realizar, alinhadas aos objetivos de negcio (Cobit 4.1, PO5.3), e que mantenham o acompanhamento da sua execuo, de forma a saber precisamente quanto foi gasto onde e qual a disponibilidade para gastos futuros (Cobit 4.1, PO5.4). O Quadro 6 apresenta o resultado obtido na avaliao in loco, no qual se evidencia que em dez dos treze jurisdicionados auditados foram registradas desconformidades (como no Dnocs no havia contrato em vigor, este item no foi avaliado na autarquia). Quadro 6 Oramentao de TI (achados) Dnit SE/MS SE/MCT Ibama Susep TRT-SP Dnocs SE/MRE TRT-RS Anatel Finep SE/MP ADE X X X X X FNDE
17

Possveis achados Inexistncia de oramento de TI na LOA Falhas no oramento de TI constante da LOA X X X X X Inexistncia de controle da execuo do oramento de TI X X X Falhas no controle da execuo do oramento de TI X X

Observa-se no Quadro 6 a existncia de ente pblico sem previso de oramento para TI na LOA, o que, no mnimo, inquietante ante a notria dependncia de TI de todas as organizaes. Compulsando os dados oferecidos pela SOF/MP no levantamento de auditoria (TC 001.484/2010-9), trabalho da fase preparatria deste TMS, identificaram-se dezenas de rgos e entidades sem previso de gastos com TI, o que se pode evidenciar tambm pela anlise do Quadro 17 da LOA 2010 (Lei 12.214/2010). Cite-se, por exemplo, que apenas 22 dos 27 TRT aparecem no mencionado quadro, mas todos os 27 executaram despesas com TI no exerccio de 2010. Considerando o exposto no pargrafo anterior, prope-se recomendar SOF/MP que implante controles para mitigar os riscos de ocorrncia de propostas oramentrias que indevidamente no tenham previso de despesas com tecnologia da informao (subitem ). Analisando de outro ponto de vista, os dados constantes do Apndice (linha D da tabela) evidenciam que houve cinco situaes em que as evidncias apresentadas s equipes do TCU no corroboram as respostas apresentadas pergunta A solicitao do oramento de TI feita com base nas estimativas de custos das contrataes previstas?, sugerindo que a melhoria identificada no Acrdo 2.308/2010-TCU-Plenrio (anexo 2, fl. 7, itens 118 e 119) pode no ser real e que maior do que 16% o percentual de pesquisados que no elabora sua proposta oramentria de TI com base nas atividades que pretende executar. No mesmo sentido, ainda compulsando os dados constantes do Apndice (linha E da tabela), evidenciou-se que em trs situaes as evidncias apresentadas s equipes do TCU no corroboram as respostas apresentadas pergunta Ao longo do exerccio financeiro h controle dos gastos efetuados especificamente com TI?, sugerindo que menor que 88% o percentual de pesquisados que controla os gastos com TI (anexo 2, fl. 7v, item 120). No monitoramento realizado (TC 028.772/2010-5; Acrdo 1.145/2011-TCU-Plenrio), identificou-se que o nico OGS a orientar seus jurisdicionados quanto necessidade de que as propostas oramentrias para as reas de TI fossem elaboradas em funo das atividades que se pretendessem realizar, alinhadas ao negcio da organizao, foi o CNJ (anexo 2, fl. 188v, item II.4.7 e fl. 189v, item II.4.15), e, mesmo assim, observa-se no Quadro 6 que um auditado do Poder Judicirio ainda no tinha dado cumprimento orientao da Resoluo 99/2009-CNJ, art. 2, sendo, diante do cenrio evidenciado,

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

oportuna e conveniente a atuao dos OGS, em especial da SOF/MP, rgo central do sistema de planejamento e de oramento federal (Lei 10.180/2001). Ante o exposto, prope-se recomendar SOF/MP que, com base no disposto na Lei 10.180/2001, art. 8, II, c/c Decreto 7.063/2010, art. 17, II, normatize a obrigatoriedade de que todos os entes sob sua jurisdio estabeleam processo de trabalho formal para elaborao e acompanhamento da execuo do oramento, contemplando, pelo menos, a obrigatoriedade de que: a solicitao do oramento de TI seja feita com base nas estimativas de custos das atividades que pretendam executar, alinhadas aos objetivos do negcio da organizao (subitem ); haja acompanhamento, ao longo do exerccio financeiro, dos gastos efetuados especificamente com TI (subitem ). Outro aspecto a ser observado diz respeito atuao dos OGS, decorrente do Acrdo 371/2008-TCU-Plenrio, para a identificao do oramento de TI dos entes da APF. O monitoramento realizado (TC 028.772/2010-5; Acrdo 1.145/2011-TCU-Plenrio) identificou as seguintes vulnerabilidades na soluo implantada pela SOF/MP (anexo 2, fl. 187): a) risco de inconsistncia de dados: da forma como implantado, o processo de coleta de informaes permite o cadastramento de rubricas inexistentes ou que no sejam especficas de TI. Os dados enviados em 2010 pela SOF, por meio do Ofcio 06/SECAD/SOF/MP, de 25/2/2010, permitem identificar diversas ocorrncias dessa natureza (pea 29); b) risco de no coleta da informao: da forma como implantado, a obteno das informaes de previso de gastos de TI depende de anualmente inserir-se comando especfico na LDO que reger a elaborao do oramento. No ano em que a SOF por algum motivo no fizer incluir dito comando na LDO, as informaes no sero geradas. Tal fato ocorre pelo fato de o processo de trabalho implantado pela SOF no estar documentado (ou seja, no se encontra no nvel de maturidade 3 definido), o que enseja necessidade de implantao de controles para garantir que o processo ocorra todos os anos. Tais fatos devero ser levados em considerao quando da consolidao do TMS 6 Gesto e uso de TI. Em seguida, o monitoramento conclui pela possibilidade de haver necessidade de implantar controles para mitigar o risco de inconsistncia e de descontinuidade no envio das informaes ao TCU, o que ser levado em considerao quando da consolidao do TMS 6 Gesto e uso de TI (anexo 2, fl. 187, item 58). Considerando as vulnerabilidades supra, prope-se determinar SOF/MP que, em ateno ao Decreto-Lei 200/1967, art. 75, encaminhe, Secretaria de Fiscalizao de Tecnologia da Informao do Tribunal de Contas da Unio (Sefti/TCU): no prazo de quinze dias aps o envio do projeto da Lei de Diretrizes Oramentrias ao Congresso Nacional, as medidas adotadas para permitir a identificao clara, objetiva e transparente da previso dos gastos em TI no Oramento Geral da Unio ou, alternativamente, normatize o processo de trabalho para obteno de ditas informaes, valendo-se da competncia prevista no Decreto 7.063/2010, art. 17, II (subitem ). Em outra linha, por meio do item 9.4.3 do Acrdo 2.308/2010-TCU-Plenrio, o TCU determinou Sefti que: 9.4.3. defina e mantenha processo de trabalho permanente e sustentvel de acompanhamento da governana de tecnologia da informao na administrao pblica federal, de modo a subsidiar processos de fiscalizao do TCU em TI e processos de planejamento e controle das unidades jurisdicionadas a esta Corte, com definio, se possvel, de periodicidade regular para realizao de levantamentos gerais como o ora examinado e de mecanismos para coleta de evidncias destinadas a aumentar a confiabilidade das informaes colhidas mediante questionrios; Um dos mecanismos necessrios para coletar evidncias consiste na obteno das informaes oramentrias (dotao e execuo oramentria) dos jurisdicionados. Por meio do Siafi Gerencial, possvel Sefti/TCU obter os dados da execuo oramentria da despesa de TI, uma vez que, conforme relatado no monitoramento (anexo 2, fl. 187, item
18

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

59), esto estabelecidas contas contbeis para liquidao dessas despesas no MANUAL SIAFI WEB, Seo 021100 (Outros Procedimentos), Macrofuno 021130 (DESPESAS COM TI). J para as informaes sobre a dotao oramentria, esta Secretaria tem tido acesso s informaes por meio de solicitaes sob demanda, como ocorreu com as informaes encaminhadas por meio do Ofcio 6/Secad/SOF/MP, de 23/2/2010, durante a fase de preparao do TMS (TC 001.484/20109). Assim, como forma de sistematizar o recebimento pelo TCU das informaes oramentrias de TI, propem-se as determinaes a seguir. Determinar SOF/MP que, em ateno ao Decreto-Lei 200/1967, art. 75, encaminhe, Secretaria de Fiscalizao de Tecnologia da Informao do Tribunal de Contas da Unio (Sefti/TCU): no prazo de quinze dias aps o envio do Projeto da Lei Oramentria Anual (PLOA) ao Congresso Nacional, relao da previso das despesas com TI que constam do PLOA, em meio magntico, na forma de banco de dados editvel ou planilha eletrnica, no maior detalhamento possvel, preferencialmente no formato encaminhado por meio do Ofcio 06/SECAD/SOF/MP, de 25/2/2010, ou, alternativamente, disponibilize funcionalidade nos seus sistemas informatizados para que a Sefti/TCU possa acessar os dados requeridos para o atendimento da determinao (subitem ); no prazo de quinze dias aps a publicao da Lei Oramentria Anual (LOA), relao da previso das despesas com TI que constam da LOA, em meio magntico, na forma de banco de dados editvel ou planilha eletrnica, no maior detalhamento possvel, preferencialmente no formato encaminhado por meio do Ofcio 06/SECAD/SOF/MP, de 25/2/2010, ou, alternativamente, disponibilize funcionalidade nos seus sistemas informatizados para que a Sefti/TCU possa acessar os dados requeridos para o atendimento da determinao (subitem ); Determinao anloga deve ser dirigida ao Dest/MP. Processo de software Constam da ABNT NBR ISO/IEC 12.207 as seguintes definies: 4.25 processo conjunto de atividades que se relacionam ou interagem e que transformam entradas em sadas [ABNT NBR ISO 9000:2005]. (...) 4.28 produto resultado de um processo [ABNT NBR ISO 9000:2005]. (...) 4.42 produto de software conjunto de programas de computador, procedimentos e possveis documentao e dados associados. Um processo de software , portanto, um conjunto de atividades que transformam requisitos de usurios (entrada do processo) em um produto de software. Por oportuno, chamamos a ateno para o fato de que o produto de software no composto apenas dos programas de computadores, mas inclui outros itens. Mais ainda, destacamos que os diversos itens que compem o produto de software so gerados ao longo da execuo do processo de software. Diante dos conceitos apresentados, tem-se que, na contratao de servios de desenvolvimento ou manuteno de software, exatamente o processo de software que define o servio objeto do contrato. Sendo assim, a definio do processo de software e sua vinculao ao edital e ao contrato condio necessria para a definio precisa do objeto, nos termos previstos na Lei 8.666/1993, art. 6, IX. Nessa esteira, h diversos precedentes de julgados do TCU, como, por exemplo: Acrdo 953/2009-TCU-Plenrio: (...) 1.5. Determinar ao Ministrio da Defesa que, nas contrataes de servios de Tecnologia da Informao, em especial no caso de elaborao e publicao de novo edital de licitao em substituio ao Edital da Concorrncia n 03/2008: (...) 1.5.2. em ateno ao art. 6, inciso IX, da Lei n 8.666/93, defina formalmente um processo de desenvolvimento de software, previamente contratao de servios de desenvolvimento ou manuteno de software, conforme preconiza o item PO 8.3 do Cobit 4.1 e em consonncia com os
19

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Acrdos 2.023/2005-Plenrio, item 9.1.5 e 436/2008-Plenrio, item 9.1.5, vinculando o contrato com o processo de desenvolvimento de software, sem o qual o objeto no estar precisamente definido; Acrdo 71/2007-TCU- Plenrio: (...) 9.2. determinar, com fulcro no art. 43, inciso I, da Lei n 8.443, de 16 de julho de 1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, Secretaria Nacional de Segurana Pblica do Ministrio da Justia Senasp/MJ que: (...) 9.2.9. defina formalmente padres para desenvolvimento de sistemas no mbito do Infoseg, semelhana das orientaes contidas no item PO8.3 do COBIT 4.0; Acrdo 2.023/2005 Plenrio: 9.1. determinar Secretaria Executiva do Ministrio do Trabalho e Emprego que: (...) 9.1.5. estabelea e divulgue uma metodologia para desenvolvimento de sistemas (novos e legados), indique seus artefatos e produtos e detalhe seus requisitos mnimos, conforme preconiza o item PO 11.5 do Cobit (item 2.3 do relatrio de auditoria); entre outros objetivos, essa metodologia deve regulamentar o desenvolvimento e a manuteno de sistemas pelas outras coordenaes e unidades descentralizadas do Ministrio, de modo a assegurar nveis mnimos de padronizao e segurana dos mesmos (item 2.8 do relatrio de auditoria); Registre-se ainda que um dos processos do ciclo de vida de software descrito na ABNT NBR ISO/IEC 20.207 o processo de aquisio de software. Ainda que a organizao no contrate servios dessa natureza, mas sim execute o desenvolvimento e manuteno de software com pessoal prprio (que no o caso da maioria das organizaes pblicas), a definio do processo de software utilizado na organizao um controle geral de TI que apoia a qualidade do software produzido, sendo boa prtica seu estabelecimento formal. Para a definio dos processos de software, as organizaes podem utilizar-se das normas brasileiras ABNT ISO/IEC 12.207 e 15.504, alm de modelos comerciais, como o CMMI e o MPS.BR, este ltimo criado e mantido pela Softex com recursos pblicos federais. Nesse contexto, a quinta questo de auditoria da FOC buscou evidenciar se H processo de software estabelecido no Unidade?. O Quadro 7 sumariza os resultados, em que se observa que a totalidade dos auditados avaliados tem problemas, sendo que a maioria deles (dez) no possuam processo de software. Os dados constantes do Apndice (linha F da tabela) evidenciam que, apesar de haver situaes em que as evidncias apresentadas s equipes do TCU no corroboram as respostas apresentadas pergunta H processo de software?, os resultados discrepantes no sugerem alterao no resultado constante do Acrdo 2.308/2010-TCU-Plenrio (anexo 2, fl. 6, item 2.4.2), de que mais da metade das organizaes no possuem processo de software, e, consequentemente, quando contratam servios de desenvolvimento ou manuteno de software, fazem-no de forma ilegal, em virtude de indefinio de objeto. Quadro 7 Processo de software (achados) Dnit SE/MS SE/MCT Ibama Susep TRT-SP Dnocs SE/MRE TRT-RS Anatel Finep SE/MP ADE X X X FNDE (3 )

Possveis achados Inexistncia de processo de software

X X X X X

Falhas no processo de software X X X (3) Controle formalizado ao final da fase de execuo da auditoria, de forma que no foi avaliado. No monitoramento realizado (TC 028.772/2010-5; Acrdo 1.145/2011-TCU-Plenrio), identificou-se que os OGS no lograram orientar seus jurisdicionados quanto necessidade de
20

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

estabelecimento de processo de software (anexo 2, fl. 188, item II.4.4 e fl. 189v, item II.4.13), sendo, diante do cenrio evidenciado, oportuna e conveniente a atuao dos OGS. As consequncias da inexistncia de processo de software vinculado ao edital e contrato so diversas, das quais ressaltamos os seguintes dois riscos: divergncia de expectativas entre as partes contratantes, visto que o contratado pode entender que deve executar um processo de software mais simples (e mais barato), gerando, portanto, menos componentes do software (e.g., somente cdigos-fonte e executvel), enquanto o contratante entende que devem ser gerados mais componentes de software (e.g., documentos de anlise e projeto, cdigos-fonte e executvel, casos de testes, manuais de usurio), o que pode inviabilizar a execuo do contrato; contratao por valor acima do mercado, pois sem a definio do processo de software no h como estimar o preo do servio de forma aceitvel. O processo de software controle que mitiga riscos de que o software desenvolvido ou adquirido tenha baixa qualidade, contribuindo para que no ocorram situaes como a relatada no TC 010.474/2010-2, em que foi evidenciado que o Sistema de Acompanhamento de Contratos do Dnit (Siac), sistema crtico para a Autarquia, capaz de parar imediatamente o seu negcio (anexo 2, fl. 212, item 9), no possua dicionrio de dados (anexo 2, fl. 221, achado 3.3), a despeito de manipular mais de uma centena de tabelas, com milhares de campos no total. A ausncia de dicionrio de dados decerto contribuir de forma negativa no caso de necessidade de manutenes no sistema, quando, no raro, os tcnicos necessitam consultar esse artefato para efetuar dita manuteno. A ttulo exemplificativo, citamos a boa prtica identificada por ocasio de auditoria realizada no BNB, apreciada por meio do Acrdo 193/2009-TCU-Plenrio, no qual foi registrado que o Banco definiu processo de software, vinculou o contrato de desenvolvimento e manuteno de software ao processo e praticou adequada gesto contratual, utilizando-se dos critrios definidos em seu processo de software para aferir os produtos entregues ao longo da execuo contratual. Outro exemplo de consequncia possvel ante a ausncia desse controle geral de TI foi observado no Ministrio da Sade, o que contribuiu para a existncia de software com inconsistncias entre as regras utilizadas no sistema informatizado (SIG) que apoia o Sistema Nacional de Transplantes (SNT) e as regras definidas pelos normativos que regem o SNT, nos termos relatados no TC 029.074/2010-0 (anexo 2, fl. 254, item 2.14.5): 225. Embora no tendo acesso base de dados do sistema conforme requerido pela equipe de auditoria, foi possvel identificar, especialmente na ocasio das visitas s CNCDO, algumas inconsistncias entre as regras utilizadas pelo SIG e as regras definidas pelo Regulamento Tcnico do SNT (Portaria MS 2.600/2009). 226. As inconsistncias identificadas referem-se, em suma, aos seguintes fatos: a) no considerao de situaes especiais na pontuao atribuda a receptores (em casos bem especficos); b) falta de acesso dos receptores a informaes de seus pronturios; c) permisses indevidas de acesso e alterao de informaes do receptor por no membro de equipe especializada; d) permisso indevida de insero de um receptor em situao especial pela equipe especializada; e) critrio de desempate incorreto para pontuao de potenciais receptores em situao especial. 227. Registre-se que a ausncia de um processo de software padronizado no Datasus (Acrdo 757/2011-TCU-Plenrio, item 9.2.4) contribui para que as regras de negcio estejam implementadas de forma desconforme com as previses da Portaria-MS 2.600/2009, pois, por exemplo, a prtica da disciplina de gesto de requisitos aliada a um processo de homologao adequado mitigaria os riscos de erros como relatados neste achado. Para avaliar a gravidade da situao descrita, o TC 029.074/2010-0 registrou ainda que as inconsistncias identificadas podem ter como consequncia a alterao indevida de posies na lista de
21

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

receptores de rgos para transplantes (anexo 2, fl. 254, item 2.14.3), podendo acarretar, em ltimo caso, a morte indevida de um cidado. Diante desse cenrio, entende-se necessrio que os OGS elaborem modelos de processo de software para seus jurisdicionados, bem como estabeleam a obrigatoriedade de que os jurisdicionados adotem formalmente um processo de software para si, que pode ser o prprio modelo criado pelo OGS, ou outro, motivo pelo qual se prope recomendar SLTI/MP que: elabore um modelo de processo de software para a os entes sob sua jurisdio, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI); subitem ); estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem um processo de software para si, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem ). Recomendao anloga deve ser proposta ao CNJ, ao CNMP e CGPAR. Ademais, prope-se determinar SLTI/MP que, em ateno ao previsto no Decreto 7.579/2011, art. 4, V, oriente os entes sob sua jurisdio sobre necessidade de vincular seus contratos de servios de desenvolvimento ou manuteno de software a um processo de software, pois, sem esta vinculao, o objeto do contrato no estar precisamente definido, em desconformidade com o disposto na Lei 8.666/1993, art. 6, inciso IX (subitem ). Determinao anloga deve ser proposta ao CNJ, ao CNMP e CGPAR. Processo de gerenciamento de projetos A sexta questo de auditoria da FOC buscou avaliar se H processo de gerenciamento de projetos de TI estabelecido no Unidade?, e os resultados da avaliao in loco constam do Erro: Origem da referncia no encontrada. A observao do quadro supra permite identificar que a definio de uma estrutura para gerenciamento de projetos no prtica dos auditados, ainda que seja razovel supor que todos eles conduzem projetos de tecnologia da informao. Por meio do Acrdo 2.308/2010-TCU-Plenrio (anexo 2, fl. 18, questo 7.4), obteve-se a informao de que pelo menos 69% dos pesquisados no adotam um padro para o gerenciamento de projetos de TI. Analisando os dados constantes do Apndice (linha G da tabela), foi evidenciado que houve duas situaes em que as evidncias apresentadas s equipes do TCU no corroboram as respostas apresentadas pergunta 7.4 do perfil GovTI2010, sugerindo que o percentual de entes da APF que no possuem estrutura de gerenciamento de projetos de TI pode ser ainda maior. A consequncia da ausncia ou da deficincia de uma estrutura de gerenciamento de projetos de TI pode ser observada da leitura do excerto abaixo (TC 029.074/2010-0), que identificou falhas na implantao do SIG, sistema informatizado que d suporte ao SNT (anexo 2, fl. 254v, item 2.15.6): 239. A Central Nacional de Transplantes (CNT) a unidade do SNT que possui a atribuio de efetuar a distribuio de rgos em mbito nacional, no caso de no utilizao no estado onde o rgo foi doado, alm de outras atribuies relacionadas coordenao de logstica e distribuio de rgos e tecidos no processo de doao/transplante em mbito nacional. 240. Para que a CNT pudesse atender a tal atribuio e contar com as novas facilidades que o Sistema Informatizado de Gerenciamento (SIG) oferece, seria determinante a utilizao do sistema por todas as centrais estaduais de transplantes (CNCDO), e tambm pela prpria Central Nacional. 241. Contudo, em funo da implantao paulatina e parcial do SIG nos estados, aliada a no implantao e uso do mdulo a ser utilizado pela CNT, houve limitaes tcnicas para que a Central Nacional pudesse atender plenamente s regras do negcio do SNT, as quais somente sero sanadas com a utilizao do novo sistema por todos os estados e pela prpria CNT. 242. Registre-se que falhas no processo de gerenciamento de projetos, tais como as identificadas no mbito da auditoria de controles gerais de TI do Ministrio da Sade (TC 013.718/20100, Acrdo 757/2011-TCU-Plenrio, item 9.1.4), contriburam para a ocorrncia das falhas relatadas neste achado. Quadro 8 Processo de gerenciamento de projetos (achados)
22

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Dnit SE/MS SE/MCT Ibama Susep TRT-SP Dnocs SE/MRE TRT-RS

Anatel Finep SE/MP ADE


SE/MP X X X X X X X FNDE ADE

Possveis achados Inexistncia de processo de gerenciamento de (3 X X X X X X X X X X X X projetos ) Falhas no processo de gerenciamento de X projetos (3) Controle formalizado ao final da fase de execuo da auditoria Quanto a esse tema, os acrdos estruturantes monitorados (TC 028.772/2010-5; Acrdo 1.145/2011-TCU-Plenrio) no expediram orientao especfica e, diante do cenrio evidenciado, entende-se oportuna e conveniente a atuao dos OGS, de forma que se prope recomendar SLTI/MP que: elabore um modelo de estrutura de gerenciamento de projetos para os entes sob sua jurisdio, observando as boas prticas sobre o tema (e.g., PMBoK; subitem ); estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem um processo de gerenciamento de projetos para si, observando as boas prticas sobre o tema (e.g., PMBoK; subitem ). Recomendao anloga deve ser proposta ao CNJ, ao CNMP e CGPAR. Processos de gesto de servios A stima questo de auditoria da FOC buscou verificar se H processos de gesto de servios de TI que apoiem o Unidade na administrao da qualidade dos servios de TI?. Nesse tema foram avaliados trs processos, cujos objetivos, segundo a NBR ISO/IEC 20.000, so: gesto de configurao definir e controlar os componentes do servio e infraestrutura e manter informao precisa da configurao, processo cuja importncia reside em manter uma base de dados de itens de configurao do ambiente de TI, chamada CMDB (Configuration Management DataBase), que a base para o funcionamento dos demais processos de gesto de servios; gesto de incidentes restaurar o mais rpido possvel os servios acordados com a organizao, ou responder s requisies dos servios, ou seja, processo cuja importncia est ligada ao fato de que por meio dele que restaurado diretamente o fornecimento de servios dos quais dependem os usurios finais; gesto de mudanas assegurar que todas as mudanas sejam avaliadas, aprovadas, implementadas e revisadas de maneira controlada, que considerado o processo mais crtico no modelo preconizado pelo Cobit 4.1, pois por meio dele que a consistncia dos servios com continuidade mantida. O Quadro 9 apresenta o resultado das avaliaes in loco, e, por meio dele, possvel evidenciar que o tema gesto de servios no encontra prioridade nos auditados. Quadro 9 Processos de gesto de servios (achados)
SE/MCT SE/MRE TRT-RS TRT-SP

SE/MS

Anatel

Dnocs

Ibama

Susep

Possveis achados Inexistncia do processo de gesto de incidentes X Falhas no processo de gesto de incidentes Inexistncia do processo de gesto de configurao X Falhas no processo de gesto de configurao Inexistncia do processo de gesto de mudanas X Falhas no processo de gesto de mudanas

X X X

X X X

X X X

X X X

X X X

X X X

X X X X X X

X X X

X X X

No monitoramento realizado (TC 028.772/2010-5; Acrdo 1.145/2011-TCU-Plenrio), identificou-se que os OGS promoveram algum tipo de orientao aos seus jurisdicionados quanto necessidade de implantar e aperfeioar a gesto de nveis de servio (anexo 2, fl. 188, item II.4.5 e fl.
23

Finep

Dnit

FNDE

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

189v, item II.4.14). Entretanto, o cenrio evidenciado sugere que oportuna e conveniente atuao mais contundente dos OGS, de forma que se prope recomendar SLTI/MP que: elabore um modelo de processo de gesto de servios para os entes sob sua jurisdio que inclua, pelo menos, gesto de configurao, gesto de incidentes e gesto de mudana, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem ); estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem processos de gesto de servios para si, incluindo, pelo menos, gesto de configurao, gesto de incidentes e gesto de mudana, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem ). Recomendao anloga deve ser proposta ao CNJ, ao CNMP e CGPAR. Segurana da informao No tema segurana da informao, foram feitas avaliaes nos seguintes temas: existncia de responsvel pela segurana da informao; funcionamento do comit de segurana da informao; poltica de segurana da informao; equipe de tratamento e resposta a incidentes em redes computacionais; inventrio de ativos de informao; classificao da informao; gesto de riscos de segurana da informao. Registre-se que esses controles gerais de TI esto positivados em normas complementares do GSI/PR e na IN GSI/PR 1/2008. O Quadro 10 resume a situao encontrada na avaliao realizada in loco, cenrio esperado ante os resultados constantes do Acrdo 2.308/2010-TCU-Plenrio. Quadro 10 Segurana da informao (achados)
SE/MCT SE/MRE TRT-RS TRT-SP

SE/MS

SE/MP

Anatel

Possveis achados Inexistncia de gestor de segurana da informao e comunicaes Inexistncia de comit de segurana da informao e comunicaes Falhas no comit de segurana da informao e comunicaes Inexistncia de Poltica de Segurana da Informao e Comunicaes (Posic) Falhas na Poltica de Segurana da Informao e Comunicaes (Posic). Inexistncia de Equipe de Tratamento e Resposta a Incidentes em redes computacionais (Etri). Falhas na Equipe de Tratamento e Resposta a Incidentes em redes computacionais (Etri) Inexistncia de classificao da informao No classificao de informaes conforme nveis de segurana Inexistncia de inventrio dos ativos de informao Falhas no inventrio dos ativos de informao Inexistncia de processo de Gesto de Riscos de Segurana da Informao (GRSIC) Falhas no processo de Gesto de Riscos de Segurana da Informao (GRSIC).

X X

X X

X X

X X

X X

X X

X X

X X

X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X

X X X X X X X X X X X X X X X X X X X X X X X X X X X X X

Os dados coletados por meio do trabalho que culminou no Acrdo 2.308/2010-TCUPlenrio permitiram sinalizar que a situao da segurana da informao na APF era crtica, nos seguintes termos (anexo 2, fl. 5-5v):
24

FNDE

Dnocs

Ibama

Susep

Finep

ADE

Dnit

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

64. A Figura 7 apresenta os resultados obtidos em 2010 comparados aos obtidos em 2007. Observe-se que, neste caso, o grfico apresentado refere-se ausncia das prticas recomendadas, para compatibilizar melhor com a maneira como essa informao foi apresentada em 2007.

Figura 1 Indicadores de deficincias em segurana da informao (fonte: Acrdo 2.308/2010-TCU-Plenrio) (...) 69. Percebe-se que, em todos os casos, no houve melhora nos processos que tratam de segurana da informao na APF. Ou seja, se em 2007 a situao j se mostrava preocupante, atualmente ainda pior, uma vez que o alarme foi soado por meio do Acrdo n 1.603/2008-TCU-Plenrio e, um ano e meio depois, o quadro no apresenta evidncias de melhora. 70. Se em 2007 havia o entendimento de que a maior parte das instituies estava exposta a riscos diversos e no mapeados, hoje, alm de a Administrao estar exposta aos mesmos riscos, no est agindo para sane-los com a agilidade que o caso requer. Analisando os dados constantes do Apndice (linhas K at P da tabela), foi evidenciado que houve doze situaes em que as evidncias apresentadas s equipes do TCU no corroboram as respostas apresentadas s perguntas do perfil GovTI2010 no tema segurana da informao, sugerindo que a situao com respeito segurana da informao, que foi declarada como muito ruim, pode ser de fato ainda pior. No monitoramento realizado (TC 028.772/2010-5; Acrdo 1.145/2011-TCU-Plenrio), identificou-se que o GSI/PR implementou as recomendaes propostas pelo TCU (anexo 2, fl. 188v, item II.4.9 e fl. 192v, item II.6.10), publicando a Instruo Normativa GSI/PR 1/2008 e mais nove normas complementares at 2010, o que consiste em um arcabouo normativo considervel sobre o tema. O mesmo trabalho apontou algumas iniciativas do CNJ nesse tema e nenhuma iniciativa concreta do CNMP (anexo 2, fl. 188, item II.4.3 e fl. 192v, item II.6.10). A despeito da atuao do GSI/PR e do CNJ, a situao encontrada no conjunto de trabalhos evidencia que a informao na APF continua exposta a riscos de segurana em larga medida, o que justifica proposta de aperfeioamento da atuao dos OGS. Como consequncias da ausncia dos controles gerais de TI no tema segurana da informao, ou sua implantao de forma desconforme ao preconizado pelas normas e pelas boas prticas, citam-se os seguintes casos: no Ministrio da Sade, onde no h nenhum dos sete controles gerais de segurana testados, os dados do sistema que suporta o Sistema Nacional de Transplantes (SNT), contendo informaes sobre a intimidade de potenciais receptores de rgos, podem ser alterados e consultados por usurios que, segundo o regulamento do SNT e a Constituio Federal, no deveriam poder faz-los (anexo2, fl. 250-250v, itens 119-120 e fl. 252v, item 183);
25

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

no Dnit, onde no h seis dos sete controles testados, no h poltica de controle de acesso nem procedimento para gerenciamento de usurio, o que contribui para a atribuio de perfis de usurios e realizao de operaes em desconformidade com as regras de segregao de funes e para a atribuio de perfis de usurios e realizao de operaes em desconformidade com os controles de acessos sensveis (anexo 2, fl. 221v, item 360), que a seu turno contribuiu para fraudes consistindo no pagamento por servios no prestados em uma de suas superintendncias estaduais (Acrdo 2.766/2009TCU-Plenrio); no MCT, onde no foram implantados seis dos sete controles testados e a implantao do comit de segurana no foi seguida de seu efetivo funcionamento, evidenciou-se a terceirizao (ilegal) de diversas atividades de gesto de segurana da informao (anexo 2, fl. 208v, item 396) e execuo de despesa sem que houvesse efetivo aperfeioamento da segurana da informao no Ministrio (anexo 2, fl. 209, item 406); no Ibama, onde no h nenhum dos sete controles gerais de segurana testados, o compartilhamento de senhas no setor contbil da superintendncia da Fundao em Gois contribuiu para desvios praticados por uma servidora (TC 003.921/2008-9, Acrdo 458/2011-TCU-Plenrio, item 9.4.3). Ante oportunidade de atuao, prope-se recomendar ao CNMP que (subitem ): estabelea a obrigatoriedade de que os entes sob sua jurisdio implementem os seguintes controles gerais de TI relativos segurana da informao: nomeao de responsvel pela segurana da informao na organizao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 6.1.3 Atribuio de responsabilidade para segurana da informao; criao de comit para coordenar os assuntos de segurana da informao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 6.1.2 Coordenao de segurana da informao; processo de gesto de riscos de segurana da informao, semelhana das orientaes contidas na NBR ISO/IEC 27005 Gesto de riscos de segurana da informao; estabelecimento de poltica de segurana da informao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 5.1 Poltica de segurana da informao; processo de elaborao de inventrio de ativos, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 7.1 inventrio de ativos; processo de classificao da informao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 7.2 classificao da informao, processo necessrio segundo o Decreto 4.553/2002, art. 6, 2, inciso II e art. 67; crie procedimentos para orientar os entes sob sua jurisdio na implementao dos controles acima. Considerando a necessidade de os entes do Poder Judicirio serem orientados sobre como implantar os controles gerais de segurana da informao, prope-se recomendar ao CNJ que crie procedimentos para orientar os entes sob sua jurisdio na implementao dos seguintes controles (subitem ): nomeao de responsvel pela segurana da informao na organizao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 6.1.3 Atribuio de responsabilidade para segurana da informao; criao de comit para coordenar os assuntos de segurana da informao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 6.1.2 Coordenao de segurana da informao; processo de gesto de riscos de segurana da informao, semelhana das orientaes contidas na NBR ISO/IEC 27005 Gesto de riscos de segurana da informao; estabelecimento de poltica de segurana da informao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 5.1 Poltica de segurana da informao; processo de elaborao de inventrio de ativos, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 7.1 inventrio de ativos;

26

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

processo de classificao da informao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 7.2 classificao da informao, processo necessrio segundo o Decreto 4.553/2002, art. 6, 2, inciso II, e art. 67. Com respeito ausncia de implantao dos controles positivados pelo GSI/PR por parte dos entes do Poder Executivo, prope-se recomendar ao GSI/PR que: em ateno Lei 10.168/2003, art. 6, IV, articule-se com as escolas de governo, notadamente com a Enap, a fim de ampliar a oferta de aes de capacitao em segurana da informao para os entes sob sua jurisdio (subitem ); em ateno Lei 10.168/2003, art. 6, IV, oriente os rgos e entidades sob sua jurisdio que a implantao dos controles gerais de segurana da informao positivados nas normas do GSI/PR no faculdade, mas obrigao da alta administrao, e sua no implantao sem justificativa passvel da sano prevista na Lei 8.443/1992, art. 58, II (subitem ). Deliberaes anlogas devem ser propostas ao CNJ e ao CNMP. Por fim, ainda que a anlise das normas expedidas pelos OGS no fizesse parte do escopo dos trabalhos planejados, aps anlise perfunctria, considera-se oportuno recomendar ao GSI/PR que reveja a Norma Complementar 4/IN01/DSIC/GSIPR, uma vez que aborda o tema considerando apenas ativo de informao e no ativo em sentido amplo, como o faz a NBR ISO/IEC 27.002 no item 7.1.1 (subitem ). Processo de capacitao em TI A nona questo de auditoria da FOC (Q9 H plano de capacitao de profissionais de TI que auxilie no desenvolvimento das competncias necessrias para a boa execuo dos trabalhos?) buscou avaliar se os auditados planejavam capacitao para seu pessoal e se nesse planejamento havia previso de capacitao em gesto de TI (planejamento, coordenao, superviso e controle). O resultado da avaliao in loco consta do Quadro 11, em que se observa que apenas um auditado planejou nos termos esperados: Quadro 11 Processo de capacitao de profissionais de TI (achados) SE/MCT SE/MRE TRT-RS TRT-SP SE/MS SE/MP Anatel FNDE Dnocs Ibama

Susep

Finep

Possveis achados Inexistncia de plano anual de X X X X X X X X X X capacitao Plano anual de capacitao no contempla a rea de gesto de X X X TI Por meio do Acrdo 2.308/2010-TCU-Plenrio (anexo 2, fl. 17 questo 6.3), obteve-se a informao de que pelo menos 45% dos pesquisados no tm critrio para avaliao e atendimento aos pedidos de capacitao em gesto de TI. Analisando os dados constantes do Apndice (linha Q da tabela), foi evidenciado que houve seis situaes em que as evidncias apresentadas s equipes do TCU no corroboram as respostas apresentadas pergunta 6.3 do perfil GovTI2010, sugerindo que o percentual de entes da APF que no possuem tais critrios pode ser de fato ainda maior. A Poltica e as Diretrizes para o Desenvolvimento de Pessoal da Administrao Pblica Federal direta, autrquica e fundacional estabelecem como diretriz: a capacitao gerencial do servidor e sua qualificao para o exerccio de atividades de direo e assessoramento (Decreto 5.707/2006, art. 3, III). Quanto a esse tema, os itens 9.1.2 e 9.4.2 do Acordo 1.603/2008-TCU-Plenrio (anexo 2, fls. 187v-188, item II.4.2, e fls. 189-189v, item II.4.12) j haviam recomendado ao CNJ, ao CNMP e ao MP que tomassem providencias para garantir a quantidade e a capacitao adequadas do quadro de servidores em TI. O monitoramento dessas recomendaes (TC 028.772/2010-5; Acrdo 1.145/2011TCU-Plenrio) concluiu ter havido atendimento parcial pelos dois primeiros OGS e total pelo ltimo. Entretanto, as ausncias e deficincias efetivamente encontradas nas auditorias in loco justificam uma
27

ADE

Dnit

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

ao estruturante ainda mais abrangente que as anteriormente recomendadas, pelo que se prope recomendar ao Comit Gestor da Poltica Nacional de Desenvolvimento de Pessoal que, em ateno ao Decreto 5.707/2006, art. 7, II e IV: oriente os rgos e entidades sob sua jurisdio sobre a obrigatoriedade de aprovar o plano anual de capacitao, nos termos do Decreto 5.707/2006, arts. 5 e 2, c/c Portaria MP 208/2006, art. 2, I, e art. 4 (subitem ); estabelea, aps consulta Secretaria de Logstica e Tecnologia da Informao, um programa de capacitao em governana e em gesto de tecnologia da informao (subitem ). Recomendao anloga deve ser proposta ao CNJ, ao CNMP e CGPAR. Processo de contratao e gesto de solues de TI As questes onze e doze das auditorias da FOC trataram dos processos de contratao e gesto contratual de solues de TI, em que se buscou verificar: se haviam controles que promovessem o cumprimento do processo de contratao previsto na IN SLTI 4/2008 (vigente poca) ou outro processo que, no mnimo, promovesse a realizao dos obrigatrios estudos tcnicos preliminares (Lei 8.666/1993, art. 6, IX) antes da elaborao do Termo de Referncia ou Projeto Bsico; se o processo previsto na referida IN era cumprido, ou se os estudos tcnicos preliminares eram realizados; se havia desconformidade nas contrataes; se havia controles que promovessem a regular gesto contratual; se havia conformidade na gesto contratual. Registre-se que, ante a inexistncia de contratos em vigor no Dnocs (anexo 2, fl. 109, item 1.5), a Autarquia no foi considerada na consolidao desse tema. O Quadro 12 e o Quadro 13 sintetizam o resultado das avaliaes in loco. As teses prospectadas e confirmadas foram que: a ausncia de controles na contratao contribui para que o processo da IN SLTI 4/2008 no seja cumprido ou os estudos tcnicos preliminares no sejam realizados; o descumprimento do processo da IN SLTI 4/2008 ou a no realizao dos estudos tcnicos preliminares contribui para desconformidades nas contrataes; a ausncia de controles na gesto contratual contribui para a sua desconformidade. Sobre o tema, merece destaque a IN-SLTI/MP 4/2010 (sucessora da IN-SLTI/MP 4/2008), que instituiu processo de contratao de solues de TI no mbito do Sisp e que, se cumprida, tende a mitigar os riscos nas contrataes de TI. No monitoramento realizado (TC 028.772/2010-5; Acrdo 1.145/2011-TCU-Plenrio), registrou-se (anexo 2, fl. 188v, item II.4.6) que o CNMP no realizou orientao quanto ao estabelecimento de processo de trabalho formal para contrataes de TI e, quanto atuao do CNJ, que: 116. (...) o fato de ainda no haver processo de trabalho para contratao de TI estabelecido no Poder Judicirio aliado ao fato de que a IN-SLTI/MP 04/2010 vem sendo reconhecida como uma boa prtica (e.g., o governo do Distrito Federal formalmente adotou a IN como seu processo de contratao por meio do Decreto 32.218/2010), deve ser levado em considerao quando da consolidao do TMS 6 Gesto e uso de TI. Quadro 12 Processo de contratao de bens e servios de TI (achados)
SE/MCT SE/MRE TRT-RS TRT-SP

SE/MS

SE/MP

Anatel

Possveis achados Inexistncia de controles que promovam o cumprimento da IN 4 Falhas nos controles que promovam X o cumprimento da IN 4 Inexistncia de controles que (*) promovam que o Termo de

X X X X X X X
28

FNDE

Ibama

Susep

Finep

ADE

Dnit

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

SE/MCT

SE/MRE

TRT-RS

TRT-SP

SE/MS

SE/MP

Anatel

Possveis achados Referncia ou Projeto Bsico seja elaborado a partir de estudos tcnicos preliminares Descumprimento do processo de planejamento de acordo com a IN 4 Falhas no cumprimento do processo de planejamento de acordo com a IN 4 Inexistncia dos estudos tcnicos X preliminares Falhas nos estudos tcnicos preliminares Irregularidades na contratao X

X X X X X X

(*) No havia este achado na auditoria-piloto Quadro 13 Processo de gesto de contratos de bens e servios de TI (achados)
SE/MCT SE/MRE TRT-RS TRT-SP

SE/MS

SE/MP

Anatel

Possveis achados Inexistncia de controles que promovam a regular gesto X contratual Falhas nos controles que promovam a regular gesto contratual Irregularidades na gesto contratual X

X X X X X

X X

No mbito das empresas estatais, falhas foram identificadas que culminaram na seguinte deliberao (TC 026.347/2009-1; Acrdo 6.677/2010-TCU-1 Cmara): 1.5. Determinar Empresa de Tecnologia e Informaes da Previdncia Social DATAPREV que, no prazo de 90 dias: 1.5.1. adeque os termos da norma N/SU/008/02 s exigncias da IN/MPOG/SLTI n 02/2008 e da IN/MPOG/SLTI n 04/2008, especialmente quanto s orientaes acerca de estimativa de preos e necessidade de consultar os preos praticados em compras similares; 1.5.2. alternativamente adequao da norma N/SU/008/02 s exigncias da IN/MPOG/SLTI n 04/2008, elabore norma especfica para contratao de servios de tecnologia da informao. Registre-se que h iniciativa concreta para adotar o modelo da IN-SLTI/MP 04/2010 em entes pblicos que no esto jurisdicionados s normas da SLTI/MP, como por exemplo: a Infraero, conforme Ato Administrativo 2.567/DA/2011 (anexo 3, fl. 38); o Governo do Distrito Federal, conforme Decreto (Distrital) 32.218/2010. Ante o exposto, prope-se recomendar ao Conselho Nacional de Justia que: a partir das diretrizes expostas no Acrdo 786/2006-TCU-Plenrio, elabore um modelo de processo para contratao e gesto de solues de tecnologia da informao para o Poder Judicirio ou, alternativamente, adote o modelo contido na IN SLTI/MP 4/2010 (subitem ); promova a implementao do modelo elaborado em ateno ao item anterior nos rgos e entidades sob sua jurisdio mediante orientao normativa (subitem ). Recomendao anloga deve ser proposta CGPAR e ao CNMP. Monitorao do desempenho da gesto de TI
29

FNDE

Ibama

Susep

Finep

ADE

Dnit

FNDE

Ibama

Susep

Finep

ADE

Dnit

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

A dcima questo de auditoria buscou avaliar a atuao da alta administrao dos auditados na monitorao do desempenho da gesto e uso da TI, bem como se a auditoria interna (AI) apoia esta avaliao. O que era esperado, segundo as boas prticas, que a alta administrao: estabelecesse objetivos, indicadores e metas para a gesto de TI, o que j deveria estar no PDTI (Cobit 4.1, ME1.1 Abordagem de monitoramento e PO1.4 Plano estratgico de TI); monitorasse a gesto de TI por meio de relatrios gerenciais (Cobit 4.1, ME1.5 Relatrios gerenciais); avaliasse a gesto de TI (Cobit 4.1, ME1.4 Avaliar o desempenho); determinasse aes corretivas, se fosse o caso (Cobit 4.1, ME1.6 Aes corretivas); e utilizasse a auditoria interna como um dos mecanismos para apoiar a realizao das trs ltimas tarefas acima (Cobit 4.1, ME2.2 Monitorar e avaliar os controles internos). Os resultados das avaliaes in loco constam do Quadro 14, evidenciando que quase 80% dos auditados no realizam dita avaliao, e os trs que a realizam, fazem-no de forma espordica ou somente a posteriori. Mais ainda, constata-se que a auditoria interna em mais de 70% dos casos no utilizada como instrumento de apoio na avaliao que a alta administrao deve realizar. Quadro 14 Monitorao do desempenho da TI (achados) SE/MCT SE/MRE TRT-RS TRT-SP SE/MS SE/MP Anatel FNDE Dnocs Ibama

Susep

Finep

Possveis achados Inexistncia de avaliao da X X X X X X X X X X X gesto de TI Falhas na avaliao da gesto X X X de TI Auditoria interna no apoia a X X X X X X X X X X avaliao da TI Sobre o acompanhamento do desempenho da gesto e do uso da TI, o levantamento de auditoria que deu origem ao Acrdo 2.308/2010-TCU-Plenrio concluiu nos seguintes termos (anexo 2, fl. 8v): 154. Portanto, a maioria das instituies respondentes no estabelece objetivos de TI, no tem indicadores de desempenho para esses objetivos, no avalia o alcance de objetivos e no toma decises com base nos benefcios de negcio advindos dos sistemas de informao providos pela TI. 155. Obviamente, as instituies tero muita dificuldade em perseguir objetivos que no estiverem definidos. Alm disso, a definio de um objetivo somente o primeiro passo na sua direo, mas seu alcance geralmente depende de decises tomadas no esforo de cumpri-lo, de acordo com a anlise criteriosa dos indicadores correspondentes. 156. A conquista de um objetivo definido sem o acompanhamento dos indicadores apropriados depende, em geral, mais de fatores fortuitos do que de processos estabelecidos de superviso e gerncia. Nas vezes em que isso ocorre, costuma ser to difcil repetir esse sucesso quanto aprender com ele. 157. A omisso no cumprimento dessa responsabilidade pela alta administrao certamente causa de ineficincia e inefetividade institucional, que devem ser obstinadamente combatidas. Analisando os dados constantes do Apndice (linhas V a Y da tabela), foi evidenciado que houve seis situaes em que as evidncias apresentadas s equipes do TCU no corroboram as respostas apresentadas pergunta 1.2 do perfil GovTI2010, sugerindo que a situao com respeito ao acompanhamento do desempenho da gesto e do uso da TI, que foi declarada como muito ruim (ver excerto transcrito acima), pode ser de fato ainda pior. Com vistas a sanar essa deficincia, esta Corte j proferiu recomendao por meio do Acrdo 2.308/2010-TCU-Plenrio, nos seguintes termos:
30

ADE

Dnit

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

9.1. recomendar ao Conselho Nacional de Justia CNJ, ao Departamento de Coordenao e Controle das Empresas Estatais Dest, Secretaria de Logstica e Tecnologia da Informao do Ministrio do Planejamento, Oramento e Gesto SLTI/MPOG, ao Conselho Nacional do Ministrio Pblico CNMP, Secretaria Geral da Presidncia do Tribunal de Contas da Unio Segepres/TCU, Diretoria Geral da Cmara dos Deputados e Diretoria Geral do Senado Federal que, no mbito de suas respectivas reas de atuao: 9.1.1. orientem as unidades sob sua jurisdio, superviso ou estrutura acerca da necessidade de estabelecer formalmente: (i) objetivos institucionais de TI alinhados s estratgias de negcio; (ii) indicadores para cada objetivo definido, preferencialmente em termos de benefcios para o negcio da instituio; (iii) metas para cada indicador definido; (iv) mecanismos para que a alta administrao acompanhe o desempenho da TI da instituio; 9.1.2. normatizem a obrigatoriedade de a alta administrao de cada instituio sob sua jurisdio, superviso ou estrutura estabelecer os itens acima; Neste contexto, resta determinar Sefti que monitore as deliberaes do Acrdo 2.308/2010-TCU-Plenrio em conjunto com as que vierem a ser proferidas nestes autos (subitem ). Em sede de tema conexo, a ausncia de estrutura de governana de TI nos entes da APF foi objeto de anlise no levantamento de auditoria que deu origem ao Acrdo 2.308/2010-TCU-Plenrio nos seguintes termos: 3.2 Estrutura de Governana de TI 138. O quadro abaixo demonstra os resultados obtidos na questo acerca da estrutura de governana de TI provida pela alta administrao:

Figura 15. Estrutura de Governana de TI 3.2.1 Anlise 139. Considerando que as informaes foram obtidas de modo declaratrio, e que o questionrio foi dirigido especificamente alta administrao, percebe-se, de plano, que a situao no confortvel. Passa da metade 51% o nmero de respondentes que declaram no se responsabilizar pelas polticas corporativas de TI. 140. Ora, so essas polticas que conferem as bases e os limites que norteiam a gesto e o uso de TI na instituio. No h como se falar em governana de TI se a alta administrao no estabelece ou responde pelas diretrizes mais elementares. 141. Dessa forma, possvel supor que a maioria das instituies da APF ainda no se preocupa com governana de TI. (...) (omissis)
31

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

(...) 3.2.2 Concluso 145. Os dados do levantamento sugerem que o conceito de estrutura de governana de TI ainda uma novidade para a maior parte das instituies pblicas. O fato de que em menos da metade das instituies respondentes a alta administrao se enxerga como responsvel pelas polticas corporativas de TI, mesmo sendo essa uma rea crtica, sugere um motivo pelo qual o amadurecimento da gesto e da governana de TI ainda se mostra to lento, como demonstrado na anlise contida na seo 2. Lembrando que o estabelecimento de polticas de TI um tipo de atividade de controle de TI (ver IN TCU 63/2010, art. 1, X, transcrito no item ) a cargo da alta administrao, tem-se como corolrio que essa alta administrao da APF tem pouca cultura no estabelecimento de controles internos de TI. Analisando os dados constantes do Apndice (linha U da tabela), foi evidenciado que houve quatro situaes em que as evidncias apresentadas s equipes do TCU no corroboram as respostas apresentadas pergunta do perfil GovTI2010 que pesquisou se a alta administrao se responsabiliza pelo estabelecimento e pelo cumprimento das polticas de gesto e uso corporativo de TI, sugerindo que o percentual de organizaes em que a alta administrao no se responsabiliza pelas polticas de TI ainda maior do que 51%. Com respeito ao tema da responsabilidade da alta administrao quanto ao estabelecimento de controles internos (e.g., polticas e procedimentos internos), o Acrdo 1.732/2009-TCU-Plenrio trouxe a seguinte deliberao em processo de fiscalizao na Petrobras: 9.15. determinar Segecex que oriente as unidades tcnicas deste Tribunal no sentido de que observem, em fiscalizaes realizadas na Petrobras ou em alguma de suas subsidirias/controladas, a estrutura organizacional da empresa, seus procedimentos internos, a tomada de decises e outras variveis que possam influenciar a definio dos responsveis por irregularidades porventura detectadas, a fim de verificar se a ocorrncia origina-se da omisso de dirigentes ocupantes de cargos de alto escalo da companhia, ao deixarem de exigir a elaborao de normativos internos ou a implementao de procedimentos que reflitam o cumprimento das determinaes do Tribunal, ou dos prprios gestores no que se refere sua margem de atuao e poder decisrio, segundo suas competncias funcionais. (sublinhou-se). O excerto acima corrobora o entendimento de que a alta administrao da APF responsvel pelas atividades de controle de mais alto nvel, como o estabelecimento de polticas e definio de atividades de controle que devem ser executadas nos diversos nveis da organizao. Ainda no sentido de que da alta administrao das organizaes a responsabilidade pelo estabelecimento de uma estrutura efetiva e consistente de controles internos, traz-se baila trecho da Resoluo Bacen 2.554/1998, que dispe sobre a implantao e implementao de sistema de controles internos nas instituies financeiras que operam no Brasil: Art. 1 Determinar s instituies financeiras e demais instituies autorizadas a funcionar pelo Banco Central do Brasil a implantao e a implementao de controles internos voltados para as atividades por elas desenvolvidas, seus sistemas de informaes financeiras, operacionais e gerenciais e o cumprimento das normas legais e regulamentares a elas aplicveis Pargrafo 1 Os controles internos, independentemente do porte da instituio, devem ser efetivos e consistentes com a natureza, complexidade e risco das operaes por ela realizadas. Pargrafo 2 So de responsabilidade da diretoria da instituio: I a implantao e a implementao de uma estrutura de controles internos efetiva mediante a definio de atividades de controle para todos os nveis de negcios da instituio; II o estabelecimento dos objetivos e procedimentos pertinentes aos mesmos; III a verificao sistemtica da adoo e do cumprimento dos procedimentos definidos em funo do disposto no inciso II. (sublinhou-se) Faz-se necessrio, portanto, que a alta administrao das organizaes pblicas estabelea uma estrutura de controles internos para suas organizaes, consistindo em um conjunto de atividades de controle que deve ser executado pelos gestores nos diversos nveis da organizao, e que pode ou no
32

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

estar acompanhado da criao de uma unidade organizacional (setor dentro da organizao) encarregado dessas atividades, o que conhecido na iniciativa privada por setor de compliance (o termo originrio do verbo, em ingls, to comply, e significa estar em conformidade com regras, normas e procedimentos). Relevante relembrar que as atividades de controle, conforme j foi mencionado no item deste relatrio, so de responsabilidade dos donos dos processos de negcio, no sendo, portanto, atividades da unidade de auditoria interna, a qual tem como um de seus objetivos avaliar a eficcia dos controles internos implantados pelos gestores. A ttulo de exemplo, o modelo Coso (Committee of Sponsoring Organizations of the Treadway Commission) apresenta as seguintes atividades de controle passveis de implantao para mitigao de riscos nos processos de negcio: aprovao, autorizao, verificao, reconciliao e reviso do desempenho operacional, da segurana dos bens e da segregao de funes. Ante o exposto e considerando que os gestores dos rgos e entidades da APF tm pouca (ou quase nenhuma) cultura de implantao de controles internos, conforme evidenciado nos itens a do presente relatrio, propem-se recomendaes CGDC e SLTI/MP nos termos a seguir. Recomendar CGDC que, em ateno ao Decreto-Lei 200/1967, art. 6, V, estabelea, normativamente para todos os entes sob sua jurisdio, a obrigatoriedade de a alta administrao implantar uma estrutura de controles internos, mediante a definio de atividades de controle em todos os nveis da organizao para mitigar os riscos de suas atividades no processo de planejamento estratgico institucional (subitem ). Recomendar SLTI/MP que, em ateno ao Decreto-Lei 200/1967, art. 6, V, estabelea, normativamente para todos os entes sob sua jurisdio, a obrigatoriedade de a alta administrao implantar uma estrutura de controles internos mediante a definio de atividades de controle em todos os nveis da organizao para mitigar os riscos de suas atividades, pelo menos nos seguintes processos (subitem ): planejamento estratgico de TI; funcionamento dos comits de TI; processo oramentrio de TI; processo de software; gerenciamento de projetos; gerenciamento de servios de TI; segurana da informao; gesto de pessoal de TI; contratao e gesto de solues de TI; monitorao do desempenho da TI organizacional. Recomendao anloga deve ser proposta ao CNJ, ao CNMP e CGPAR. A ttulo de exemplo, a alta administrao pode instituir uma estrutura de controles internos no processo de planejamento estratgico institucional aprovando um guia de planejamento que descreve o processo (entradas, sadas, tarefas, atores etc) que a organizao seguir para elaborar seu plano estratgico de negcio, e contemplar nesse guia as atividades de controle necessrias para que o processo tenha, pelo menos, as caractersticas descritas no item deste relatrio. Em sentido conexo, ainda que a auditoria interna se constitua em importante ator tanto na governana corporativa quanto na governana de TI, os dados do Quadro 14 (item deste relatrio) evidenciam que em dez dos catorze auditados a unidade de auditoria interna no realizou auditoria de TI nos ltimos trs anos. Analisando os dados constantes do Apndice (linhas R1 a R6 da tabela), foi evidenciado que houve catorze situaes em que as evidncias apresentadas s equipes do TCU no corroboram as respostas apresentadas pergunta do perfil GovTI2010 que trata da realizao de auditoria de TI por iniciativa prpria, sugerindo que o percentual de organizaes em que essas auditorias no so realizadas ainda maior do que 51%.

33

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

No monitoramento realizado (TC 028.772/2010-5; Acrdo 1.145/2011-TCU-Plenrio), registrou-se que tanto o CNJ quanto o CNMP no lograram implementar medidas efetivas para o incentivo auditoria de TI nos seus jurisdicionados (anexo 2, fl. 188v, item II.4.8). Registre-se, entretanto, iniciativa basilar empreendida pelo CNJ com a edio da Resoluo-CNJ 86/2009, determinando a criao de unidades de auditoria interna em todos os entes do Poder Judicirio (anexo 2, fl. 188v, item 129). Essa iniciativa busca suprir uma parte das deficincias estruturais nas unidades de auditoria interna do Poder Judicirio na esfera federal que foram detectadas por meio do levantamento de auditoria que deu origem ao Acrdo 1.074/2009-TCU-Plenrio. Ainda com respeito aos rgos de controle interno do Poder Judicirio, verifica-se que o controle interno encontra-se na forma de um sistema integrado na Justia Federal pela Resoluo-CJF 85/2009, mas no em todo o Poder Judicirio Federal, como preconiza a Constituio Federal, ensejando recomendar ao CJN que, em ateno Constituio Federal, art. 74, c/c o art. 103-B, 4, I, estabelea sistema de controle interno integrado para todo o Poder Judicirio (subitem ). Recomendao anloga deve ser proposta ao CNMP, uma vez que o controle interno no assume a forma de um sistema integrado no Ministrio Pblico. No Poder Executivo Federal, o controle interno encontra-se sistematizado pela Lei 10.180/2001, que foi regulamentada pelo Decreto 3.591/2000, que estabelece que a CGU/PR o rgo central do sistema. Quanto atuao do rgo central do sistema de controle interno do Poder Executivo, o monitoramento realizado (TC 028.772/2010-5; Acrdo 1.145/2011-TCU-Plenrio) registrou o que segue: 20. Isto posto, conclui-se que a CGU/PR no considera a fiscalizao das aquisies de TI como questo estruturante e de maior relevncia, fato que dever ser levado em considerao quando da consolidao do TMS 6 Gesto e uso de TI. (...) 30. A atuao de forma pontual, por meio de algumas fiscalizaes in loco, consiste em indcio de ausncia de processos de trabalhos sistmicos capazes de abarcar a multiplicidade de auditados, como, por exemplo, foi feito nos levantamentos de governana de TI (vide Acrdos 1.603/2008 e 2.308/2010, ambos do Plenrio do TCU) e no levantamento sobre a atuao das unidades de auditoria interna (Acrdo 1.074/2009-TCU-Plenrio). Alm disso, no foi apresentado o critrio de seleo para a realizao das fiscalizaes que teriam sido realizadas. Tais fatos devero ser levados em considerao quando da consolidao do TMS 6 Gesto e uso de TI. (...) 143. Anlise: em que pese os resultados apresentados pela CGU, j registramos que as auditorias de TI ainda no so regularmente realizadas pelo rgo (itens 14-22). Ademais, o gestor menciona os trabalhos realizados com foco na avaliao de contratos de terceirizao (item 4, pea 18, fl. 3), e no foram apresentadas evidncias de que a CGU tem estimulado a realizao desse tipo de auditoria nos rgos e entidades da APF. 144. Novamente, a ausncia de evidncia de que h uma atuao sistematizada e coordenada pelo rgo central do controle interno do Poder Executivo no tema TI deve ser levada em considerao quando da consolidao dos trabalhos do TMS 6 Gesto e uso de TI. (sublinhou-se) Ante as concluses transcritas acima, visualiza-se oportunidade de melhoria na atuao do rgo central de controle interno do Poder Executivo, ator essencial para a melhoria do pssimo cenrio de governana de TI delineado ao longo deste relatrio. O Instituto de Auditores Internos (The Institute of Internal Auditors IIA) uma associao mundial de profissionais de auditoria interna. Baseado nas melhores prticas mundiais, o IIA estabeleceu um marco de referncia denominado Estrutura Internacional de Prticas Profissionais (International Professional Practices Framework IPPF) contendo orientaes para que a atividade de auditoria interna nas organizaes seja efetiva, seja ela privada ou pblica. Do IPPF transcrevem-se abaixo, alm da definio de auditoria interna, algumas normas que as unidades de auditorias internas efetivas comumente observam:
34

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Definio de auditoria interna. A auditoria interna uma atividade independente e objetiva de avaliao (assurance) e de consultoria, desenhada para adicionar valor e melhorar as operaes de uma organizao. Ela auxilia uma organizao a realizar seus objetivos a partir da aplicao de uma abordagem sistemtica e disciplinada para avaliar e melhorar a eficcia dos processos de gerenciamento de riscos, controle e governana. (...) 1210.A3 Os auditores internos devem possuir conhecimento suficiente sobre os principais riscos e controles de tecnologia da informao e sobre as tcnicas de auditoria baseadas em tecnologia disponveis para a execuo dos trabalhos a eles designados. Entretanto, no se espera que todos os auditores internos possuam a especializao de um auditor interno cuja principal responsabilidade seja auditoria de tecnologia da informao. (...) 2110.A2 A atividade de auditoria interna deve avaliar se a governana de tecnologia da informao da organizao d suporte s estratgias e objetivos da organizao. (...) 2120.A1 A atividade de auditoria interna deve avaliar as exposies a riscos relacionadas governana, s operaes e aos sistemas de informao da organizao, em relao a: Confiabilidade e integridade das informaes financeiras e operacionais; Eficcia e eficincia das operaes e programas; Salvaguarda dos ativos; e Conformidade com leis, regulamentos, polticas, procedimentos e contratos. (...) 2130.A1- A atividade de auditoria interna deve avaliar a adequao e a eficcia dos controles em resposta aos riscos, abrangendo a governana, as operaes e os sistemas de informao da organizao, com relao a: Confiabilidade e integridade das informaes financeiras e operacionais; Eficcia e eficincia das operaes e programas; Salvaguarda dos ativos; e Conformidade com leis, regulamentos, polticas e procedimentos e contratos. (sublinhouse) Assim, v-se que a auditoria interna deve ter foco eminentemente preventivo, por meio da avaliao da eficcia dos processos de gerenciamento de riscos, controle e governana e por meio da contribuio para a melhoria dos mesmos. Observa-se ainda que as boas prticas recomendam que todos os auditores internos, mesmo os no especialistas em TI, devem ter condies de realizar avaliaes com respeito aos principais riscos e controles de TI, o que conhecido como avaliao limitada. Os trabalhos realizados neste TMS evidenciam que isso possvel, pois onze das catorze auditorias para avaliao de controles gerais de TI foram realizadas por auditores que no so especialistas em TI, aps treinamento ministrado por auditores da Sefti. Considerando a informao contida no item , de que tende para a totalidade os entes da APF que dependem de TI para conduzirem as polticas pblicas, os temas relacionados TI devem ser considerados na escolha dos objetos do universo de auditoria, motivo pelo qual prope-se recomendar CGU/PR que considere os temas governana de TI, riscos de TI e controles de TI na seleo dos objetos a auditar, consoante o previsto nas boas prticas internacionais para que a atividade de auditoria interna seja mais efetiva (e.g., IPPF 2110.A2, 2120.A1 e 2130.A1). Prope-se ainda recomendar CGU/PR que oriente as unidades de auditoria interna sob sua orientao normativa a considerar os temas governana de TI, riscos de TI e controles de TI na seleo dos objetos a auditar, consoante o previsto nas boas prticas internacionais para que a atividade de auditoria interna seja mais efetiva (e.g., IPPF 2110.A2, 2120.A1 e 2130.A1). Proposta anloga deve ser feita ao CNJ e ao CNMP.
35

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Ainda com respeito estruturao e atuao do sistema de controle interno do Poder Executivo, dois pontos foram identificados durante os trabalhos deste TMS. O primeiro deles, que, em rpida pesquisa na base de deliberaes do TCU, obtiveram-se as seguintes evidncias de deficincias nas estruturas das unidades de auditoria interna das entidades vinculadas ao Poder Executivo: deficincias de pessoal na unidade de auditoria: Infraero (Acrdo 2.882/2009-TCUPlenrio); Agncia Nacional do Petrleo (Acrdo 6.210/2010-TCU-1 Cmara); Fundo Constitucional de Financiamento do Norte (Acrdo 1.352/2011-TCU-Plenrio); ausncia da prpria unidade de auditoria interna: Instituto Chico Mendes de Conservao da Biodiversidade (Acrdo 6.522/2009-2 Cmara, item 1.5.2.2.2); Universidade Federal do Mato Grosso do Sul (Acrdo 2.282/2011-TCU-2 Cmara); Fundao Universidade Federal do Pampa (Acrdo 1.955/2011-TCU-2 Cmara). O segundo ponto trata do impedimento, na prtica, de que os rgos da administrao direta possuam unidade de auditoria interna em sua estrutura. Isso consequncia da vedao contida na IN-Seges 3/2010, de que o Auditor-Interno (denominado nos ministrios de Assessor Especial de Controle Interno) no pode ter unidades administrativas ou cargos em comisso a ele subordinados, seno vejamos: Art. 5 Os cargos em comisso de Gerente de Projeto, Auditor-Interno e Diretor-Adjunto, nvel DAS 101.4, de Diretor de Programa e Secretrio-Adjunto, nvel DAS 101.5, e os cargos de assessoramento no tero unidades administrativas ou cargos em comisso a eles subordinados. Esses dois pontos, associados ausncia de atuao sistematizada e coordenada pelo rgo central do controle interno do Poder Executivo no tema TI (ver item ) e ao fato de que falhas em TI podem paralisar a conduo das polticas pblicas no Governo Federal (ver item ), sugerem a oportunidade de aperfeioamento da atuao do sistema de controle interno do Poder Executivo Federal. Nesse sentido, registramos trabalho j realizado pelo TCU em 2006, que resultou no Acrdo 412/2007-TCU-Plenrio. Entretanto, observa-se pelas perguntas de auditoria formuladas que o foco daquele trabalho foi avaliar a atuao reativa do rgo central (CGU/PR): 1.6. A equipe formulou trs questes de auditoria, listadas abaixo, com o intuito de detalhar o objetivo e nortear a execuo dos trabalhos. Os critrios aplicados pela CGU na seleo das aes de controle levam alocao de esforos proporcionalmente materialidade dos recursos envolvidos? As aes de auditoria e fiscalizao da SFC tm contribudo para identificar irregularidades e desvios nos rgos do Poder Executivo Federal? Quando da identificao de desvios ou danos ao errio, os trabalhos de auditoria tm reunido os elementos necessrios para imputao do dbito? Portanto, a atuao preventiva, por meio da avaliao da eficcia dos processos de gerenciamento de riscos, controle e governana e contribuio para a melhoria dos mesmos, no foi objeto daquele trabalho. No Poder Judicirio tambm se percebe oportunidade de melhoria na atuao do sistema de controle interno, inclusive ante a ausncia de sistematizao do mesmo. Considerando que o referencial estratgico em vigor do TCU contempla como objetivo estratgico Contribuir para a melhoria da gesto e do desempenho da Administrao Pblica, o qual tem como um de seus indicadores o ndice de governana corporativa dos rgos da Administrao Pblica Federal, considerando tambm que as unidades de auditoria interna so atores essenciais boa governana de TI, e considerando ainda as deficincias dos sistemas de controles internos (controles internos dos gestores e atuao das unidades de auditoria interna) conforme evidenciado neste TMS, h espao para que o TCU contribua para o cumprimento do comando previsto na Constituio Federal, art. 74, mas que somente poder ocorrer mediante trabalho de avaliao sistematizada dos sistemas de controles internos dos poderes.

36

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

ASPECTOS LEGAIS NAS CONTRATAES DE SOLUES DE TI Sistema de Registro de Preos (SRP) O Apndice contm tabela com os dados declarados pelos jurisdicionados no levantamento GovTI2010 acerca de suas licitaes e contrataes no ano de 2009 (pergunta 7.9 do questionrio), cuja anlise fizemos com apoio do mapa mental constante da Figura 4 daquele apndice. Do total de 6.442 contrataes declaradas, 47% (3.031) foram originadas do SRP por alguma das formas possveis, indicando tendncia de a APF dar cumprimento Lei 8.666/1993, art. 15, inciso II, que prev que as aquisies devem dar-se preferencialmente pelo SRP. Ocorre que das 3.031 contrataes por SRP, apenas 7% (199) foram realizadas por meio da prtica de planejamento conjunto entre diversos entes, como fundamentado no Decreto 3.931/2001, art. 2, inciso III: Art.2 Ser adotado, preferencialmente, o SRP nas seguintes hipteses: (...) III quando for conveniente a aquisio de bens ou a contratao de servios para atendimento a mais de um rgo ou entidade, ou a programas de governo; (...) Pargrafo nico. Poder ser realizado registro de preos para contratao de bens e servios de informtica, obedecida a legislao vigente, desde que devidamente justificada e caracterizada a vantagem econmica. Observa-se que, das mesmas 3.031 contrataes por SRP, 30% (902) foram licitaes para criao de atas que no contaram com outras instituies participantes desde o planejamento da contratao, nmero inquietante se observarmos que bens e servios de TI dificilmente se enquadrariam nos demais incisos, pelos quais, em princpio, a criao da ata de registro de preos deve ser fundamentada: Art.2 Ser adotado, preferencialmente, o SRP nas seguintes hipteses: I quando, pelas caractersticas do bem ou servio, houver necessidade de contrataes freqentes; II quando for mais conveniente aquisio de bens com previso de entregas parceladas ou contratao de servios necessrios Administrao para o desempenho de suas atribuies; (...) IV quando pela natureza do objeto no for possvel definir previamente o quantitativo a ser demandado pela Administrao. Essas atas, criadas sem participantes, podem ter dado origem ao fato mais preocupante desta anlise: 64% das contrataes por SRP (1.930 das 3.031) foram adeses fundamentadas no art. 8 do Decreto 3.931/2001, prtica de adeso tardia ou, como mais conhecida, carona. Mais um dado da anlise empreendida consta da Erro: Origem da referncia no encontrada (no final do Apndice ), em que se observa que 11% dos pesquisados repudiam a prtica da adeso tardia, mas 63% dos pesquisados o fazem na maioria das suas contrataes. Os nmeros acima evidenciam que, apesar de buscar contratar preferencialmente pelo SRP, o planejamento conjunto para a criao de uma ata, que deveria ser a regra, exceo. J a prtica de adeso tardia (carona), que deveria ser exceo, tornou-se prtica comum. Registre-se que a problemtica envolvendo a adeso tardia a atas de registro de preos preocupao desta Corte, que j se manifestou contrariamente sua prtica irrestrita por meio do Acrdo 1.487/2007-TCU-Plenrio, ora em fase de recurso. Como exemplo de planejamento conjunto para a gerao de ata de registro de preo que atende ao esprito da legislao e, por meio do planejamento, d cumprimento ao princpio constitucional da eficincia, pode-se citar a ao coordenada pela SLTI/MP para aquisio de mais de 100.000 equipamentos (anexo 3, fl. 37). Em outro extremo, encontramos uma srie de atas de registro de preos, possivelmente criadas sem participantes (ver itens e ), que se tornam objeto de explorao comercial por parte de empresas privadas (anexo 3, fls. 35-36).
37

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Ocorre que, durante as fiscalizaes deste TMS, as quatro contrataes analisadas pelas diversas equipes, que foram oriundas de atas de registro de preos, encontravam-se com indcios de graves irregularidades, tanto que foram objetos de representaes das equipes (TC 022.804/2010-2, 029.535/2010-7, 030.133/2010-6 e 000.079/2011-1). Outras contrataes de TI por meio de adeso a atas de registro de preos com indcios de graves irregularidades tm sido identificadas no mbito do TC 017.907/2009-0, por meio do qual a Sefti realiza acompanhamento de editais e contratos de TI na APF, por exemplo: Ata de Registro de Preos 14/2010 da Base de Fuzileiros Navais da Ilha das Flores, cujo objeto contm diversos itens de servios de TI (fato apurado na representao constante do TC 001.280/2011-2, sendo que o Acrdo 1.371/2011-TCU-Plenrio prolatado no processo registra que o gestor tornou a ata nula); Ata de Registro de Preos 25/2010 do Conselho Nacional de Desenvolvimento Cientfico e Tecnolgico, cujo objeto a manuteno de sistemas de informao, que deu origem s adeses de quatro rgos (Hospital de Clnicas de Porto Alegre, Instituto Chico Mendes de Conservao da Biodiversidade, Instituto Brasileiro de Geografia e Estatstica, Comit Paraolmpico Brasileiro). Os problemas recorrentes identificados nas contrataes questionadas so: no declarar a fundamentao legal que sustenta o motivo da criao da ata; no realizar o planejamento da contratao, tanto na criao da ata quanto na adeso; no fixar os quantitativos mximos que sero adquiridos por meio da ata; no demonstrar a vantajosidade em aderir ata; aderir ata de registro de preos oriunda de licitao com critrios e condies aplicveis ao ente que registrou a ata, porm distintos das necessidades da instituio que realiza a adeso. Com respeito ao item supra, cite-se, ainda, como exemplo, o caso constante do TC 023.911/2010-7, em que se identificou que o Ministrio da Previdncia Social aderiu a uma ata da Infraero para a aquisio de soluo de storage com valor 22,8% maior do que constava de outra ata com mesmo objeto, a ltima do Ministrio do Desenvolvimento, Indstria e Comrcio. Com respeito ao item supra, citam-se ainda os seguintes casos concretos exemplificativos da situao: a Universidade Federal da Bahia (UFBA) realizou prego, registrou ARP e contratou servios de suporte ao usurio, em que as caractersticas mais importantes dos servios so o ambiente que ser suportado (equipamentos e softwares usados pelos usurios) e os nveis mnimos de servio exigidos. Pelo menos outros cinco rgos federais aderiram a essa Ata (Ibama, MMA, MCT, Embratur e IBCIT), e h fortes indcios de que essas duas caractersticas no so as mesmas em todos estes rgos. Tal indcio, juntamente com os indcios de sobrepreo na contratao efetuada pela UFBA (que potencialmente tambm ocorreu nos demais contratos, visto que a planilha de custos e formao de preos em princpio a mesma em todos os contratos) so objetos de apurao em seis representaes abertas pela coordenao do TMS (TC 022.804/2010-2, 000.079/2011-1, 021.418/2011-0, 020.503/20113, 021.419/2011-6 e 021.874/2011-5), sendo que no processo consta que o gestor do Ibama j iniciou procedimento para glosar cerca de R$ 750 mil que teriam sido pagos indevidamente (s no contrato do Ibama). durante o monitoramento das deliberaes do Acrdo 1.033/2009-TCU-Plenrio (TC 012.953/2011-3), a equipe de auditoria identificou que a Imprensa Nacional (IN) firmou contrato cujo objeto o suporte ao seu ambiente computacional por meio de adeso ARP do STJ, sendo que h indcios de que diversos critrios de habilitao contidos no edital do STJ no se aplicam realidade da IN (e.g., IN no possui servidores com sistema operacional AIX, ao passo que o STJ sim; a IN possui cerca de seiscentos pontos de rede, enquanto o edital pede atestado referente prestao de suporte em pelo menos 3.000; o edital pede atestado tcnico relativo prestao de servios de tratamento documental e processamento de imagens de processos ou de documentos, servio que no ser prestado na IN), de forma que o objeto deveria ter sido licitado com critrios menos rgidos que os do STJ, permitindo potencialmente maior participao de interessados. No mesmo sentido, todas as adeses ARP da UFBA citadas no pargrafo continham o vcio de que houve exigncia no edital que originou a
38

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

ata que no se aplicam realidade dos demais rgos aderentes (e.g., a contratada deveria ter escritrio em Salvador/BA). Ante as constataes acima, e a existncia de precedentes de julgados para alguns dos assuntos acima tratados nesta Corte, entende-se como oportuno e conveniente que os rgos governantes superiores orientem seus jurisdicionados para evitar as prticas irregulares acima, e prope-se determinar SLTI/MP que , em ateno ao disposto no Decreto 1.094/1994, art. 2, inciso I, oriente os rgos e entidades sob sua jurisdio para que (subitem ): ao realizarem licitao com finalidade de criar ata de registro de preos atentem que: devem fundamentar formalmente a criao de ata de registro de preos, e.g., por um dos incisos do art. 2 do Decreto 3.931/2001 (Acrdo 2.401/2006-TCU-Plenrio); devem praticar todos os atos descritos no Decreto 3.931/2001, art. 3, 2, em especial o previsto no seu inciso I, que consiste em convidar mediante correspondncia eletrnica ou outro meio eficaz, os rgos e entidades para participarem do registro de preos; o planejamento da contratao obrigatrio, sendo que se o objeto for soluo de TI, caso seja integrante do Sisp, deve executar o processo de planejamento previsto na IN SLTI/MP 4/2010 (IN SLTI/MP 4/2010, art. 18, inciso III) ou, caso no o seja, deve realizar os devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); a fixao, no termo de convocao, de quantitativos (mximos) a serem contratados por meio dos contratos derivados da ata de registro de preos, previstos no Decreto 3.931/2001, art. 9, inciso II, obrigao e no faculdade do gestor (Acrdo 991/2009-TCU-Plenrio, Acrdo 1.100/2007-TCUPlenrio e Acrdo 4.411/2010-TCU-2 Cmara); em ateno ao princpio da vinculao ao instrumento convocatrio (Lei 8.666/1993, art. 3, caput), devem gerenciar a ata de forma que a soma dos quantitativos contratados em todos os contratos derivados da ata no supere o quantitativo mximo previsto no edital. quando realizarem adeso ata de registro de preos atentem que: o planejamento da contratao obrigatrio, sendo que se o objeto for soluo de TI, caso seja integrante do Sisp, deve executar o processo de planejamento previsto na IN SLTI/MP 4/2010 (IN SLTI/MP 4/2010, art. 18, inciso III) ou, caso no o seja, realizar os devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); devem demonstrar formalmente aa vantajosidade da adeso, nos termos do Decreto 3.931/2001, art. 8; as regras e condies estabelecidas no certame que originou a ata de registro de preos devem ser conformes as necessidades e condies determinadas na etapa de planejamento da contratao (Lei 8.666/1993, art. 6, inciso IX, alnea d, c/c o art. 3, 1, inciso I, e Lei 10.520/2002, art. 3, inciso II). Determinao anloga deve ser proposta ao Dest, ao CNJ e ao CNMP. Divulgao de notas tcnicas e aes pedaggicas Com o objetivo de promover aes pedaggicas que divulguem entendimentos sobre assuntos polmicos no tema contrataes de TI, por meio do Acrdo 1.215/2009-TCU-Plenrio, o TCU deliberou o que segue: 9.1. recomendar Secretaria de Fiscalizao de Tecnologia da Informao que: 9.1.1. divulgue o contedo do Quadro Referencial Normativo e das Notas Tcnicas 01 e 02/2008 Sefti/TCU, como forma de informar e orientar, Administrao Pblica e sociedade, sobre a existncia do conjunto de normas que regem as aquisies de bens e servios de Tecnologia da Informao, bem como jurisprudncia deste Tribunal sobre o assunto, promovendo, inclusive, a realizao de seminrios, cursos e palestras sobre tais assuntos, caso entenda conveniente; Ocorre que desde ento a Sefti revisou as duas notas tcnicas mencionadas acima e elaborou outras quatro, de forma que hoje esto disponveis na rede interna do TCU: Nota Tcnica 1/2008-TCU/Sefti, cujo assunto Contedo mnimo do projeto bsico ou termo de referncia para contratao de servios de tecnologia da informao TI;
39

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Nota Tcnica 2/2008-TCU/Sefti, cujo assunto Uso do Prego para aquisio de bens e servios de Tecnologia de Informao; Nota Tcnica 3/2009-TCU/Sefti, cujo assunto Exigncia de credenciamento das licitantes pelos fabricantes de produtos de tecnologia da informao, nos certames para aquisio de bens e servios da rea; Nota Tcnica 4/2009-TCU/Sefti, cujo assunto Possibilidade de avaliao de amostras na contratao de bens e suprimentos de tecnologia da informao mediante a modalidade Prego. Nota Tcnica 5/2010-TCU/Sefti , cujo assunto Condies em que h possibilidade de exigncia da demonstrao de qualidade de processo em contrataes de servios de software, a exemplo de CMMI e MPS.BR; Nota Tcnica 6/2011-TCU/Sefti, cujo assunto Aplicabilidade da Gesto de Nvel de Servio como mecanismo de pagamento por resultados em contrataes de servios de TI pela Administrao Pblica Federal. Assim, na esteira de continuar informando sobre o tema, e considerando que o Acrdo 1.215/2009-TCU-Plenrio j conteve determinao (9.1.1) para a divulgao das notas tcnicas 1/2008 e 2/2008, prope-se determinar Sefti que divulgue o contedo das seis notas tcnicas existentes, como forma de informar e orientar a APF e a sociedade sobre a existncia do conjunto de normas que regem as aquisies de bens e servios de tecnologia da informao, bem como sobre a jurisprudncia deste Tribunal quanto ao assunto, promovendo, inclusive, a realizao de seminrios, cursos e palestras, caso entenda conveniente (subitem ). Contratao do Serpro pela APF A auditoria-piloto deste TMS (TC 009.982/2010-8; Acrdo 866/2011-TCU-Plenrio) identificou, logo no incio dos trabalhos, a dependncia que alguns entes da APF poderiam ter em relao ao Servio Federal de Processamento de Dados (Serpro), decorrente da ausncia de estruturas de governana de TI adequadas, como exemplificamos no excerto do relatrio transcrito a seguir: A ausncia de planejamento estratgico institucional, as falhas no processo de planejamento de TI e a ausncia de alguns processos, padres e polticas de TI, aliada ampla dependncia da Autarquia com relao aos servios de TI fornecidos pelo Serpro, impe ao rgo um alto risco quanto proficincia da TI no mbito interno. Essa falta de estrutura e a dependncia do rgo a uma nica contratada pode afetar de maneira negativa o cumprimento dos objetivos de negcio e das obrigaes legais da Autarquia. Essa situao j havia sido detectada em fiscalizao realizada por ocasio do TMS 2007 Terceirizao em TI, como se pode depreender dos excertos do relatrio transcritos a seguir (TC 026.200/2007-3, Acrdo 1.330/2008-TCU-Plenrio): 6.8 Setor de TI existncia de funes sensveis exercidas por no servidores do ente a) foram solicitadas informaes relativas aos responsveis pela execuo das atividades relacionadas com segurana da informao, administrao de banco de dados, administrao de rede e outras reas consideradas crticas, indicando o vnculo com o servio pblico. Em atendimento, a SPOA encaminhou os nomes dos responsveis pelas reas acima citadas, indicando que todos eles so do SERPRO. (...) Segundo os gestores dessa Subsecretaria, a metodologia de desenvolvimento de outros sistemas de total responsabilidade do SERPRO, no havendo ingerncia da SPOA sobre esse processo. (...) c) devido a um vrus, houve uma paralizao na rede da GRA-SP por mais de duas semanas, o que comprova que o Plano de Contingncia do SERPRO, remetido pela SPOA, no tem aplicabilidade efetiva. (...) a) foram solicitadas informaes relativas gesto de mudanas. A SPOA remeteu um documento elaborado pelo SERPRO, que trata, no seu item 4.4, da Gesto de Mudanas (fl. 120 do anexo 2). Esse documento genrico, no detalhando os procedimentos a serem adotados.
40

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

(...) 6.19 Plano de Continuidade do Negcio inexistncia/falhas a) foram solicitadas informaes a respeito do Plano de Continuidade de Negcios (PCN). A SPOA remeteu como resposta o documento relativo ao Plano de Contingncia (fl. 120 do anexo 2). Esse documento no comprova que o rgo tem um Plano de Continuidade dos Negcios, pois foi elaborado pelo SERPRO e no avalia os recursos crticos de TI. No mbito da fiscalizao que gerou o Acrdo 1.793/2011-TCU-Plenrio, identificou-se que o Serpro recebera mais de R$ 1 bilho oriundos de contratos com rgos e entidades da APF (anexo 2, fl. 224v, item 2.1.2). O prprio texto da j revogada IN SLTI 4/2008, a partir de orientaes dadas pelo Acrdo 786/2006-TCU-Plenrio, trazia no seu art. 5 orientao clara quanto necessidade de evitar a dependncia excessiva de um s fornecedor e de promover o parcelamento das demandas de servios de TI. Porm, o 2 dessa IN excepcionava tal orientao nos casos em que a contratada fosse empresa pblica de TI. Felizmente, a IN SLTI 4/2010, que substituiu a citada verso de 2008, eliminou essa excepcionalidade, reforando o conceito de que as instituies pblicas devem exercer pleno governo sobre a tecnologia da informao que utilizam, mesmo quando contratam com empresas pblicas de TI. Assim, pelo risco de os entes da APF ainda entenderem que a contratao do Serpro os exime da responsabilidade de possuir estruturas de governana de TI adequadas e pela alta materialidade dos contratos com aquela empresa, incluiu-se no TMS fiscalizao especfica para avaliar os ditos contratos. A fiscalizao, conduzida por meio do TC 022.241/2010-8, identificou que, em 2010, o Serpro possua 236 contratos com a APF, no total de R$ 5.027.481.735,14, sendo dois deles selecionados para anlise: o da Receita Federal do Brasil (RFB) e o do Ministrio do Planejamento, Oramento e Gesto (MP). Em termos de materialidade, a soma do valor desses dois representa mais da metade do valor dos contratos do Serpro (53,5%) e, em termos de abrangncia dos servios, eles contm praticamente todo o espectro de servios fornecidos por aquela empresa, alm de contemplar servios que do suporte a sistemas estratgicos do Governo Federal (anexo 2, fls. 225v-226, item 2.4.7). Os principais problemas identificados na contratao (em um ou outro dos contratos analisados) so oriundos de deficincias no planejamento da contratao, materializadas pelo seguinte: descumprimento do processo de planejamento de acordo com a IN SLTI 4/2008 (vigente poca) ou ausncia de elaborao de estudos tcnicos preliminares (Lei 8.666/1993, art. 6, IX) na contratao anterior vigncia da IN SLTI 4/2008; especificao imprecisa ou insuficiente do objeto, afrontando a Lei 8.666/1993, art. 6, IX; falhas nos critrios de mensurao dos servios, afrontando a Lei 8.666/1993, art. 6, IX, e (tambm necessrios de acordo com a IN SLTI 4/2010, art. 14, II, a); falhas na metodologia de avaliao da adequao dos produtos, afrontando a Lei 8.666/1993, art. 6, IX, e (tambm necessria de acordo com a IN SLTI 4/2010, art. 14, II, c); falhas nas clusulas de penalidades ao no detalhar no contrato as penalidades contidas na Lei 8.666/1993, art. 87, afrontando o art. 55, VII e VIII, da mesma lei, e os princpios da razoabilidade e proporcionalidade (e tambm o previsto na IN SLTI 4/2010, art. 15, III, h); modelo de pagamento no vinculado a resultados, afrontando o princpio constitucional da eficincia (e tambm o Decreto 2.271/1997, art. 3, 1, e a IN SLTI 4/2010, art. 15, 2 e 3); falhas na justificativa de preos, afrontando a Lei 8.666/1993, art. 26, III. Registre-se que os contratos dos rgos e entidades da APF com o Serpro no esto excepcionalizados pela legislao para os pontos identificados acima, de forma que devem estar conforme os dispositivos mencionados. A seu turno, na execuo contratual verificaram-se (em um ou outro dos contratos analisados) as seguintes falhas ou impropriedades: desconformidade na aplicao dos critrios de medio; desconformidade na verificao dos critrios de qualidade; desconformidade na aplicao dos critrios de pagamento;
41

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

dificuldade de rastrear servios executados; inexecuo de servios previstos no contrato. Todas as situaes acima afrontam o previsto na Lei 8.666/1993, art. 66, que vincula todos os contratos administrativos da Administrao Pblica, inclusive os feitos com o Serpro. Ao tempo em que aponta as falhas acima, o relatrio do TC 022.241/2010-8 consigna como bom o modelo do contrato da RFB, bem como eficaz a gesto contratual realizada no mbito daquele rgo, mesmo que o contrato da RFB tenha complexidade acima da mdia. Esta constatao evidencia que possvel firmar e gerir contratos com o Serpro seguindo os preceitos legais e de acordo com as boas prticas. H que se ressaltar que, mesmo sendo a contratada integrante da administrao pblica, como o caso do Serpro, ela deve realizar a contratao e gerir o contrato em conformidade com as previses legais. Alguns desses problemas detalhados na fiscalizao realizada nos contratos com a RFB e o MP tambm foram identificados no Dnit (Acrdo 866/2011-TCU-Plenrio) e na Susep (Acrdo 2.746/2010-TCU-Plenrio), que tambm possuam contratos com o Serpro. Considerando que eram 93 contratantes do Serpro poca da auditoria, com 236 contratos em vigor, e que h possibilidade de os problemas identificados nos contratos da RFB, do MP, do Dnit e da Susep serem recorrentes, h oportunidade de atuao dos OGS na orientao de seus jurisdicionados, motivo pelo qual se prope determinar SLTI/MP que, em ateno ao Decreto 7.579/2011, art. 4, V, oriente os rgos e entidades sob sua jurisdio para que, caso possuam contratos com empresas pblicas prestadoras de servios de TI (subitem ): analisem a conformidade dos termos do contrato e do projeto bsico e verifiquem se: foi realizado o adequado planejamento da contratao, consistindo na execuo do processo de planejamento previsto na IN SLTI/MP 4/2010 se for integrante do Sisp (IN SLTI/MP 4/2010, art. 18, inciso II) ou, caso no o seja, se foram realizados os devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); as especificaes do objeto so precisas e suficientes, em conformidade com a Lei 8.666/1993, art. 6, IX; os critrios de mensurao dos servios so precisos e suficientes, de acordo com o determinado na Lei 8.666/1993, art. 6, IX, e (tambm necessrios de acordo com a IN SLTI 4/2010, art. 14, II, a); a metodologia de avaliao da adequao dos produtos precisa e suficiente, de acordo com o determinado na Lei 8.666/1993, art. 6, IX, e (tambm necessria de acordo com a IN SLTI 4/2010, art. 14, II, c); as clusulas de penalidades contidas na Lei 8.666/1993, art. 87, de acordo com o determinado na Lei 8.666/1993, art. 55, VII e VIII, so detalhadas e atendem aos princpios da razoabilidade, proporcionalidade e prudncia (e tambm o previsto na IN SLTI 4/2010, art. 15, III, h); o modelo de pagamento vinculado a resultados, obedecendo ao princpio constitucional da eficincia (e tambm ao previsto no Decreto 2.271/1997, art. 3, 1, e na IN SLTI 4/2010, art. 15, 2 e 3); a justificativa dos preos contratados adequadamente fundamentada em arrazoada pesquisa de mercado, de acordo com o determinado na Lei 8.666/1993, art. 26, III, inclusive com a anlise da planilha de composio de custos dos servios, necessria segundo a Lei 8.666/1993, art. 7, 2, II; caso a anlise realizada de acordo com orientao acima indique desconformidade, elaborem plano de ao para providenciar as adequaes contratuais necessrias, que devero ser realizadas no prazo de 180 dias; mantenham o resultado da anlise de conformidade empreendida em documento formalizado, disposio dos controles externo e interno; informem seu rgo de assessoramento jurdico e sua unidade de auditoria interna da anlise que est sendo empreendida e do resultado obtido;
42

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

determinao anloga deve ser feita ao Dest/MP, ao CNJ e ao CNMP. Na fiscalizao realizada, verificaram-se ainda situaes em que o servio prestado pelo Serpro tinha qualidade incompatvel com o previsto no contrato, o que foi objeto de medida corretiva por parte da RFB (Anexo 2, fls. 240v-242, item 4.3). Registre-se que, quando o Serpro no atende a um nvel mnimo de servio contratado pela RFB (ou qualquer outro ente pblico), independentemente da glosa no contrato, h impacto nas atividades do rgo contratante, que utiliza seus sistemas de informao para prestar servios sociedade. No caso do contrato do Dnit com o Serpro, destacou-se abaixo reportagem obtida na mdia que mostra a insatisfao do ento dirigente da Autarquia com os servios prestados pelo Serpro (fonte: http://www.claudiohumberto.com.br/colunas_anteriores/?dataCalendario=2011-07-13): O diretor, que est afastado de suas funes, disse que o grande problema que enfrenta dentro o Dnit a falta de estrutura e chamou a ateno para o trabalho do Servio Federal de Processamento de Dados que, segundo ele, chega a demorar dias para resolver um pequeno problema nos sistemas do rgo. Vocs no sabem o que o Serpro, s vezes demora oito dias para resolver um problema, foram outros dois anos para dar um programa integrado, disse. Em outro caso de grande repercusso na mdia, o Ministro Jorge Hage da CGU responsabilizou o Serpro pelo no funcionamento do sistema Siconv, que poderia ter evitado as fraudes praticadadas por ONG nos recentes fatos ocorridos dos ministrios do Turismo e dos Esportes: Folha/UOL: Mas a eu volto de novo pergunta anterior. Nove anos de governo, j no era tempo para ter corrigido? Jorge Hage: Olha, eu lhe digo que muito foi feito para corrigir nesses nove anos. L atrs ns tivemos o decreto 6.170 do presidente Lula, por volta de 2007, criando toda uma nova sistemtica para a transferncia de dinheiro para Prefeituras e para ONGs. A criao do Siconv, que o sistema de gesto de convnios, aberto na internet, uma boa parte dele aberto ao pblico, outra parte aberta aos rgos de controle foi concebida exatamente para resolver esses problemas. Inclusive fazendo com que desde a proposta de convnio vinda da ONG ou da Prefeitura at a prestao de contas fosse feita on-line. Ocorre que, por inmeras dificuldades materiais de recursos, o Ministrio do Planejamento depende, como todos ns, do Serpro [Servio Federal de Processamento de Dados]. O Serpro no tem condies de atender s demandas de todos os ministrios da Esplanada, essa que a verdade. Tudo atrasa. Tudo atrasa. Muitos dos mdulos do Siconv at hoje no esto implantados. Muitas dessas situaes que aconteceram agora no teriam acontecido se o sistema de controle de convnios estivesse totalmente implantado. Ento h dificuldades prticas... Folha/UOL: O que est faltando? Dinheiro? Dinheiro para implantar? Jorge Hage: Bom, em alguns casos falta dinheiro. No caso do Serpro eu no sei se falta dinheiro ou se uma mudana que abra a possibilidade de os rgos pblicos usarem outras empresas, que no o Serpro, que no est dando conta de atender as nossas demandas. Ns da CGU, por exemplo, j desistimos de depender do Serpro para uma srie de coisas. Estamos tentando desenvolver os nossos sistemas dentro da prpria CGU. Folha/UOL: Mas quem, ento, no governo responsvel para fazer com que ande, com que se implante esse sistema de verificao de convnios de maneira mais rpida ento? Jorge Hage: No. Agora, no momento, o Ministrio do Planejamento est cobrando do Serpro a soluo dos problemas dos mdulos que ainda faltam. Folha/UOL: Est cobrando com atraso? Jorge Hage: No, vem cobrando j h tempo. Se o Serpro vai conseguir atender ou no, eu no tenho condies de te dizer... Folha/UOL: Mas o Serpro do governo, no Ministro? Jorge Hage: do governo. uma empresa do governo. Folha/UOL: E no cumpre [suas obrigaes]? Jorge Hage: No tem dado conta. (fonte: http://tools.folha.com.br/print?url=http%3%2F%2Fwww1.folha.uol.com.br %2Fpoder%2Fpoderepolitica%2Fjorge_hage-2.shtml&site=emcimadahora; sublinhamos).
43

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Registre-se que a qualidade do servio prestado pelo Serpro ser mais bem avaliada em trabalho futuro, a ser realizado por determinao contida no item 9.12 do Acrdo 906/2009-TCUPlenrio. Em termos de gesto de TI, cabe ressaltar que o Serpro, enquanto prestador do servio, no integra a estrutura do tomador do servio, sendo necessrio gerir a relao do contratante (ente da APF) com o contratado (Serpro), que dever executar as atividades contratadas sob planejamento, coordenao, superviso e controle do primeiro. A gesto dos processos de trabalho do contratante deve ser executada por servidores ou empregados integrantes da sua estrutura organizacional, nos termos preconizados pelo Decreto-Lei 200/1967, art. 10, 7, no podendo ser delegada a funcionrios contratados de terceiros, mesmo que a contratada seja o Serpro. Mais ainda, a transferncia da execuo dos servios de tecnologia da informao ao Serpro no desobriga a contratante da APF a possuir, alm da gesto da execuo desses servios, estruturas de governana de TI na organizao, diversamente do que foi evidenciado no MP, como vemos no excerto do relatrio da auditoria para avaliao de controles gerais de TI no ministrio, que est transcrito a seguir (Acrdo 2.613/2011-TCU-Plenrio): No foram definidos processos de gesto de mudanas, gesto de configurao e gesto de incidentes, o que pode acarretar falha na entrega e gesto dos servios de TI. Considerando os diversos sistemas estruturantes geridos pelo Ministrio, a ausncia de gesto dos servios de TI eleva o risco de interrupo ou mau funcionamento desses sistemas. Situao como essa pode configurar prejuzo eficcia e eficincia na execuo das aes do MP. No caso, o Ministrio entende, equivocadamente, que so do contratado (no caso o Serpro) a responsabilidade por estes processos. Ocorre que o controle e a responsabilidade pelos processos de gesto e governana de TI so dos gestores do MP e no da contratada. A contratada at pode executar boa parte destes processos, mas ainda assim o contratante quem deve manter seu controle e superviso, atividades indelegveis pelo Decreto-Lei 200/1967, art. 10, 7 Nesse sentido, prope-se determinar SLTI/MP que, em ateno ao Decreto 7.579/2011, art. 4, V, oriente os rgos e entidades sob sua jurisdio que (subitem ): mesmo que a execuo de seus servios de tecnologia da informao seja transferida mediante contrato ou outro acordo a outra organizao pblica, como as empresas pblicas prestadoras de servios de tecnologia da informao, as atividades de gesto (planejamento, coordenao, superviso e controle) de TI devem ser acometidas a pessoas integrantes do quadro permanente, ou, excepcionalmente, a detentores de cargo em comisso, da organizao contratante, no podendo ser delegadas a pessoas direta ou indiretamente ligadas contratada; a contratao de empresas pblicas prestadoras de servios de tecnologia da informao no afasta a necessidade de a organizao contratante manter estrutura de governana de TI prpria, que direcione e controle a gesto desses contratos bem como a gesto de todos os processos de TI da organizao. Determinao anloga deve ser feita ao Dest/MP, ao CNJ e ao CNMP. GOVERNANA CORPORATIVA COMO LIMITE PARA O AMADURECIMENTO DA GOVERNANA DE TI Nesta seo discorrer-se-, de forma sucinta, como a doutrina indica que a ausncia de maturidade em governana corporativa limita a maturidade em governana de TI (a linha argumentativa foi produzida com base nos documentos listados no apndice ). A norma brasileira de Governana Corporativa de TI (ABNT NBR ISO/IEC 38.500:2008, p. 3-4) est baseada em normas internacionais de governana corporativa e deixa claro que todos os mecanismos de gerenciamento organizacional esto sujeitos governana corporativa. Na verdade, h fontes que consideram a governana de TI como sendo uma parte integrante da governana corporativa, como encontramos nos documentos citados no item 2 do apndice . Nesse sentido, a verso 5 do Cobit (com previso de lanamento oficial no incio do prximo ano), um arcabouo de governana de TI tradicionalmente reconhecido no mundo, j procurou
44

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

garantir o estabelecimento de uma linguagem comum entre as duas governanas e a consistncia desse arcabouo com os padres de governana corporativa (ver item 3 do apndice ). A governana de TI exerce grande influncia sobre as definies da governana corporativa em virtude das possibilidades que a tecnologia da informao oferece de suporte e alavancagem do negcio (ver item 4 do apndice ). Por outro lado, a construo de um modelo de governana de TI sofre a influncia dos princpios gerais da governana corporativa, em especial dos princpios da transparncia e da prestao de contas (ver item 5 do apndice ), e a forma como cada organizao implementa esses princpios dirige a maneira de construir o modelo de governana de TI (ver item 6 do apndice ). Portanto, embora possa at haver interesse da alta administrao de uma instituio pblica em alcanar um bom nvel de governana de TI, isso no ser possvel at que essa mesma alta administrao lance os fundamentos e construa as estruturas de governana corporativa necessrios para governar todos os seus recursos crticos, tais como pessoas, finanas, TI etc. Registre-se que, no caso do setor privado, j h evidncia de que a adoo de boas prticas de governana corporativa est associada com a obteno de resultados superiores de desempenho, em termos de retorno sobre o ativo (ver item 6 do apndice ). Considerando que provvel que o mesmo efeito seja passvel de ocorrer no setor pblico, recomendvel orientar a alta administrao das instituies pblicas federais a adotar as boas prticas de governana corporativa e de TI como forma de alcanar a eficincia constitucionalmente exigida. Registre-se, por oportuno, que o programa Gespblica incluiu no seu ciclo 2010 o item de avaliao Governana Pblica e governabilidade como critrio de avaliao (documento disponvel em https://www.gespublica.gov.br/folder_premio/pasta.2010-04-26.8934490474/Instrumento_ciclo_ 2010_22mar.pdf), evidenciando tratar-se de tema de interesse do poder executivo. No sentido de contribuir com o aperfeioamento das organizaes pblicas no tocante governana corporativa, esta Corte j produziu estudo intitulado Critrios gerais de controle interno na administrao pblica (anexo 3, fls. 1-34v) que conclui com proposta de anteprojeto de proposta legislativa para alterao da Lei de Responsabilidade Fiscal. A proposta (anexo 3, fls. 28v-32) consiste em incluir na LRF uma seo tratando Da gesto de riscos, do Controle Interno e da Governana Corporativa, positivando no ordenamento jurdico brasileiro boas prticas que contribuem para a boa governana corporativa contidas em marcos de referncia, como Coso I e II, reconhecidos mundialmente. Como no se tem notcia de projeto de lei com contedo semelhante e considerando que o estudo pode vir a subsidiar proposta legislativa de deputados e senadores que pode contribuir para uma substancial modernizao de nossa legislao, com efeitos diretos na melhoria da governana e gesto pblica nas trs esferas de governo, ser proposto encaminh-lo s comisses temticas pertinetes das casas legislativas, quais sejam: Comisso de Finanas e Tributao da Cmara dos Deputados; Comisso de Assuntos Econmicos do Senado Federal. O Acrdo 1.145/2011-TCU-Plenrio registrou que a esfera federal j possui um arcabouo normativo voltado para o tema governana de TI. Ainda que incipiente, tal arcabouo foi construdo por meio de normas infra-legais (Instrues Normativas, Resolues etc) e o mesmo pode vir a ocorrer com os temas gesto de riscos, controle interno e governana corporativa, motivo pelo qual se prope determinar Sefti/TCU que encaminhe o estudo elaborado pelo TCU intitulado Critrios gerais de controle interno na administrao pblica Cmara de Polticas de Gesto, Desempenho e Competitividade do Conselho de Governo, com objetivo de subsidiar possvel elaborao de normativo para o poder executivo, com fulcro no Decreto 7.478/2011, art. 2, II, tratando de gesto de riscos, do controle interno e da governana corporativa (item ). No mesmo sentido, a Sefti/TCU deve encaminhar o estudo ao CNJ e ao CNMP, com o propsito anlogo. Esta proposta de encaminhamento alinha-se aos seguintes objetivos estratgicos do TCU: I Contribuir para melhoria da gesto e do desempenho da Administrao Pblica;
45

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

V Intensificar aes que promovam a melhoria da gesto de riscos e controles internos da Administrao Pblica; VI Aprimorar as aes de controle voltadas melhoria do desempenho da Administrao Pblica. COMENTRIOS DO GESTOR A maioria das propostas de deliberao contidas neste relatrio consiste de recomendaes para que os OGS estabeleam obrigatoriedade de que os jurisdicionados implantem processos e controles de TI. As propostas de determinao aos jurisdicionados, por sua vez, contemplam solicitaes de informaes (SOF/MF e Dest/MP) e determinao de orientao de jurisdicionados, de forma que no se tratam de determinaes de alta complexidade nem que possam gerar grande impacto s atividades dos jurisdicionados. Por isso, considerando a existncia do disposto nos pargrafos 144-146 das Normas de Auditoria do Tribunal de Contas da Unio, aprovada pela Portaria TCU 168/2011, no se propor o encaminhamento de uma cpia do relatrio preliminar desta auditoria aos gestores para comentrios sobre as concluses e as propostas da equipe. CONCLUSO O TMS 6 Gesto e uso de TI teve como objetivo avaliar se a gesto e o uso da tecnologia da informao esto de acordo com a legislao e aderentes s boas prticas de governana de TI. Foram realizados 21 trabalhos, sendo um levantamento em 315 organizaes pblicas federais, catorze auditorias para avaliao de controles gerais de TI, quatro auditorias em objetos especficos (que avaliaram o Sistema de Acompanhamento de Contratos do Dnit, o sistema informatizado que d suporte ao Sistema Nacional de Transplantes, as contrataes da APF com o Serpro e um contrato de consultoria para segurana da informao no MCT), um monitoramento de sete acrdos que deliberaram para onze jurisdicionados, e a consolidao de todos os trabalhos neste relatrio. Aps a elaborao de questionrio eletrnico para levantamento da situao de governana de TI na APF (doravante chamado perfil GovTI2010), a base de dados com o perfil de governana de TI na APF foi atualizada, apresentando um cenrio de baixa maturidade em que se destacam (excerto dos votos do Relator nos catorze processos de avaliao de controles gerais de TI): a) mais de 60% das organizaes no possuem planejamento estratgico de TI; b) algumas organizaes continuam a ter sua TI totalmente controlada por pessoas estranhas a seus quadros de pessoal; c) so graves os problemas de segurana da informao, j que informaes crticas no so protegidas adequadamente; d) metade das organizaes no possui mtodo ou processo para desenvolvimento de softwares e para aquisio de bens e servios de informtica, o que gera riscos de irregularidades em contrataes; e) a atuao sistemtica da alta administrao com respeito TI ainda incipiente; f) mais da metade das organizaes est no estgio inicial de governana de TI, e apenas 5% encontram-se em estgio aprimorado. Com respeito avaliao de controles gerais de TI, foram elaboradas as matrizes de planejamento e possveis achados, treinados 28 auditores e realizadas catorze auditorias. Quadro 15 iGovTI declarado x avaliado pelo TCU
Sigla AmE Anatel Dnit Dnocs Organizao iGovTI declarado Inicial AMAZONAS DISTRIBUIDORA DE ENERGIA S/A 31,70% AGNCIA NACIONAL DE 54,04% TELECOMUNICAES DEPARTAMENTO NACIONAL DE 27,26% INFRAESTRUTURA DE TRANSPORTES DEPARTAMENTO NACIONAL DE OBRAS 37,50% CONTRA AS SECAS iGovTI recalculado Variao pelo TCU 24,67% Inicial -7,04% -31,73% -2,89% -12,59%
46

Intermedirio 22,31% Inicial Inicial Inicial 24,37% Inicial 24,91% Inicial

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Sigla Finep FNDE Ibama MCT MP MRE MS Susep TRT-2SP TRT-4RS

Organizao

iGovTI declarado Inicial

FINANCIADORA DE ESTUDOS E PROJETOS 39,89% FUNDO NACIONAL DE DESENVOLVIMENTO 59,22% DA EDUCAO INSTITUTO BRASILEIRO DO MEIO AMBIENTE 26,46% E DOS RECURSOS NATURAIS RENOVVEIS MINISTRIO DA CINCIA E TECNOLOGIA 42,61% MINISTRIO DO PLANEJAMENTO, 31,71% ORAMENTO E GESTO MINISTRIO DAS RELAES EXTERIORES 51,19% MINISTRIO DA SADE 30,07% SUPERINTENDNCIA DE SEGUROS PRIVADOS 8,97% TRIBUNAL REGIONAL DO TRABALHO 2 33,78% REGIO/SP TRIBUNAL REGIONAL DO TRABALHO 4 62,62% REGIO/RS

iGovTI recalculado Variao pelo TCU 33,97% Inicial -5,92%

Intermedirio 43,99% Intermedirio -15,23% Inicial 22,56% Inicial -3,90% -21,03% -4,45% -16,86% -6,22% 0,71% -7,00%

Intermedirio 21,58% Inicial Inicial 27,26% Inicial

Intermedirio 34,33% Inicial Inicial 23,85% Inicial Inicial 9,69% Inicial Inicial Aprimorado 26,78% Inicial

45,93% Intermedirio -16,69%

Essas catorze auditorias evidenciaram que a situao de governana de TI pior em treze dos catorze auditados, sugerindo que na APF a situao tambm pode ser pior que a apresentada por meio da tabulao dos dados declarados pelos jurisdicionados no perfil GovTI2010 (Acrdo 2.308/2010TCU-Plenrio). O Quadro 15 apresenta a comparao de pares de valores do iGovTI2010 para os catorze auditados, sendo um dos valores calculado com os dados oferecidos pelos jurisdicionados e outro calculado com base na avaliao realizada pelos auditores do TCU aps a solicitao das evidncias que suportariam as declaraes dos gestores. A Figura 2 apresenta o grfico da variao do iGovTI (avaliado pelo TCU menos o declarado) contra o valor do iGovTI2010 declarado, e a anlise de regresso linear dos valores sugere que quanto maior a autoavaliao da instituio, maior a queda percentual dessa avaliao depois de aplicados os critrios das auditorias do TCU. Isto sugere que o iGovTI2010 mais confivel na faixa inicial e menos confivel nas faixas aprimorada e intermediria. Entretanto no possvel calcular um deflator geral a partir da amostra de catorze instituies visto que: a) a amostra no pode ser considerada representativa da populao, pois no foi selecionada segundo critrios estatsticos de amostragem; b) no h razes para crer que o grau de otimismo na autoavaliao seja homogneo ou proporcional sua autoavaliao. Em que pese a variao de confiabilidade, tpica de dados obtidos por meio declaratrio, o iGovTI se mostra til trs razes principais: a) estabelece um arcabouo de boas prticas que deixa mais claro para os gestores o que se espera deles e como a sua gesto ser avaliada; b) a maioria das instituies encontra-se na faixa mais confivel do iGovTI (faixa inicial); c) mesmo com a reviso do iGovTI para baixo aps as auditorias, as instituies com ndices corrigidos mais elevados de fato apresentam algumas prticas de governana implantadas, reconhecimento esse que serve para estimular os respectivos gestores a prosseguirem no esforo de melhorar a sua governana de TI.

47

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Figura 2 Variao do iGovTI aps a auditoria do TCU Desta forma, evidenciou-se fragilidade da governana de TI nos catorze auditados por meio da evidenciao da ausncia ou deficincia de controles gerais de TI. Em outra linha de investigao do TMS, a avaliao de quatro objetos especficos de TI permitiu identificar consequncias da ausncia ou deficincia dos controles gerais de TI. Assim evidenciou-se, por exemplo, que: a ausncia de controles gerais de segurana da informao no Dnit contribui para diversas vulnerabilidades, inclusive j exploradas em sede de fraude no Sistema de Acompanhamento de Contratos da Autarquia, o qual gere R$ 24 bilhes em contratos ativos, possui (Acrdo 2.831/2011TCU-Plenrio); a ausncia de processo de software no Ministrio da Sade contribui para que o cdigo do sistema que suporta o programa nacional de transplantes no implemente as regras de negcio na forma prevista na legislao, com consequncias que podem afetar inclusive a credibilidade do programa (TC 029.074/2010-0); o no funcionamento do comit de TI no Ministrio da Cincia e Tecnologia impediu a avaliao de produtos de um contrato de consultoria para implantao de controles gerais de segurana da informao, acarretando, alm de indcios de pagamento indevido (em apurao), ausncia de benefcio para o rgo devido a no implantao, at o fim da auditoria, dos controles (TC 029.120/2010-1). obrigao dos gestores da alta administrao adotarem as medidas necessrias implantao dos controles gerais de TI que integram uma boa estrutura de governana de TI, evitando consequncias como as acima citadas. Esse foi o tom de dois eventos promovidos em 2011 pelo TCU, quando foi convidado o mais alto dirigente em cada instituio da Administrao Pblica Federal (poderes Executivo, Legislativo e Judicirio, alm do Ministrio Pblico) para discutir O papel da Alta Administrao na Governana de TI (eventos realizados em 16/6/2011 e 4/8/2011, com mais de trezentos participantes em cada um deles). No monitoramento do cumprimento de determinaes e recomendaes formuladas por meio de diversos acrdos prolatados de 2004 a 2009, aos rgos governantes superiores de TI, realizado no mbito das aes relativas ao presente TMS, identificou-se oportunidade de melhoria na atuao daqueles rgos (Acrdo 1.145/2011-TCU-Plenrio). Em especial, faz-se necessria maior atuao das auditorias internas, por meio da incluso dos temas de TI nas suas matrizes de risco. Ainda que os OGS tenham atuado por meio da implantao de algumas recomendaes a eles dirigidas, no se evidenciou melhora substantiva na situao de governana de TI nos entes da APF.
48

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Os prprios gestores pblicos confirmaram que suas organizaes so dependentes dos sistemas informatizados para a consecuo de seus objetivos institucionais, (51% para imediatamente de prestar servios aos cidados se seus sistemas sofrerem interrupo), de forma que a TI deve ser tema prioritrio na fiscalizao realizada pelas auditorias internas. Apresenta-se na Figura 3 um grfico com nova anlise dos dados coletados a partir do perfil GovTI2010, em que se posicionaram as organizaes pblicas pesquisadas por meio do seu iGovTI2010 e do seu oramento total administrado. Os valores de oramento administrado foram obtidos mediante a extrao, a partir do sistema Siafi, da receita (29 registros) e da despesa (4.034 registros) totais realizadas em 2010 (procedimento realizado pela Diretoria de Gesto de Informaes Estratgicas do TCU), detalhadas por rgo e UG, e pelo pareamento entre as unidades referidas na extrao do Siafi e aquelas constantes do levantamento que gerou o perfil GovTI2010. O conceito de oramento administrado refere-se ao volume total de recursos (receitas ou despesas) administrado pela unidade. Considera-se que, quanto maior o oramento administrado por uma dada unidade, maior a sua importncia no cenrio nacional e maior a relevncia e criticidade da TI que suporta a sua execuo. Com respeito aos aspectos legais das contrataes analisadas, verificou-se a forte tendncia de contratao por meio do Sistema de Registro de Preos (SRP). O fato seria um bom indicativo se esse sistema no estivesse sendo utilizado de forma distorcida, conforme o TCU j havia detectado (Acrdo 1.487/2007-TCU-Plenrio), pois o planejamento conjunto para a criao de uma ata, que deveria ser a regra, a exceo, enquanto a adeso tardia (carona), que deveria ser a exceo, tornou-se prtica comum. Nesse sentido, entende-se que as orientaes propostas mitigaro, j no curto prazo, a continuidade de ocorrncias de desconformidade.

Figura 3 Avaliao de riscos: iGovTI2010 x Valor Administrado O mesmo ocorre com as contrataes dos entes da APF com empresas pblicas prestadoras de servios de TI. Tais contrataes no so excepcionalizadas da legislao, e o conjunto de orientaes proposto contribuir para que a situao esteja conforme os preceitos legais e as boas prticas em contrataes. Outro assunto analisado foi o limite imposto pela governana corporativa para o amadurecimento da governana de TI. Produziu-se argumentao no sentido de que a ausncia de maturidade em governana corporativa limita a maturidade em governana de TI, e indicou-se, s comisses temticas pertinentes das casas legislativas e CGDC, estudo realizado pelo TCU contendo
49

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

proposta de anteprojeto de lei para alterao da LRF por meio da incluso de dispositivos que visam ao fortalecimento da governana corporativa nos entes pblicos. O conjunto de recomendaes propostas aos rgos governantes superiores, fundamental para o aperfeioamento da governana de TI na APF, apresenta-se extenso e complexo, motivo pelo qual se prope determinar Sefti/TCU que promova a divulgao, inclusive por meio de eventos, dessas orientaes, como forma de mitigar os riscos da sua implementao. O conjunto de orientaes propostas abrange a totalidade dos rgos e entidades dos poderes executivo e judicirio, alm do ministrio pblico, por meio dos comandos dirigidos aos OGS. Entretanto as casas legislativas e o TCU, mesmo no estando na jurisdio de nenhum OGS, tambm devem primar pelo aperfeioamento das governanas de TI e corporativa, motivo pelo qual sero propostas recomendaes para que essas trs casas avaliem todas as orientaes expedidas no acrdo que vier a ser proferido e adotem as medidas necessrias a sua implementao. As recomendaes supra se alinham aos objetivos estratgicos Instituir modelo de governana corporativa e gesto estratgica e Promover a melhoria da governana no TCU constantes, respectivamente, da agenda estratgica do Senado Federal (sntese disponvel em http://www.senado.gov.br/noticias/veja-a-sintese-da-agenda-estrategica-da-administracao-do-senadofederal.aspx) e do Plano Estratgico do TCU em vigor (disponvel em http://portal2.tcu.gov.br/portal/page/portal/TCU/planejamento_gestao/planejamento2011/pet.pdf). Por fim, considerando que o referencial estratgico em vigor do TCU contempla como objetivo estratgico Contribuir para o aperfeioamento da gesto e do desempenho da Administrao Pblica, o qual tem como um de seus indicadores o ndice de governana corporativa dos rgos da Administrao Pblica Federal, considerando tambm que as unidades de auditoria interna so atores essenciais boa governana de TI, e considerando ainda as deficincias dos sistemas de controles internos (controles internos dos gestores e atuao das unidades de auditoria interna) conforme evidenciado neste TMS, h espao para que o TCU contribua para o cumprimento do comando previsto na Constituio Federal, art. 74, mas que somente poder ocorrer mediante trabalho de avaliao sistematizada dos sistemas de controles internos dos poderes. PROPOSTA DE ENCAMINHAMENTO Ante todo o exposto, somos pelo encaminhamento dos autos ao gabinete do MinistroRelator Aroldo Cedraz, com as propostas a seguir: Recomendar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, Cmara de Polticas de Gesto, Desempenho e Competitividade (CGDC) do Conselho de Governo que: em ateno Decreto-Lei 200/1967, art. 6, inciso I, e art. 7, normatize a obrigatoriedade de que todos os entes sob sua jurisdio estabeleam processo de planejamento estratgico institucional, observando as boas prticas sobre o tema, a exemplo do critrio de avaliao 2 do Gespblica, contemplando, pelo menos (subitem ): elaborao, com participao de representantes dos diversos setores da organizao, de um documento que materialize o plano estratgico institucional de longo prazo, contemplando, pelo menos, objetivos, indicadores e metas para a organizao; aprovao, pela mais alta autoridade da organizao, do plano estratgico institucional; desdobramento do plano estratgico pelas unidades executoras; divulgao do plano estratgico institucional para conhecimento dos cidados brasileiros, exceto nos aspectos formalmente declarados sigilosos ou restritos;; acompanhamento peridico do alcance das metas estabelecidas, para correo de desvios; divulgao interna e externa do alcance das metas, ou dos motivos de no as ter alcanado; em ateno Decreto-Lei 200/1967, art. 6, inciso I, e art. 7, normatize a obrigatoriedade de que todos os entes sob sua jurisdio estabeleam processo de planejamento estratgico de TI, observando
50

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

as boas prticas sobre o tema, a exemplo do processo PO1 Planejamento Estratgico de TI do Cobit 4.1, contemplando, pelo menos (subitem ): elaborao, com participao de representantes dos diversos setores da organizao, de um documento que materialize o plano estratgico de TI, contemplando, pelo menos: objetivos, indicadores e metas para a TI organizacional, sendo que os objetivos devem estar explicitamente alinhados aos objetivos de negcio constantes do plano estratgico institucional; alocao de recursos (financeiros, humanos, materiais etc); estratgia de terceirizao; aprovao, pela mais alta autoridade da organizao, do plano estratgico de TI; desdobramento do plano estratgico de TI pelas unidades executoras; divulgao do plano estratgico de TI para conhecimento dos cidados brasileiros, exceto nos aspectos formalmente declarados sigilosos ou restritos; acompanhamento peridico do alcance das metas estabelecidas, para correo de desvios; divulgao interna e externa do alcance das metas, ou os motivos de no as ter alcanado; em ateno ao Decreto-Lei 200/1967, art. 6, V, estabelea, normativamente para todos os entes sob sua jurisdio, a obrigatoriedade de a alta administrao implantar uma estrutura de controles internos, mediante a definio de atividades de controle em todos os nveis da organizao para mitigar os riscos de suas atividades no processo de planejamento estratgico institucional (subitem ). Recomendar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, Secretaria de Logstica e Tecnologia da Informao (SLTI/MP) que: normatize a obrigatoriedade de que os entes sob sua jurisdio estabeleam comits de TI, observando as boas prticas sobre o tema, a exemplo do Cobit 4.1, PO4.2 comit estratgico de TI e PO4.3 comit diretor de TI (subitem ); oriente os rgos e entidades sob sua jurisdio a realizar avaliao quantitativa e qualitativa do pessoal do setor de TI, de forma a delimitar as necessidades de recursos humanos necessrias para que estes setores realizem a gesto das atividades de TI da organizao (subitem ); elabore um modelo de processo de software para a os entes sob sua jurisdio, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem ); estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem um processo de software para si, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem ); elabore um modelo de estrutura de gerenciamento de projetos para os entes sob sua jurisdio, observando as boas prticas sobre o tema (e.g., PMBoK; subitem ); estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem um processo de gerenciamento de projetos para si, observando as boas prticas sobre o tema (e.g., PMBoK; subitem ); elabore um modelo de processo de gesto de servios para os entes sob sua jurisdio que inclua, pelo menos, gesto de configurao, gesto de incidentes e gesto de mudana, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem ); estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem processos de gesto de servios para si, incluindo, pelo menos, gesto de configurao, gesto de incidentes e gesto de mudana, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem ); em ateno ao Decreto-Lei 200/1967, art. 6, V, estabelea, normativamente para todos os entes sob sua jurisdio, a obrigatoriedade de a alta administrao implantar uma estrutura de controles internos mediante a definio de atividades de controle em todos os nveis da organizao para mitigar os riscos de suas atividades, pelo menos nos seguintes processos (subitem ): planejamento estratgico de TI; funcionamento dos comits de TI; processo oramentrio de TI; processo de software; gerenciamento de projetos; gerenciamento de servios de TI;
51

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

segurana da informao; gesto de pessoal de TI; contratao e gesto de solues de TI; monitorao do desempenho da TI organizacional. Determinar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso II, Secretaria de Logstica e Tecnologia da Informao (SLTI/MP) que: em ateno ao previsto no Decreto 7.579/2011, art. 4, V, oriente os entes sob sua jurisdio sobre a necessidade de vincular seus contratos de servios de desenvolvimento ou manuteno de software a um processo de software, pois, sem esta vinculao, o objeto do contrato no estar precisamente definido, em desconformidade com o disposto na Lei 8.666/1993, art. 6, inciso IX (subitem ); em ateno ao disposto no Decreto 1.094/1994, art. 2, inciso I, oriente os rgos e entidades sob sua jurisdio para que (subitem ): ao realizarem licitao com finalidade de criar ata de registro de preos atentem que: devem fundamentar formalmente a criao de ata de registro de preos, e.g., por um dos incisos do art. 2 do Decreto 3.931/2001 (Acrdo 2.401/2006-TCU-Plenrio); devem praticar todos os atos descritos no Decreto 3.931/2001, art. 3, 2, em especial o previsto no seu inciso I, que consiste em convidar mediante correspondncia eletrnica ou outro meio eficaz, os rgos e entidades para participarem do registro de preos; o planejamento da contratao obrigatrio, sendo que se o objeto for soluo de TI, caso seja integrante do Sisp, deve executar o processo de planejamento previsto na IN SLTI/MP 4/2010 (IN SLTI/MP 4/2010, art. 18, inciso III) ou, caso no o seja, deve realizar os devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); a fixao, no termo de convocao, de quantitativos (mximos) a serem contratados por meio dos contratos derivados da ata de registro de preos, previstos no Decreto 3.931/2001, art. 9, inciso II, obrigao e no faculdade do gestor (Acrdo 991/2009-TCU-Plenrio, Acrdo 1.100/2007-TCUPlenrio e Acrdo 4.411/2010-TCU-2 Cmara); em ateno ao princpio da vinculao ao instrumento convocatrio (Lei 8.666/1993, art. 3, caput), devem gerenciar a ata de forma que a soma dos quantitativos contratados em todos os contratos derivados da ata no supere o quantitativo mximo previsto no edital; quando realizarem adeso ata de registro de preos atentem que: o planejamento da contratao obrigatrio, sendo que se o objeto for soluo de TI, caso seja integrante do Sisp, deve executar o processo de planejamento previsto na IN SLTI/MP 4/2010 (IN SLTI/MP 4/2010, art. 18, inciso III) ou, caso no o seja, realizar os devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); devem demonstrar formalmente a vantajosidade da adeso, nos termos do Decreto 3.931/2001, art. 8; as regras e condies estabelecidas no certame que originou a ata de registro de preos devem ser conformes as necessidades e condies determinadas na etapa de planejamento da contratao (Lei 8.666/1993, art. 6, inciso IX, alnea d, c/c o art. 3, 1, inciso I, e Lei 10.520/2002, art. 3, inciso II); em ateno ao Decreto 7.579/2011, art. 4, V, oriente os rgos e entidades sob sua jurisdio para que, caso possuam contratos com empresas pblicas prestadoras de servios de TI (subitem ): analisem a conformidade dos termos do contrato e do projeto bsico e verifiquem se: foi realizado o adequado planejamento da contratao, consistindo na execuo do processo de planejamento previsto na IN SLTI/MP 4/2010 se for integrante do Sisp (IN SLTI/MP 4/2010, art. 18, inciso II) ou, caso no o seja, se foram realizados os devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); as especificaes do objeto so precisas e suficientes, em conformidade com a Lei 8.666/1993, art. 6, IX;
52

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

os critrios de mensurao dos servios so precisos e suficientes, de acordo com o determinado na Lei 8.666/1993, art. 6, IX, e (tambm necessrios de acordo com a IN SLTI 4/2010, art. 14, II, a); a metodologia de avaliao da adequao dos produtos precisa e suficiente, de acordo com o determinado na Lei 8.666/1993, art. 6, IX, e (tambm necessria de acordo com a IN SLTI 4/2010, art. 14, II, c); as clusulas de penalidades contidas na Lei 8.666/1993, art. 87, de acordo com o determinado na Lei 8.666/1993, art. 55, VII e VIII, so detalhadas e atendem aos princpios da razoabilidade, proporcionalidade e prudncia (e tambm o previsto na IN SLTI 4/2010, art. 15, III, h); o modelo de pagamento vinculado a resultados, obedecendo ao princpio constitucional da eficincia (e tambm ao previsto no Decreto 2.271/1997, art. 3, 1, e na IN SLTI 4/2010, art. 15, 2 e 3); a justificativa dos preos contratados adequadamente fundamentada em arrazoada pesquisa de mercado, de acordo com o determinado na Lei 8.666/1993, art. 26, III, inclusive com a anlise da planilha de composio de custos dos servios, necessria segundo a Lei 8.666/1993, art. 7, 2, II; caso a anlise realizada de acordo com orientao acima indique desconformidade, elaborem plano de ao para providenciar as adequaes contratuais necessrias, que devero ser realizadas no prazo de 180 dias; mantenham o resultado da anlise de conformidade empreendida em documento formalizado, disposio dos controles externo e interno; informem seu rgo de assessoramento jurdico e sua unidade de auditoria interna da anlise que est sendo empreendida e do resultado obtido; em ateno ao Decreto 7.579/2011, art. 4, V, oriente os rgos e entidades sob sua jurisdio que (subitem ): mesmo que a execuo de seus servios de tecnologia da informao seja transferida mediante contrato ou outro acordo a outra organizao pblica, como as empresas pblicas prestadoras de servios de tecnologia da informao, as atividades de gesto (planejamento, coordenao, superviso e controle) de TI devem ser acometidas a pessoas integrantes do quadro permanente, ou, excepcionalmente, a detentores de cargo em comisso, da organizao contratante, no podendo ser delegadas a pessoas direta ou indiretamente ligadas contratada; a contratao de empresas pblicas prestadoras de servios de tecnologia da informao no afasta a necessidade de a organizao contratante manter estrutura de governana de TI prpria, que direcione e controle a gesto desses contratos bem como a gesto de todos os processos de TI da organizao. Recomendar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Ministrio do Planejamento, Oramento e Gesto que: em ateno ao Decreto 5.707/2006, art. 5, 2, c/c o art. 1, III, discipline a forma de acesso s funes de liderana nos setores de Tecnologia da Informao, considerando as competncias multidisciplinares necessrias para estas funes, que incluem, mas no se limitam a conhecimentos em TI (subitem ). Recomendar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, Secretaria de Oramento Federal (SOF/MP) que: implante controles para mitigar os riscos de ocorrncia de propostas oramentrias que indevidamente no tenham previso de despesas com tecnologia da informao (subitem ); com base no disposto na Lei 10.180/2001, art. 8, II, c/c Decreto 7.063/2010, art. 17, II, normatize a obrigatoriedade de que todos os entes sob sua jurisdio estabeleam processo de trabalho formal para elaborao e acompanhamento da execuo do oramento, contemplando, pelo menos, a obrigatoriedade de que (subitem ): a solicitao do oramento de TI seja feita com base nas estimativas de custos das atividades que pretendam executar, alinhadas aos objetivos do negcio da organizao;
53

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

haja acompanhamento, ao longo do exerccio financeiro, dos gastos efetuados especificamente com TI. Determinar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso II, Secretaria de Oramento Federal (SOF/MP) que, em ateno ao Decreto-Lei 200/1967, art. 75, encaminhe, Secretaria de Fiscalizao de Tecnologia da Informao do Tribunal de Contas da Unio (Sefti/TCU): no prazo de quinze dias aps o envio do projeto da Lei de Diretrizes Oramentrias ao Congresso Nacional, as medidas adotadas para permitir a identificao clara, objetiva e transparente da previso dos gastos em TI no Oramento Geral da Unio ou, alternativamente, normatize o processo de trabalho para obteno de ditas informaes, valendo-se da competncia prevista no Decreto 7.063/2010, art. 17, II (subitem ); no prazo de quinze dias aps o envio do Projeto da Lei Oramentria Anual (PLOA) ao Congresso Nacional, relao da previso das despesas com TI que constam do PLOA, em meio magntico, na forma de banco de dados editvel ou planilha eletrnica, no maior detalhamento possvel, preferencialmente no formato encaminhado por meio do Ofcio 06/SECAD/SOF/MP, de 25/2/2010, ou, alternativamente, disponibilize funcionalidade nos seus sistemas informatizados para que a Sefti/TCU possa acessar os dados requeridos para o atendimento da determinao (subitem ); no prazo de quinze dias aps a publicao da Lei Oramentria Anual (LOA), relao da previso das despesas com TI que constam da LOA, em meio magntico, na forma de banco de dados editvel ou planilha eletrnica, no maior detalhamento possvel, preferencialmente no formato encaminhado por meio do Ofcio 06/SECAD/SOF/MP, de 25/2/2010, ou, alternativamente, disponibilize funcionalidade nos seus sistemas informatizados para que a Sefti/TCU possa acessar os dados requeridos para o atendimento da determinao (subitem ). Determinar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso II, Departamento de Coordenao e Governana das Estatais (Dest/MP) que: em ateno ao Decreto-Lei 200/1967, art. 75, encaminhe, Secretaria de Fiscalizao de Tecnologia da Informao do Tribunal de Contas da Unio (Sefti/TCU): no prazo de quinze dias aps o envio do Projeto da Lei Oramentria Anual (PLOA) ao Congresso Nacional, relao da previso das despesas com TI que constam do PLOA, em meio magntico, na forma de banco de dados editvel ou planilha eletrnica, no maior detalhamento possvel, preferencialmente no formato encaminhado por meio do Ofcio 163/2010/MP/SE/DEST, de 23/2/2010, ou, alternativamente, disponibilize funcionalidade nos seus sistemas informatizados para que a Sefti/TCU possa acessar os dados requeridos para o atendimento da determinao (subitem ); no prazo de quinze dias aps a publicao da Lei Oramentria Anual (LOA), relao da previso das despesas com TI que constam da LOA, em meio magntico, na forma de banco de dados editvel ou planilha eletrnica, no maior detalhamento possvel, preferencialmente no formato encaminhado por meio do Ofcio 163/2010/MP/SE/DEST, de 23/2/2010, ou, alternativamente, disponibilize funcionalidade nos seus sistemas informatizados para que a Sefti/TCU possa acessar os dados requeridos para o atendimento da determinao (subitem ); em ateno ao disposto no Decreto 7.063/2010, art. 6, inciso XII, oriente as entidades sob sua jurisdio para que (subitem ): ao realizarem licitao com finalidade de criar ata de registro de preos atentem que: devem fundamentar formalmente a criao de ata de registro de preos, e.g., por um dos incisos do art. 2 do Decreto 3.931/2001 (Acrdo 2.401/2006-TCU-Plenrio); devem praticar todos os atos descritos no Decreto 3.931/2001, art. 3, 2, em especial o previsto no seu inciso I, que consiste em convidar mediante correspondncia eletrnica ou outro meio eficaz, os rgos e entidades para participarem do registro de preos; o planejamento da contratao obrigatrio, sendo obrigatria a realizao dos devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); a fixao, no termo de convocao, de quantitativos (mximos) a serem contratados por meio dos contratos derivados da ata de registro de preos, previstos no Decreto 3.931/2001, art. 9, inciso
54

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

II, obrigao e no faculdade do gestor (Acrdo 991/2009-TCU-Plenrio, Acrdo 1.100/2007-TCUPlenrio e Acrdo 4.411/2010-TCU-2 Cmara); em ateno ao princpio da vinculao ao instrumento convocatrio (Lei 8.666/1993, art. 3, caput), devem gerenciar a ata de forma que a soma dos quantitativos contratados em todos os contratos derivados da ata no supere o quantitativo mximo previsto no edital; quando realizarem adeso ata de registro de preos atentem que: o planejamento da contratao obrigatrio, sendo obrigatria a realizao dos devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); devem demonstrar formalmente a vantajosidade da adeso, nos termos do Decreto 3.931/2001, art. 8; as regras e condies estabelecidas no certame que originou a ata de registro de preos devem ser conformes as necessidades e condies determinadas na etapa de planejamento da contratao (Lei 8.666/1993, art. 6, inciso IX, alnea d, c/c o art. 3, 1, inciso I, e Lei 10.520/2002, art. 3, inciso II); em ateno ao disposto no Decreto 7.063/2010, art. 6, inciso XII, oriente as entidades sob sua jurisdio para que, caso possuam contratos com empresas pblicas prestadoras de servios de TI (subitem ): analisem a conformidade dos termos do contrato e do projeto bsico e verifiquem se: foi realizado o adequado planejamento da contratao, consistindo na execuo do processo de planejamento previsto na IN SLTI/MP 4/2010 se for integrante do Sisp (IN SLTI/MP 4/2010, art. 18, inciso II) ou, caso no o seja, se foram realizados os devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); as especificaes do objeto so precisas e suficientes, em conformidade com a Lei 8.666/1993, art. 6, IX; os critrios de mensurao dos servios so precisos e suficientes, de acordo com o determinado na Lei 8.666/1993, art. 6, IX, e (tambm necessrios de acordo com a IN SLTI 4/2010, art. 14, II, a); a metodologia de avaliao da adequao dos produtos precisa e suficiente, de acordo com o determinado na Lei 8.666/1993, art. 6, IX, e (tambm necessria de acordo com a IN SLTI 4/2010, art. 14, II, c); as clusulas de penalidades contidas na Lei 8.666/1993, art. 87, de acordo com o determinado na Lei 8.666/1993, art. 55, VII e VIII, so detalhadas e atendem aos princpios da razoabilidade, proporcionalidade e prudncia (e tambm o previsto na IN SLTI 4/2010, art. 15, III, h); o modelo de pagamento vinculado a resultados, obedecendo ao princpio constitucional da eficincia (e tambm ao previsto no Decreto 2.271/1997, art. 3, 1, e na IN SLTI 4/2010, art. 15, 2 e 3); a justificativa dos preos contratados adequadamente fundamentada em arrazoada pesquisa de mercado, de acordo com o determinado na Lei 8.666/1993, art. 26, III, inclusive com a anlise da planilha de composio de custos dos servios, necessria segundo a Lei 8.666/1993, art. 7, 2, II; caso a anlise realizada de acordo com orientao acima indique desconformidade, elaborem plano de ao para providenciar as adequaes contratuais necessrias, que devero ser realizadas no prazo de 180 dias; mantenham o resultado da anlise de conformidade empreendida em documento formalizado, disposio dos controles externo e interno; informem seu rgo de assessoramento jurdico e sua unidade de auditoria interna da anlise que est sendo empreendida e do resultado obtido; em ateno ao disposto no Decreto 7.063/2010, art. 6, inciso XII, oriente as entidades sob sua jurisdio que (subitem ): mesmo que a execuo de seus servios de tecnologia da informao seja transferida mediante contrato ou outro acordo a outra organizao pblica, como as empresas pblicas prestadoras de
55

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

servios de tecnologia da informao, as atividades de gesto (planejamento, coordenao, superviso e controle) de TI devem ser acometidas a pessoas integrantes do quadro permanente, ou, excepcionalmente, a detentores de cargo em comisso, da organizao contratante, no podendo ser delegadas a pessoas direta ou indiretamente ligadas contratada; a contratao de empresas pblicas prestadoras de servios de tecnologia da informao no afasta a necessidade de a organizao contratante manter estrutura de governana de TI prpria, que direcione e controle a gesto desses contratos bem como a gesto de todos os processos de TI da organizao. Recomendar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Gabinete de Segurana Institucional da Presidncia da repblica (GSI/PR) que: em ateno Lei 10.168/2003, art. 6, IV, articule-se com as escolas de governo, notadamente Enap, a fim de ampliar a oferta de aes de capacitao em segurana da informao para os entes sob sua jurisdio (subitem ); em ateno a Lei 10.168/2003, art. 6, IV, oriente os rgos e entidades sob sua jurisdio que a implantao dos controles gerais de segurana da informao positivados nas normas do GSI/PR no faculdade, mas obrigao da alta administrao, e sua no implantao sem justificativa passvel da sano prevista na Lei 8.443/1992, art. 58, II (subitem ); reveja a Norma Complementar 4/IN01/DSIC/GSIPR, uma vez que aborda o tema gesto de riscos considerando apenas ativo de informao e no ativo em sentido amplo, como o faz a NBR ISO/IEC 27.002 no item 7.1.1 (subitem ). Recomendar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Comit Gestor da Poltica Nacional de Desenvolvimento de Pessoal que, em ateno ao Decreto 5.707/2006, art. 7, II e IV: oriente os rgos e entidades sob sua jurisdio sobre a obrigatoriedade de aprovar o plano anual de capacitao, nos termos do Decreto 5.707/2006, arts. 5 e 2, c/c Portaria MP 208/2006, art. 2, I, e art. 4 (subitem ); estabelea, aps consulta Secretaria de Logstica e Tecnologia da Informao, um programa de capacitao em governana e em gesto de tecnologia da informao (subitem ). Recomendar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, Controladoria-Geral da Unio (CGU/PR) que: considere os temas governana de TI, riscos de TI e controles de TI na seleo dos objetos a auditar, consoante o previsto nas boas prticas internacionais para que a atividade de auditoria interna seja mais efetiva (e.g., IPPF 2110.A2, 2120.A1 e 2130.A1; subitem ). oriente as unidades de auditoria interna sob sua orientao normativa a considerar os temas governana de TI, riscos de TI e controles de TI na seleo dos objetos a auditar, consoante o previsto nas boas prticas internacionais para que a atividade de auditoria interna seja mais efetiva (e.g., IPPF 2110.A2, 2120.A1 e 2130.A1; subitem ). Recomendar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, Comisso Interministerial de Governana Corporativa e de Administrao de Participaes Societrias da Unio (CGPAR) que: normatize a obrigatoriedade de que os entes sob sua jurisdio estabeleam comits de TI, observando as boas prticas sobre o tema, a exemplo do Cobit 4.1, PO4.2 comit estratgico de TI e PO4.3 comit diretor de TI (subitem ); oriente os rgos e entidades sob sua jurisdio a realizar avaliao quantitativa e qualitativa do pessoal do setor de TI, de forma a delimitar as necessidades de recursos humanos necessrias para que estes setores realizem a gesto das atividades de TI da organizao (subitem ); discipline a forma de acesso s funes de liderana nos setores de Tecnologia da Informao, considerando as competncias multidisciplinares necessrias para estas funes, que incluem, mas no se limitam a conhecimentos em TI (subitem ); elabore um modelo de processo de software para a os entes sob sua jurisdio, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem );
56

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem um processo de software para si, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem ); elabore um modelo de estrutura de gerenciamento de projetos para os entes sob sua jurisdio, observando as boas prticas sobre o tema (e.g., PMBoK; subitem ); estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem um processo de gerenciamento de projetos para si, observando as boas prticas sobre o tema (e.g., PMBoK; subitem ); estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem processos de gesto de servios para si, incluindo, pelo menos, gesto de configurao, gesto de incidentes e gesto de mudana, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem ); estabelea a obrigatoriedade de que as entidades sob sua jurisdio aprovem um plano anual de capacitao (subitem ); estabelea a obrigatoriedade de que as entidades sob sua jurisdio estabeleam um processo formal para a contratao e gesto de solues de tecnologia da informao (subitem ); oriente as entidades sob sua jurisdio que o processo a ser formalizado em ateno ao item anterior deve ser elaborado a partir das diretrizes expostas no Acrdo 786/2006-TCU-Plenrio, que tambm esto contidas no modelo implementado pela IN SLTI/MP 4/2010 (subitem ); em ateno ao Decreto-Lei 200/1967, art. 6, V, estabelea, normativamente para todos os entes sob sua jurisdio, a obrigatoriedade de a alta administrao implantar uma estrutura de controles internos mediante a definio de atividades de controle em todos os nveis da organizao para mitigar os riscos de suas atividades, pelo menos nos seguintes processos (subitem ): planejamento estratgico institucional; planejamento estratgico de TI; funcionamento dos comits de TI; processo oramentrio de TI; processo de software; gerenciamento de projetos; gerenciamento de servios de TI; segurana da informao; gesto de pessoal de TI; contratao e gesto de solues de TI; monitorao do desempenho da TI organizacional. Determinar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso II, Comisso Interministerial de Governana Corporativa e de Administrao de Participaes Societrias da Unio (CGPAR) que, em ateno ao previsto no Decreto 6.021/2007, art. 3, I, b, oriente os entes sob sua jurisdio sobre necessidade de vincular seus contratos de servios de desenvolvimento ou manuteno de software a um processo de software, pois, sem essa vinculao, o objeto do contrato no estar precisamente definido, em desconformidade com o disposto na Lei 8.666/1993, art. 6, inciso IX (subitem ). Recomendar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Conselho Nacional da Justia (CNJ) que: oriente os rgos e entidades sob sua jurisdio a realizar avaliao quantitativa e qualitativa do pessoal do setor de TI, de forma a delimitar as necessidades de recursos humanos necessrias para que estes setores realizem a gesto das atividades de TI da organizao (subitem ); discipline a forma de acesso s funes de liderana nos setores de Tecnologia da Informao, considerando as competncias multidisciplinares necessrias para estas funes, que incluem, mas no se limitam a conhecimentos em TI (subitem ); elabore um modelo de processo de software para a os entes sob sua jurisdio, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem );

57

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem um processo de software para si, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem ); elabore um modelo de estrutura de gerenciamento de projetos para os entes sob sua jurisdio, observando as boas prticas sobre o tema (e.g., PMBoK; subitem ); estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem um processo de gerenciamento de projetos para si, observando as boas prticas sobre o tema (e.g., PMBoK; subitem ); elabore um modelo de processo de gesto de servios para os entes sob sua jurisdio que inclua, pelo menos, gesto de configurao, gesto de incidentes e gesto de mudana, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem ); estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem processos de gesto de servios para si, incluindo, pelo menos, gesto de configurao, gesto de incidentes e gesto de mudana, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem ); crie procedimentos para orientar os entes sob sua jurisdio na implementao dos seguintes controles (subitem ): nomeao de responsvel pela segurana da informao na organizao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 6.1.3 Atribuio de responsabilidade para segurana da informao; criao de comit para coordenar os assuntos de segurana da informao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 6.1.2 Coordenao de segurana da informao; processo de gesto de riscos de segurana da informao, semelhana das orientaes contidas na NBR ISO/IEC 27005 Gesto de riscos de segurana da informao; estabelecimento de poltica de segurana da informao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 5.1 Poltica de segurana da informao; processo de elaborao de inventrio de ativos, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 7.1 Inventrio de ativos; processo de classificao da informao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 7.2 Classificao da informao, processo necessrio segundo o Decreto 4.553/2002, art. 6, 2, inciso II, e art. 67; oriente os rgos e entidades sob sua jurisdio sobre a obrigatoriedade de aprovar o plano anual de capacitao, nos termos da Resoluo CNJ 90/2009, art. 3 (subitem ); estabelea um programa de capacitao em governana e em gesto de tecnologia da informao (subitem ); a partir das diretrizes expostas no Acrdo 786/2006-TCU-Plenrio, elabore um modelo de processo para contratao e gesto de solues de tecnologia da informao para o Poder Judicirio ou, alternativamente, adote o modelo contido na IN SLTI/MP 4/2010 (subitem ); promova a implementao do modelo elaborado em ateno ao item anterior nos rgos e entidades sob sua jurisdio mediante orientao normativa (subitem ); em ateno ao Decreto-Lei 200/1967, art. 6, V, estabelea, normativamente para todos os entes sob sua jurisdio, a obrigatoriedade de a alta administrao implantar uma estrutura de controles internos mediante a definio de atividades de controle em todos os nveis da organizao para mitigar os riscos de suas atividades, pelo menos nos seguintes processos (subitem ): planejamento estratgico institucional; planejamento estratgico de TI; funcionamento dos comits de TI; processo oramentrio de TI; processo de software; gerenciamento de projetos; gerenciamento de servios de TI; segurana da informao; gesto de pessoal de TI;
58

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

contratao e gesto de solues de TI; monitorao do desempenho da TI organizacional; oriente as unidades de auditoria interna sob sua orientao normativa a considerar os temas governana de TI, riscos de TI e controles de TI na seleo dos objetos a auditar, consoante o previsto nas boas prticas internacionais para que a atividade de auditoria interna seja mais efetiva (e.g., IPPF 2110.A2, 2120.A1 e 2130.A1; subitem ); em ateno Constituio Federal, art. 74, c/c o art. 103-B, 4, I, estabelea sistema de controle interno integrado para todo o Poder Judicirio (subitem ). Determinar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso II, ao Conselho Nacional de Justia (CNJ) que: em ateno ao previsto na Constituio Federal, art. 103-B, 4, II, oriente os entes sob sua jurisdio sobre necessidade de vincular seus contratos de servios de desenvolvimento ou manuteno de software a um processo de software, pois, sem esta vinculao, o objeto do contrato no estar precisamente definido, em desconformidade com o disposto na Lei 8.666/1993, art. 6, inciso IX (subitem ); em ateno ao previsto na Constituio Federal, art. 103-B, 4, II, oriente os rgos e entidades sob sua jurisdio para que (subitem ): ao realizarem licitao com finalidade de criar ata de registro de preos atentem que: devem fundamentar formalmente a criao de ata de registro de preos, e.g., por um dos incisos do art. 2 do Decreto 3.931/2001 (Acrdo 2.401/2006-TCU-Plenrio); devem praticar todos os atos descritos no Decreto 3.931/2001, art. 3, 2, em especial o previsto no seu inciso I, que consiste em convidar mediante correspondncia eletrnica ou outro meio eficaz, os rgos e entidades para participarem do registro de preos; o planejamento da contratao obrigatrio, sendo obrigatria a realizao dos devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); a fixao, no termo de convocao, de quantitativos (mximos) a serem contratados por meio dos contratos derivados da ata de registro de preos, previstos no Decreto 3.931/2001, art. 9, inciso II, obrigao e no faculdade do gestor (Acrdo 991/2009-TCU-Plenrio, Acrdo 1.100/2007-TCUPlenrio e Acrdo 4.411/2010-TCU-2 Cmara); em ateno ao princpio da vinculao ao instrumento convocatrio (Lei 8.666/1993, art. 3, caput), devem gerenciar a ata de forma que a soma dos quantitativos contratados em todos os contratos derivados da ata no supere o quantitativo mximo previsto no edital; quando realizarem adeso ata de registro de preos atentem que: o planejamento da contratao obrigatrio, sendo obrigatria a realizao dos devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); devem demonstrar formalmentea vantajosidade da adeso, nos termos do Decreto 3.931/2001, art. 8; as regras e condies estabelecidas no certame que originou a ata de registro de preos devem ser conformes as necessidades e condies determinadas na etapa de planejamento da contratao (Lei 8.666/1993, art. 6, inciso IX, alnea d, c/c o art. 3, 1, inciso I, e Lei 10.520/2002, art. 3, inciso II); em ateno ao previsto na Constituio Federal, art. 103-B, 4, II, oriente os rgos e entidades sob sua jurisdio para que, caso possuam contratos com empresas pblicas prestadoras de servios de TI (subitem ): analisem a conformidade dos termos do contrato e do projeto bsico e verifiquem se: foi realizado o adequado planejamento da contratao, consistindo na execuo do processo de planejamento previsto na IN SLTI/MP 4/2010 se for integrante do Sisp (IN SLTI/MP 4/2010, art. 18, inciso II) ou, caso no o seja, se foram realizados os devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); as especificaes do objeto so precisas e suficientes, em conformidade com a Lei 8.666/1993, art. 6, IX;
59

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

os critrios de mensurao dos servios so precisos e suficientes, de acordo com o determinado na Lei 8.666/1993, art. 6, IX, e (tambm necessrios de acordo com a IN SLTI 4/2010, art. 14, II, a); a metodologia de avaliao da adequao dos produtos precisa e suficiente, de acordo com o determinado na Lei 8.666/1993, art. 6, IX, e (tambm necessria de acordo com a IN SLTI 4/2010, art. 14, II, c); as clusulas de penalidades contidas na Lei 8.666/1993, art. 87, de acordo com o determinado na Lei 8.666/1993, art. 55, VII e VIII, so detalhadas e atendem aos princpios da razoabilidade, proporcionalidade e prudncia (e tambm o previsto na IN SLTI 4/2010, art. 15, III, h); o modelo de pagamento vinculado a resultados, obedecendo ao princpio constitucional da eficincia (e tambm ao previsto no Decreto 2.271/1997, art. 3, 1, e na IN SLTI 4/2010, art. 15, 2 e 3); a justificativa dos preos contratados adequadamente fundamentada em arrazoada pesquisa de mercado, de acordo com o determinado na Lei 8.666/1993, art. 26, III, inclusive com a anlise da planilha de composio de custos dos servios, necessria segundo a Lei 8.666/1993, art. 7, 2, II; caso a anlise realizada de acordo com orientao acima indique desconformidade, elaborem plano de ao para providenciar as adequaes contratuais necessrias, que devero ser realizadas no prazo de 180 dias; mantenham o resultado da anlise de conformidade empreendida em documento formalizado, disposio dos controles externo e interno; informem seu rgo de assessoramento jurdico e sua unidade de auditoria interna da anlise que est sendo empreendida e do resultado obtido; em ateno ao previsto na Constituio Federal, art. 103-B, 4, II, oriente os rgos e entidades sob sua jurisdio que (subitem ): mesmo que a execuo de seus servios de tecnologia da informao seja transferida mediante contrato ou outro acordo a outra organizao pblica, como as empresas pblicas prestadoras de servios de tecnologia da informao, as atividades de gesto (planejamento, coordenao, superviso e controle) de TI devem ser acometidas a pessoas integrantes do quadro permanente, ou, excepcionalmente, a detentores de cargo em comisso, da organizao contratante, no podendo ser delegadas a pessoas direta ou indiretamente ligadas contratada; a contratao de empresas pblicas prestadoras de servios de tecnologia da informao no afasta a necessidade de a organizao contratante manter estrutura de governana de TI prpria, que direcione e controle a gesto desses contratos bem como a gesto de todos os processos de TI da organizao. Recomendar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Conselho Nacional do Ministrio Pblico (CNMP) que: em ateno ao Decreto-Lei 200/1967, art. 6, inciso I, e art. 7, normatize a obrigatoriedade de que todos os entes sob sua jurisdio estabeleam processo de planejamento estratgico institucional, observando as boas prticas sobre o tema, a exemplo do critrio de avaliao 2 do Gespblica, contemplando, pelo menos (subitem ): elaborao, com participao de representantes dos diversos setores da organizao, de um documento que materialize o plano estratgico institucional de longo prazo, contemplando, pelo menos, objetivos, indicadores e metas para a organizao; aprovao, pela mais alta autoridade da organizao, do plano estratgico institucional; desdobramento do plano estratgico pelas unidades executoras; divulgao do plano estratgico institucional para conhecimento dos cidados brasileiros, exceto nos aspectos formalmente declarados sigilosos ou restritos;; acompanhamento peridico do alcance das metas estabelecidas, para correo de desvios; divulgao interna e externa do alcance das metas, ou dos motivos de no as ter alcanado;
60

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

em ateno ao Decreto-Lei 200/1967, art. 6, inciso I, e art. 7, normatize a obrigatoriedade de que todos os entes sob sua jurisdio estabeleam processo de planejamento estratgico de TI, observando as boas prticas sobre o tema, a exemplo do processo PO1 Planejamento Estratgico de TI do Cobit 4.1, contemplando, pelo menos (subitem ): elaborao, com participao de representantes dos diversos setores da organizao, de um documento que materialize o plano estratgico de TI, contemplando, pelo menos: objetivos, indicadores e metas para a TI organizacional, sendo que os objetivos devem estar explicitamente alinhados aos objetivos de negcio constantes do plano estratgico institucional; alocao de recursos (financeiros, humanos, materiais etc); estratgia de terceirizao; aprovao, pela mais alta autoridade da organizao, do plano estratgico de TI; desdobramento do plano estratgico de TI pelas unidades executoras; divulgao do plano estratgico de TI para conhecimento dos cidados brasileiros, exceto nos aspectos formalmente declarados sigilosos ou restritos; acompanhamento peridico do alcance das metas estabelecidas, para correo de desvios; divulgao interna e externa do alcance das metas, ou os motivos de no as ter alcanado; normatize a obrigatoriedade de que os entes sob sua jurisdio estabeleam comits de TI, observando as boas prticas sobre o tema, a exemplo do Cobit 4.1, PO4.2 comit estratgico de TI e PO4.3 comit diretor de TI (subitem ); oriente os rgos e entidades sob sua jurisdio a realizarem avaliao quantitativa e qualitativa do pessoal do setor de TI, de forma a delimitar as necessidades de recursos humanos necessrias para que estes setores realizem a gesto das atividades de TI da organizao (subitem ); discipline a forma de acesso s funes de liderana nos setores de Tecnologia da Informao, considerando as competncias multidisciplinares necessrias para estas funes, que incluem, mas no se limitam a conhecimentos em TI (subitem ); elabore um modelo de processo de software para os entes sob sua jurisdio, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem ); estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem um processo de software para si, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem ; elabore um modelo de estrutura de gerenciamento de projetos para os entes sob sua jurisdio, observando as boas prticas sobre o tema (e.g., PMBoK; subitem ); estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem um processo de gerenciamento de projetos para si, observando as boas prticas sobre o tema (e.g., PMBoK; subitem ); elabore um modelo de processo de gesto de servios para os entes sob sua jurisdio que inclua, pelo menos, gesto de configurao, gesto de incidentes e gesto de mudana, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem ); estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem processos de gesto de servios para si, incluindo, pelo menos, gesto de configurao, gesto de incidentes e gesto de mudana, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem ); estabelea a obrigatoriedade de que os entes sob sua jurisdio implementem os seguintes controles gerais de TI relativos segurana da informao (subitem ): nomeao de responsvel pela segurana da informao na organizao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 6.1.3 Atribuio de responsabilidade para segurana da informao; criao de comit para coordenar os assuntos de segurana da informao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 6.1.2 Coordenao de segurana da informao; processo de gesto de riscos de segurana da informao, semelhana das orientaes contidas na NBR ISO/IEC 27005 Gesto de riscos de segurana da informao; estabelecimento de poltica de segurana da informao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 5.1 Poltica de segurana da informao;
61

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

processo de elaborao de inventrio de ativos, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 7.1 Inventrio de ativos; processo de classificao da informao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 7.2 Classificao da informao, processo necessrio segundo o Decreto 4.553/2002, art. 6, 2, inciso II e art. 67; crie procedimentos para orientar os entes sob sua jurisdio na implementao dos controles listados no item acima (subitem ); estabelea a obrigatoriedade de que os rgos e entidades sob sua jurisdio aprovem um plano anual de capacitao (subitem ); estabelea um programa de capacitao em governana e em gesto de tecnologia da informao (subitem ); a partir das diretrizes expostas no Acrdo 786/2006-TCU-Plenrio, elabore um modelo de processo para contratao e gesto de solues de tecnologia da informao para o Ministrio Pblico ou, alternativamente, adote o modelo contido na IN SLTI/MP 4/2010 (subitem ); promova a implementao do modelo elaborado em ateno ao item anterior nos rgos e entidades sob sua jurisdio mediante orientao normativa (subitem ); em ateno ao Decreto-Lei 200/1967, art. 6, V, estabelea, normativamente para todos os entes sob sua jurisdio, a obrigatoriedade de a alta administrao implantar uma estrutura de controles internos mediante a definio de atividades de controle em todos os nveis da organizao para mitigar os riscos de suas atividades, pelo menos, nos seguintes processos (subitem ): planejamento estratgico institucionalinstitucional; planejamento estratgico de TI; funcionamento dos comits de TI; processo oramentrio de TI; processo de software; gerenciamento de projetos; gerenciamento de servios de TI; segurana da informao; gesto de pessoal de TI; contratao e gesto de solues de TI; monitorao do desempenho da TI organizacional. oriente as unidades de auditoria interna sob sua orientao normativa a considerar os temas governana de TI, riscos de TI e controles de TI na seleo dos objetos a auditar, consoante o previsto nas boas prticas internacionais para que a atividade de auditoria interna seja mais efetiva (e.g., IPPF 2110.A2, 2120.A1 e 2130.A1; subitem ); em ateno Constituio Federal, art. 74, c/c o art. 103-B, 4, I, estabelea sistema de controle interno integrado para todo o Ministrio Pblico (subitem ). Determinar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso II, ao Conselho Nacional do Ministrio Pblico (CNMP) que: em ateno ao previsto na Constituio Federal, art. 130-A, 2, II, oriente os entes sob sua jurisdio sobre necessidade de vincular seus contratos de servios de desenvolvimento ou manuteno de software a um processo de software, pois, sem esta vinculao, o objeto do contrato no estar precisamente definido, em desconformidade com o disposto na Lei 8.666/1993, art. 6, inciso IX (subitem ); em ateno ao previsto na Constituio Federal, art. 130-A, 2, II, oriente os rgos e entidades sob sua jurisdio para que (subitem ): ao realizarem licitao com finalidade de criar ata de registro de preos atentem que: devem fundamentar formalmente a criao de ata de registro de preos, e.g., por um dos incisos do art. 2 do Decreto 3.931/2001 (Acrdo 2.401/2006-TCU-Plenrio);

62

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

devem praticar todos os atos descritos no Decreto 3.931/2001, art. 3, 2, em especial o previsto no seu inciso I, que consiste em convidar mediante correspondncia eletrnica ou outro meio eficaz, os rgos e entidades para participarem do registro de preos; o planejamento da contratao obrigatrio, sendo obrigatria a realizao dos devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); a fixao, no termo de convocao, de quantitativos (mximos) a serem contratados por meio dos contratos derivados da ata de registro de preos, previstos no Decreto 3.931/2001, art. 9, inciso II, obrigao e no faculdade do gestor (Acrdo 991/2009-TCU-Plenrio, Acrdo 1.100/2007-TCUPlenrio e Acrdo 4.411/2010-TCU-2 Cmara); em ateno ao princpio da vinculao ao instrumento convocatrio (Lei 8.666/1993, art. 3, caput), devem gerenciar a ata de forma que a soma dos quantitativos contratados em todos os contratos derivados da ata no supere o quantitativo mximo previsto no edital; quando realizarem adeso ata de registro de preos atentem que: o planejamento da contratao obrigatrio, sendo obrigatria a realizao dos devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); devem demonstrar formalmente aa vantajosidade da adeso, nos termos do Decreto 3.931/2001, art. 8; as regras e condies estabelecidas no certame que originou a ata de registro de preos devem ser conformes as necessidades e condies determinadas na etapa de planejamento da contratao (Lei 8.666/1993, art. 6, inciso IX, alnea d, c/c o art. 3, 1, inciso I, e Lei 10.520/2002, art. 3, inciso II); em ateno ao previsto na Constituio Federal, art. 130-A, 2, II, oriente os rgos e entidades sob sua jurisdio para que, caso possuam contratos com empresas pblicas prestadoras de servios de TI (subitem ): analisem a conformidade dos termos do contrato e do projeto bsico e verifiquem se: foi realizado o adequado planejamento da contratao, consistindo na execuo do processo de planejamento previsto na IN SLTI/MP 4/2010 se for integrante do Sisp (IN SLTI/MP 4/2010, art. 18, inciso II) ou, caso no o seja, se foram realizados os devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); as especificaes do objeto so precisas e suficientes, em conformidade com a Lei 8.666/1993, art. 6, IX; os critrios de mensurao dos servios so precisos e suficientes, de acordo com o determinado na Lei 8.666/1993, art. 6, IX, e (tambm necessrios de acordo com a IN SLTI 4/2010, art. 14, II, a); a metodologia de avaliao da adequao dos produtos precisa e suficiente, de acordo com o determinado na Lei 8.666/1993, art. 6, IX, e (tambm necessria de acordo com a IN SLTI 4/2010, art. 14, II, c); as clusulas de penalidades contidas na Lei 8.666/1993, art. 87, de acordo com o determinado na Lei 8.666/1993, art. 55, VII e VIII, so detalhadas e atendem aos princpios da razoabilidade, proporcionalidade e prudncia (e tambm o previsto na IN SLTI 4/2010, art. 15, III, h); o modelo de pagamento vinculado a resultados, obedecendo ao princpio constitucional da eficincia (e tambm ao previsto no Decreto 2.271/1997, art. 3, 1, e na IN SLTI 4/2010, art. 15, 2 e 3); a justificativa dos preos contratados adequadamente fundamentada em arrazoada pesquisa de mercado, de acordo com o determinado na Lei 8.666/1993, art. 26, III, inclusive com a anlise da planilha de composio de custos dos servios, necessria segundo a Lei 8.666/1993, art. 7, 2, II; caso a anlise realizada de acordo com orientao acima indique desconformidade, elaborem plano de ao para providenciar as adequaes contratuais necessrias, que devero ser realizadas no prazo de 180 dias;
63

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

mantenham o resultado da anlise de conformidade empreendida em documento formalizado, disposio dos controles externo e interno; informem seu rgo de assessoramento jurdico e sua unidade de auditoria interna da anlise que est sendo empreendida e do resultado obtido; em ateno ao previsto na Constituio Federal, art. 130-A, 2, II, oriente os rgos e entidades sob sua jurisdio que (subitem ): mesmo que a execuo de seus servios de tecnologia da informao seja transferida mediante contrato ou outro acordo a outra organizao pblica, como as empresas pblicas prestadoras de servios de tecnologia da informao, as atividades de gesto (planejamento, coordenao, superviso e controle) de TI devem ser acometidas a pessoas integrantes do quadro permanente, ou, excepcionalmente, a detentores de cargo em comisso, da organizao contratante, no podendo ser delegadas a pessoas direta ou indiretamente ligadas contratada; a contratao de empresas pblicas prestadoras de servios de tecnologia da informao no afasta a necessidade de a organizao contratante manter estrutura de governana de TI prpria, que direcione e controle a gesto desses contratos bem como a gesto de todos os processos de TI da organizao. Recomendar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Tribunal de Contas da Unio que avalie as orientaes contidas no acrdo que vier a ser proferido, e adote as medidas necessrias a sua implementao. Recomendar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, Cmara dos Deputados que avalie as orientaes contidas no acrdo que vier a ser proferido, e adote as medidas necessrias a sua implementao. Recomendar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Senado Federal que avalie as orientaes contidas no acrdo que vier a ser proferido e adote as medidas necessrias a sua implementao. Dar cincia Casa Civil da Presidncia da Repblica de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 5.135/2004, art. 23, inciso I. Dar cincia ao Ministrio da Agricultura, Pecuria e Abastecimento de que o secretrioexecutivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.127/2010, art. 41, inciso I. Dar cincia ao Ministrio da Cincia e Tecnologia de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 5.886/2006, art. 38, inciso I. Dar cincia ao Ministrio da Educao de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.480/2011, art. 38, inciso I. Dar cincia ao Ministrio da Fazenda de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.482/2011, art. 43, inciso I. Dar cincia ao Ministrio da Integrao Nacional de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.472/2011, art. 29, inciso IV. Dar cincia ao Ministrio da Justia de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 6.061/2007, art. 43, inciso I. Dar cincia ao Ministrio da Sade de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.530/2011, art. 49, inciso I. Dar cincia ao Ministrio das Cidades de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 4.665/2003, art. 26, inciso I. Dar cincia ao Ministrio das Minas e Energia de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 5.267/2004, art. 27, inciso I.
64

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Dar cincia ao Ministrio do Desenvolvimento Agrrio de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.255/2010, art. 22, inciso I. Dar cincia ao Ministrio do Desenvolvimento Social e Combate Fome de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.493/2011, art. 36, inciso I. Dar cincia ao Ministrio do Desenvolvimento, Indstria e Comrcio Exterior de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.096/2010, art. 30, inciso I. Dar cincia ao Ministrio do Esporte de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.529/2011, art. 20, inciso I. Dar cincia ao Ministrio do Meio Ambiente de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 6.101/2007, art. 43, inciso I. Dar cincia ao Ministrio do Planejamento, Oramento e Gesto de que o secretrioexecutivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.063/2010, art. 49, inciso I. Dar cincia ao Ministrio do Trabalho e Emprego de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 5.063/2004, art. 27, inciso I. Dar cincia ao Ministrio do Turismo de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 6.546/2008, art. 20, inciso I. Dar cincia ao Ministrio dos Transportes de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 4.721/2003, art. 19, inciso I. Dar cincia Secretaria de Assuntos Estratgicos da Presidncia da Repblica de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 6.517/2008, art. 7, inciso I. Dar cincia Secretaria de Relaes Institucionais da Presidncia da Repblica de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 6.207/2007, art. 9, inciso I. Dar cincia Secretaria-Geral da Presidncia da Repblica de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 6.378/2008, art. 11, inciso I. Dar cincia Secretaria de Aviao Civil da Presidncia da Repblica de que o secretrioexecutivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.476/2011, art. 18, inciso I. Determinar Secretaria de Fiscalizao de Tecnologia da Informao do TCU (Sefti/TCU) que: promova a divulgao dos critrios de auditoria contidos no Apndice , a fim de continuar a atividade de orientao que vem desenvolvendo (subitem ); d publicidade, inclusive por meio do stio do TCU na internet, s informaes acerca de governana de tecnologia da informao que foram solicitadas aos gestores nesta fiscalizao (subitem ); monitore as deliberaes do Acrdo 2.308/2010-TCU-Plenrio em conjunto com as que vierem a ser proferidas nestes autos (subitem ); divulgue o contedo das seis notas tcnicas existentes, como forma de informar e orientar a APF e a sociedade sobre a existncia do conjunto de normas que regem as aquisies de bens e servios de tecnologia da informao, bem como sobre a jurisprudncia deste Tribunal quanto ao assunto, promovendo, inclusive, a realizao de seminrios, cursos e palestras, caso entenda conveniente (subitem ); encaminhe o estudo elaborado pelo TCU intitulado Critrios gerais de controle interno na administrao pblica (item ):
65

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Cmara de Polticas de Gesto, Desempenho e Competitividade do Conselho de Governo, com objetivo de subsidiar possvel elaborao de normativo para o poder executivo, com fulcro no Decreto 7.478/2011, art. 2, II, tratando de gesto de riscos, do controle interno e da governana corporativa; Conselho Nacional de Justia, com objetivo de subsidiar possvel elaborao de normativo para o poder judicirio, com fulcro na Constituio Federal, art. 103-B, 4, II, tratando de gesto de riscos, do controle interno e da governana corporativa; Conselho Nacional do Ministrio Pblico, com objetivo de subsidiar possvel elaborao de normativo para o ministrio publico, com fulcro na Constituio Federal, art. 130-A, 2, II, tratando de gesto de riscos, do controle interno e da governana corporativa; Comisso de Finanas e Tributao da Cmara dos Deputados, com objetivo subsidiar possvel anteprojeto de proposta legislativa para alterao da Lei de Responsabilidade Fiscal; Comisso de Assuntos Econmicos do Senado Federal, com objetivo subsidiar possvel anteprojeto de proposta legislativa para alterao da Lei de Responsabilidade Fiscal; promova a divulgao, inclusive por meio de eventos, das recomendaes e determinaes dirigidas aos rgos governantes superiores por meio do acrdo que vier a ser proferido, como forma de mitigar os riscos da sua implementao; encaminhe cpia do acrdo que vier a ser proferido, bem como do relatrio e voto que o fundamentarem, assim como da ntegra deste relatrio, (ao)(s): entes a que foram dirigidas as determinaes e recomendaes da deliberao; Servio Federal de Processamento de Dados (Serpro); Comisso de Cincia e Tecnologia, Comunicao e Informtica (CCTCI) da Cmara dos Deputados; Subcomisso Permanente de Cincia e Tecnologia e Informtica da Comisso de Cincia e Tecnologia, Comunicao e Informtica (CCTCI) da Cmara dos Deputados; Comisso de Cincia, Tecnologia, Inovao, Comunicao e Informtica (CCT) do Senado Federal; Subcomisso Permanente de Servios de Informtica (CCTSINF) da Comisso de Cincia, Tecnologia, Inovao, Comunicao e Informtica (CCT) do Senado Federal; Tribunais de Contas dos Estados e dos Municpios, para que adotem as medidas que entenderem pertinentes. Arquivar os presentes autos na Secretaria de Fiscalizao de Tecnologia da Informao. [...] 4. O Relatrio acima reproduzido pode ser resumido nos seguintes termos: [...] O objetivo do TMS Gesto e Uso de TI foi avaliar se a gesto e o uso da tecnologia da informao esto de acordo com a legislao e aderentes s boas prticas de governana de TI e foi conduzido, entre 2010 e 2011, por meio de 21 trabalhos, abrangendo 315 organizaes pblicas federais. Uma pesquisa realizada para levantar a situao da governana de TI na APF identificou, por meio de dados declarados pelos jurisdicionados, que mais de 60% das organizaes no possuem planejamento estratgico de TI; que algumas organizaes continuam a ter sua TI totalmente controlada por pessoas estranhas a seus quadros de pessoal; que so graves os problemas de segurana da informao, j que informaes crticas no so protegidas adequadamente; que metade das organizaes no possui mtodo ou processo para desenvolvimento de softwares e para aquisio de bens e servios de informtica, o que gera riscos de irregularidades em contrataes; que a atuao sistemtica da alta administrao em definir diretrizes para o uso de TI na organizao ainda incipiente. O levantamento concluiu que mais da metade das organizaes est no estgio inicial da governana de TI e que apenas 5% encontram-se em estgio aprimorado.
66

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Catorze auditorias in loco evidenciaram situao real da governana de TI pior do que a declarada pelos respectivos auditados, sugerindo que na APF a situao tambm pode ser pior do que a apresentada por meio da tabulao dos dados declarados pelos jurisdicionados na pesquisa realizada. Quatro auditorias para avaliao de objetos especficos de TI permitiram identificar consequncias da ausncia ou da deficincia dos controles gerais de TI, tais como sistemas com falhas de segurana da informao que foram efetivamente exploradas em sede de fraude, sistemas que no implementam as regras do negcio e pagamentos indevidos em contratos de consultoria. A principal causa do cenrio analisado a falta de envolvimento das lideranas das instituies auditadas, o que aponta para a necessidade de uma nova postura dos administradores pblicos do alto escalo, que inclua assumir a responsabilidade pela avaliao, direo e monitoramento da gesto e do uso da TI nessas instituies. Para implantar tais processos, destaca-se a necessria utilizao da auditoria interna das organizaes no apoio aos altos dirigentes, de forma que se faz necessrio que estas unidades incluam os temas de TI na seleo dos objetos a auditar. Evidenciou-se a elevada dependncia das instituies pesquisadas em relao a sistemas informatizados para a consecuo dos objetivos de negcio (51% param imediatamente de prestar servios aos cidados se seu sistema mais crtico sofrer interrupo), o que refora a tese de prioridade para os objetos de TI nas auditorias internas. Argumentou-se ainda que a pouca maturidade em governana corporativa fator limitante maturidade da governana de TI, de forma que foi encaminhado a alguns legitimados estudo realizado pelo TCU contendo anteprojeto de lei para alterao da Lei de Responsabilidade Fiscal, com vistas a aperfeioar o arcabouo normativo, contribuindo para o fortalecimento da governana corporativa nos entes pblicos. Aspectos legais nas contrataes por meio do sistema de registro de preos e nas contrataes de empresas pblicas prestadoras de servios de TI foram endereados, e orientaes para que essas contrataes estejam aderentes legislao e sigam as boas prticas foram formuladas. Extenso e complexo conjunto de recomendaes e determinaes para modificar o cenrio de baixa maturidade na governana de TI foi expedido aos rgos governantes superiores, conjunto este que ser objeto de discusso em evento a ser promovido pela Secretaria de Fiscalizao de Tecnologia da Informao (Sefti) aps a apreciao deste trabalho pelo Plenrio do TCU. [...]. 5. Como pode ser observado, o ttulo III do relatrio trata dos aspectos legais nas contrataes de solues de TI, apresentando informaes relevantes acerca de contrataes pelo Sistema de Registro de Preos (SRP), destacando a forte tendncia de realizao de avenas por meio desse sistema, por alguma das formas possveis. [...] . Em relao a essa questo, a Secretaria de Fiscalizao de Tecnologia da Informao (Sefit) comenta que a utilizao do SRP poderia sinalizar tendncia de a Administrao Pblica Federal dar cumprimento ao art. 15, inciso II da Lei 8.666/1993, se no estivesse sendo utilizado de forma distorcida, conforme j detectado por este Tribunal (Acrdo 1.487/2007-TCUPlenrio, ora em fase de recurso). 5. O que foi observado naquela oportunidade, e agora por meio das verificaes realizadas pela Sefit, que o planejamento conjunto para a criao de uma ata, que deveria ser a regra, exceo, enquanto a adeso tardia (carona), que deveria ser a exceo, tornou-se prtica comum. 6. Nesse sentido, a Sefti prope a realizao de determinaes SLTI/MP, com objetivo de mitigar, j no curto prazo, a continuidade de ocorrncias de desconformidades, nos termos constantes do item 251 do Relatrio (fls. 435 do v. 2). 7. Tendo em vista a natureza e a relevncia da matria em apreciao, com repercusso em toda a administrao pblica, solicitei a manifestao do Ministrio Pblico junto a este Tribunal, quanto
67

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

matria de direito em relao ao contedo e s propostas relacionadas ao ttulo III, subttulo III.1, do Relatrio de Auditoria. 8. Em resposta o Parquet produziu o parecer constante da pea que abaixo reproduzida como parte deste Relatrio: [...]3. No obstante observar a tendncia de se dar cumprimento ao disposto no art. 15, inciso II, da Lei n 8.666/93, que estabelece que as compras, sempre que possvel, devero ser processadas por meio do SRP, a Sefti constatou que uma parcela muito pequena delas foi realizada mediante planejamento conjunto, com vistas aquisio de bens ou a contratao de servios para atendimento a mais de um rgo ou entidade, ou a programas de governo, hiptese prevista no inciso III do art. 2 do Decreto n 3.931/2001, que regulamenta o Sistema de Registro de Preos. 4. Alm da ausncia de planejamento, verificou-se que uma significativa quantidade de atas no contou com outras instituies participantes, dando ensejo ao excessivo nmero de contrataes por meio de adeses realizadas com fundamento no art. 8 da supracitada norma regulamentar, prtica esta conhecida como carona. 5. A partir desses dados, a Sefti observou que o planejamento conjunto para a criao de uma ata, que deveria ser a regra exceo, enquanto que a prtica da adeso a uma ata, que deveria ser exceo, tornou-se prtica comum. 6. Sobre o assunto, a unidade tcnica registrou que esta Corte j se posicionou contrria adeso ilimitada a uma mesma Ata de Registro de Preos, nos termos do Acrdo n 1.487/2007 Plenrio, atualmente em fase de recurso, tendo em vista a ofensa aos princpios da competio, da igualdade de condies entre os licitantes e da busca da maior vantagem para a Administrao Pblica. 7. Como exemplo de planejamento conjunto que atende aos objetivos da legislao, a unidade tcnica citou a ao coordenada pela Secretaria de Logstica e Tecnologia da Informao SLTI/MP para a aquisio de mais de 100.000 equipamentos. 8. Por outro lado, a Sefti constatou que a prtica da adeso possibilita a explorao comercial das Atas de Registro de Preos por empresas privadas. 9. Os problemas recorrentes identificados nas contrataes examinadas foram a ausncia de fundamentao legal que sustenta o motivo da criao da ata; a ausncia de planejamento da contratao, tanto na criao da ata quanto na adeso; a ausncia de fixao dos quantitativos mximos que sero adquiridos por meio da ata; a ausncia de demonstrao da vantajosidade em aderir ata; assim como a adeso a atas oriundas de licitao com critrios e condies aplicveis ao ente que a registrou, porm distintos das necessidades da instituio que aderiu. 10. Desse modo, a Sefti concluiu o exame dessa matria apresentando a seguinte proposta (fl. 435): 251. Ante as constataes acima, e a existncia de precedentes de julgados para alguns dos assuntos acima tratados nesta Corte, entende-se como oportuno e conveniente que os rgos governantes superiores orientem seus jurisdicionados para evitar as prticas irregulares acima, e propese determinar SLTI/MP que, em ateno ao disposto no Decreto 1.094/1994, art. 2, inciso I, oriente os rgos e entidades sob sua jurisdio para que (subitem III.1): 251.2. ao realizarem licitao com finalidade de criar ata de registro de preos atentem que: 251.2.1. devem fundamentar formalmente a criao de ata de registro de preos, e.g., por um dos incisos do art. 2 do Decreto 3.931/2001 (Acrdo 2.401/2006-TCU-Plenrio); 251.2.2. devem praticar todos os atos descritos no Decreto 3.931/2001, art. 3, 2, em especial o previsto no seu inciso I, que consiste em convidar mediante correspondncia eletrnica ou outro meio eficaz, os rgos e entidades para participarem do registro de preos; 251.2.3. o planejamento da contratao obrigatrio, sendo que se o objeto for soluo de TI, caso seja integrante do Sisp, deve executar o processo de planejamento previsto na IN SLTI/MP
68

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

4/2010 (IN SLTI/MP 4/2010, art. 18, inciso III) ou, caso no o seja, deve realizar os devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); 251.2.4. a fixao, no termo de convocao, de quantitativos (mximos) a serem contratados por meio dos contratos derivados da ata de registro de preos, previstos no Decreto 3.931/2001, art. 9, inciso II, obrigao e no faculdade do gestor (Acrdo 991/2009-TCU-Plenrio, Acrdo 1.100/2007-TCU-Plenrio e Acrdo 4.411/2010-TCU-2 Cmara); 251.2.5. em ateno ao princpio da vinculao ao instrumento convocatrio (Lei 8.666/1993, art. 3, caput), devem gerenciar a ata de forma que a soma dos quantitativos contratados em todos os contratos derivados da ata no supere o quantitativo mximo previsto no edital. 251.3. quando realizarem adeso ata de registro de preos atentem que: 251.3.1. o planejamento da contratao obrigatrio, sendo que se o objeto for soluo de TI, caso seja integrante do Sisp, deve executar o processo de planejamento previsto na IN SLTI/MP 4/2010 (IN SLTI/MP 4/2010, art. 18, inciso III) ou, caso no o seja, realizar os devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); 251.3.2. devem demonstrar formalmente a vantajosidade da adeso, nos termos do Decreto 3.931/2001, art. 8; 251.3.3. as regras e condies estabelecidas no certame que originou a ata de registro de preos devem ser conformes as necessidades e condies determinadas na etapa de planejamento da contratao (Lei 8.666/1993, art. 6, inciso IX, alnea d, c/c o art. 3, 1, inciso I, e Lei 10.520/2002, art. 3, inciso II). II 11. Antes de adentrar no exame da questo propriamente dita, cumpre registrar que o SRP, se utilizado de acordo com as normas legais vigentes, apresenta um potencial fantstico de racionalizar as aquisies de bens e servios pela Administrao Pblica, podendo trazer significativa economia aos cofres pblicos. 12. Estas vantagens, no entanto, no podem ser obtidas custa do descumprimento da legislao especfica de licitaes ou dos princpios constitucionais que regem a matria. 13. A presente auditoria traz mais uma vez considerao desta Corte um tema de extrema relevncia, que diz respeito ao procedimento de adeso Ata de Registro de Preos, prevista no Decreto n 3.931/2001. 14. Com efeito, conforme registrado pela Sefti, o Tribunal apreciou a matria ao proferir o Acrdo n 1.487/2007 Plenrio, que culminou com determinao para que fossem reavaliadas as regras previstas na supracitada norma regulamentar, de forma a estabelecer limites para a adeso Ata de Registro de Preos por outros rgos e entidades. 15. Sobre o assunto, vale destacar o seguinte trecho do voto condutor da referida deliberao, contra a qual foi interposto recurso, ainda no julgado por esta Corte: 6. Diferente a situao da adeso ilimitada a atas por parte de outros rgos. Quanto a essa possibilidade no regulamentada pelo Decreto n 3.931/2001, comungo o entendimento da unidade tcnica e do Ministrio Pblico que essa fragilidade do sistema afronta os princpios da competio e da igualdade de condies entre os licitantes. 7. Refiro-me regra inserta no art. 8, 3, do Decreto n 3.931, de 19 de setembro de 2001, que permite a cada rgo que aderir Ata, individualmente, contratar at 100% dos quantitativos ali registrados. No caso em concreto sob exame, a 4 Secex faz um exerccio de raciocnio em que demonstra a possibilidade real de a empresa vencedora do citado Prego 16/2005 ter firmado contratos com os 62 rgos que aderiram ata, na ordem de aproximadamente 2 bilhes de reais, sendo que, inicialmente, sagrou-se vencedora de um nico certame licitatrio para prestao de servios no valor de R$ 32,0 milhes. Est claro que essa situao incompatvel com a orientao constitucional que preconiza a competitividade e a observncia da isonomia na realizao das licitaes pblicas. 8. Para alm da temtica principiolgica que, por si s j reclamaria a adoo de providncias corretivas, tambm no pode deixar de ser considerado que, num cenrio desses, a Administrao perde na economia de escala, na medida em que, se a licitao fosse destinada
69

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

inicialmente contratao de servios em montante bem superior ao demandado pelo rgo inicial, certamente os licitantes teriam condies de oferecer maiores vantagens de preo em suas propostas. 16. O exemplo acima mencionado demonstra que a adeso ilimitada s atas representa clara ofensa ao disposto no art. 37, inciso XXI, da Constituio Federal, que exige que compras e servios sejam contratados mediante processo de licitao pblica que assegure igualdade de condies a todos os concorrentes. 17. Com relao ofensa dessa prtica ao princpio da obrigatoriedade da licitao, Maral Justen Filho, vislumbrando, no dispositivo regulamentar ora questionado, a instituio de competncia discricionria para a Administrao Pblica promover contratao direta, tece as seguintes consideraes (Comentrios lei de licitaes e contratos administrativos. 12 ed. So Paulo: Dialtica, 2008. p. 196): Ora, a ausncia de obrigatoriedade de contratar e a no-computao dos quantitativos contratados com entidades no participantes do sistema de registro de preos so duas decorrncias jurdicas da inexistncia de licitao. Se os objetos das referidas licitaes tivessem sido abrangidos numa licitao anterior, existiria a inafastvel obrigatoriedade de o particular realizar a contratao quando tal lhe fosse demandado e os quantitativos correspondentes seriam computados para clculo dos limites previstos na licitao. Evidencia-se, ento, que a figura do carona corresponde ao aproveitamento dos efeitos de uma licitao anterior, para que uma entidade administrativa promova contratao sem prvia licitao. Configura-se uma situao similar da dispensa de licitao, fundada na exclusiva discricionariedade administrativa. Essa soluo incompatvel com a regra imposta no art. 37, inc. XXI, da CF/88. Na verdade, produziu-se a instituio por meio de decreto de mais uma hiptese de dispensa de licitao. O problema imediato reside em que a Constituio estabelece que somente a lei pode criar as hipteses de dispensa de licitao. No caso concreto, nenhuma lei instituiu o carona. 18. Quanto ofensa ao princpio da isonomia, o nobre autor entende que ela decorre dos seguintes aspectos (ob.cit., pp. 190-191): O princpio da isonomia impe que todos os potenciais interessados tomem cincia da extenso das contrataes que a Administrao pretende realizar. No possvel que uma licitao aparentemente irrelevante, que no desperta ateno e competio entre os empresrios do setor, seja transformada em uma fonte inesgotvel de contrataes para o licitante que a venceu. 19. Alm desses, a adeso ilimitada tambm contraria os princpios bsicos que norteiam a atividade da Administrao Pblica, como os da legalidade, da impessoalidade, da economicidade, da vinculao ao instrumento convocatrio e da moralidade. 20. Vale observar, em termos prticos, que a sistemtica de permitir adeses ilimitadas s Atas de Registro de Preos por intermdio de caronas, ao invs de reduzir a possibilidade de fraude ao procedimento licitatrio, tende a ampliar esta possibilidade, como observa Maral Justen Filho no trecho abaixo transcrito (ob. cit., p. 197): A consagrao do carona favorece a prtica da corrupo. Em primeiro lugar, envolve a realizao de licitaes destinadas ao fornecimento de quantitativos enormes, o que se constitui em incentivo a prticas reprovveis. Isso no significa afirmar que existem desvios ticos apenas nas licitaes de grande porte. O que se afirma que a grande dimenso econmica de uma licitao eleva o risco de corrupo em vista do vulto dos valores envolvidos. Mais grave, consiste na criao de competncias amplamente discricionrias. Ao assegurar ao ente administrativo a faculdade de escolher entre utilizar ou no utilizar um registro de preos, abre-se a oportunidade para a corrupo. No significa que a existncia do registro de preos seja um instrumento intrinsecamente propcio corrupo: a figura do carona intrinsecamente propcia corrupo. E o porque uma entidade pode ou no se valer de um registro de preos, segundo uma escolha livre e incondicionada. [Grifei.] 21. Registre-se, ademais, que a Sefti constatou a possibilidade de explorao comercial das Atas de Registro de Preos por empresas privadas, como se observa, por exemplo, no site www.bidsolutions.com.br, que oferece auxlio nas compras via adeso s atas vlidas de rgos federais, estaduais e municipais, informando a existncia, na data do acesso, de 35.610 itens em Atas de Registro
70

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

de Preos e R$ 63.347.040,34 em itens, alm de apresentar o seguinte anncio: Quer vender mais a sua Ata de Registro de Preo? A BID SOLUTIONS TE AJUDA!. 22. Outro exemplo o site www2.dlink.com.br, que convida os interessados a aproveitar as facilidades das atas de registro de preos junto a diversos rgos federais para adquirir as solues D-Link com mais agilidade, alm de oferecer um guia de adeso a atas e preos. 23. Nota-se, claramente, que a adeso ilimitada Ata de Registro de Preos representa um desvirtuamento do SRP, que tem como pressuposto principal o planejamento das aquisies pela Administrao Pblica, na medida em que propicia a contratao de muito mais itens do que a quantidade efetivamente licitada. 24. Por esses motivos, entendo que a possibilidade de adeso Ata de Registro de Preos deve limitar-se quantidade remanescente no registro. III 25. Como mencionado pela Sefti, um aspecto de fundamental importncia para o regular funcionamento do SRP o devido planejamento que deve ser realizado pelo rgo gerenciador e pelos rgos participantes. 26. Note-se que o inciso III do art. 2 do Decreto n 3.931/2001 estabelece que ser adotado preferencialmente o SRP, entre outras hipteses, quando for conveniente a aquisio de bens ou a contratao de servios para atendimento a mais de um rgo ou entidade, ou programas de governo. 27. Por sua vez, os 2 e 3 do art. 3 da referida norma regulamentar estabelecem uma srie de procedimentos que devem ser adotados pelo rgo gerenciador e pelos rgos participantes, que indicam a necessidade de um amplo planejamento para se estabelecer os produtos e servios que devem constar da ata, conforme se verifica a seguir: 2 Caber ao rgo gerenciador a prtica de todos os atos de controle e administrao do SRP, e ainda o seguinte: I convidar, mediante correspondncia eletrnica ou outro meio eficaz, os rgos e entidades para participarem do registro de preos; II consolidar todas as informaes relativas estimativa individual e total de consumo, promovendo a adequao dos respectivos projetos bsicos encaminhados para atender aos requisitos de padronizao e racionalizao; (...) V confirmar junto aos rgos participantes a sua concordncia com o objeto a ser licitado, inclusive quanto aos quantitativos e projeto bsico; (...) VII gerenciar a Ata de Registro de Preos, providenciando a indicao, sempre que solicitado, dos fornecedores, para atendimento s necessidades da Administrao, obedecendo a ordem de classificao e os quantitativos de contratao definidos pelos participantes da Ata; (...) 3 O rgo participante do registro de preos ser responsvel pela manifestao de interesse em participar do registro de preos, providenciando o encaminhamento, ao rgo gerenciador, de sua estimativa de consumo, cronograma de contratao e respectivas especificaes ou projeto bsico, nos termos da Lei n 8.666, de 1993, adequado ao registro de preo do qual pretende fazer parte, (...). [Grifei.] 28. As compras devidamente planejadas tendem a apresentar significativo ganho de escala, observando-se, assim, os princpios constitucionais da eficincia e da economicidade. 29. Neste sentido, em adio ao exemplo da SLTI/MP citado no Relatrio de Auditoria, cabe registrar a notcia publicada no site do Fundo Nacional de Desenvolvimento da Educao FNDE em 29/11/2011, de que a sistemtica de compras governamentais da referida entidade, baseada em preges eletrnicos para registro de preos nacional, permitiu uma economia de R$ 1,39 bilhes aos cofres pblicos de estados, municpios e do governo federal no perodo de 2008 a 2011. 30. Quanto forma pela qual so efetivadas as compras de grande volume para atender os programas e projetos educacionais do MEC promovidos pela entidade, consta a seguinte informao:
71

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Com base nas estimativas das necessidades dos estados e municpios, o FNDE realiza licitaes e registra os preos que passam a ter validade em todo territrio nacional. Com isso, os ganhos de escala favorecem o governo federal, estados e municpios, que podem aderir a esses registros de preos, realizando, assim, suas compras com rapidez, transparncia e economicidade. [Grifei.] 31. Verifica-se, portanto, que os elementos colhidos na presente auditoria comprovam os problemas que decorrem da adeso ilimitada Ata de Registro de Preos, causados, basicamente, pela marcante ausncia de planejamento dos rgos e entidades da Administrao Pblica. 32. Registre-se, mais uma vez, que o instituto do SRP apresenta um grande potencial de proporcionar racionalizao administrativa e economia para os cofres pblicos. 33. No obstante, a prtica disseminada em todos os entes da federao da adeso ilimitada s Atas de Registro de Preos desvirtua o SRP de sua finalidade principal, fundada no planejamento dos rgos e entidades da Administrao Pblica, alm de afrontar a Constituio Federal e a Lei n 8.666/93, trazendo, em seu bojo, uma ampla liberalidade que favorece a prtica da fraude, do conluio e da corrupo. IV 34. Ante todo o exposto, este representante do Ministrio Pblico manifesta-se em conformidade com a competente anlise realizada no ttulo III, subttulo III.1, do Relatrio de Auditoria, que trata dos aspectos legais nas contrataes de solues de TI por meio do Sistema de Registro de Preos (fls. 433/435), bem como com a proposta formulada pela Sefti no item 251 (fl. 435). o Relatrio.

72

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

APNDICES Relatrios consolidados


Unidade Jurisdicionado Tcnica 1 000.390/2010-0 Levantamento Sefti 321 rgos e entidades 2 009.982/2010-8 Conformidade (ACGTI) Sefti Dnit 3 013.718/2010-0 Conformidade (ACGTI) Sefti SE/MS 4 013.674/2010-2 Conformidade (ACGTI) Secex/RR Ibama 5 014.088/2010-0 Conformidade (ACGTI) Secex/9 Susep 6 013.671/2010-3 Conformidade (ACGTI) Secex/SP TRT-2 Regio (SP) 7 013.761/2010-2 Conformidade (ACGTI) Secex/RR SE/MCT 8 017.791/2010-3 Conformidade (ACGTI) Secex/1 Anatel 9 019.052/2010-3 Conformidade (ACGTI) Secex/CE Dnocs 10 018.044/2010-7 Conformidade (ACGTI) Secex/RJ Finep 11 017.903/2010-6 Conformidade (ACGTI) Secex/RS TRT-4 Regio (RS) 12 022.488/2010-3 Conformidade (ACGTI) Secex/6 FNDE 13 024.193/2010-0 Conformidade (ACGTI) Secex/AM ADE 14 018.911/2010-2 Conformidade (ACGTI) Secex/5 SE/MRE 15 024.956/2010-4 Conformidade (ACGTI) Sefti SE/MP 16 028.772/2010-5 Monitoramento Sefti onze rgos e entidades 17 010.474/2010-2 Conformidade (AE) Sefti Dnit 18 022.241/2010-8 Conformidade (AE) Sefti SRF/MF e SE/MP 19 029.074/2010-0 Conformidade (AE) Sefti SE/MS e SAS/MS 20 029.120/2010-1 Conformidade (AE) Sefti CGTI/MCT Oramento dos pesquisados que declararam que o negcio no afetado
Cod2010 233 195 138 65 243 50 178 183 193 250 197 67 51 152 7 246 306 Criticidade 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 Maturidade 3 1 2 1 2 1 1 2 2 2 1 1 2 2 1 2 1 Oramento2010 354.187.397,00 118.305.000,00 59.728.652,00 51.112.796,00 43.826.851,00 43.690.792,00 42.585.474,00 40.186.768,00 31.725.069,00 19.600.000,00 18.646.542,00 16.466.905,00 7.502.352,00 6.378.288,00 5.863.100,00 4.790.000,00 4.762.947,00

Item TC

Tipo de fiscalizao

Fls. do Anexo 2 2-27 28-36 37-44 45-58 59-68 69-81 82-97 98-107 108-114 115-125 126-136 137-147 148-158 159-167 168-184 185-195 211-222 223-245 246-256 196-210

Organizao Servio Federal de Processamento de Dados Ministrio Das Cidades Furnas Centrais Eltricas S.A. Companhia Energtica de Alagoas Superintendncia da Zona Franca de Manaus Casa Civil da Presidncia da Repblica Irb-Brasil Resseguros S.A. Ministrio da Cincia e Tecnologia Ministrio da Previdncia Social Tribunal de Contas da Unio Ministrio de Minas e Energia Eletrobras Distribuio Piau Casa da Moeda do Brasil Instituto Brasileiro de Turismo Companhia Docas do Esprito Santo S.A. Superior Tribunal Militar TRIBUNAL REGIONAL FEDERAL 3 REGIO (SP-MS)
73

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Cod2010 343 11 331 118 8 315 127 116 339 300 228 274 104 112 95 261 285 17 110 150 279 293 131 120 297 303 166 123 64 322 291 288 97 106 289 277 124 102 341 260 115

Criticidade 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5

Maturidade 1 1 1 1 1 1 2 2 2 2 1 1 1 1 2 2 1 2 1 1 2 1 1 2 2 1 1 1 1 1 2 1 1 1 1 2 1 1 1 2 1

Oramento2010 3.986.000,00 3.442.878,00 3.111.552,00 2.915.811,00 2.755.718,00 2.014.438,00 2.012.940,00 1.970.000,00 1.800.000,00 1.579.068,00 1.565.772,00 1.506.924,00 1.410.940,00 1.400.000,00 1.388.248,00 1.182.505,00 1.121.453,00 1.037.450,00 1.010.000,00 927.147,00 898.200,00 896.890,00 890.000,00 792.000,00 790.553,00 723.789,00 709.600,00 621.000,00 539.097,00 504.000,00 473.872,00 457.800,00 430.000,00 420.000,00 399.488,00 391.190,00 379.757,00 302.000,00 300.000,00 200.000,00 145.000,00

Organizao Universidade Federal do Abc Companhia Docas do Par S.A. Universidade Federal do Rio de Janeiro Fundao Universidade do Amazonas Companhia Docas do Estado da Bahia S.A. Universidade Federal de Campina Grande Fundao Universidade Federal de So Joo Del Rei Fundao Oswaldo Cruz Valec Engenharia, Construes e Ferrovias S.A. Tribunal Regional Eleitoral/Sc Secretaria Especial Dos Direitos Humanos TRIBUNAL REGIONAL DO TRABALHO 7 REGIO/CE Fundao Cultural Palmares Fundao Nacional de Artes Empresa Gestora de Ativos TRIBUNAL REGIONAL DO TRABALHO 18 REGIO/GO Tribunal Regional Eleitoral/Go Superintendncia de Desenvolvimento da Amaznia Fundao Joaquim Nabuco Instituto Benjamin Constant Tribunal Regional Eleitoral/Am Tribunal Regional Eleitoral/Pi Universidade Federal do Acre Fundao Universidade Federal de Mato Grosso Tribunal Regional Eleitoral/Ro Tribunal Regional Eleitoral/To Instituto Nacional de Educao de Surdos Fundao Universidade Federal de Pelotas Companhia Docas do Rio Grande do Norte S.A. Universidade Federal de Roraima Tribunal Regional Eleitoral/Pb Tribunal Regional Eleitoral/Ms Universidade Federal do Tringulo Mineiro Fundao Universidade Federal de Cincias Mdicas de Porto Alegre Tribunal Regional Eleitoral/Mt Tribunal Regional Eleitoral/Ac Fundao Universidade Federal de Rondnia Fundao Casa de Rui Barbosa Universidade Federal da Grande Dourados TRIBUNAL REGIONAL DO TRABALHO 17 REGIO/ES Fundao Osrio
74

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Cod2010 280 18 226 10 336 344 259 179 175 170 161 155 141 132 94 63 59 35 9

Criticidade 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5

Maturidade 1 1 1 1 1 1 1 1 2 1 1 1 2 2 1 2 1 2 1

Oramento2010 119.000,00 107.334,00 100.000,00 61.000,00 50.000,00 zero zero zero zero zero zero zero zero zero zero zero zero zero zero

Organizao Tribunal Regional Eleitoral/Ap Superintendncia de Desenvolvimento do Nordeste Secretaria Especial de Polticas de Promoo da Igualdade Racial Companhia Docas do Maranho S.A. Universidade Federal Rural da Amaznia Universidade Federal do Oeste do Par Tribunal Regional do Trabalho 16 Regio/Ma Eletrobrs Participaes S.A. Instituto Nacional do Cncer Instituto Nacional de Pesquisas da Amaznia Instituto Evandro Chagas Instituto de Desenvolvimento Sustentvel Mamirau Grupo Hospitalar Conceio Fundao Universidade Federal do Amap Empresa Gerencial de Projetos Navais Companhia de Entrepostos e Armazns Gerais de So Paulo Companhia Brasileira de Trens Urbanos Associao Das Pioneiras Sociais Companhia Docas do Estado de So Paulo S.A.

OGS e seus mandatos


Conselho Nacional da Justia (CNJ) Constituio Federal: Art. 103-B, 4) Compete ao Conselho [Nacional de Justia] o controle da atuao administrativa e financeira do Poder Judicirio e do cumprimento dos deveres funcionais dos juzes, cabendo-lhe, alm de outras atribuies que lhe forem conferidas pelo Estatuto da Magistratura: (...) II zelar pela observncia do art. 37 (...) Constituio Federal: Art. 130-A, 2) Compete ao Conselho Nacional do Ministrio Pblico o controle da atuao administrativa e financeira do Ministrio Pblico e do cumprimento dos deveres funcionais de seus membros, cabendo-lhe: (...) II zelar pela observncia do art. 37 (...) Lei 10.683/2003: Art. 12. Ao Advogado-Geral da Unio, o mais elevado rgo de assessoramento jurdico do Poder Executivo, incumbe assessorar o Presidente da Repblica em assuntos de natureza jurdica, elaborando pareceres e estudos ou propondo normas, medidas, diretrizes, assistir-lhe no controle interno da legalidade dos atos da Administrao Pblica Federal, sugerir-lhe medidas de carter jurdico reclamadas pelo interesse pblico e apresentar-lhe as informaes a ser prestadas ao Poder Judicirio quando impugnado ato ou omisso presidencial, dentre outras atribuies fixadas na Lei Complementar n 73, de 10 de fevereiro de 1993. Lei 10.683/2003: Art. 17. Controladoria-Geral da Unio compete assistir direta e imediatamente ao Presidente da Repblica no desempenho de suas atribuies quanto aos assuntos e providncias que, no mbito do Poder Executivo, sejam atinentes defesa do patrimnio pblico, ao controle interno, auditoria pblica, correio, preveno e ao combate
75

Conselho Nacional do Ministrio Pblico (CNMP)

Advocacia-Geral (AGU/PR)

da

Unio

Controladoria-Geral da Unio (CGU/PR)

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Gabinete da Segurana Institucional (GSI/PR) Ministrio do Planejamento, Oramento e Gesto (MP)

Secretaria de Logstica e Tecnologia da Informao (SLTI/MP)

Secretaria do Oramento Federal (SOF/MP)

corrupo, s atividades de ouvidoria e ao incremento da transparncia da gesto no mbito da administrao pblica federal. Lei 10.683/2003: Art. 6 Ao Gabinete de Segurana Institucional da Presidncia da Repblica compete: (...) IV coordenar as atividades de inteligncia federal e de segurana da informao; Lei 10.683/2003: Art. 27. Os assuntos que constituem reas de competncia de cada Ministrio so os seguintes: (...) XVII Ministrio do Planejamento, Oramento e Gesto: (...) g) coordenao e gesto dos sistemas de planejamento e oramento federal, de pessoal civil, de organizao e modernizao administrativa, de administrao de recursos da informao e informtica e de servios gerais; Lei 10.683/2003: Art. 27. Os assuntos que constituem reas de competncia de cada Ministrio so os seguintes: (...) XVII Ministrio do Planejamento, Oramento e Gesto: (...) g) coordenao e gesto dos sistemas de planejamento e oramento federal, de pessoal civil, de organizao e modernizao administrativa, de administrao de recursos da informao e informtica e de servios gerais. Decreto 7.063/2010: Art. 28. Secretaria de Logstica e Tecnologia da Informao compete planejar, coordenar, supervisionar e orientar normativamente as atividades de administrao dos recursos de informao e informtica, de servios gerais e de gesto de convnios e contratos de repasse, bem como propor polticas e diretrizes a elas relativas, no mbito da administrao federal direta, autrquica e fundacional. Decreto 7.579/2011: Art. 4 Compete ao rgo Central do SISP: I orientar e administrar os processos de planejamento estratgico, de coordenao geral e de normalizao relativos aos recursos de tecnologia da informao abrangidos pelo SISP; II definir, elaborar, divulgar e implementar, com apoio da Comisso de Coordenao, as polticas, diretrizes e normas gerais relativas gesto dos recursos do SISP e ao processo de compras do Governo na rea de tecnologia da informao; III promover a elaborao de planos de formao, desenvolvimento e treinamento do pessoal envolvido na rea de abrangncia do SISP; IV incentivar aes prospectivas, visando acompanhar as inovaes tcnicas da rea de tecnologia da informao, de forma a atender s necessidades de modernizao dos servios dos rgos e entidades abrangidos pelo SISP; e V promover a disseminao das polticas, diretrizes, normas e informaes disponveis, de interesse comum, entre os rgos e entidades abrangidos pelo SISP. Lei 10.180/2001: Art. 4 Integram o Sistema de Planejamento e de Oramento Federal: I o Ministrio do Planejamento, Oramento e Gesto, como rgo central; (...) Art. 8 Compete s unidades responsveis pelas atividades de oramento: (...) II estabelecer normas e procedimentos necessrios elaborao e implementao dos oramentos federais, harmonizando-os com o plano plurianual; Lei 10.683/2003: Art. 27. Os assuntos que constituem reas de competncia de cada Ministrio so os seguintes: (...) XVII Ministrio do Planejamento, Oramento e Gesto: (...) g) coordenao e gesto dos sistemas de planejamento e oramento federal, de pessoal civil, de organizao e modernizao administrativa, de administrao de recursos da
76

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Departamento de Coordenao e Governana das Estatais (Dest/MP)

Fundao Escola Nacional de Administrao Pblica (Enap/MP)

informao e informtica e de servios gerais; Decreto 7.063/2010: Art. 17. Secretaria de Oramento Federal compete: (...) II estabelecer as normas necessrias elaborao e implementao dos oramentos federais sob sua responsabilidade; Lei 10.683/2003: Art. 27. Os assuntos que constituem reas de competncia de cada Ministrio so os seguintes: (...) XVII Ministrio do Planejamento, Oramento e Gesto: (...) h) formulao de diretrizes, coordenao e definio de critrios de governana corporativa das empresas estatais federais; Decreto 7.063/2010: Art. 6 Ao Departamento de Coordenao e Governana das Empresas Estatais compete: (...) XII contribuir para o aumento da eficincia e transparncia das empresas estatais e para o aperfeioamento e integrao dos sistemas de monitoramento econmico-financeiro, bem como para o aperfeioamento da gesto dessas empresas. Decreto 5.707/2006: Art. 6 Os rgos e entidades da administrao pblica federal direta, autrquica e fundacional devero incluir em seus planos de capacitao aes voltadas habilitao de seus servidores para o exerccio de cargos de direo e assessoramento superiores, as quais tero, na forma do art. 9 da lei 7.834, de 6 de outubro de 1989, prioridade nos programas de desenvolvimento de recursos humanos. Pargrafo nico. Caber ENAP promover, elaborar e executar aes de capacitao para os fins do disposto no caput, bem assim a coordenao e superviso dos programas de capacitao gerencial de pessoal civil executados pelas demais escolas de governo da administrao pblica federal direta, autrquica e fundacional. Lei 10.180/2001: Art. 17. Integram o Sistema de Contabilidade Federal: I a Secretaria do Tesouro Nacional, como rgo central; (...) Art. 18. Compete s unidades responsveis pelas atividades do Sistema de Contabilidade Federal: (...) II estabelecer normas e procedimentos para o adequado registro contbil dos atos e dos fatos da gesto oramentria, financeira e patrimonial nos rgos e nas entidades da Administrao Pblica Federal; Decreto 5.707/2006: Art. 7 Fica criado o Comit Gestor da Poltica Nacional de Desenvolvimento de Pessoal, com as seguintes competncias: I avaliar os relatrios anuais dos rgos e entidades, verificando se foram observadas as diretrizes da Poltica Nacional de Desenvolvimento de Pessoal; II orientar os rgos e entidades da administrao pblica federal direta, autrquica e fundacional na definio sobre a alocao de recursos para fins de capacitao de seus servidores; III promover a disseminao da Poltica Nacional de Desenvolvimento de Pessoal entre os dirigentes dos rgos e das entidades, os titulares das unidades de recursos humanos, os responsveis pela capacitao, os servidores pblicos federais e suas entidades representativas; e IV zelar pela observncia do disposto neste Decreto. Decreto 7.478/2011: Art. 2 Compete CGDC: (...) II estabelecer diretrizes estratgicas e planos para formulao e implementao de polticas de melhoria da gesto da administrao pblica federal;
77

Secretaria do Nacional (STN/MF)

Tesouro

Comit Gestor da Poltica Nacional de Desenvolvimento de Pessoal

Cmara de Polticas Gesto, Desempenho Competitividade (CGDC) Conselho de Governo

de e do

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Comisso Interministerial Governana Corporativa e Administrao Participaes Societrias Unio (CGPAR)

de de de da

Decreto 6.021/2007: Art. 3 Compete CGPAR: (...) I aprovar diretrizes e estratgias relacionadas participao acionria da Unio nas empresas estatais federais, com vistas : (...) b) promoo da eficincia na gesto, inclusive quanto adoo das melhores prticas de governana corporativa;

Possveis achados e critrios de auditoria


1 Achado Inexistncia do planejamento estratgico institucional Falhas no plano estratgico Critrios Decreto-Lei 200/1967, art. 6, inciso I, e art. 7; Critrio de Avaliao 2 do Gespblica. Decreto-Lei 200/1967, art. 6, inciso I, e art. 7; Critrio de Avaliao 2 do Gespblica. Decreto-Lei 200/1967, art. 6, inciso I, e art. 7; Critrio de Avaliao 2 do Gespblica. Instruo Normativa 4/2008 SLTI/MPOG, art. 3; Instruo Normativa 4/2008 SLTI/MPOG, art. 4, III; Cobit 4.1, processo PO1 Planejamento Estratgico de TI. Decreto-Lei 200/1967, art. 6, inciso I; Instruo Normativa 4/2008 SLTI/MPOG, art. 3; Instruo Normativa 4/2008 -SLTI/MPOG, art. 4, III; Cobit 4.1, processo PO1 Planejamento Estratgico de TI. Decreto-Lei 200/1967, art. 6, inciso I, e art. 7; Cobit 4.1, processo PO1 Planejamento Estratgico de TI. Instruo Normativa 4/2008 SLTI/MPOG, art. 4, IV; Cobit 4.1, PO4.2 Comit Estratgico de TI; Cobit 4.1, PO4.3 Comit Diretor de TI. Cobit 4.1, PO4.2 Comit Estratgico de TI; Cobit 4.1, PO4.3 Comit Diretor de TI. Lei 8.112/1990, art. 13; Cobit 4.1, PO4.6 Estabelecimento de papis e responsabilidades. Decreto-Lei 200/1967, art. 10, 7 Decreto-Lei 200/1967, art. 10, 7 Decreto-Lei 200/1967, art. 6, inciso I, art. 7; Critrio de Avaliao 2 do Gespblica; Resoluo CNJ 70/2009, art. 2 Decreto-Lei 200/1967, art. 6, inciso I, e art. 7; Critrio de Avaliao 2 do Gespblica; Resoluo CNJ 70/2009, art. 2 Decreto-Lei 200/1967, art. 6, inciso I, e art. 7; Critrio de Avaliao 2 do Gespblica; Resoluo CNJ 70/2009, art. 2 Resoluo CNJ 90/2009, art. 11; Resoluo CNJ 99/2009, art. 2; Cobit 4.1, processo PO1 Planejamento Estratgico de TI. Resoluo CNJ 90/2009; Resoluo CNJ 99/2009; Cobit 4.1, processo PO1 Planejamento Estratgico de TI.

Falhas no planejamento institucional

processo de estratgico

Inexistncia do PDTI

Falhas no PDTI

Falhas no processo planejamento de TI

de

Inexistncia de comit de TI

Resoluo CNJ 90/2009; Resoluo CNJ 99/2009; Cobit 4.1, processo PO1 Planejamento Estratgico de TI. Resoluo CNJ 90/2009, art. 12; Cobit 4.1, PO4.2 Comit Estratgico de TI; Cobit 4.1, PO4.3 Comit Diretor de TI. Resoluo CNJ 90/2009, art. 12; Cobit 4.1, PO4.2 Comit Estratgico de TI; Cobit 4.1, PO4.3 Comit Diretor de TI. Lei 8.112/1990, art. 13; Resoluo CNJ 90/2009, art. 10; Cobit 4.1, PO4.6 Estabelecimento de papis e responsabilidades. Resoluo CNJ 90/2009, art. 2, 1 Resoluo CNJ 90/2009, art. 2, 1 e 3
78

Falhas relativas ao comit de TI Inexistncia de definio formal de papis e responsabilidades Papis sensveis sem responsvel Papel sensvel exercido por no servidor

10 11

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

12 13 14 15

Achado Inexistncia de avaliao do quadro de pessoal de TI Falhas na avaliao do quadro de pessoal de TI Inadequao do quadro de pessoal de TI Inexistncia de oramento de TI na LOA

Critrios Decreto 5.707/2006, art. 1, inciso III; Cobit 4.1, PO4.12 Pessoal de TI. Decreto 5.707/2006, art. 1, inciso III; Cobit 4.1, PO4.12 Pessoal de TI. Cobit 4.1, PO 4.12 Pessoal de TI. Lei 12.017/2009 (LDO 2009/2010), art. 9, II, c/c Anexo II, XVIII; Cobit 4.1, processo PO5.3 Oramentao de TI; Gespblica, critrio de avaliao 7.3. Lei 12.017/2009 (LDO 2009/2010), art. 9, II, c/c Anexo II, XVIII; Cobit 4.1, processo PO5.3 Oramentao de TI; Gespblica, Critrio de Avaliao 7.3. Lei 4.320/1964, art. 75, inciso III. Lei 4.320/1964, art. 75, inciso III. Lei 8.666/1993, art. 6, inciso IX; Instruo Normativa 4/2008 SLTI/MPOG, art. 12, II; Normas NBR ISO/IEC 12.207 e 15.504. Lei 8.666/1993, art. 6, inciso IX; Instruo Normativa 4/2008 SLTI/MPOG, art. 12, II; Normas NBR ISO/IEC 12.207 e 15.504. Cobit 4.1, processo PO10.2 Estruturas de Gerncia de Projetos; PMBOK. Cobit 4.1, processo PO10.2 Estruturas de Gerncia de Projetos; PMBOK. Cobit 4.1, processo DS8 Gerenciar a central de servios e incidentes; NBR ISO/IEC 20.000; NBR 27.002. Cobit 4.1, processo DS8 Gerenciar a central de servios e incidentes; NBR ISO/IEC 20.000; NBR 27.002. Cobit 4.1, processo DS9 Gerenciar configurao; NBR ISO/IEC 20.000. Cobit 4.1, processo DS9 Gerenciar configurao; NBR ISO/IEC 20.000.

16

Falhas no oramento de TI constante da LOA

17 18 19

Inexistncia de controle da execuo do oramento de TI Falhas no controle da execuo do oramento de TI Inexistncia de processo de software Falhas no software processo de

Decreto 5.707/2006, art. 1, inciso III; Resoluo CNJ 90/2009, art. 2, 4; Cobit 4.1, PO4.12 Pessoal de TI. Decreto 5.707/2006, art. 1, inciso III; Resoluo CNJ 90/2009, art. 2, 4; Cobit 4.1, PO4.12 Pessoal de TI. Cobit 4.1, PO4.12 Pessoal de TI; Resoluo CNJ 90/2009, art. 2, 4 Lei 12.017/2009 (LDO 2009/2010), art. 9, II, c/c Anexo II, XVIII; Cobit 4.1, processo PO5.3 Oramentao de TI; Gespblica, Critrio de Avaliao 7.3. Lei 12.017/2009 (LDO 2009/2010), art. 9, II, c/c Anexo II, XVIII; Cobit 4.1, processo PO5.3 Oramentao de TI; Gespblica, Critrio de Avaliao 7.3. Lei 4.320/1964, art. 75, inciso III. Lei 4.320/1964, art. 75, inciso III. Lei 8.666/1993, art. 6, inciso IX; Resoluo CNJ 90/2009, art. 10; Normas NBR ISO/IEC 12.207 e 15.504. Lei 8.666/1993, art. 6, inciso IX; Resoluo CNJ 90/2009, art. 10; Normas NBR ISO/IEC 12.207 e 15.504. Resoluo CNJ 90/2009, art. 10; Cobit 4.1, processo PO10.2 Estruturas de Gerncia de Projetos; PMBOK. Resoluo CNJ 90/2009, art. 10; Cobit 4.1, processo PO10.2 Estruturas de Gerncia de Projetos; PMBOK. Resoluo CNJ 90/2009, art. 10; Cobit 4.1, processo DS8 Gerenciar a central de servios e incidentes; NBR ISO/IEC 20.000; NBR 27.002. Resoluo CNJ 90/2009, art. 10; Cobit 4.1, processo DS8 Gerenciar a central de servios e incidentes; NBR ISO/IEC 20.000; NBR 27.002. Resoluo CNJ 90/2009, art. 10; Cobit 4.1, processo DS9 Gerenciar configurao; NBR ISO/IEC 20.000. Resoluo CNJ 90/2009, art. 10; Cobit 4.1, processo DS9 Gerenciar configurao; NBR ISO/IEC 20.000.

20

21

Inexistncia de processo de gerenciamento de projetos Falhas no processo de gerenciamento de projetos Inexistncia do processo de gesto de incidentes

22

23

24

Falhas no processo de gesto de incidentes

25

Inexistncia do processo de gesto de configurao Falhas no processo de gesto de configurao

26

79

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

27

Achado Inexistncia do processo de gesto de mudanas

Critrios NBR ISO/IEC 27.002, item 12.5.1; Cobit 4.1, processo AI6 Gerenciar mudanas; NBR ISO/IEC 20.000. NBR ISO/IEC 27.002, item 12.5.1; Cobit 4.1, processo AI6 Gerenciar mudanas; NBR ISO/IEC 20.000. Instruo Normativa GSI/PR 1/2008, art. 5, IV e art. 7; Norma Complementar 3/IN01/DSIC/GSIPR, item 5.3.7.2; NBR ISO/IEC 27.002, item 6.1.3 Atribuio de responsabilidade para segurana da informao. Instruo Normativa GSI/PR 1/2008, art. 5, VI; Norma Complementar 3/IN01/DSIC/GSIPR, item 5.3.7.3; NBR ISO/IEC 27.002, item 6.1.2 Coordenao de segurana da informao. Instruo Normativa GSI/PR 1/2008, art. 5, VI; Norma Complementar 3/IN01/DSIC/GSIPR, item 5.3.7.3; NBR ISO/IEC 27.002, item 6.1.2 Coordenao de segurana da informao. Instruo Normativa GSI/PR 1/2008, art. 5, VII; Norma Complementar 3/IN01/DSIC/GSIPR.

28

Falhas no processo de gesto de mudanas

29

Inexistncia de gestor de segurana da informao e comunicaes

30

Inexistncia de comit de segurana da informao e comunicaes

Resoluo CNJ 90/2009, art. 10; Cobit 4.1, processo AI6 Gerenciar mudanas; NBR ISO/IEC 27.002, item 12.5.1; NBR ISO/IEC 20.000. Resoluo CNJ 90/2009, art. 10; Cobit 4.1, processo AI6 Gerenciar mudanas; NBR ISO/IEC 27.002, item 12.5.1; NBR ISO/IEC 20.000. Instruo Normativa GSI/PR 1/2008, art. 5, IV e art. 7; Norma Complementar 3/IN01/DSIC/GSIPR, item 5.3.7.2; NBR ISO/IEC 27.002, item 6.1.3 Atribuio de responsabilidade para segurana da informao. Instruo Normativa GSI/PR 1/2008, art. 5, VI; Norma Complementar 3/IN01/DSIC/GSIPR, item 5.3.7.3; NBR ISO/IEC 27.002, item 6.1.2 Coordenao de segurana da informao. Instruo Normativa GSI/PR 1/2008, art. 5, VI; Norma Complementar 3/IN01/DSIC/ GSIPR, item 5.3.7.3; NBR ISO/IEC 27.002, item 6.1.2 Coordenao de segurana da informao. Instruo Normativa GSI/PR 1/2008, art. 5, inciso VII; Norma Complementar 3/IN01/DSIC/GSIPR; Resoluo CNJ 90/2009, art. 13; NBR ISO/IEC 27.002, item 5.1 Poltica de Segurana da Informao. Instruo Normativa GSI/PR 1/2008, art. 5, inciso VII; Norma Complementar 3/IN01/DSIC/GSIPR; Resoluo CNJ 90/2009, art. 13; NBR ISO/IEC 27.002, item 5.1 Poltica de Segurana da Informao. Instruo Normativa GSI/PR 1/2008, art. 5, inciso V; Norma Complementar 5/IN01/DSIC/GSIPR. Instruo Normativa GSI/PR 1/2008, art. 5, inciso V; Norma Complementar 5/IN01/DSIC/GSIPR. Decreto 4.553/2002, art. 6, 2, incisos I e II, art. 67; NBR ISO/IEC 27.002, item 7.2 Classificao da informao.

31

Falhas no comit de segurana da informao e comunicaes

32

Inexistncia de Poltica de Segurana da Informao e Comunicaes (Posic)

33

Falhas na Poltica de Segurana da Informao e Comunicaes (Posic)

Instruo Normativa GSI/PR 1/2008, art. 5, VII; Norma Complementar 3/IN01/DSIC/GSIPR.

34

35

36

Inexistncia de Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (Etri) Falhas na Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (Etri) Inexistncia de classificao da informao

Instruo Normativa GSI/PR 1/2008, art. 5, V; Norma Complementar 5/IN01/DSIC/GSIPR. Instruo Normativa GSI/PR 1/2008, art. 5, V; Norma Complementar 5/IN01/DSIC/GSIPR. Decreto 4.553/2002, art. 6, 2, inciso II, e art. 67; NBR ISO/IEC 27.002, item 7.2.

80

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

37

Achado Inexistncia de inventrio dos ativos de informao

Critrios Instruo Normativa GSI/PR 1/2008, art. 5, VII; Norma Complementar 4/IN01/DSIC/GSIPR, item 5.2.1; NBR ISO/IEC 27.002, item 7.1.

38

Falhas no inventrio ativos de informao

dos

Instruo Normativa GSI/PR 1/2008, art. 5, VII; Norma Complementar 4/IN01/DSIC/GSIPR, item 5.2.1; NBR ISO/IEC 27.002, item 7.1.

39

Inexistncia de Processo de Gesto de Riscos de Segurana da Informao (GRSIC)

Instruo Normativa GSI/PR 1/2008, art. 5, VII; Norma Complementar 4/IN01/DSIC/GSIPR.

40

Falhas no Processo de Gesto de Riscos de Segurana da Informao (GRSIC)

Instruo Normativa GSI/PR 1/2008, art. 5, VII; Norma Complementar 4/IN01/DSIC/GSIPR.

41

Inexistncia de plano anual de capacitao

42

Plano anual de capacitao no contempla a rea de gesto de TI

Decreto 5.707/2006, art. 5, 2; Portaria MP 208/2006, art. 2, I, e art. 4; Cobit 4.1, PO7.2 Competncias Pessoais; Cobit 4.1, PO7.4 Treinamento do Pessoal. Cobit 4.1, processo PO7.2 Competncias Pessoais; Cobit 4.1, PO7.4 Treinamento do Pessoal. Cobit 4.1, itens ME1.4 Avaliao de desempenho; ME1.5 Relatrios gerenciais; ME1.6 Aes corretivas; ME2 Monitorar e avaliar os controles internos. Cobit 4.1, itens ME1.4 Avaliao de desempenho; ME1.5 Relatrios gerenciais; ME1.6 Aes corretivas; ME2 Monitorar e avaliar os controles internos.

Resoluo CNJ 90/2009, art. 9, 2; art. 10; Instruo Normativa GSI/PR 1/2008, art. 5, VII; Norma Complementar 4/IN01/DSIC/ GSIPR, item 5.2.1; NBR ISO/IEC 27.002, item 7.1 Inventrio de ativos. Resoluo CNJ 90/2009, art. 9, 2 e art. 10; Instruo Normativa GSI/PR 1/2008, art. 5, VII; Norma Complementar 4/IN01/DSIC/GSIPR, item 5.2.1; NBR ISO/IEC 27.002, item 7.1 Inventrio de ativos. Resoluo CNJ 90/2009, art. 10; Instruo Normativa GSI/PR 1/2008, art. 5, VII; Norma Complementar 4/IN01/DSIC/GSIPR; Cobit 4.1, processo PO9 Avaliar e gerenciar riscos de TI; NBR 27.005 Gesto de Riscos de Segurana da Informao. Resoluo CNJ 90/2009, art. 10; Instruo Normativa GSI/PR 1/2008, art. 5, VII; Norma Complementar 4/IN01/DSIC/GSIPR; Cobit 4.1, processo PO9 Avaliar e gerenciar riscos de TI; NBR 27.005 Gesto de Riscos de Segurana da Informao. Resoluo CNJ 90/2009, art. 3; Cobit 4.1, processo PO7.2 Competncias Pessoais; Cobit 4.1, PO7.4 Treinamento do Pessoal.

Resoluo CNJ 90/2009, art. 3

43

Inexistncia de avaliao da gesto de TI

44

Falhas na avaliao da gesto de TI

Resoluo CNJ 90/2009, art. 10; Cobit 4.1, itens ME1.4 Avaliar o desempenho; ME1.5 Relatrios gerenciais; ME1.6 Aes corretivas; ME2 Monitorar e avaliar os controles internos. Resoluo CNJ 90/2009, art. 10; Cobit 4.1, itens ME1.4 Avaliar o desempenho; ME1.5 Relatrios gerenciais; ME1.6 Aes corretivas; ME2 Monitorar e avaliar os controles internos.
81

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

45 46 47 48

Achado Auditoria interna no apoia avaliao da TI Inexistncia de controles que promovam o cumprimento da IN 4 Falhas nos controles que promovam o cumprimento da IN 4 Inexistncia de controles que faam com que o termo de referncia ou projeto bsico seja elaborado a partir de estudos tcnicos preliminares Descumprimento do processo de planejamento de acordo com a IN4 Inexistncia dos estudos tcnicos preliminares Irregularidades na contratao Inexistncia de controles que promovam a regular gesto contratual Falhas nos controles que promovam a regular gesto contratual Irregularidades na gesto contratual

Critrios Cobit 4.1, ME2 Monitorar. IN 63/2010-TCU, Art.1, 1, X. IN 63/2010-TCU, Art.1, 1, X. IN 63/2010-TCU, Art.1, 1, X.

Resoluo CNJ 90/2009, art. 10; Cobit 4.1, ME2 Monitorar e avaliar os controles internos. No se aplica. No se aplica. IN 63/2010-TCU, Art.1, 1, X.

49 50 51 52 53 54

Instruo Normativa -SLTI/MPOG. Lei 8.666/1993, art. 6, IX. Diversos. IN 63/2010-TCU, Art.1, 1, X. IN 63/2010-TCU, Art.1, 1, X. Diversos.

4/2008

No se aplica. Lei 8.666/1993, art. 6, IX. Diversos. IN 63/2010-TCU, Art.1, 1, X. IN 63/2010-TCU, Art.1, 1, X. Diversos.

82

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Ofcio de Comunicao de Auditoria OFCIO DE COMUNICAO DE AUDITORIA Ofcio {n.}/2010-{unidade} Braslia, {dd} de {mmmm} de 2010. {Senhor/Senhora} {cargo} {do/da} {rgo auditado}, Comunico a {pron. tratamento} que este Tribunal est iniciando trabalho de fiscalizao, ora na fase de planejamento, cujo objetivo avaliar a gesto e o uso de Tecnologia da Informao (TI) {desse/dessa} {natureza jurdica do rgo auditado}. Trata-se de trabalho complementar ao realizado no mbito do TC 000.390/2010-0, no qual foram solicitadas a {pron. tratamento}, por meio do {Aviso/Ofcio}, de {data do aviso/ofcio}, informaes referentes situao de governana de TI {nesse/nessa} {natureza jurdica do rgo auditado}, pelo preenchimento de questionrio em formato PDF. A equipe de fiscalizao apresentar-se- {nesse/nessa} {natureza jurdica rgo auditado} provavelmente no dia {data incio trabalhos}, para incio dos trabalhos, os quais se pretende findar no dia {data trmino trabalhos}. Desse modo, solicito a {pron. tratamento} as seguintes providncias: a) disponibilizao dos documentos e informaes constantes do anexo I a este ofcio, organizados na ordem em que esto listados, at o dia {data limite anexo I}, em papel e em meio eletrnico, caso disponvel; b) disponibilizao dos documentos e informaes constantes do anexo II a este ofcio, organizados na ordem em que esto listados, at o dia {data limite anexo II}, em papel e em meio eletrnico, caso disponvel; c) designao formal de servidor (nome, matrcula, cargo, telefone e e-mail) para acompanhamento do fornecimento dos documentos referentes a essa e futuras solicitaes da equipe de fiscalizao, juntamente com o envio das informaes do item anterior; d) disponibilizao de local para o trabalho da equipe, com linha telefnica, microcomputador para uso de editor de textos e planilhas, com acesso internet, e impressora para impresso de documentos com poucas pginas, a partir de {data incio disponibilizao local}; e) divulgao da realizao desse trabalho do TCU junto aos servidores e prestadores de servios {desse/dessa} {natureza jurdica rgo auditado}, informando o objetivo do trabalho, o perodo em que a equipe estar nas dependncias {do/da} {natureza jurdica rgo auditado} e o telefone (61) 3316-5371 para quaisquer informaes ou esclarecimentos sobre o trabalho, de forma a tornar transparente a atuao desta Corte de Contas. Quando as informaes existirem em meio eletrnico, podem ser encaminhadas para o endereo {e-mail da unidade}, permanecendo as verses em papel assinadas no Unidade disposio da equipe de auditoria. Caso somente existam em papel, devem ser encaminhadas para esta Secretaria no endereo constante da pgina seguinte. Em caso de indisponibilidade ou inexistncia dos referidos documentos ou informaes, favor registrar formalmente tal fato equipe j na data de sua apresentao. Cientificamos {pron. tratamento} que a sonegao de processo, documento ou informao ensejar a aplicao de multa nos termos do art. 268, inciso VI, do Regimento Interno do Tribunal de Contas da Unio e art. 58, inciso VI, da Lei 8.443/1992. Qualquer dvida sobre os dados solicitados pode ser esclarecida por telefone ou e-mail junto aos auditores A1 (Tel1, e-mail1); A2 (Tel2, e-mail2), A3(Tel3, e-mail3) ou A4 (Tel4, e-mail4). Por oportuno, solicito os bons prstimos de {pron. tratamento} no sentido de, ao final dos trabalhos da equipe de auditoria, realizar avaliao da qualidade do trabalho desenvolvido por meio do questionrio em anexo, que pode ser encaminhado diretamente Sefti no seguinte endereo:
83

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Secretaria de Fiscalizao de Tecnologia da Informao A/C: Cludio Souza Castello Branco (Secretrio) SAFS Quadra 4, Lote 1, Anexo 1, sala 304 CEP: 70042-900 Braslia/DF Atenciosamente, {Nome do Secretrio} Secretrio

A {pron. Tratamento} {o/a} {Senhor/Senhora} {nome do destinatrio} {cargo} {do/da} {rgo auditado}

84

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Anexo I Os documentos e informaes solicitadas neste anexo sero tratados como evidncias das respostas do questionrio em formato PDF encaminhadas em ateno s solicitaes contidas no {Aviso/Ofcio} {aviso/ofcio}, de {data do aviso/ofcio}. As requisies faro referncia aos itens do questionrio supra. 1. Com relao ao processo de planejamento estratgico institucional do rgo: 1.1. evidncias que comprovem a resposta ao item 2.1 do questionrio. 1.2. caso exista um plano estratgico institucional (PEI) ou documento equivalente: 1.2.1. cpia do plano com evidncia da formalizao no mbito {do/da} {natureza jurdica e rgo auditado} (a formalizao envolve a aprovao de um documento pelos responsveis e a posterior publicao para todos os interessados); 1.2.2. evidncias de que houve envolvimento das diversas reas de negcio no planejamento estratgico institucional; 1.2.3. evidncias de que os planos de ao so divulgados para os servidores da instituio; 1.2.4. evidncias de que houve desdobramento (planos de ao de curto e mdio prazos estabelecidos) pelas unidades executoras e alinhados com as iniciativas estratgicas do PEI; 1.2.5. evidncias de que o PEI avaliado. 2. Com relao ao planejamento de tecnologia da informao (PO1 Definir um planejamento estratgico de TI): 2.1. evidncias que comprovem a resposta ao item 2.2 do questionrio; 2.2. caso exista um plano estratgico de TI, ou documento equivalente: 2.2.1. cpia do plano com evidncia da formalizao no mbito {do/da} {natureza jurdica e rgo auditado}; 2.2.2. informar as partes envolvidas na elaborao do plano; 2.2.3. apresentar o desdobramento do plano pelas unidades executoras (internas ou externas ao ente), com respectivas evidncias de formalizao no mbito {do/da} {natureza jurdica e rgo auditado}; 2.2.4. se o plano divulgado, anexar evidncias dessa divulgao; 2.2.5. se o plano acompanhado, anexar evidncias do acompanhamento, incluindo a ltima avaliao realizada. 2.3. evidncias que comprovem a resposta ao item 2.3 do questionrio. 3. Com relao organizao e aos relacionamentos da TI (PO4 Definir processos, organizao e relacionamentos de TI): 3.1. evidncias que comprovem a resposta ao item 1.1 do questionrio; 3.2. caso exista comit de TI, suas evidncias de deliberaes ; 3.3. evidncias que comprovem a resposta ao item 2.4 do questionrio; 3.4. planilha contendo a quantidade de funcionrios da rea de TI do Unidade, agrupados por perfil profissional; 3.5. caso exista um documento formal que expresse a definio de papis e responsabilidades dos profissionais de TI {do/da} {natureza jurdica e rgo auditado}: 3.5.1. cpia do documento com evidncia de formalizao, no mbito {do/da} {natureza jurdica e rgo auditado}; 3.5.2. apresentar definio de responsabilidades e de atribuies do Coordenador-Geral de gesto de tecnologia da informao, das unidades e dos cargos componentes da CGTI; 3.6. relao de papis sensveis da rea de TI {do/da} {natureza jurdica e rgo auditado}, indicando se so exercidos por servidores pblicos {do/da} {natureza jurdica e rgo auditado}, nomeados a cargos em comisso ou funcionrios de empresas prestadoras de servios, ou ainda se esto vagos. Consideram-se papis sensveis as atividades de gesto (planejamento, coordenao, controle e superviso), conforme previsto no 7, do art. 10, do Decreto-Lei 200/1967, e as atividades executivas
85

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

consideradas crticas no mbito de cada ente (e.g., segurana da informao, administrao de banco de dados, levantamento de requistos). As atividades executivas consideradas crticas podem variar de um ente para outro; 3.7. informar se a estrutura de recursos humanos do setor de informtica (quantitativo e qualificao dos servidores) suficiente para o desempenho das atribuies da rea e para o atendimento das necessidades do rgo, anexando os estudos que embasem essa informao. 4. Com relao ao processo oramentrio relativo ao setor de TI (PO5 Gerenciar investimentos de TI): 4.1. evidncias que comprovem a resposta ao item 7.15 do questionrio; 4.2. caso existam planos estratgicos ou tticos de TI, o Plano de Gastos para 2010 e a vinculao entre os gastos e as aes previstas no(s) plano(s); 4.3. planilha que controle periodicamente a execuo dos gastos da rea de TI do ano corrente, em funo da disponibilidade oramentria. 5. Com relao ao processo de desenvolvimento de software que apoie a administrao da qualidade dos produtos de software (PO8 Gerenciar a qualidade): 5.1. evidncias que comprovem a resposta ao item 7.3 do questionrio; 5.2. caso exista um processo de software estabelecido: 5.2.1. descrio dos papis dos profissionais envolvidos; 5.2.2. lista das atividades previstas no processo; 5.2.3. para um projeto em execuo ou finalizado, anexar: 5.2.3.1. documento de requisitos, composto minimamente de uma lista de requisitos e de especificaes de casos de uso; 5.2.3.2. registro de aceite dos requisitos; 5.2.3.3. registro de histrico das mudanas nos requisitos; 5.2.3.4. cronograma do projeto, evidenciando o seu acompanhamento. 6. Com relao ao processo de gerenciamento de projetos (PO10 Gerenciar projetos): 6.1. evidncias que comprovem a resposta ao item 7.4 do questionrio; 6.2. caso exista um processo de gerenciamento de projetos de TI estabelecido: 6.2.1. descrio dos papis dos profissionais envolvidos; 6.2.2. lista das atividades previstas no processo; 6.2.3. para um projeto em execuo ou finalizado, anexar: 6.2.3.1. definio do escopo; 6.2.3.2. cronograma; 6.2.3.3. oramento; 6.2.3.4. lista de riscos (com seus respectivos tratamentos previstos); 6.2.3.5. fases do ciclo de vida do projeto; 6.2.3.6. plano para execuo do projeto homologado por todos os envolvidos. 7. Com relao ao processo de gesto de servios de TI (DS1 Definir e gerenciar nveis de servios, DS3 Gerenciar capacidade e desempenho, DS4 Assegurar a continuidade dos servios, DS8 Gerenciar a central de servio e os incidentes, DS9 Gerenciar a configurao, DS 10 Gerenciar os problemas, DS13 Gerenciar as operaes e AI 6 Gerenciar mudanas): 7.1. evidncias que comprovem a resposta ao item 7.6 do questionrio; 7.2. caso exista um processo de gesto de mudanas de TI estabelecido: 7.2.1. descrio dos papis dos profissionais envolvidos; 7.2.2. lista das atividades previstas no processo; 7.2.3. lista de mudanas que contenha: 7.2.3.1. classificao das mudanas (exemplo de classificao: mudanas de infraestrutura, software); 7.2.3.2. priorizao das mudanas; 7.2.3.3. avaliao do impacto das mudanas; 7.3. caso exista um processo de gesto de incidentes de TI estabelecido:
86

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

7.3.1. descrio dos papis dos profissionais envolvidos; 7.3.2. lista das atividades previstas no processo; 7.3.3. lista de incidentes ocorridos em 2010 que contenha: 7.3.3.1. incidentes classificados por escala de gravidade (exemplo de classificao: urgente, grave, significante etc) e estado (aberto, resolvido etc); 7.3.3.2. datas de abertura e fechamento do incidente; 7.3.3.3. histrico de aes executadas em virtude do incidente; 7.4. caso exista um processo de gesto de configurao de TI estabelecido: 7.4.1. descrio dos papis dos profissionais envolvidos; 7.4.2. lista das atividades previstas no processo; 7.4.3. artefatos previstos: 7.4.3.1. base de dados de gesto da configurao do ambiente computacional (CMDB); 7.4.3.2. ferramenta de gesto de configurao implantada de modo a garantir que as informaes dos itens de configurao possam ser acessadas no repositrio. 8. Com relao ao processo de gesto da segurana da informao (DS5 Garantir a segurana dos sistemas): 8.1. evidncias que comprovem a resposta ao item 7.2 do questionrio; 8.2. caso exista um gestor de Segurana da Informao e Comunicaes, designado formalmente, evidncias de sua atuao; 8.3. caso exista um comit de segurana da informao e comunicaes institudo formalmente, evidncias de sua deliberao; 8.4. evidncias que comprovem a resposta ao item 7.1 do questionrio; 8.5. caso os ativos de informao sejam inventariados (primeira opo do item 7.1 do questionrio): 8.5.1. amostra mais recente do inventrio dos ativos de informao do Unidade; 8.6. caso as informaes para o negcio sejam classificadas (segunda opo do item 7.1 do questionrio): 8.6.1. formalizao (aprovao e publicao) de documento corporativo classificando as classes de informao utilizadas pelo Unidade (ex.: restrita, sigilosa etc); 8.7. caso exista um processo de gesto de riscos de segurana da informao e comunicaes em vigor (terceira opo do item 7.1 do questionrio): 8.7.1. descrio dos papis dos profissionais envolvidos (exemplos de papis: Alta Administrao, gestores de Segurana da Informao e Comunicaes); 8.7.2. lista das atividades previstas no processo; 8.7.3. artefatos previstos: 8.7.3.1. plano de anlise e avaliao de riscos, que contenha: 8.7.3.1.1. lista de riscos; 8.7.3.1.2. avaliao dos riscos identificados por meio da probabilidade e impacto associado; 8.7.3.1.3. relao dos riscos que requeiram tratamento, em ordem de priorizao; 8.7.3.2. plano de tratamento de riscos, que contenha: 8.7.3.2.1. formas de tratamento de riscos (aceitao, mitigao, transferncia ou eliminao); 8.7.3.2.2. aes a serem tomadas para o tratamento dos riscos. 8.8. caso exista uma equipe de tratamento e resposta a incidentes em redes computacionais (Etri), apresentar evidncias de sua atuao. 9. Com relao ao processo de capacitao dos profissionais de TI (PO7.2-Competncias Pessoais e PO7.4-Treinamento do Pessoal): 9.1. evidncias que comprovem a resposta ao item 1.3 do questionrio; 9.2. evidncias que comprovem a resposta ao item 6.3 do questionrio; 9.3. evidncias que comprovem a resposta ao item 6.4 do questionrio; 9.4. plano anual de capacitao de profissionais de TI para o ano de 2010, caso exista.
87

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

10. Com relao ao processo de monitorao do desempenho na gesto e uso da TI (ME1 Monitorar e avaliar o desempenho de TI, ME2 Monitorar e avaliar os controles internos): 10.1. evidncias que comprovem a resposta ao item 1.2 do questionrio; 10.2. evidncias que comprovem a resposta ao item 1.4 do questionrio. 11. Com relao ao processo de contratao de bens e servios de TI: 11.1. evidncias que comprovem a resposta ao item 7.10 do questionrio. 11.2. informar se h controles {no/na} {natureza jurdica e rgo auditado} que promovam o cumprimento da IN 4/2008-SLTI, apresentando evidncias de que esse controle utilizado e monitorado (para o Poder Judicirio substituir por Informar se h controles {no/na} {natureza jurdica e rgo auditado}que promovam que os termos de referncia ou projetos bsicos para contrataes de TI sejam elaborados a partir de estudos tcnicos preliminares e que promovam o cumprimento da IN 4/2008SLTI, apresentando evidncias de que esse controle utilizado e monitorado). 12. Com relao ao processo de gesto de contratos de TI: 12.1. Evidncias que comprovem a resposta ao item 7.11 do questionrio. 12.2. Informar se, no processo de fiscalizao da execuo dos contratos de TI, h algum tipo de controle (p.ex., utilizao de alguma lista de verificao), que permita identificar se todas as obrigaes do contratado foram cumpridas (p.e., produtos foram entregues, obrigaes previdencirias e trabalhistas, manuteno das condies de habilitao e pontuao, quando for o caso), apresentando evidncias de que esse controle utilizado e monitorado.

88

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Anexo II 1. Apresentar planilha contendo relao de contratos de bens e servios de TI {do/da} {natureza jurdica e rgo auditado}, com fim de vigncia (do ltimo aditivo, se for o caso) posterior a 1/1/2010, inclusive os que esto em vigor, com as seguintes informaes: a) identificador do contrato; b) CNPJ da contratada; c) razo social da contratada; d) objeto da contratao; e) identificador do edital de licitao; f) modalidade e tipo de licitao; g) data da celebrao do contrato; h) valor total do contrato (incluindo aditivos); i) elemento e subelemento de despesa onde ocorre a liquidao; j) nmero de aditivos; k) fim do perodo de vigncia (incluindo aditivos). Situao dos processos consolidados
Item TC 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 Tipo de fiscalizao Unidade Tcnica Sefti Jurisdicionado 321 rgos entidades Dnit SE/MS Ibama Acrdo e 2.308/2010-TCU-Plenrio

000.390/2010-0 Levantamento

009.982/2010-8 Conformidade (ACGTI) Sefti 013.718/2010-0 Conformidade (ACGTI) Sefti 013.674/2010-2 Conformidade (ACGTI) Secex/RR 014.088/2010-0 013.671/2010-3 013.761/2010-2 017.791/2010-3 019.052/2010-3 018.044/2010-7 018.911/2010-2 017.903/2010-6 022.488/2010-3 024.193/2010-0 024.956/2010-4 010.474/2010-2 022.241/2010-8 Conformidade (ACGTI) Conformidade (ACGTI) Conformidade (ACGTI) Conformidade (ACGTI) Conformidade (ACGTI) Conformidade (ACGTI) Conformidade (ACGTI) Conformidade (ACGTI) Conformidade (ACGTI) Conformidade (ACGTI) Conformidade (ACGTI) Conformidade (AE) Conformidade (AE) Secex/9 Secex/SP Secex/RR Secex/1 Secex/CE Secex/RJ Secex/5 Secex/RS Secex/6 Secex/AM Sefti Sefti Sefti Sefti Sefti Sefti

029.074/2010-0 Conformidade (AE) 029.120/2010-1 Conformidade (AE) 028.772/2010-5 Monitoramento

866/2011-TCU-Plenrio 757/2011-TCU- Plenrio 111/2011-TCU-Plenrio e 432/2011 TCU Plenrio Susep 2.746/2010-TCU-Plenrio TRT-2 Regio (SP) 2.938/2010-TCU-Plenrio SE/MCT 380/2011-TCU-Plenrio Anatel 465/2011-TCU- Plenrio Dnocs 592/2011-TCU-Plenrio Finep 7.312/2010-TCU 2 Cmara SE/MRE 758/2011-TCU-Plenrio TRT-4 Regio (RS) 381/2011-TCU-Plenrio FNDE 594/2011-TCU-Plenrio ADE 2.612/2011-TCU-Plenrio SE/MP 2.613/2011-TCU-Plenrio Dnit 2.831/2011-TCU-Plenrio SRF/MF e SE/MP Aguardando comentrio do gestor (Sefti) SE/MS e SAS/MS No gabinete do relator CGTI/MCT No gabinete do relator onze rgos e 1.145/2011-TCU-Plenrio entidades

Memria de clculo do volume dos recursos fiscalizados (VRF) Item 1 2 TC 000.390/2010-0 009.982/2010-8 Jurisdicionado VRF (R$) 321 rgos e entidades No se aplica Dnit 85.721.272,30
89

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

013.718/2010-0 013.674/2010-2 014.088/2010-0 013.671/2010-3 013.761/2010-2 017.791/2010-3 019.052/2010-3 018.044/2010-7 018.911/2010-2 017.903/2010-6 022.488/2010-3 024.193/2010-0 024.956/2010-4 010.474/2010-2 022.241/2010-8 029.074/2010-0 029.120/2010-1 028.772/2010-5

SE/MS 55.806.530,96 Ibama 5.916.981,77 Susep 8.463.096,88 TRT-2 Regio (SP) 563.808,00 SE/MCT 10.466.020,00 Anatel 7.965.065,65 Dnocs Finep 95.010.568,74 SE/MRE 0,00 TRT-4 Regio (RS) 10.188.480,00 FNDE 5.495.492,88 ADE 8.211.846,75 SE/MP 695.317.550,73 Dnit 43.804.323.279,26 SRF/MF e SE/MP 2.842.224.443,49 SE/MS e SAS/MS No se aplica CGTI/MCT 3.292.152,00 onze rgos e No se aplica entidades Total 47.638.966.589,42

Obs.: Os valores referem-se aos valores dos contratos analisados, a menos do TC 010.474/2010-2, cujo VRF corresponde soma dos valores dos contratos de obras do Dnit cadastrados no Sistema de Acompanhamento de Contratos Siac, objeto daquela auditoria. Questes de auditoria e possveis achados

90

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

SE/MCT

SE/MRE

TRT-RS

TRT-SP

SE/MS

SE/MP

Anatel

Questes O Unidade executa o processo de planejamento estratgico institucional de acordo com as boas prticas? O Unidade executa o processo de planejamento estratgico de TI de acordo com as boas prticas?

Possveis achados Inexistncia do Plano Estratgico Institucional Falhas no Plano Estratgico Institucional Falhas no Processo de Planejamento Estratgico Institucional Inexistncia do PDTI Falhas no PDTI Falhas no Processo de Planejamento de TI Inexistncia de comit de TI Falhas relativas ao comit de TI Inexistncia de definio formal de papis e responsabilidades Papis sensveis sem responsvel Papel sensvel exercido por no servidor Inexistncia de avaliao do quadro de pessoal de TI Falhas na avaliao do quadro de pessoal de TI Inadequao do quadro de pessoal de TI Inexistncia de oramento de TI na LOA Falhas no oramento de TI constante da LOA Inexistncia de controle da execuo do oramento de TI Falhas no controle da execuo do oramento de TI Inexistncia de processo de software Falhas no processo de software Inexistncia de processo de gerenciamento de projetos

X X X X X X

X X X X X X X X X X X X X X X

X X X

X X X

X(2)

X X(1) X(1) X X

X X X X X X

A organizao de TI do Unidade adequada s atividades a que ela deve dar suporte?

X X X X

X X X X

X X X

O Unidade executa o processo oramentrio de TI segundo a legislao e as boas prticas?

X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
91

X X X X

X X X X X X X X X

X X X X X X X X X X X X X X X

5 6

H processo de software estabelecido no Unidade? H processo de gerenciamento de projetos de TI estabelecido no Unidade? Falhas no processo de gerenciamento de projetos Inexistncia do processo de gesto de incidentes H processos de gesto de Falhas no processo de gesto de incidentes servios de TI que apoiem o Inexistncia do processo de gesto de configurao Unidade na administrao da Falhas no processo de gesto de configurao qualidade dos servios de TI? Inexistncia do processo de gesto de mudanas Falhas no processo de gesto de mudanas O Unidade executa os Inexistncia de Gestor de Segurana da Informao e Comunicaes processos corporativos de Inexistncia de comit de segurana da informao e comunicaes

X X X

(3) (3)

FNDE

Dnocs

Ibama

Susep

Finep

ADE

Dnit

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

SE/MCT

SE/MRE

TRT-RS

TRT-SP

SE/MS

SE/MP

Anatel

Possveis achados Falhas no comit de segurana da informao e comunicaes Inexistncia de poltica de segurana da informao e comunicaes (Posic) Falhas na poltica de segurana da informao e comunicaes (Posic). Inexistncia de equipe de tratamento e resposta a incidentes em redes computacionais (Etri). Falhas na equipe de tratamento e resposta a incidentes em redes computacionais (Etri) segurana da informao Inexistncia de classificao da informao segundo a legislao e as boas Inexistncia de inventrio dos ativos de informao prticas? Falhas no inventrio dos ativos de informao Inexistncia de processo de gesto de riscos de segurana da informao (GRSIC) Falhas no processo de gesto de riscos de segurana da informao (GRSIC). H plano de capacitao de Inexistncia de plano anual de capacitao profissionais de TI que auxilie 9 no desenvolvimento das competncias necessrias para a boa execuo dos trabalhos? Plano anual de capacitao no contempla a rea de gesto de TI O Unidade realiza Inexistncia de avaliao da gesto de TI 10 monitorao do desempenho Falhas na avaliao da gesto de TI da gesto e uso da TI? Auditoria interna no apoia a avaliao da TI Inexistncia de controles que promovam o cumprimento da IN4 Falhas nos controles que promovam o cumprimento da IN4 Inexistncia de controles que promovam que o Termo de Referncia ou O Unidade realiza o processo Projeto Bsico seja elaborado a partir de estudos tcnicos preliminares de contratao de bens e Descumprimento do processo de planejamento de acordo com a IN4 11 servios de TI segundo as Falhas no cumprimento do processo de planejamento de acordo com a normas vigentes? IN4 Inexistncia dos estudos tcnicos preliminares Falhas nos estudos tcnicos preliminares Irregularidades na contratao 12 O Unidade realiza o processo Inexistncia de controles que promovam a regular gesto contratual

Questes

X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X

X X

X X X

X X X X

X X

X X

X X X

X X X

X X X X

X X X X X

X X X X

X X X X X

X X X X X X X

X X X X X

X X X X X X X X X X X X X X X

X X

X X

X X

X
92

FNDE

Dnocs

Ibama

Susep

Finep

ADE

Dnit

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

SE/MCT

SE/MRE

TRT-RS

TRT-SP

SE/MS

SE/MP

Anatel

Questes de gesto de contratos de bens e servios de TI segundo as normas vigentes? No decorrente das questes de auditoria

Possveis achados Falhas nos controles que promovam a regular gesto contratual Irregularidades na gesto contratual TI descentralizada e sem coordenao No classificao de informaes conforme nveis de segurana

X X X X X X X X X X X

X X X X X X X

(1) Consta do relatrio original com o ttulo: Falhas no Plano Diretor de TI (PDTI) (2) Consta do relatrio original com o ttulo: Inexistncia de Plano Diretor de Tecnologia da Informao (3) Controles formalizados ao final da fase de execuo da auditoria e no avaliados pela equipe Licitaes em 2009 A Figura 4 ilustra o mapa mental utilizado para gerar o Quadro 16 e o grfico ilustrado na Erro: Origem da referncia no encontrada, as partir dos dados obtidos das respostas questo 7.9 do questionrio Perfil GovTI2009.

FNDE
93

Dnocs

Ibama

Susep

Finep

ADE

Dnit

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Figura 4 Mapa mental para anlise das licitaes de 2009 Quadro 16 Nmero de licitaes em 2009
Ente n 250 222 310 78 192 70 81 175 28 130 2 226 36 54 347 113 341 57 a 56 13 45 8 4 5 0 33 10 33 2 0 0 21 7 4 9 19 b 0 0 11 2 0 5 0 0 0 0 0 0 0 0 0 0 0 0 c 18 9 32 6 4 0 0 15 10 33 2 0 0 15 4 4 4 19 d 9 3 11 1 1 2 0 9 2 2 0 0 0 1 3 0 5 5 e 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 f e+f 1 1 2 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 2 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 g 5 2 23 6 1 2 0 0 0 0 0 0 0 4 0 0 0 0 NLicProp 56 13 45 8 4 5 0 33 10 33 2 0 0 21 7 4 9 19 NContrLic LicSRP LicNSRP 65 15 50 16 56 9 5 7 0 42 12 35 2 0 0 22 10 4 14 24 7 35 7 2 4 0 9 2 2 0 0 0 5 3 0 5 5 9 21 2 3 3 0 33 10 33 2 0 0 17 7 4 9 19 NPreges 18 9 43 8 4 5 0 15 10 33 2 0 0 15 4 4 4 19
94

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Ente n 22 99 178 150 45 227 163 16 53 298 248 85 268 319 102 91 11 96 330 138 13 197 23 41 105 6 174 223 50 48 231 282 32 287 296 263 86 108 115 339 14 322 137 312

a 0 10 8 0 24 1 9 15 16 5 14 4 7 0 1 11 5 0 3 48 8 11 5 93 7 1 7 0 24 145 23 12 13 26 38 14 26 39 0 0 0 5 0 17

b 0 0 0 0 0 0 0 0 0 2 0 4 0 0 0 0 0 0 0 0 0 0 0 3 0 1 0 0 0 0 23 0 0 0 0 0 0 0 0 0 0 0 0 0

c 0 5 8 0 19 0 9 10 11 2 0 0 7 3 1 6 1 1 3 48 8 9 5 73 7 0 7 0 21 145 0 12 13 26 11 14 25 39 0 0 0 5 0 17

d 8 5 0 0 2 1 4 2 5 1 0 0 7 1 17 3 4 0 1 0 3 2 3 0 5 0 1 2 4 0 0 11 0 0 9 4 0 6 0 18 0 0 4 2

e 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0

f e+f 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 15 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0

g 0 0 0 0 4 0 0 3 0 2 0 4 5 0 0 0 0 0 0 0 8 0 1 17 0 0 7 0 3 8 0 4 0 16 9 7 1 21 0 0 0 1 0 17

NLicProp 0 10 8 0 24 1 9 15 16 5 14 4 7 0 1 11 5 0 3 48 8 11 5 93 7 1 7 0 24 145 23 12 13 26 38 14 26 39 0 0 0 5 0 17

NContrLic LicSRP LicNSRP 8 8 0 15 8 0 26 2 13 17 21 6 14 4 14 1 18 14 9 0 4 48 11 13 8 93 12 1 8 2 28 145 23 24 13 26 47 18 26 45 0 18 0 5 4 19 5 0 0 6 1 4 5 5 3 0 19 12 1 17 3 4 0 1 0 11 2 4 17 5 0 8 2 7 8 0 16 0 16 18 11 1 27 0 18 0 1 4 19 10 8 0 20 1 9 12 16 3 14 -15 2 0 1 11 5 0 3 48 0 11 4 76 7 1 0 0 21 137 23 8 13 10 29 7 25 18 0 0 0 4 0 0

NPreges 0 5 8 0 19 0 9 10 11 4 0 4 7 3 1 6 1 1 3 48 8 9 5 76 7 1 7 0 21 145 23 12 13 26 11 14 25 39 0 0 0 5 0 17
95

0 15

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Ente n 273 38 274 243 166 84 149 281 131 277 269 55 35 51 293 88 220 284 40 257 343 271 4 10 247 217 346 320 224 69 26 306 350 286 345 112 103 61 67 5 267 122 93 259

a 21 280 7 0 1 40 19 6 0 10 41 2 2 0 8 133 4 11 30 1 32 19 3 5 38 6 18 6 0 6 12 18 14 24 28 6 15 4 5 12 5 60 7 17

b 0 0 0 0 0 5 0 0 0 0 0 0 0 1 0 0 0 0 1 0 0 0 1 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 1 0 0 1 0

c 11 0 7 0 1 15 19 6 1 10 20 2 0 0 8 127 0 11 29 1 32 4 2 5 38 0 18 5 0 6 0 18 14 24 28 3 8 4 5 3 5 33 6 4

d 10 0 8 12 0 0 0 8 5 4 4 0 0 2 1 50 7 0 0 8 0 12 0 0 5 0 5 0 0 4 2 8 0 4 11 3 3 2 3 8 3 3 1 6

e 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 1 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 1 0 0 3 0 0 0 2 20 0 3

f e+f 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 1 0 0 1 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 1 0 0 3 0 0 0 2 20 0 3

g 8 0 6 0 0 0 0 1 0 15 4 0 0 0 5 0 0 0 0 0 13 3 0 0 5 0 14 1 0 3 2 10 0 8 0 0 1 1 0 0 3 0 1 4

NLicProp 21 280 7 0 1 40 19 6 0 10 41 2 2 0 8 133 4 11 30 1 32 19 3 5 38 6 18 6 0 6 12 18 14 24 28 6 15 4 5 12 5 60 7 17

NContrLic LicSRP LicNSRP 31 18 13 280 15 12 1 40 19 14 5 14 45 2 2 2 10 183 11 12 30 9 32 31 3 5 43 6 24 6 0 10 14 26 14 29 39 9 21 6 8 20 10 83 8 26 0 15 12 0 0 0 9 5 19 8 0 0 2 7 50 7 1 0 8 13 15 0 0 10 0 20 1 0 7 4 18 0 13 11 3 7 3 3 8 8 23 2 13 280 0 0 1 40 19 5 0 -5 37 2 2 0 3 133 4 11 30 1 19 16 3 5 33 6 4 5 0 3 10 8 14 16 28 6 14 3 5 12 2 60 6 13

NPreges 11 0 7 0 1 20 19 6 1 10 20 2 0 1 8 127 0 11 30 1 32 4 3 5 38 0 18 5 0 6 8 18 14 24 28 3 8 4 5 4 5 33 7 4
96

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Ente n 266 77 52 18 34 276 280 255 300 265 39 8 304 289 333 292 66 260 294 29 308 326 165 120 27 17 104 142 161 275 152 94 30 173 299 147 225 253 158 349 87 100 128 46

a 10 59 14 3 12 46 10 53 14 14 18 0 18 5 19 3 31 5 8 7 11 29 19 33 7 13 1 9 6 15 0 5 4 0 11 3 0 17 3 12 19 25 11 31

b 0 0 2 0 2 0 0 33 0 0 0 0 0 0 0 0 0 0 2 0 3 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 12 19 0 0 0

c 10 59 12 3 6 8 10 2 14 14 18 2 18 2 19 1 18 5 6 4 8 25 5 33 7 1 1 9 5 15 0 5 4 1 11 3 2 16 1 0 0 9 11 28

d 10 8 1 0 1 8 0 5 18 6 4 0 3 2 21 12 11 9 3 1 13 0 14 14 4 12 4 0 1 3 0 0 5 1 0 4 8 4 2 0 0 6 0 1

e 0 0 0 0 1 0 1 0 1 0 0 1 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 4 7 0 0 0 0 0 0 0 0 0 0 0 0 0

f e+f 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 2 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 1 0 1 0 0 1 0 1 0 0 2 1 0 0 0 0 0 0 0 0 0 0 0 4 7 0 0 0 0 0 0 0 0 0 0 0 0 0

g 6 5 0 0 2 0 10 13 4 1 2 0 18 2 0 3 0 0 2 0 7 0 5 12 0 0 0 0 0 7 0 0 0 0 4 0 0 8 0 0 18 0 0 0

NLicProp 10 59 14 3 12 46 10 53 14 14 18 0 18 5 19 3 31 5 8 7 11 29 19 33 7 13 1 9 6 15 0 5 4 0 11 3 0 17 3 12 19 25 11 31

NContrLic LicSRP LicNSRP 20 16 4 67 15 3 14 54 11 58 33 20 22 1 21 7 40 15 42 15 11 8 24 29 33 47 11 25 5 9 7 22 7 5 9 1 11 7 8 21 5 12 19 31 11 32 13 1 0 4 8 11 18 23 7 6 1 21 5 21 15 13 10 5 1 20 0 19 26 4 12 4 0 1 14 7 0 5 1 4 4 8 12 2 0 18 6 0 1 54 14 3 10 46 0 40 10 13 16 0 0 2 19 0 29 5 6 7 4 29 14 21 7 13 1 9 6 8 0 5 4 0 7 3 0 9 3 12 1 25 11 31

NPreges 10 59 14 3 8 8 10 35 14 14 18 2 18 2 19 1 18 5 8 4 11 25 5 33 7 1 1 9 5 15 0 5 4 1 11 3 2 16 1 12 19 9 11 28
97

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Ente n 303 302 24 290 301 264 305 272 251 7 211 258 262 82 279 297 295 121 109 307 335 288 133 98 181 261 182 193 160 210 169 325 207 191 183 208 201 187 199 204 195 278 190 321

a 13 7 20 7 6 13 17 6 12 6 3 10 6 0 4 4 24 24 9 17 13 6 9 1 7 13 4 1 12 5 3 47 12 3 0 36 9 28 2 9 1 15 0 17

b 6 7 0 0 0 8 0 0 1 0 0 0 1 0 4 0 2 0 0 0 0 0 0 0 0 6 0 0 0 0 0 0 0 0 0 0 0 0 2 0 0 0 0 0

c 7 0 20 7 6 5 17 6 9 6 3 10 5 0 0 4 22 9 4 17 10 6 9 1 7 7 4 7 10 5 3 47 7 3 1 0 9 28 0 9 0 15 0 3

d 3 9 8 6 4 8 8 4 6 0 0 7 12 0 3 4 2 8 5 6 3 2 9 3 5 0 10 3 1 44 9 1 5 3 8 3 3 55 0 0 5 4 0 12

e 0 1 0 0 0 0 0 2 0 0 0 0 0 0 0 1 0 1 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 1 0 0 0 0 0 0 0 1

f e+f 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 2 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 2 0 0 0 0 0 0 0 1 0 1 0 0 0 0 0 0 0 2 1 1 0 0 0 0 0 0 1 0 0 21 0 0 0 0 0 1

g 6 2 6 3 0 7 0 2 4 0 0 2 5 0 0 3 11 6 0 2 10 3 9 0 0 5 0 0 1 0 0 5 0 0 0 26 6 0 0 0 1 6 0 0

NLicProp 13 7 20 7 6 13 17 6 12 6 3 10 6 0 4 4 24 24 9 17 13 6 9 1 7 13 4 1 12 5 3 47 12 3 0 36 9 28 2 9 1 15 0 17

NContrLic LicSRP LicNSRP 16 9 7 17 28 13 10 21 25 12 18 6 3 17 18 0 7 9 26 33 14 23 16 8 18 4 12 13 14 5 13 49 12 48 17 6 9 39 12 83 2 9 6 19 0 30 12 14 9 4 15 8 8 10 0 0 9 17 0 3 8 13 15 5 8 13 5 18 3 5 7 11 4 2 44 9 6 5 3 9 29 9 76 0 0 6 10 0 13 5 14 4 6 6 17 4 8 6 3 8 1 0 4 1 13 18 9 15 3 3 0 1 7 6 3 1 11 5 3 42 12 3 0 10 3 7 2 9 0 9 0 17

NPreges 13 7 20 7 6 13 17 6 10 6 3 10 6 0 4 4 24 9 4 17 10 6 9 1 7 13 4 7 10 5 3 47 7 3 1 0 9 28 2 9 0 15 0 3
98

0 21

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Ente n 337 92 189 200 196 143 316 348 58 95 170 221 116 198 202 203 80 118 331 188 136 332 59 9 270 31 194 328 164 72 49 184 71 324 246 309 123 117 63 79 129 186 206 285

a 23 71 8 5 9 4 42 0 1 4 4 12 117 10 0 15 3 3 2 64 0 4 2 9 12 22 8 3 0 10 40 1 3 17 12 41 0 135 2 1 22 0 9 19

b 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

c 23 71 7 5 41 1 42 0 1 4 2 0 117 7 0 5 3 3 2 176 0 4 2 5 12 22 8 3 0 10 40 0 2 13 12 41 0 15 2 1 21 0 9 12

d 32 1 7 2 6 3 0 0 0 4 2 0 4 3 1 10 0 0 5 477 12 0 4 0 5 1 13 10 1 11 3 15 3 4 3 6 0 0 0 1 1 0 4 4

e 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 74 1 0 0 0 0 0 0 1 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0

f e+f 0 0 0 4 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 2 5 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 5 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 3 79 1 0 0 0 0 0 0 1 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0

g 0 6 1 0 3 1 12 0 1 0 0 0 9 0 0 0 1 0 0 59 0 4 0 0 6 0 2 0 0 2 3 0 0 0 1 28 0 1 0 20 0 4 3

NLicProp 23 71 8 5 9 4 42 0 1 4 4 12 117 10 0 15 3 3 2 64 0 4 2 9 12 22 8 3 0 10 40 1 3 17 12 41 0 135 2 1 22 0 9 19

NContrLic LicSRP LicNSRP 55 32 23 72 16 7 15 7 42 0 1 8 6 12 121 13 1 25 3 3 8 615 13 4 6 9 17 23 21 14 1 21 43 17 6 21 15 47 0 135 2 2 23 0 13 23 7 13 2 9 4 12 0 1 4 2 0 13 3 1 10 1 0 8 615 13 4 4 0 11 1 15 11 1 13 6 16 3 4 4 34 0 120 1 1 21 0 8 7 65 3 5 6 3 30 0 0 4 4 12 108 10 0 15 2 3 0 0 0 0 2 9 6 22 6 3 0 8 37 1 3 17 11 13 0 15 1 1 2 0 5 16

NPreges 23 71 7 5 41 1 42 0 1 4 2 0 117 7 0 5 3 3 2 176 0 4 2 5 12 22 8 3 0 10 40 0 2 13 12 41 0 15 2 1 21 0 9 12


99

0 120

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Ente n 148 83 76 351 153 185 213 256 68 124 25 125 64 134 329 135 205 3 141 168 336 101 209 218 244 344 313 242 233 Total

a 40 14 11 12 6 10 47 12 13 0 9 5 0 4 20 2 3 5 5 12 0 2 102 190 0 0 1 0 44

b 0 0 0 0 0 0 4 3 0 0 0 0 0 0 0 0 1 0 1 0 0 2 70 0 0 0 0 0 0

c 4 12 11 12 6 8 43 9 13 0 3 5 0 4 11 2 2 5 4 2 0 0 31 0 0 0 1 0 43

d 15 1 1 5 3 0 0 10 6 0 2 0 0 1 5 0 9 3 0 3 0 1 298 0 0 0 0 0 8

e 0 0 0 3 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0

f e+f 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 4 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0

g 5 0 4 0 0 2 0 3 2 0 1 1 0 0 4 2 3 1 0 0 0 0 37 0 0 0 0 0 1

NLicProp 40 14 11 12 6 10 47 12 13 0 9 5 0 4 20 2 3 5 5 12 0 2 102 190 0 0 1 0 44 4.372

NContrLic LicSRP LicNSRP 55 20 35 15 12 20 9 10 47 22 19 0 11 5 0 5 25 2 12 8 5 15 0 3 401 190 0 0 1 0 52 6.442 1 5 9 3 2 0 13 8 0 3 1 0 1 9 2 12 4 0 3 0 1 336 0 0 0 0 0 9 3.031 14 7 11 6 8 47 9 11 0 8 4 0 4 16 0 0 4 5 12 0 2 65 190 0 0 1 0 43 3.411

NPreges 4 12 11 12 6 8 47 12 13 0 3 5 0 4 11 2 3 5 5 2 0 2 101 0 0 0 1 0 43 3.293

4.372 260 3.033 1.930 140 59 199 902

100

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Comparao das respostas declaradas com a opinio dos auditores do TCU


TRT-4-RS 4 2 4 1 S 2 2 3 2
101

Questo de Auditoria

Critrio Auditoria

de Item Fonte quest

A. A instituio executa um processo de planejamento estratgico Q21 >= 3 institucional? B. A instituio executa um processo de planejamento estratgico de Q22 >= 3 TI? C. A alta administrao da instituio designou formalmente um Q11b = sim comit de TI para auxili-la nas decises relativas gesto e ao uso corporativos de TI? D. A solicitao de oramento de TI feita com base na estimativa dos Q715 = sim custos das contrataes previstas? E. Ao longo do exerccio financeiro, h controle dos gastos efetuados Q715c = sim ou especificamente com TI? Q715d = sim

Q21 Q22

origem 5 auditoria 1 origem 3 auditoria 1

3 3 3 3

1 1 1 1

3 1 2 2

4 4 2 1

2 2 4 3

3 1 3 3

6 1 1 1

1 1 1 2

6 3 4 4

2 2 2 1

2 2 1 1

5 3 2 1

origem no sim no no sim sim no sim sim sim sim no no sim Q11b auditoria no no no no sim sim no sim sim sim sim no no sim Q715 origem sim sim sim no sim sim sim sim sim no sim no sim sim auditoria no sim sim no sim no no no sim no sim sim sim sim S S S S S S S

E1. Ao longo do exerccio financeiro, h controle dos gastos efetuados Q715c = sim ou origem sim sim no sim sim no no sim sim no no no sim sim Q715c especificamente com TI? Q715d = sim auditoria no sim no no sim no no sim sim no sim no sim sim E2. Ao longo do exerccio financeiro, h controle dos gastos efetuados Q715c = sim ou origem sim sim sim no no sim no no no no sim no sim sim Q715d especificamente com TI? Q715d = sim auditoria no no sim no no no no no no no sim no sim sim F. H processo de software? G. H processo de gerenciamento de projetos? H. H processo de gesto de incidentes? I. H processo de gesto de configurao? J. H processo de gesto de mudanas? K. H gestor de segurana da informao? Q73 >= 3 Q74 >= 3 Q76e = sim Q76f = sim Q76 = sim Q72b = sim Q73 Q74 Q76e Q76f Q76 origem 2 auditoria 1 origem 2 auditoria 1 3 3 2 1 1 1 1 2 1 1 2 1 1 1 2 2 4 4 3 3 1 1 3 1 2 1 1 1 2 2 2 2 3 3 2 2 3 3 2 2 2 2 1 1 2 1 1 1

origem no no no no no sim no no no no no no no sim auditoria no no no no no sim no no no no no no no no origem no no no no no sim no no no sim no no no no auditoria no no no no no sim no no no no no no no no origem no no no no no sim no no no sim no no no no auditoria no no no no no sim no no no no no no no no no sim no no sim sim no sim sim no no no no sim

Q72b origem

TRT-2-SP

ANATEL

DNOCS

IBAMA

SUSEP

FINEP

FNDE

DNIT

MCT

MRE

AmE

MP

MS

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Questo de Auditoria

Critrio Auditoria

de Item Fonte quest

auditoria no no no no no no no no sim no no no no sim L. H Posic em vigor? M. Gerencia os incidentes de segurana (logo h Etri)? N. Classifica a informao? O. Faz inventrio de ativos? P. Faz gesto de riscos de segurana da informao? Q. Plano anual de capacitao contempla rea de gesto de TI? R. Auditoria interna apoia avaliao da gesto da TI? R1. Auditoria interna apoia avaliao da gesto da TI? (INV) R2. Auditoria interna apoia avaliao da gesto da TI? R3. Auditoria interna apoia avaliao da gesto da TI? R4. Auditoria interna apoia avaliao da gesto da TI? R5. Auditoria interna apoia avaliao da gesto da TI? R6. Auditoria interna apoia avaliao da gesto da TI? Q14 = no Q14b = sim Q14c = sim Q14d = sim Q14e = sim Q14f = sim Q14 Q14b Q14c Q14d Q14e Q14f Q710 origem no no sim no sim no sim no no no sim sim sim no auditoria no no sim sim sim no sim sim no no no sim sim sim origem no sim no no no no no no no no no no no no auditoria no no no no no no no no no no no no no no origem no sim no no no sim no sim sim no no no no sim auditoria no no no no no sim no no sim no no no no no origem no sim no no no no no no no sim no no no no auditoria no no no no no sim no no no sim no no no no origem no sim no no no no no no no no no no no sim auditoria no no no no no no no no no no no no no no origem no no no no no sim no no no no no no no sim auditoria no no no no no no no no no no no no no no origem 1 auditoria 1 2 2 1 1 1 1 3 1 2 2 1 1 2 1 2 2 1 1 2 2 1 1 2 1 1 1
102

Q72 = sim Q71d = sim Q71b = sim Q71 = sim Q71c = sim Q63>= 3

Q72 Q71d Q71b Q71 Q71c Q63

origem no no sim no no sim no no sim sim no no no sim auditoria no no sim no no sim no no sim no no no no sim origem no no sim no no sim no no sim sim no no no no auditoria no no no no no sim no no sim no no no no no origem no no no no no sim no no no sim no no no no auditoria no no no no no sim no no no sim no no no no origem no no no sim no sim no no no sim no no no no auditoria no no no no no no no no no no no no no no origem no no no no no sim no no no sim no no no sim auditoria no no no no no no no no no sim no no no no origem 3 auditoria 1 3 1 1 1 1 1 3 1 3 3 1 1 2 1 3 5 1 1 1 1 1 1 1 1 3 1

S. Adota processo de trabalho formal na contratao de bens e servios Q710 >= 3 de TI?

TRT-4-RS

TRT-2-SP

ANATEL

DNOCS

IBAMA

SUSEP

FINEP

FNDE

DNIT

MCT

MRE

AmE

MP

MS

TRIBUNAL DE CONTAS DA UNIO Gabinete do Ministro Aroldo Cedraz

TC 011.772/2010-7

Questo de Auditoria

Critrio Auditoria

de Item Fonte quest

T. Adota processo de trabalho formal na gesto de contratos de bens e Q711 >= 3 servios de TI? U. A alta administrao se responsabiliza pelo estabelecimento e pelo Q11 = sim cumprimento das polticas de gesto e uso corporativos de TI? V. A alta administrao estabeleceu objetivos (diretrizes) de Q12 = sim desempenho de gesto e de uso corporativos de TI? W. A alta administrao estabeleceu indicadores de desempenho de Q12b = sim gesto e de uso corporativos de TI? X. A alta administrao recebe e avalia regularmente informaes Q12c = sim sobre o desempenho relativo gesto e ao uso corporativos de TI? Y. A alta administrao acompanha os indicadores de benefcio dos Q12d = sim principais sistemas de informao e toma decises a respeito quando as metas de benefcio no so atingidas?

Q711 Q11 Q12 Q12b Q12c

origem 1 auditoria 1

3 3

1 1

1 1

1 1

2 2

1 1

1 1

2 1

2 2

2 2

1 1

1 1

2 1

origem no no sim sim sim no no sim no no no sim sim sim auditoria no no no no sim no no no no no no no sim sim origem no sim no no sim no no no no no no no sim no auditoria no no no no no no no no no sim no no no no origem no sim no no no no no no no no no no no no auditoria no no no no no no no no no no no no no no origem no no no no no no no no no sim no no no sim auditoria no no no no no no no no no no no no no sim

origem no no no sim no no no no no no no no no no Q12d auditoria no no no no no no no no no no no no no no

TRT-4-RS
103

TRT-2-SP

ANATEL

DNOCS

IBAMA

SUSEP

FINEP

FNDE

DNIT

MCT

MRE

AmE

MP

MS

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

Governana de TI x Oramento administrado Segmento JUD EXE-Sisp EXE-Sisp EXE-Sisp EXE-Dest EXE-Dest JUD EXE-Sisp JUD JUD EXE-Sisp EXE-Sisp MPU EXE-Sisp EXE-Sisp JUD EXE-Sisp EXE-Sisp JUD JUD JUD JUD JUD JUD JUD EXE-Sisp EXE-Sisp EXE-Dest iGovTI2010 0,43767086 0,32792748 0,25106895 0,46275498 0,34732342 0,31245656 0,52585267 0,35214866 0,3514098 0,22435638 0,39487202 0,27460971 0,54233841 0,31371335 0,37652401 0,54188303 0,27766126 0,33804707 0,3627924 0,30248761 0,52765898 0,42528246 0,51862114 0,40632383 0,52827974 0,39531837 0,23341532 0,43749423 Oramento de TI (2010) Faixa Maturidade Oramento Administrado (2010) R$ 104.932.807,24 R$ 74.280.527,15 R$ 88.497.223,32 R$ 946.020.297,30 R$ 473.595.389,30 R$ 276.419.098,29 R$ 137.896.229,18 R$ 205.386.305,82 R$ 129.649.504,27 R$ 81.635.331,19 R$ 2.165.880.361,31 R$ 691.909.350,66 R$ 373.983.798,42 R$ 335.523.752,86 R$ 1.944.131.576,01 R$ 272.257.000,27 R$ 81.026.449,48 R$ 23.841.388,62 R$ 558.360.933,97 R$ 31.908.800,43 R$ 424.636.937,29 R$ 113.349.383,45 R$ 170.969.292,44 R$ 83.220.232,82 R$ 1.219.939.177,06 R$ 2.362.416.860,31 R$ 9.502.314,71 R$ 1.403.087.598,16

1019442 2. Maturidade intermediria 900000 1. Maturidade inicial 1400000 1. Maturidade inicial 25000000 2. Maturidade intermediria 3750000 1. Maturidade inicial 13088000 1. Maturidade inicial 1301375 2. Maturidade intermediria 660359 1. Maturidade inicial 1. Maturidade inicial 637000 1. Maturidade inicial 16150000 1. Maturidade inicial 2700000 1. Maturidade inicial 6704157 2. Maturidade intermediria 2915811 1. Maturidade inicial 3111552 1. Maturidade inicial 1500000 2. Maturidade intermediria 420000 1. Maturidade inicial 107334 1. Maturidade inicial 8463828 1. Maturidade inicial 119000 1. Maturidade inicial 4438000 2. Maturidade intermediria 1579068 2. Maturidade intermediria 995000 2. Maturidade intermediria 512607 2. Maturidade intermediria 6592306 2. Maturidade intermediria 189109167 1. Maturidade inicial 145000 1. Maturidade inicial 1800000 2. Maturidade intermediria

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

Segmento EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp JUD JUD EXE-Sisp JUD JUD EXE-Sisp EXE-Dest JUD EXE-Sisp JUD EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp JUD EXE-Sisp EXE-Sisp EXE-Sisp JUD JUD EXE-Sisp EXE-Sisp EXE-Sisp

iGovTI2010 0,17850836 0,30596807 0,3009215 0,52916738 0,33564123 0,39191829 0,294325 0,38524088 0,44536667 0,27005766 0,35635512 0,64137191 0,43614966 0,38183399 0,33649828 0,34369369 0,45489871 0,20995653 0,45763164 0,2817045 0,72419304 0,3993776 0,46793287 0,32640335 0,26611441 0,53123559 0,44449878 0,50097661 0,26892613 0,37189295

Oramento de TI (2010)

Faixa Maturidade

Oramento Administrado (2010) R$ 68.614.010,25 R$ 57.925.338,10 R$ 883.874.913,88 R$ 2.144.043.092,92 R$ 668.082.047,88 R$ 73.411.052,55 R$ 1.134.701.588,15 R$ 160.747.944,03 R$ 169.391.237,33 R$ 27.112.064,21 R$ 74.333.111,60 R$ 171.905.694,95 R$ 438.243.685,01 R$ 1.631.332.652,27 R$ 878.740.826,80 R$ 1.678.069.561,26 R$ 409.769.567,18 R$ 67.044.050,36 R$ 19.884.281,19 R$ 19.143.048,59 R$ 483.392.975,73 R$ 343.307.713,39 R$ 132.207.468,12 R$ 55.759.762,57 R$ 11.492.405,00 R$ 167.115.600,05 R$ 465.194.894,36 R$ 185.748.622,80 R$ 110.519.951,14 R$ 276.502.741,55
105

504000 1. Maturidade inicial 880000 1. Maturidade inicial 5908582 1. Maturidade inicial 109956586 2. Maturidade intermediria 7246116 1. Maturidade inicial 399488 1. Maturidade inicial 1336000 1. Maturidade inicial 679000 1. Maturidade inicial 200000 2. Maturidade intermediria 302000 1. Maturidade inicial 5086301 1. Maturidade inicial 1852309 3. Maturidade aprimorada 42366000 2. Maturidade intermediria 8850000 1. Maturidade inicial 4983915 1. Maturidade inicial 57250000 1. Maturidade inicial 792000 2. Maturidade intermediria 5254939 1. Maturidade inicial 1037450 2. Maturidade intermediria 1410940 1. Maturidade inicial 3239348 3. Maturidade aprimorada 4243273 1. Maturidade inicial 6378288 2. Maturidade intermediria 7060500 1. Maturidade inicial 2153868 1. Maturidade inicial 960500 2. Maturidade intermediria 750888 2. Maturidade intermediria 6670890 2. Maturidade intermediria 24934837 1. Maturidade inicial 1672879 1. Maturidade inicial

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

Segmento JUD JUD EXE-Sisp JUD EXE-Sisp JUD JUD EXE-Sisp JUD JUD JUD EXE-Dest JUD JUD JUD JUD JUD EXE-Sisp EXE-Sisp JUD EXE-Sisp JUD JUD EXE-Sisp EXE-Sisp EXE-Dest EXE-Sisp JUD EXE-Sisp EXE-Sisp

iGovTI2010 0,34156064 0,40250066 0,38654778 0,43117777 0,2846893 0,37948378 0,34929592 0,32746216 0,41334132 0,56131375 0,52652216 0,45186178 0,41415811 0,27875219 0,40254167 0,41258288 0,42126302 0,32798764 0,42775255 0,52871303 0,38049898 0,16191272 0,38227629 0,50257133 0,2120296 0,39894492 0,26631598 0,43832582 0,60577573 0,46866222

Oramento de TI (2010)

Faixa Maturidade

Oramento Administrado (2010) R$ 52.361.848,53 R$ 439.605.413,36 R$ 127.259.673,83 R$ 125.198.837,07 R$ 903.134.949,15 R$ 54.263.823,25 R$ 104.022.030,29 R$ 122.723.815,10 R$ 301.048.509,93 R$ 652.206.725,26 R$ 1.354.277.238,90 R$ 211.195.903,04 R$ 884.361.729,31 R$ 119.034.518,86 R$ 74.459.969,84 R$ 47.234.393,54 R$ 321.495.533,73 R$ 352.905.922,24 R$ 249.791.868,16 R$ 448.720.430,39 R$ 1.055.583.513,47 R$ 68.922.149,24 R$ 347.672.947,64 R$ 38.036.011,69 R$ 443.250.060,15 R$ 1.546.552.556,90 R$ 548.269.307,59 R$ 216.578.884,75 R$ 4.813.254.130,73 R$ 659.935.125,59
106

723789 1. Maturidade inicial 3875516 2. Maturidade intermediria 25512988 1. Maturidade inicial 818000 2. Maturidade intermediria 3586361 1. Maturidade inicial 278081 1. Maturidade inicial 1200000 1. Maturidade inicial 8576068 1. Maturidade inicial 7803000 2. Maturidade intermediria 1678000 2. Maturidade intermediria 17358000 2. Maturidade intermediria 1816695 2. Maturidade intermediria 3500000 2. Maturidade intermediria 1. Maturidade inicial 898200 2. Maturidade intermediria 790553 2. Maturidade intermediria 2230084 2. Maturidade intermediria 500000 1. Maturidade inicial 6282300 2. Maturidade intermediria 5416293 2. Maturidade intermediria 3700000 1. Maturidade inicial 457800 1. Maturidade inicial 1772182 1. Maturidade inicial 665300 2. Maturidade intermediria 1579200 1. Maturidade inicial 2832000 1. Maturidade inicial 13684742 1. Maturidade inicial 1182505 2. Maturidade intermediria 59748698 3. Maturidade aprimorada 31725069 2. Maturidade intermediria

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

Segmento EXE-Sisp MPU EXE-Sisp EXE-Sisp EXE-Sisp MPU EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp JUD EXE-Sisp EXE-Sisp EXE-Sisp EXE-Dest EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp

iGovTI2010 0,19848186 0,38416546 0,5639113 0,26230116 0,42613141 0,39783866 0,42382376 0,62913248 0,18012687 0,37299038 0,26232259 0,38675946 0,47734572 0,4389361 0,21532276 0,59983031 0,54972871 0,44830737 0,28532343 0,36798603 0,42815743 0,51188911 0,33679042 0,31714189 0,33651847 0,46663098 0,32733934 0,41198682 0,30069512 0,37389234

Oramento de TI (2010)

Faixa Maturidade

Oramento Administrado (2010) R$ 199.347.339,63 R$ 126.812.478,47 R$ 491.424.486,86 R$ 2.473.983.189,86 R$ 4.379.780.403,97 R$ 700.296.534,01 R$ 421.161.101,73 R$ 15.429.119.403,80 R$ 567.329.554,39 R$ 64.980.675.033,90 R$ 1.410.585.743,39 R$ 66.497.446,73 R$ 843.534.827.615,37 R$ 785.484.109,86 R$ 245.456.292,28 R$ 565.561.011,31 R$ 24.408.670.981,00 R$ 13.064.594.095,99 R$ 1.203.233.837,12 R$ 647.316.555,83 R$ 1.360.228.308,27 R$ 661.966.908,53 R$ 1.280.944.723,66 R$ 2.048.948.498,45 R$ 163.470.320,02 R$ 2.056.015.313,51 R$ 19.394.966.376,09 R$ 249.538.904,10 R$ 48.247.372.713,20 R$ 221.373.420,79
107

6300000 1. Maturidade inicial 1818082 1. Maturidade inicial 9242000 2. Maturidade intermediria 10040000 1. Maturidade inicial 40186768 2. Maturidade intermediria 23300000 1. Maturidade inicial 57600630 2. Maturidade intermediria 19881822 3. Maturidade aprimorada 10600000 1. Maturidade inicial 138867434 1. Maturidade inicial 118305000 1. Maturidade inicial 431451 1. Maturidade inicial 232432490 2. Maturidade intermediria 4861717 2. Maturidade intermediria 1519000 1. Maturidade inicial 176117534 2. Maturidade intermediria 14086155 2. Maturidade intermediria 20351380 2. Maturidade intermediria 46470320 1. Maturidade inicial 2110000 1. Maturidade inicial 1970000 2. Maturidade intermediria 22420000 2. Maturidade intermediria 28936000 1. Maturidade inicial 112202840 1. Maturidade inicial 7717984 1. Maturidade inicial 75027945 2. Maturidade intermediria 18646542 1. Maturidade inicial 13950000 2. Maturidade intermediria 174178890 1. Maturidade inicial 1. Maturidade inicial

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

Segmento EXE-Sisp LEG EXE-Sisp EXE-Sisp EXE-Sisp JUD JUD EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Dest JUD EXE-Sisp JUD EXE-Dest EXE-Sisp EXE-Sisp JUD EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp

iGovTI2010 0,47078324 0,55102605 0,45510056 0,43343378 0,46458557 0,46301248 0,61307287 0,2725799 0,47113391 0,3750482 0,34578797 0,27169302 0,52374045 0,44485254 0,33469744 0,28156847 0,3695268 0,41775956 0,35125133 0,42667045 0,51826156 0,59219341 0,51935103 0,38818047 0,23820555 0,2618036 0,38233152 0,32203761 0,3499973 0,2506259

Oramento de TI (2010)

Faixa Maturidade

Oramento Administrado (2010) R$ 568.354.580,16 R$ 2.770.080.022,38 R$ 494.766.935,81 R$ 1.405.641.519,61 R$ 628.497.377,25 R$ 300.974.091,15 R$ 554.409.886,73 R$ 371.989.518,39 R$ 1.045.481.962,53 R$ 604.259.151,47 R$ 639.558.071,20 R$ 10.886.477.872,73 R$ 22.556.262.715,14 R$ 104.811.289,13 R$ 820.619.131,22 R$ 528.644.535,38 R$ 1.074.143.100,21 R$ 2.343.436.367,20 R$ 110.578.183,72 R$ 128.879.522,99 R$ 3.873.687.297,55 R$ 19.328.753.176,31 R$ 272.908.950,31 R$ 97.199.312,12 R$ 158.088.630,12 R$ 338.874.463,08 R$ 675.792.687,22 R$ 452.465.893,39 R$ 82.296.631,47 R$ 81.097.864,68
108

12445000 2. Maturidade intermediria 49000000 2. Maturidade intermediria 16120476 2. Maturidade intermediria 16469100 2. Maturidade intermediria 1734889 2. Maturidade intermediria 4790000 2. Maturidade intermediria 91905122 3. Maturidade aprimorada 621000 1. Maturidade inicial 3225000 2. Maturidade intermediria 2045731 1. Maturidade inicial 5250000 1. Maturidade inicial 26247391 1. Maturidade inicial 86126209 2. Maturidade intermediria 2477727 2. Maturidade intermediria 1. Maturidade inicial 1. Maturidade inicial 2979654 1. Maturidade inicial 28619156 2. Maturidade intermediria 1121453 1. Maturidade inicial 1985000 2. Maturidade intermediria 65600000 2. Maturidade intermediria 318713926 2. Maturidade intermediria 1325378 2. Maturidade intermediria 379757 1. Maturidade inicial 1. Maturidade inicial 1012000 1. Maturidade inicial 3289768 1. Maturidade inicial 10000000 1. Maturidade inicial 140000 1. Maturidade inicial 50000 1. Maturidade inicial

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

Segmento EXE-Sisp MPU EXE-Sisp EXE-Sisp EXE-Sisp EXE-Dest JUD EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp JUD EXE-Sisp EXE-Sisp JUD EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp

iGovTI2010 0,30497928 0,38502039 0,2667851 0,32688149 0,28245113 0,60948305 0,5151329 0,39749541 0,28299865 0,43803243 0,38450405 0,30369505 0,44466965 0,18599099 0,38080793 0,30558755 0,45272606 0,21897252 0,30415184 0,30078804 0,36823951 0,49129323 0,53769647 0,3633023 0,34421696 0,38250991 0,46913123 0,40153169 0,33936156 0,34646059

Oramento de TI (2010)

Faixa Maturidade

Oramento Administrado (2010) R$ 63.178.029,61 R$ 165.644.978,11 R$ 7.251.018,78 R$ 805.816.645,93 R$ 11.636.707,07 R$ 1.570.816.048,84 R$ 790.797.007,51 R$ 822.566.789,43 R$ 10.405.413,83 R$ 39.040.257,47 R$ 235.062.490,37 R$ 318.365.282,80 R$ 89.936.042,76 R$ 346.617.420,57 R$ 405.410.072,26 R$ 67.738.326,03 R$ 261.897.314.348,75 R$ 67.016.711,03 R$ 80.494.922,73 R$ 6.024.729,99 R$ 228.559.108,78 R$ 257.883.963,39 R$ 106.721.486,53 R$ 487.212.848,78 R$ 408.158.398,00 R$ 76.217.870,20 R$ 274.351.036,60 R$ 3.078.548.770,64 R$ 97.151.422,70 R$ 134.871.417,61
109

780000 1. Maturidade inicial 36632031 1. Maturidade inicial 1. Maturidade inicial 1140449 1. Maturidade inicial 1. Maturidade inicial 354187397 3. Maturidade aprimorada 106874527 2. Maturidade intermediria 6360000 1. Maturidade inicial 16076500 1. Maturidade inicial 2. Maturidade intermediria 430000 1. Maturidade inicial 2014438 1. Maturidade inicial 473872 2. Maturidade intermediria 6811867 1. Maturidade inicial 2556645 1. Maturidade inicial 779212 1. Maturidade inicial 158967472 2. Maturidade intermediria 271500 1. Maturidade inicial 1010000 1. Maturidade inicial 1. Maturidade inicial 23300000 1. Maturidade inicial 390000 2. Maturidade intermediria 2012940 2. Maturidade intermediria 809286 1. Maturidade inicial 1776749 1. Maturidade inicial 95000 1. Maturidade inicial 3112070 2. Maturidade intermediria 32190000 2. Maturidade intermediria 300000 1. Maturidade inicial 16081424 1. Maturidade inicial

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

Segmento EXE-Sisp EXE-Sisp LEG EXE-Sisp JUD EXE-Sisp EXE-Sisp JUD EXE-Sisp EXE-Sisp JUD EXE-Sisp EXE-Sisp EXE-Sisp LEG JUD JUD JUD EXE-Sisp EXE-Dest JUD EXE-Sisp JUD JUD EXE-Dest JUD EXE-Dest JUD JUD EXE-Sisp

iGovTI2010 0,19346982 0,45681712 0,51395677 0,48190477 0,48747795 0,27258468 0,49602801 0,37863892 0,64661597 0,49122376 0,41449712 0,25582835 0,27044106 0,38019955 0,23887413 0,37437207 0,38381897 0,3407301 0,49804028 0,49983307 0,32043481 0,22689279 0,5609736 0,33775572 0,41774324 0,36068333 0,54207303 0,41044617 0,35939009 0,28851457

Oramento de TI (2010)

Faixa Maturidade

Oramento Administrado (2010) R$ 100.157.698,35 R$ 14.601.009,95 R$ 1.087.803.934,71 R$ 342.655.674.851,46 R$ 612.340.542,84 R$ 5.033.681.096,45 R$ 1.473.351.564,62 R$ 54.672.250,65 R$ 223.647.881,90 R$ 196.023.544,92 R$ 31.308.484,94 R$ 296.375.587,99 R$ 31.178.466,59 R$ 1.338.674.988,84 R$ 2.498.219.229,11 R$ 135.712.943,19 R$ 335.872.767,65 R$ 240.814.548,77 R$ 142.666.277,88 R$ 338.050.612,66 R$ 200.049.850,97 R$ 132.556.512,28 R$ 31.259.561,06 R$ 1.291.316.476,83 R$ 2.841.867.348,15 R$ 93.406.376,57 R$ 1.413.122.169,37 R$ 67.377.650,95 R$ 338.220.164,77 R$ 83.997.708,71
110

24001024 1. Maturidade inicial 200000 2. Maturidade intermediria 19600000 2. Maturidade intermediria 1350000000 2. Maturidade intermediria 529611774 2. Maturidade intermediria 41000000 1. Maturidade inicial 54846000 2. Maturidade intermediria 1. Maturidade inicial 18480707 3. Maturidade aprimorada 16647164 2. Maturidade intermediria 471000 2. Maturidade intermediria 38436154 1. Maturidade inicial 2276556 1. Maturidade inicial 43690792 1. Maturidade inicial 39239340 1. Maturidade inicial 574830 1. Maturidade inicial 2144094 1. Maturidade inicial 1506924 1. Maturidade inicial 43826851 2. Maturidade intermediria 5112545 2. Maturidade intermediria 1560129 1. Maturidade inicial 890000 1. Maturidade inicial 391190 2. Maturidade intermediria 12132271 1. Maturidade inicial 7502352 2. Maturidade intermediria 896890 1. Maturidade inicial 18405130 2. Maturidade intermediria 1059001 2. Maturidade intermediria 800000 1. Maturidade inicial 3986000 1. Maturidade inicial

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

Segmento JUD JUD EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Sisp EXE-Dest EXE-Sisp JUD EXE-Sisp JUD

iGovTI2010 0,62623722 0,46792108 0,25942779 0,26460792 0,41288345 0,2593027 0,27881734 0,34803627 0,35486074 0,54039843 0,41211802 0,28332201 0,34104498

Oramento de TI (2010)

Faixa Maturidade

Oramento Administrado (2010) R$ 951.755.912,93 R$ 345.382.812,60 R$ 287.543.707,20 R$ 883.668.723,60 R$ 251.531.526,69 R$ 46.454.955,98 R$ 74.578.429,47 R$ 1.186.932.220,16 R$ 1.957.235.462,05 R$ 318.651.597,26 R$ 134.589.180,02 R$ 134.370.231,72 R$ 394.455.370,07

9930000 3. Maturidade aprimorada 25160188 2. Maturidade intermediria 2309775 1. Maturidade inicial 4600000 1. Maturidade inicial 278187799 2. Maturidade intermediria 420000 1. Maturidade inicial 1148744 1. Maturidade inicial 3005826 1. Maturidade inicial 7083440 1. Maturidade inicial 26951145 2. Maturidade intermediria 857621 2. Maturidade intermediria 80000 1. Maturidade inicial 4762947 1. Maturidade inicial

Fundamentao para a assertiva de que a governana corporativa limita a governana de TI (1) ASSOCIAO BRASILEIRA DE NORMAS TCNICAS ABNT. ABNT NBR ISO/IEC 38500:2009 Governana corporativa de tecnologia da informao. p.3 Esta Norma faz referncia aos seguintes documentos: Relatrio do Comit sobre Aspectos Financeiros de Governana Corporativa, Sir Adrian Cadbury, Londres, 1992 ISBN 0 85258 913 1 OECD Princpios de Governana Corporativa, OECD, 1999 e 2004 p.4 1.6.9 Gerenciamento O sistema de controles e processos necessrio para alcanar os objetivos estratgicos estabelecidos pela direo da organizao. O gerenciamento est sujeito s diretrizes, s polticas e ao monitoramento estabelecidos pela governana corporativa. (2) BRISEBOIS, Richard; BOYD, Greg; SHADID, Ziad. What is IT Governance? and why is it important for the IS auditor. IntoIT p.2 Information technology governance, however, is a subset discipline of Corporate Governance. Although it is sometimes mistaken as a field of study on its own, IT Governance is actually a part of the overall Corporate Governance Strategy of an organisation. INFORMATION TECHNOLOGY GOVERNANCE INSTITUTE ITGI. COBIT Control Objectives for Information and related Technology. p.8 A necessidade da avaliao do valor de TI, o gerenciamento dos riscos relacionados TI e as crescentes necessidades de controle sobre as informaes so agora entendidos como elementoschave da governana corporativa. Valor, risco e controle constituem a essncia da governana de TI. p.47 PO4.2 Comit Estratgico de TI Estabelecer um comit estratgico de TI em nvel de Diretoria. Esse comit assegura que a governana de TI seja devidamente considerada como parte da governana corporativa, aconselha sobre o direcionamento estratgico e analisa os principais investimentos, em nome de toda a Direo. p.173 ME4 Prover Governana de TI O estabelecimento de uma efetiva estrutura de governana envolve a definio das estruturas organizacionais, dos processos, da liderana, dos papis e
111

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

respectivas responsabilidades para assegurar que os investimentos corporativos em TI estejam alinhados e sejam entregues em conformidade com as estratgias e os objetivos da organizao. [...] Controle sobre o seguinte processo de TI: Prover Governana de TI, que satisfaa aos seguintes requisitos do negcio para a TI: integrar a governana de TI aos objetivos de governana corporativa e ter conformidade com leis, regulamentaes e contratos (...) alcanado por: Estabelecimento de uma estrutura de governana de TI integrada governana corporativa p.176 O gerenciamento do processo de Prover Governana de TI que satisfaa ao requisito do negcio para a TI de integrar a governana de TI com os objetivos de governana corporativa e ter conformidade com as leis e as regulamentaes : (...) 5 Otimizado quando H um entendimento avanado, que aponta para o futuro, das questes voltadas governana de TI e suas solues. O treinamento e a comunicao so sustentados por conceitos e tcnicas mais avanados. Os processos tm sido bem refinados no nvel de melhores prticas do seu segmento de indstria a partir dos resultados do aprimoramento contnuo e da modelagem de maturidade com outras organizaes. A implementao das polticas de TI permite que a organizao, as pessoas e os processos tenham rpida adaptao e completa assimilao dos requisitos de governana de TI. Todos os problemas e desvios tm suas causas-raiz analisadas, e aes eficientes so sistematicamente identificadas e executadas. A TI utilizada de forma otimizada, integrada e extensiva para automatizar o fluxo de trabalho e disponibilizar ferramentas para melhorar a qualidade e a efetividade. Os riscos e retornos dos processos de TI so definidos, balanceados e comunicados por toda empresa. Especialistas externos so agregados, e benchmarks so utilizados como guias de orientao. O monitoramento, a autoavaliao e a comunicao sobre as expectativas de governana so difundidos na organizao, e h uso otimizado de tecnologia para auxiliar na medio, na anlise, na comunicao e no treinamento. A governana corporativa e a governana de TI so estrategicamente correlacionadas, alavancando os recursos humanos, tecnolgicos e financeiros para aumentar as vantagens competitivas da organizao. As atividades da governana de TI so integradas ao processo de governana corporativa. LEYER, Janeane; QUIGLEY, Katelyn. Small business IT Governance implementation. ISACA Journal Online p.1 IT governance is no longer about making specific IT decisions. Businesses that recognize and manage the connection between information technology and economic success are able to realize significant value from their IT investments and enhance their operations. IT governance allows businesses to maximize revenue by utilizing resources only for projects with the highest value. Over a period of time, businesses that successfully govern IT are able to recognize 30 percent higher profits than firms without successful IT governance.2 IT governance can also lead to improved customer satisfaction, as it allows management to fully understand customers needs and results in more effective and efficient service. By integrating IT governance with corporate governance, businesses are able to improve processes and align resources with business strategy. p.2 The connection between IT governance and corporate governance is two-pronged. The information that management relies on to make strategic decisions is often a product of the IT systems. In addition, the vision of the company gaining a competitive advantage is achieved by bridging business and technology. PARKINSON, Michael J. A.; BAKER, Nicholas J. IT and Enterprise Governance. Information Systems Control Journal p.2 Logically, IT governance is a subset of enterprise governance. IT governance covers performance and compliance considerations. Since IT is an enabler to business, perhaps it is fair to say that IT governance exists to help organisations make the most of IT. IT governanceis an integral part of enterprise governance and consists of the leadership and organisational structures and processes that ensure that the organisations IT sustains and extends the organisations strategies and objectives.5 Practical Implications This definition implies that IT governance has three components: Leadership Suggesting vision, responsibility and accountability OrganisationSuggesting staffing, resourcing and structures ProcessesSuggesting established standards and procedures PELANDA, Maurcio Luiz. Modelos de governana de tecnologia da informao adotados no Brasil um estudo de casos mltiplos.
112

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

p.15 De acordo com Guldentops (2004), a GTI tem como premissa a proteo do valor dos stakeholders1; de tornar claro que os riscos de TI sejam quantificados e mitigados; direcionar e controlar os investimentos de TI. um processo gerador de oportunidades e benefcios, traz melhor entendimento nas anlises de riscos; alinha TI ao negcio enquanto aceita TI como uma entrada crtica para o planejamento estratgico; sustenta as operaes, prepara a organizao para o futuro e parte integrante da estrutura global da governana corporativa. SHORT, Julie; GERRARD, Michael. IT governance must be driven by corporate governance. p.3 In 2009, the ITGI adopted the ISO/IEC 38500 IT governance standard, which is based on a pre-existing Australian standard and has been in place since April 2008. It represents an effort to provide guidance in defining IT governance as a component of corporate governance and is intended for all organizations, regardless of size or sector. (3) ITGI. COBIT5-Framework-ED-27June2011 p.18 COBIT 5 provides new capabilities for effective enterprise governance and management of IT: The starting point of governance and management activities are the stakeholder needs related to enterprise IT. Creates a more holistic, integrated and complete view of enterprise governance and management of IT that: Is consistent Provides an end-to-end view on all IT-related matters Provides a systemic view Creates a common language between IT and business for the enterprise governance and management of IT Is consistent with generally accepted corporate governance standards, and thus helps to meet regulatory requirements Creates a clear distinction between governance and management of enterprise governance of IT NOLAN, Richard; MCFARLAN, F. Warren. Information Technology and the Board of Directors. Harvard Business Review p.1-2 Because there has been no comparable body of knowledge and best practice, IT governance doesnt exist per se. Indeed, board members frequently lack the fundamental knowledge needed to ask intelligent questions about not only IT risk and expense but also competitive risk. This leaves the CIOs, who manage critical corporate information assets, pretty much on their own. A lack of board oversight for IT activities is dangerous; it puts the firm at risk in the same way that failing to audit its books would. (4) ANDREN, E.; FURLONGER, J.; MAGEE F.; MINGAY, S. The five pillars of IS organizational effectiveness. Gartner Group p.78 Information technology cannot be used to address the misalignment between the goals of the BUs and the wider goals of the enterprise; only an appropriate governance can achieve this. Unfortunately it is often politically expedient for the misalignment and governance not to be addressed by the business executive team. It is important that the CIO identify root causes, such as this. If the issue cannot be addressed through either a modification in corporate governance, or an agreement on the strategic context and this the guiding principles, then it is all the more important that the CIO frame all IS initiatives within his or her view of the strategic context. It is recommended that the CIO clearly articulate his position. In this environment negotiation skills, deal making and being politically aware are critical to the success of the CIO and the perceived alignment of the IS organization. BARBOSA, Alexandre Fernandes; JUNQUEIRA, Alvaro Ribeiro Botelho; LAIA, Marconi Martins de; FARIA, Fernando Inacio de. Governana de TIC e contratos no setor pblico. In: CATI Congresso Anual de Tecnologia da Informao p.2 No contexto da gesto pblica, governana corporativa est relacionada ao aumento da capacidade que o governo, atravs da adoo de princpios gerenciais, tem para orientar a ao do estado focada em resultados e nfase em mecanismos de controle. Pode-se afirmar que a governana no setor pblico fruto do movimento de reforma do estado e modernizao da gesto pblica, tpicos relevantes na agenda poltica dos governos (BARZELAY, 2000; HEEKS, 2002; PETERS, 1996). Consequentemente, temas como desempenho, eficincia, eficcia, transparncia, mecanismos de controle, qualidade do gasto pblico e prestao de contas passaram a ser questes centrais no processo de
113

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

modernizao da gesto pblica (BARBOSA et al., 2005; REINHARD e DIAS, 2005), as quais conduzem idia de implementao de mecanismos de controle e de boas prticas de governana. p.3 A exemplo do setor privado, a adoo e o uso de recursos tecnolgicos na gesto pblica requerem tambm a implantao de mecanismos de governana de TIC a fim de garantirem uma gesto eficiente. Assim, a governana dos recursos tecnolgicos torna-se um processo vital para a implantao de mecanismos de governana corporativa no setor pblico. Existem vrias estruturas de referncia que apresentam boas prticas de governana de TIC, entre elas o COBIT e o ITIL4. p.4 Nesse contexto, a governana de TIC se mostra como um dos temas mais relevantes para os altos dirigentes, dado que trata de questes que vo alm das fronteiras tecnolgicas, sustentando os princpios bsicos da governana corporativa. (5) SHORT, Julie; GERRARD, Michael. IT governance must be driven by corporate governance. p.2 Although several principles of corporate governance influence IT governance, there are two where this influence is substantial: Disclosure and transparency This refers to the financial and operational information of the organization and foreseeable risk factors. Responsibility of the board of directors This involves ensuring strategic guidance to the organization, effective monitoring and responsibility to shareholders/stakeholders. (6) HOLT, Alison. IT Governance Comes of Age. Information Systems Control Journal p.1 The group also came across a number of IT managers and principal consultants who had failed in an attempt to interest their executive in matters relating to IT governance. The group discovered that however evangelical the IT managers, and however receptive their executives, unless the executives owned the strategic direction of IT governance in the same way they owned the governance of their other key organisational assets, there would be no consistency in the operational management, development or delivery of IT. SHORT, Julie; GERRARD, Michael. IT governance must be driven by corporate governance. p.1 IT governance is driven by good corporate governance. CIOs and other IT leaders need to understand these principles and how to obtain senior business participation in IT governance. Key Findings Corporate governance is na important input for defining IT governance. IT governance must ensure that IT risks are effectively managed. IT governance requires senior business participation, especially at the board level. p.3 In speaking with clients, Gartner sees the lines between the business and IT becoming more blurred. We see IT tasks being performed in the business, business taking on IT leadership roles and vice versa. However, when it comes to IT governance, we see that often this is erroneously delegated to the CIO due to several factors: A lack of business understanding regarding the role of the board in ensuring that IT assets and resources are managed and measured, and that IT risks are mitigated. A perception that anything IT needs should be handled by the CIO. Competing factions within IT, all wanting governance over their respective domains. As a result, the term governance has become overused and misunderstood. IT leaders should understand that IT governance is effective when it is driven by corporate governance and defined as a cohesive process by using five steps: strategize, plan, implement, manage and monitor (see Defining IT Governance: Roles and Relationships). (7) SILVA, Andr Luiz Carvalhal da; LEAL, Ricardo Pereira Cmara. Corporate governance index, firm valuation and performance in Brazil. Revista Brasileira de Finanas Este estudo investiga a relao entre a qualidade das prticas de governana corporativa das empresas e seu valor de mercado e desempenho, atravs da construo de um ndice de governana corporativa para as empresas brasileiras listadas. Os resultados empricos indicam um alto grau de concentrao do controle e propriedade. Pode-se notar tambm uma diferena significativa entre o capital votante e o capital total dos maiores acionistas, principalmente atravs da existncia de aes sem direito de voto, Os resultados da anlise de painel indicam que menos de 4% das firmas brasileiras possuem boas prticas de governana corporativa e que as firmas com melhor governana corporativa tem um de sempenho (retorno sobre o ativo) significativamente superior. Existe tambm uma relao positiva entre o
114

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

Q de Tobin e a qualidade das prticas de governana corporativa. embora os resultados no sejam estatisticamente significativos. Plano de Ao Global na estrutura regimental dos ministrios N 1. 2. 3. 4. 5. 6. 7. 8. 9. 10 . 11 . 12 . 13 . 14 . 15 . 16 . 17 . 18 . 19 . 20 . 21 . 22 . 23 . 24 . 25 . 26 . 27 . Ministrio Decreto Dispositivo Advocacia-Geral da Unio Decreto 7.392/2010 No tem Casa Civil da Presidncia da Repblica Decreto 5.135/2004 Art. 23, inciso I Controladoria-Geral da Unio Decreto 5.683/2006 No tem Gabinete de Segurana Institucional da Presidncia da Decreto 7.411/2010 No tem Repblica Ministrio da Agricultura, Pecuria e Abastecimento Decreto 7.127/2010 Art. 41, inciso I Ministrio da Cincia e Tecnologia Decreto 5.886/2006 Art. 38, inciso I Ministrio da Cultura Decreto 6.835/2009 No tem Ministrio da Defesa Decreto 7.364/2010 No tem Ministrio da Educao Decreto 7.480/2011 Art. 38, inciso I Ministrio da Fazenda Decreto 7.482/2011 Art. 43, inciso I Ministrio da Integrao Nacional Ministrio da Justia Ministrio da Pesca e Aquicultura Ministrio da Previdncia Social Ministrio da Sade Ministrio das Cidades Ministrio das Comunicaes Ministrio das Relaes Exteriores Ministrio das Minas e Energia Ministrio do Desenvolvimento Agrrio Decreto 7.472/2011 Art. 29, inciso IV Decreto 6.061/2007 Art. 43, inciso I Decreto 6.972/2009 No tem Decreto 7.078/2010 Art. 17, inciso I Decreto 7.530/2011 Art. 49, inciso I Decreto 4.665/2003 Art. 26, inciso I Decreto 7.462/2011 No tem Decreto 7.304/2010 No tem Decreto 5.267/2004 Art. 27, inciso I Decreto 7.255/2010 Art. 22, inciso I

Ministrio do Desenvolvimento Social e Combate Decreto 7.493/2011 Art. 36, inciso I Fome Ministrio do Desenvolvimento, Indstria e Comrcio Decreto 7.096/2010 Art. 30, inciso I Exterior Ministrio do Esporte Decreto 7.529/2011 Art. 20, inciso I Ministrio do Meio Ambiente Ministrio do Planejamento, Oramento e Gesto Ministrio do Trabalho e Emprego Ministrio do Turismo Decreto 6.101/2007 Art. 43, inciso I Decreto 7.063/2010 Art. 49, inciso I Decreto 5.063/2004 Art. 27, inciso I Decreto 6.546/2008 Art. 20, inciso I
115

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

N Ministrio 28 Ministrio dos Transportes . 29 Secretaria de Assuntos Estratgicos da Presidncia da . Repblica 30 Secretaria de Comunicao Social da Presidncia da . Repblica 31 Secretaria de Direitos Humanos da Presidncia da . Repblica 32 Secretaria de Polticas de Promoo da Igualdade Racial . da Presidncia da Repblica 33 Secretaria de Polticas para as Mulheres da Presidncia . da Repblica 34 Secretaria de Portos da Presidncia da Repblica . 35 Secretaria de Relaes Institucionais da Presidncia da . Repblica 36 Secretaria-Geral da Presidncia da Repblica . 37 Secretaria de Aviao Civil da Presidncia da Repblica . Referencial normativo do Plano de Ao Global ORIGEM DO PLANO DE AO GLOBAL 1. D99180 [Revogado](1) 2. D99244(2) 3. Recepcionado pela L10180(3) 4. Lei n 10.683/2003

Decreto Dispositivo Decreto 4.721/2003 Art. 19, inciso I Decreto 6.517/2008 Art. 7, inciso I Decreto 6.377/2008 No tem Decreto 6.980/2009 No tem Decreto 7.261/2010 No tem Decreto 7.043/2009 No tem Decreto 7.262/2010 No tem Decreto 6.207/2007 Art. 9, inciso I Decreto 6.378/2008 Art. 11, inciso I Decreto 7.476/2011 Art. 18, inciso I

PLANO DE AO GLOBAL 5. Casa Civil da Presidncia da Repblica(5) 6. Ministrio da Agricultura, Pecuria e Abastecimento(6) 7. Ministrio da Cincia e Tecnologia(7) 8. Ministrio da Educao(8) 9. Ministrio da Fazenda(9) 10. Ministrio da Integrao Nacional(10) 11. Ministrio da Justia(11) 12. Ministrio da Previdncia Social(12) 13. Ministrio da Sade(13) 14. Ministrio das Cidades(14) 15. Ministrio das Minas e Energia(15) 16. Ministrio do Desenvolvimento Agrrio(16) 17. Ministrio do Desenvolvimento, Indstria e Comrcio Exterior(17) 18. Ministrio do Desenvolvimento Social e Combate Fome(18) 19. Ministrio do Esporte(19) 20. Ministrio do Meio Ambiente(20) 21. Ministrio do Planejamento, Oramento e Gesto(21) 22. Ministrio do Trabalho e Emprego(22) 23. Ministrio do Turismo(23) 24. Ministrio dos Transportes(24) 25. Secretaria de Assuntos Estratgicos da Presidncia da Repblica(25) 26. Secretaria de Relaes Institucionais da Presidncia da Repblica(26)
116

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

27. Secretaria-Geral da Presidncia da Repblica(27) 28. Secretaria de Aviao Civil da Presidncia da Repblica(28) 5. Casa Civil da Presidncia da Repblica(5) 6. Ministrio da Agricultura, Pecuria e Abastecimento(6) 7. Ministrio da Cincia e Tecnologia(7) 8. Ministrio da Educao(8) 9. Ministrio da Fazenda(9) 10. Ministrio da Integrao Nacional(10) 11. Ministrio da Justia(11) 12. Ministrio da Previdncia Social(12) 13. Ministrio da Sade(13) 14. Ministrio das Cidades(14) 15. Ministrio das Minas e Energia(15) 16. Ministrio do Desenvolvimento Agrrio(16) 17. Ministrio do Desenvolvimento, Indstria e Comrcio Exterior(17) 18. Ministrio do Desenvolvimento Social e Combate Fome(18) 19. Ministrio do Esporte(19) 20. Ministrio do Meio Ambiente(20) 21. Ministrio do Planejamento, Oramento e Gesto(21) 22. Ministrio do Trabalho e Emprego(22) 23. Ministrio do Turismo(23) 24. Ministrio dos Transportes(24) 25. Secretaria de Assuntos Estratgicos da Presidncia da Repblica(25) 26. Secretaria de Relaes Institucionais da Presidncia da Repblica(26) 27. Secretaria-Geral da Presidncia da Repblica(27) 28. Secretaria de Aviao Civil da Presidncia da Repblica(28) NO REFEREM A UM DOCUMENTO DE PLANEJAMENTO INSTITUCIONAL 29. Advocacia-Geral da Unio(29) 30. Controladoria-Geral da Unio(30) 31. Gabinete de Segurana Institucional da Presidncia da Repblica(31) 32. Ministrio da Cultura(32) 33. Ministrio da Defesa(33) 34. Ministrio da Pesca e Aquicultura(34) 35. Ministrio das Comunicaes(35) 36. Secretaria de Comunicao Social da Presidncia da Repblica(36) 37. Secretaria de Polticas para as Mulheres da Presidncia da Repblica(37) 38. Ministrio das Relaes Exteriores(38) 39. Secretaria de Direitos Humanos da Presidncia da Repblica(39) 40. Secretaria de Polticas de Promoo da Igualdade Racial da Presidncia da Repblica(40) 41. Secretaria de Portos da Presidncia da Repblica(41) 30. Controladoria-Geral da Unio(30) 31. Gabinete de Segurana Institucional da Presidncia da Repblica(31) 32. Ministrio da Cultura(32) 33. Ministrio da Defesa(33) 34. Ministrio da Pesca e Aquicultura(34) 35. Ministrio das Comunicaes(35) 36. Secretaria de Comunicao Social da Presidncia da Repblica(36) 37. Secretaria de Polticas para as Mulheres da Presidncia da Repblica(37) 38. Ministrio das Relaes Exteriores(38) 39. Secretaria de Direitos Humanos da Presidncia da Repblica(39)
117

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

40. Secretaria de Polticas de Promoo da Igualdade Racial da Presidncia da Repblica(40) 41. Secretaria de Portos da Presidncia da Repblica(41) 30. Controladoria-Geral da Unio(30) 31. Gabinete de Segurana Institucional da Presidncia da Repblica(31) 32. Ministrio da Cultura(32) 33. Ministrio da Defesa(33) 34. Ministrio da Pesca e Aquicultura(34) 35. Ministrio das Comunicaes(35) 36. Secretaria de Comunicao Social da Presidncia da Repblica(36) 37. Secretaria de Polticas para as Mulheres da Presidncia da Repblica(37) 38. Ministrio das Relaes Exteriores(38) 39. Secretaria de Direitos Humanos da Presidncia da Repblica(39) 40. Secretaria de Polticas de Promoo da Igualdade Racial da Presidncia da Repblica(40) 41. Secretaria de Portos da Presidncia da Repblica(41) Fundamentao: 1 BRASIL. Decreto n 99.180, de 15 de maro de 1990. Art. 75) Haver em cada ministrio civil um Secretrio-Executivo, nomeado pelo Presidente da Repblica, mediante indicao do Ministro de Estado competente. Art. 76) Ao Secretrio-Executivo incumbe: I auxiliar o Ministro de Estado na formulao e execuo dos assuntos includos na rea de competncia do ministrio; II exercer a coordenao, superviso e controle das Secretarias do ministrio, no subordinadas diretamente ao Ministro de Estado; III submeter ao Ministro de Estado o planejamento de ao global do ministrio, em consonncia com as diretrizes de Governo fixadas pelo Presidente da Repblica; IV supervisionar, coordenar e controlar as atividades de planejamento, oramento, modernizao e reforma administrativa e de programao financeira do ministrio; V coordenar e providenciar o encaminhamento Presidncia da Repblica, de projetos de leis, de medidas provisrias ou de decretos de interesse do ministrio; VI exercer outras atribuies que lhe forem cometidas pelo Ministro de Estado. 2 BRASIL. Decreto n 99.244, de 10 de maio de 1990. Art. 75) Haver em cada Ministrio Civil, exceto no Ministrio das Relaes Exteriores, um Secretrio-Executivo, nomeado pelo Presidente da Repblica, mediante indicao do Ministro de Estado competente. Art. 76) Ao Secretrio-Executivo compete: I auxiliar o Ministro de Estado na formulao e execuo dos assuntos includos na rea de competncia do Ministrio; II exercer a coordenao, superviso e controle das Secretarias do Ministrio no subordinadas diretamente ao Ministro de Estado; III submeter ao Ministro de Estado o planejamento da ao global do Ministrio, em consonncia com as diretrizes de Governo fixadas pelo Presidente da Repblica; IV supervisionar, coordenar e controlar as atividades de planejamento, oramento, modernizao e reforma administrativa e de programao financeira do Ministrio; V coordenar e providenciar o encaminhamento Presidncia da Repblica, de projetos de leis, de medidas provisrias ou de decretos de interesses do Ministrio; VI exercer outras atribuies que lhe forem cometidas pelo Ministro de Estado. 3 BRASIL. Lei n 10.180, de 6 de fevereiro de 2001.
118

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

TTULO II. DO SISTEMA DE PLANEJAMENTO E DE ORAMENTO FEDERAL. CAPTULO I. DAS FINALIDADES. Art. 2 O Sistema de Planejamento e de Oramento Federal tem por finalidade: I formular o planejamento estratgico nacional; II formular planos nacionais, setoriais e regionais de desenvolvimento econmico e social; III formular o plano plurianual, as diretrizes oramentrias e os oramentos anuais; IV gerenciar o processo de planejamento e oramento federal; V promover a articulao com os Estados, o Distrito Federal e os Municpios, visando a compatibilizao de normas e tarefas afins aos diversos Sistemas, nos planos federal, estadual, distrital e municipal. 4 BRASIL. Lei n 10.683, de 28 de maio de 2003. Art. 27. Os assuntos que constituem reas de competncia de cada Ministrio so os seguintes: [...] XVII Ministrio do Planejamento, Oramento e Gesto: a) participao na formulao do planejamento estratgico nacional; [...] g) coordenao e gesto dos sistemas de planejamento e oramento federal, de pessoal civil, de organizao e modernizao administrativa, de administrao de recursos da informao e informtica e de servios gerais; [...] Art. 28. Haver, na estrutura bsica de cada Ministrio: I Secretaria-Executiva, exceto nos Ministrios da Defesa e das Relaes Exteriores; [...] 2 Caber ao Secretrio Executivo, titular do rgo a que se refere o inciso I, alm da superviso e da coordenao das Secretarias integrantes da estrutura do Ministrio, exercer as funes que lhe forem atribudas pelo Ministro de Estado. 3 Poder haver na estrutura bsica de cada Ministrio, vinculado Secretaria-Executiva, um rgo responsvel pelas atividades de administrao de pessoal, de material, patrimonial, de servios gerais, de oramento e finanas, de contabilidade e de tecnologia da informao e informtica. 5 BRASIL. Decreto n 5.135, de 7 de julho de 2004. Art. 23, I) Ao Secretrio-Executivo da Casa Civil incumbe: I coordenar, consolidar e submeter ao Ministro de Estado o plano de ao global da Casa Civil; 6 BRASIL. Decreto n 7.127, de 4 de maro de 2010. Art. 41, I) Ao Secretrio-Executivo incumbe: I coordenar e promover a consolidao do plano de ao global do Ministrio e submet-lo aprovao do Ministro de Estado; 7 BRASIL. Decreto n 5.886, de 6 de setembro de 2006. Art. 38, I) Ao Secretrio-Executivo incumbe: I coordenar, consolidar e submeter ao Ministro de Estado o plano de ao global do Ministrio; 8 BRASIL. Decreto n 7.480, de 16 de maio de 2011. Art. 38, I) Ao Secretrio-Executivo incumbe: I coordenar, consolidar e submeter ao Ministro de Estado o plano de ao global do Ministrio; 9 BRASIL. Decreto n 7.482, de 16 de maio de 2011.
119

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

Art. 43, I) Ao Secretrio-Executivo incumbe: I coordenar, consolidar e submeter ao Ministro de Estado o plano de ao global do Ministrio; 10 BRASIL. Decreto n 7.472, de 4 de maio de 2011. Art. 29, IV) Ao Secretrio-Executivo incumbe: [...] IV coordenar, consolidar e submeter ao Ministro de Estado o plano de ao global do Ministrio; e 11 BRASIL. Decreto n 6.061, de 15 de maro de 2007. Art. 43, I) Ao Secretrio-Executivo incumbe: I coordenar, consolidar e submeter ao Ministro de Estado o plano de ao global do Ministrio; 12 BRASIL. Decreto n 7.078, de 26 de janeiro de 2010. Art. 17, I) Ao Secretrio-Executivo incumbe: I coordenar, consolidar e submeter ao Ministro de Estado o plano de ao global do Ministrio; 13 BRASIL. Decreto n 7.530 de 21 de julho de 2011. Art. 49, I) Ao Secretrio-Executivo incumbe: I coordenar, consolidar e submeter ao Ministro de Estado da Sade o plano de ao global do Ministrio; 14 BRASIL. Decreto n 4.665, de 3 de abril de 2003. Art. 26, I) Ao Secretrio-Executivo incumbe: I coordenar, consolidar e submeter ao Ministro de Estado o plano de ao global do Ministrio; 15 BRASIL. Decreto n 5.267 de 9 de novembro de 2004. Art. 27, I) Ao Secretrio-Executivo incumbe: I coordenar, consolidar e submeter ao Ministro de Estado o plano de ao global do Ministrio; 16 BRASIL. Decreto n 7.255, de 4 de agosto de 2010. Art. 22, I) Ao Secretrio-Executivo incumbe: I coordenar, consolidar e submeter ao Ministro de Estado o plano de ao global do Ministrio; 17 BRASIL. Decreto n 7.096, de 4 de fevereiro de 2010. Art. 30, I) Ao Secretrio-Executivo incumbe: I coordenar, consolidar e submeter ao Ministro de Estado o plano de ao global do Ministrio, em consonncia com as diretrizes do Governo Federal;
120

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

18 BRASIL. Decreto n 7.493, de 2 de junho de 2011. Art. 36, I) Ao Secretrio-Executivo incumbe: I coordenar, consolidar e submeter ao Ministro de Estado o plano de ao global do Ministrio; 19 BRASIL. Decreto n 7.529 de 21 de julho de 2011. Art. 20, I) Ao Secretrio-Executivo incumbe: I coordenar, consolidar e submeter ao Ministro de Estado o plano de ao global do Ministrio; 20 BRASIL. Decreto n 6.101, de 26 de abril de 2007. Art. 43, I) Ao Secretrio-Executivo incumbe: I coordenar, consolidar e submeter ao Ministro de Estado o plano de ao global do Ministrio; 21 BRASIL. Decreto n 7.063, de 13 de janeiro de 2010. Art. 49, I) Ao Secretrio-Executivo incumbe: I coordenar, consolidar e submeter ao Ministro de Estado o plano de ao global do Ministrio; 22 BRASIL. Decreto n 5.063, de 3 de maio de 2004. Art. 27, I) Ao Secretrio-Executivo incumbe: I coordenar, consolidar e submeter ao Ministro de Estado o plano de ao global do Ministrio; 23 BRASIL. Decreto n 6.546, de 25 de agosto de 2008. Art. 20, I) Ao Secretrio-Executivo incumbe: I coordenar, consolidar e submeter ao Ministro de Estado o planejamento da ao global do Ministrio, em consonncia com as diretrizes do Governo Federal; 24 BRASIL. Decreto n 4.721, de 5 de junho de 2003. Art. 19, I) Ao Secretrio-Executivo incumbe: I coordenar, consolidar e submeter ao Ministro de Estado o plano de ao global do Ministrio; 25 BRASIL. Decreto n 6.517, de 28 de julho de 2008. Art. 7, I) Ao Secretrio-Executivo da Secretaria de Assuntos Estratgicos incumbe: (Redao dada pelo Decreto n 7.465, de 20011). I coordenar, consolidar e submeter ao Ministro de Estado o plano de ao global da Secretaria de Assuntos Estratgicos; 26
121

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

BRASIL. Decreto n 6.207, de 18 de setembro de 2007. Art. 9, I) Ao Secretrio-Executivo da Secretaria de Relaes Institucionais incumbe: (Redao dada pelo Decreto n 7.465, de 20011). I coordenar, consolidar e submeter ao Ministro de Estado o plano de ao global da Secretaria; 27 BRASIL. Decreto n 6.378, de 19 de fevereiro de 2008. Art. 5, III) Secretaria-Executiva compete: [...] III submeter ao Ministro de Estado o planejamento da ao global da Secretaria-Geral e a proposta oramentria, bem como a programao financeira anual da Presidncia da Repblica; (Redao dada pelo Decreto n 7.442, de 2011) 28 BRASIL. Decreto n 7.476, de 10 de maio de 2011. Art. 18, I) Ao Secretrio-Executivo incumbe: I coordenar, consolidar e submeter ao Ministro de Estado Chefe o plano de ao global da Secretaria de Aviao Civil; 29 BRASIL. Decreto n 6.120, de 29 de maio de 2007. [REVOGADO] Art. 2) Ao substituto do Advogado-Geral da Unio incumbe: I coordenar, consolidar e submeter ao Advogado-Geral da Unio o plano de ao global da Advocacia-Geral da Unio e de seus rgos vinculados; BRASIL. Decreto n 7.392, de 13 de dezembro de 2010. Art. 4) Ao Departamento de Gesto Estratgica compete: [...] III coordenar o desenvolvimento das atividades voltadas para o planejamento estratgico, gerencial e de avaliao do desempenho institucional da Advocacia-Geral da Unio; Art. 37) Ao Secretrio-Geral de Consultoria compete: [...] IV auxiliar o AdvogadoGeral da Unio na definio de diretrizes e na implementao das aes da rea de competncia da Advocacia-Geral da Unio; e 30 BRASIL. Decreto n 5.683, de 24 de janeiro de 2006. Art. 6) Secretaria-Executiva compete: [...] III assistir ao Ministro de Estado na coordenao dos processos de planejamento estratgico, organizao e avaliao institucional; 31 BRASIL. Decreto n 7.411, de 29 de dezembro de 2010. Art. 4) Secretaria-Executiva compete: I assessorar e assistir o Ministro de Estado no mbito de sua competncia; II exercer a superviso e coordenao das atividades dos rgos integrantes da estrutura do Gabinete de Segurana Institucional; [...] VIII gerenciar, em articulao com a Secretaria de Administrao da Casa Civil da Presidncia da Repblica, os assuntos de desenvolvimento organizacional e de administrao geral do Gabinete de Segurana Institucional; Art. 19) Ao Secretrio-Executivo incumbe: I exercer as atividades de superviso e coordenao das unidades integrantes da estrutura do Gabinete de Segurana Institucional; II supervisionar a execuo dos projetos e atividades do Gabinete de Segurana Institucional; Art. 20) Ao Assessor-Chefe, aos Secretrios e aos Diretores incumbe planejar, dirigir, coordenar, orientar, acompanhar e avaliar a execuo das atividades das unidades que integram suas respectivas reas e exercer outras atribuies que lhes forem cometidas.
122

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

Art. 21) Ao Chefe de Gabinete e aos demais dirigentes incumbe planejar, coordenar e orientar a execuo das atividades das respectivas unidades e exercer outras atribuies que lhes forem cometidas. 32 BRASIL. Decreto n 6.835, de 30 de abril de 2009. Art. 4) Secretaria-Executiva compete: [...] II auxiliar o Ministro de Estado na definio das diretrizes e na implementao das aes da rea de competncia do Ministrio; 33 BRASIL. Decreto n 7.364, de 23 de novembro de 2010. Art. 2) O Ministrio da Defesa tem a seguinte estrutura organizacional: I rgos de assistncia direta e imediata ao Ministro de Estado da Defesa: a) Gabinete; b) Assessoria de Planejamento Institucional; [...] Art. 4) Assessoria de Planejamento Institucional compete: [...] II conduzir e coordenar o processo de elaborao e reviso do planejamento estratgico do Ministrio da Defesa, que culmina com as decises de direcionamento da instituio frente aos riscos, desafios e responsabilidades definidos a partir dos cenrios de futuro elaborados; III elaborar processo contnuo e sistemtico de conhecimento do cenrio futuro, com o objetivo de alimentar o processo decisrio de alto nvel do Ministrio da Defesa; [...] VI elaborar o cronograma anual de reviso do planejamento e coordenar a sua execuo; e 34 BRASIL. Decreto n 6.972, de 29 de setembro de 2009. Art. 5) Secretaria-Executiva compete: I assistir o Ministro de Estado na definio de diretrizes e na superviso e coordenao das atividades das Secretarias integrantes da estrutura do Ministrio; [...] III coordenar, supervisionar, acompanhar e avaliar os planos, programas e aes do Ministrio; [...] Art. 8) Secretaria de Planejamento e Ordenamento da Aquicultura compete: [...] X subsidiar a Assessoria de Ao Estratgica e Articulao Institucional com informaes especficas necessrias para a operacionalizao do planejamento estratgico do Ministrio; e 35 BRASIL. Decreto n 7.462, de 19 de abril de 2011. Art. 4) Secretaria-Executiva compete: I assistir ao Ministro de Estado na superviso e coordenao das atividades das Secretarias integrantes da estrutura do Ministrio e das entidades a ele vinculadas; II supervisionar e coordenar as atividades de organizao e modernizao administrativa, bem como as relacionadas com os sistemas federais de planejamento e de oramento, de contabilidade, de administrao financeira, de administrao dos recursos de informao e informtica, de pessoal civil e de servios gerais, no mbito do Ministrio; III auxiliar o Ministro de Estado na definio de diretrizes e na implementao das aes da rea de competncia do Ministrio; IV supervisionar e coordenar as atividades, formular e propor polticas, diretrizes, objetivos e metas relativas s comunicaes; 36 BRASIL. Decreto n 6.377, de 19 de fevereiro de 2008.

123

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

Art. 4) Subchefia-Executiva compete: [...] III planejar, supervisionar e coordenar das atividades das unidades da Secretaria de Comunicao Social, auxiliando na definio de diretrizes e na implementao das aes da rea de sua competncia; Art. 23) Ao Subchefe-Executivo incumbe: I planejar, dirigir, orientar, supervisionar, avaliar e controlar a execuo dos projetos e atividades das unidades da Subchefia-Executiva; [...] 37 BRASIL. Decreto n 7.043, de 22 de dezembro de 2009. Art. 4) Subsecretaria de Planejamento e Gesto Interna compete: [...] IX planejar, acompanhar e executar as atividades oramentrias e financeiras e a adequada aplicao dos recursos administrados pela Secretaria Especial; Art. 8) Aos Subsecretrios incumbe planejar, dirigir, coordenar, orientar, acompanhar e avaliar a execuo das atividades de suas unidades e exercer outras atribuies que lhes forem cometidas. Art. 9) Ao Chefe de Gabinete do Secretrio Especial e aos demais dirigentes incumbe planejar, coordenar e orientar a execuo das atividades das respectivas unidades e exercer outras atribuies que lhes forem cometidas. 38 BRASIL. Decreto n 7.304, de 22 de setembro de 2010. Art. 9) Secretaria-Geral das Relaes Exteriores compete: I assessorar o Ministro de Estado na direo e execuo da poltica exterior do Brasil, na superviso dos servios diplomtico e consular e na gesto dos demais negcios afetos ao Ministrio; II orientar, coordenar e supervisionar os rgos do Ministrio no exterior; III dirigir, orientar, coordenar e supervisionar a atuao das unidades que compem a Secretaria de Estado das Relaes Exteriores, exceto a dos rgos de assistncia direta e imediata ao Ministro de Estado; e IV realizar outras atividades determinadas pelo Ministro de Estado. Art. 65) Ao Secretrio-Geral das Relaes Exteriores incumbe: I assistir ao Ministro de Estado na direo e execuo da poltica exterior brasileira; II supervisionar os servios diplomtico e consular; III coordenar, supervisionar e avaliar a execuo dos projetos e atividades do Ministrio; 39 BRASIL. Decreto n 7.256, de 4 de agosto de 2010. Art. 23) Ao Secretrio-Executivo incumbe supervisionar, coordenar, dirigir, orientar, monitorar, acompanhar e avaliar o planejamento e a execuo de todos os rgos especficos singulares e exercer outras atribuies que lhe forem cometidas. Art. 24) Aos Secretrios incumbe planejar, dirigir, coordenar, orientar, acompanhar e avaliar a execuo das atividades de suas unidades e exercer outras atribuies que lhes forem cometidas. Art. 25) Ao Chefe de Gabinete do Ministro de Estado e aos demais dirigentes incumbe planejar, coordenar e orientar a execuo das atividades das respectivas unidades e exercer outras atribuies que lhes forem cometidas. 40 BRASIL. Decreto n 7.261, de 12 de agosto de 2010. Art. 9) Ao Secretrio-Executivo incumbe supervisionar, coordenar, dirigir, orientar, monitorar, acompanhar e avaliar o planejamento e a execuo de todos os rgos especficos singulares e exercer outras atribuies que lhe forem cometidas. Art. 10) Aos Secretrios, incumbe planejar, dirigir, coordenar, orientar, acompanhar e avaliar a execuo das atividades de suas unidades e exercer outras atribuies que lhes forem cometidas.
124

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

Art. 11) Ao Chefe de Gabinete e aos demais dirigentes incumbe planejar, coordenar e orientar a execuo das atividades das respectivas unidades e exercer outras atribuies que lhes forem cometidas. 41 BRASIL. Decreto n 7.262, de 12 de agosto de 2010. Art. 15) Ao Secretrio-Executivo incumbe supervisionar, coordenar, dirigir, orientar, monitorar, acompanhar e avaliar o planejamento e a execuo de todos os rgos especficos singulares e exercer outras atribuies que lhe forem cometidas. Art. 16) Aos Secretrios incumbe planejar, dirigir, coordenar, orientar, acompanhar e avaliar a execuo das atividades de suas unidades e exercer outras atribuies que lhes forem cometidas. Art. 17) Ao Chefe de Gabinete, ao Chefe da Assessoria Jurdica, aos Diretores e aos demais dirigentes incumbe planejar, coordenar e orientar a execuo das atividades das respectivas unidades e exercer outras atribuies que lhes forem cometidas. VOTO com satisfao que trago apreciao deste Colegiado relatrio consolidado das aes do TMS 6/2010, cujo objeto foi avaliar se a gesto e o uso da tecnologia da informao esto de acordo com a legislao e aderentes s boas prticas de governana de TI. 2. O objetivo maior desta fase consiste em agregar os resultados de todas as fiscalizaes previstas, de modo a sintetizar os achados e as concluses sobre a gesto e uso de TI na Administrao Pblica Federal (APF). 3. O trabalho em questo foi conduzido entre 2010 e 2011, por meio de 21 fiscalizaes, abrangendo 315 organizaes pblicas federais, sendo um levantamento de auditoria; catorze auditorias para avaliao de controles gerais de TI, conduzidas na modalidade Fiscalizao de Orientao Centralizada (FOC); quatro auditorias em objetos especficos de TI; um monitoramento de deliberaes com orientaes aos OGS (rgo que tm a responsabilidade por normatizar e fiscalizar o uso e a gesto de TI em seus respectivos segmentos da APF); e uma fiscalizao consolidada dos vinte trabalhos anteriores, que se materializaram no relatrio ora em apreciao. 4. As questes de auditoria abordaram tanto aspectos operacionais quanto de legalidade, o que fez com que a iniciativa tomasse a forma de uma auditoria integrada. O levantamento do perfil foi realizado por meio de trinta questes, subdivididas em 152 itens, organizadas segundo sete (das oito) dimenses do Gespblica: liderana, estratgias e planos, cidados, sociedade, informaes e conhecimento, pessoas e processos (anexo 2, fls. 25v-26v). 5. Cada uma das catorze auditorias que integraram a FOC de avaliao de controles gerais de TI foi realizada por meio das doze questes de auditoria listadas no item 34 e seus subitens da instruo transcrita no Relatrio precedente. 6. Neste momento, entendo relevante mencionar que, j em 2007, o TCU realizou duas grandes fiscalizaes em TI, uma sobre governana e outra relativa governana e terceirizao. Esses trabalhos deram origem a dois dos mais importantes acrdos sobre a matria: o 1.603/2008 e o 2.471/2008, ambos do Plenrio. 7. O Acrdo 1.603/2008 constituiu-se no primeiro levantamento para verificar a situao da governana de TI na Administrao Pblica Federal (APF). A ao foi realizada por meio de uma pesquisa, respondida por 255 unidades jurisdicionadas ao TCU. 8. Os principais resultados da pesquisa mostraram uma situao preocupante da governana de TI federal. Em 2007, entre as organizaes que responderam ao levantamento, pelo menos 57% no tinham carreira especfica para TI; 59% no tinham planejamento estratgico em vigor; 64% no tinham poltica de segurana da informao; 75% no tinham anlise de risco de TI; 88% no tinham plano de continuidade de negcios. Como se v, o primeiro trabalho relevante delineou um panorama desolador.
125

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

9. A segunda grande iniciativa adotada em 2007, resultou no Acrdo 2.471/2008, j no mbito do TMS 6, e expediu diversas recomendaes estruturantes sobre o tema governana de TI. 10. Cito, tambm, por significante, o Acrdo 786/2006-TCU-Plenrio, que induziu a criao da conhecida e importante Instruo Normativa 4, da Secretaria de Logstica e Tecnologia da Informao do Ministrio do Planejamento. 11. Das fiscalizaes mencionadas no item 3 deste Voto, informo que apresentei a este colegiado o resultado consolidado do levantamento efetuado pela Sefti, em 2010, para avaliar a governana de tecnologia da informao em 315 rgos e entidades das administraes direta e indireta dos trs poderes da Unio (Acrdo 2.308/2010 Plenrio). 12. Destaquei, naquela oportunidade, a importncia da atuao desta Corte com relao matria, eis que, a partir da identificao de pontos vulnerveis, seria possvel ao Tribunal, em primeiro lugar, atuar como indutor do aperfeioamento da governana de TI no setor pblico e, em segundo lugar, identificar e disseminar entre as unidades jurisdicionadas os bons exemplos e modelos identificados. 13. Apontei, ainda, as concluses mais significativas do levantamento, que permitiu constatar, em sntese, que: a) mais de 60% das organizaes no possui planejamento estratgico de TI; b) algumas organizaes continuam a ter sua TI totalmente controlada por pessoas estranhas a seus quadros de pessoal; c) so graves os problemas de segurana da informao, j que informaes crticas no so protegidas adequadamente; d) metade das organizaes no possui mtodo ou processo para desenvolvimento de softwares e para aquisio de bens e servios de informtica, o que gera riscos de irregularidades em contrataes; e) a atuao sistemtica da alta administrao com respeito TI ainda incipiente; f) mais da metade das organizaes est no estgio inicial de governana de TI, e apenas 5% encontram-se em estgio aprimorado. 14. Apresentei, tambm, ao Plenrio, o monitoramento das determinaes e recomendaes estruturantes, apreciados por meio do Acrdo 1.145/2011-TCU-Plenrio, que permitiu constatar, em linhas gerais, que, graas s medidas estruturantes adotadas, os rgos superiores lograram instituir um arcabouo normativo incipiente para dar sustentao a um modelo de governana de TI na administrao pblica federal e que o poder Executivo e o poder Judicirio trilharam caminhos distintos: enquanto o primeiro procurou, primordialmente, estabelecer um modelo de contrataes de bens e servios de TI e criar controles gerais relativos gesto da segurana da informao, o segundo optou por concentrar esforos no aprimoramento da governana na rea de planejamento. 15. As 19 auditorias sobre controles gerais, por sua vez, j foram todas apreciadas por este Plenrio, entre novembro de 2010 e setembro de 2011. Em todas aquelas fiscalizaes foi constatada a fragilidade da governana de TI federal e a existncia de falhas e oportunidades de melhoria bastante similares, o que permitiu comprovar a propriedade do levantamento geral h pouco mencionado. 16. Uma das 4 auditorias especficas, realizada no Departamento Nacional de Infraestrutura de Transportes (Dnit), com o objetivo de avaliar o Sistema de Acompanhamento de Contratos (Siasc) daquela autarquia, especialmente no tocante integralidade e confiabilidade das bases de dados do sistema e sua compatibilidade com as regras de negcios da entidade (TC 010.474/2010-2), tambm j foi apreciada por meio do Acrdo 2831/2011-TCU-Plenrio. 17. No mencionado Acrdo, foram expedidas determinaes corretivas e recomendaes de natureza estruturante ao Dnit, ante a constatao de que o sistema Siasc, que contm informaes de grande materialidade, crtico para o funcionamento da autarquia e para a administrao da poltica viria da Unio, apresenta graves problemas relacionados segurana da informao e desconformidade na implementao de importantes regras de negcios, falhas decorrentes da baixa maturidade tanto da governana de TI, quanto da governana corporativa, tema que ser abordado com mais profundidade na sequncia deste Voto. 18. Ainda esto pendentes de apreciao duas das auditorias especficas realizadas no Servio Federal de Processamento de Dados Serpro, SRF/MF e Secretaria Executiva do Ministrio do
126

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

Planejamento, Oramento e Gesto (SE/MP) (TC 022.241/2010-8) e Ministrio da Cincia e Tecnologia CGTI/MCT (029.120/2010-1), que oportunamente trarei apreciao deste Plenrio. No entanto, as informaes e os achados dos referidos processos sero consideradas no resultado da consolidao. O processo TC 029.074/2010-0, que se refere auditoria realizada na Secretaria Executiva do Ministrio da Sade (SE/MS) e Secretaria de Ateno Sade (SAS/MS), j foi apreciado por meio do Acrdo 1137/2012-TCU-2 Cmara. 19 Como resultado da avaliao empreendida, tenho por relevante destacar os principais pontos relativos a cada uma das questes de auditoria: 19.1 processo de planejamento estratgico institucional: foi constatado que mais da metade dos auditados no possuem planos de negcios de longo prazo. exceo do Ministrio da Sade, os demais auditados tinham planos incompletos e apresentavam outras falhas decorrentes da ausncia da totalidade das caractersticas da Gespblica (item 74 do relatrio); 19.2. processo de planejamento estratgico de TI: foi constatado que nove dos catorze auditados no possuem os planos em questo, enquanto os demais auditados tinham planos incompletos ou apresentavam outras falhas decorrentes da ausncia da totalidade das caractersticas elencadas no item 91 do Relatrio. Tal situao pode ser ainda mais crtica, vez que dois dos rgos que declararam possuir o processo, ante a ausncia de evidncias apresentadas s equipes, de fato no o possuem; 19.3. estrutura de TI: foi relatado que em sete auditados o comit no estava institudo e em outros cinco estava institudo, mas no era atuante. Somente em dois entes identificaram-se comits atuantes. Ainda h organizaes em que as atividades de gesto so exercidas, na prtica, por no servidores pblicos. A quase totalidade dos auditados no possui avaliao das suas necessidades de pessoal no setor de TI, a despeito do recorrente argumento de que falta pessoal nesses setores. Tal situao pode ser ainda mais significativa, pois houve um auditado que declarou possuir comit institudo, mas que, ante a ausncia de evidncias apresentadas pela equipe do TCU, de fato no possui; 19.4. oramento de TI: restou evidenciado que, em dez dos treze jurisdicionados auditados, foram registradas desconformidades no processo oramentrio. Foi observado ente pblico sem previso de oramento para TI na LOA. Compulsando os dados oferecidos pela SOF/MP no levantamento auditoria (TC 001.484/2010-9), identificaram-se dezenas de rgos e entidades sem previso de gastos com TI. Tal constatao inquietante, ante a notria dependncia de TI de todas as organizaes; 19.5. processo de software: foi observado que a totalidade dos auditados avaliados tem problemas, sendo que a maioria deles (dez) no possua processo de software. Assim a concluso que, quando contratam servios de desenvolvimento ou manuteno de software, fazem-no de forma ilegal, em virtude da indefinio do objeto; 19.6. processo de gerenciamento de projetos: observou-se que a definio de uma estrutura para gerenciamento de projetos no prtica dos auditados, ainda que seja razovel supor que todos eles conduzem projetos de tecnologia da informao. Por meio do Acrdo 2.308/2010-TCU-Plenrio, disponibilizou-se informao de que pelo menos 69% dos pesquisados no adotam um padro para gerenciamento de projetos de TI; 19.7. processo de gesto de servios: no monitoramento realizado por meio do TC 028.772/2010-5 (Acrdo 1.145/2011-TCU-Plenrio), identificou-se que os OGS promoveram algum tido de orientao aos seus jurisdicionados quanto necessidade de implementar e aperfeioar a gesto de nveis de servio. No entanto, o cenrio evidenciado sugere que oportuna e conveniente atuao mais contundente dos OGS; 19.8. segurana da informao: os dados coletados que culminaram no Acrdo 2.308/2010TCU-Plenrio permitiram sinalizar que a situao da segurana da informao na APF era crtica. Em 2007, j havia o entendimento de que a maior parte das instituies estava exposta a riscos diversos e no mapeados. Hoje, alm de a Administrao estar merc dos mesmos riscos, no est agindo para sanelos com a agilidade que o caso requer. Foi evidenciado nos trabalhos que houve doze situaes em que as evidncias apresentadas s equipes do TCU no corroboram as respostas apresentadas s perguntas do perfil GovTI2010 no tema segurana da informao, sugerindo que a situao que foi declarada como muito ruim, pode ser de fato pior;
127

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

19.9. processo de capacitao em TI: constatou-se que apenas um auditado planejou nos termos esperados. Por meio do Acrdo 2.308/010-TCU-Plenrio, obteve-se a informao de que pelo menos 45% dos pesquisados no tm critrio para avaliao e atendimento aos pedidos de capacitao em gesto de TI. Entretanto, as informaes obtidas pela equipe deste TCU sugerem que o percentual de entes da APF que no possuem tais critrios pode ser de fato ainda maior; 19.10. processo de contratao de solues de TI: os resultados sintetizados a partir das verificaes in loco possibilitaram aferir que a ausncia de controles no procedimento de contratao contribui para que o processo da IN - SLTI 4/2008 no seja cumprido ou os estudos tcnicos preliminares no sejam realizados. Constatou-se, tambm, que o descumprimento do processo da IN - SLTI 4/2008 ou a no realizao dos estudos tcnicos preliminares, alm da ausncia de controles na gesto das avenas, contribui para desconformidades nas contrataes. Sobre o tema, a Sefti destaca que a IN-SLTI/MP 4/2010 (sucessora da IN-SLTI/MP 4/2008), que instituiu processo de contratao de solues de TI no mbito do Sisp, se cumprida, tende a mitigar os riscos nas aquisies de TI; 19.11. monitorao do desempenho da gesto TI: restou evidenciado que quase 80% dos auditados no realizam dita avaliao e os trs que a realizam, fazem-no de forma espordica ou somente a posteriori. 20. Constatou-se, ainda, que a auditoria interna, em mais de 70% dos casos, no utilizada como instrumento de apoio na avaliao que a alta administrao deve realizar. O acrdo 2.308/2010TCU-Plenrio concluiu que a maioria das instituies respondentes no estabelece objetivos de TI, no tem indicadores de desempenho para esses objetivos, no avalia o alcance de objetivos e no toma decises com base nos benefcios de negcios advindos dos sistemas de informaes providos pela TI e que a omisso no cumprimento dessa responsabilidade pela alta administrao causa de ineficincia e no efetividade institucional, que devem ser combatidos. 21. Quanto questo tratada no item 19.11, de se lembrar que o estabelecimento de polticas de TI um tipo de atividade de controle de TI a cargo da alta administrao, tem-se como corolrio que essa alta administrao da APF tem pouca cultura no estabelecimento de controles de TI. 22. Os dados analisados por equipe desta Casa revelaram que houve quatro situaes em que as evidncias apresentadas no corroboram as respostas apresentadas pergunta do perfil GovTI2010, que pesquisou se a alta administrao se responsabiliza pelo estabelecimento e pelo cumprimento das polticas de gesto e uso corporativo de TI, inferindo-se que o percentual de organizaes em que a alta administrao no se responsabiliza pelas polticas de TI ainda maior do que 51% . 23. No h dvida de que a alta administrao da APF responsvel pelas atividades de controle de mais alto nvel, como o estabelecimento de polticas e definio de atividades de controle, que devem ser executadas nos diversos nveis da organizao. Portanto, mais do que adequado cobrar da alta administrao a responsabilidade pelo estabelecimento de estruturas efetivas de controles internos para suas organizaes, consistentes em atividades de controle que devem ser executadas pelos gestores nos diversos nveis da organizao e que podem ou no estarem acompanhadas da criao de uma unidade organizacional, nos moldes propostos no Relatrio de consolidao. 24. Destaco a verificao efetivada em relao ao rgo central do sistema de controle interno do Poder Executivo (CGU). O monitoramento realizado no TC 028.772/20105 registrou que a CGU no considera a fiscalizao das aquisies de TI como questo estruturante e de maior relevncia e que as auditorias de TI ainda no so regularmente realizadas pelo rgo e, ainda, que a CGU no tem estimulando a realizao desse tipo de auditoria nos rgos e nas entidades da APF. 25. Ante essas informaes, concordo com a sugesto da Sefti, de que h oportunidade de melhoria na atuao do rgo central de controle interno do Poder Executivo, ator essencial para aprimoramento do cenrio de governana de TI delineado ao longo deste trabalho. II 26. Tema importantssimo desenvolvido no relatrio diz respeito aos aspectos legais nas contrataes de solues de TI. Os dados declarados pelos jurisdicionados, no levantamento GovTI2010, acerca de suas licitaes e contrataes no ano de 2009, evidenciam que, das 6.442 contrataes declaradas, 47% (3.031) foram originadas do Sistema de Registro de Preos (SRT), por alguma das formas possveis, indicando tendncia de a APF dar cumprimento Lei 8.666/1993, art. 15, inciso II.
128

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

27. A unidade tcnica constatou, no entanto, que dessas 3.031 contrataes por SRP, apenas 17% (199) foram realizadas por meio da prtica de planejamento conjunto entre diversos entes, como fundamentado no Decreto 3.931/2001, art. 2, inciso III. Registra, como agravante, o fato de que 30% (902) foram licitadas para criao de atas de registro de preos que no contaram com outras instituies participantes desde o planejamento da contratao. 28. Entendo ser particularmente preocupante essa constatao, considerando-se que bens e servios de TI dificilmente se enquadrariam nos demais incisos do mencionado Decreto 3.931/2001, pelos quais, em princpio, a criao da ata de registro de preos deve ser fundamentada, a saber:
Art. 2 Ser adotado, preferencialmente, o SRP nas seguintes hipteses: I- quando, pelas caractersticas do bem ou servio, houver necessidade de contrataes frequentes; II quando for mais conveniente aquisio de bens com previso de entrega parceladas ou contratao de servios necessrios administrao para o desempenho de suas funes; (...) IV quando pela natureza do objeto no for possvel definir previamente o quantitativo a se demandado pela administrao.

29. Mais preocupante, ainda, a constatao de que 64% das contrataes por SRP foram realizadas por meio de adeses fundamentadas nos art. 8 do Decreto 3.931/2001, prtica de adeso tardia (por rgo no participante da licitao pelo SRP), mais conhecida como carona. 30. O que se abstrai que, o que deveria ser exceo virou prtica comum. O planejamento conjunto para a criao de ata no vem se realizando. 31. Como bem frisou a unidade tcnica, a problemtica envolvendo a adeso tardia e ilimitada atas de registro de preos tem sido preocupao constante desta Corte de Contas, que j se manifestou contrariamente a sua prtica irrestrita por meio do Acrdo 1.487/2007-TCU-Plenrio, ora em fase de recurso. 32. de se esclarecer que, naquele decisum houve determinao para que fossem reavaliadas as regras previstas na norma regulamentar, de forma a estabelecer limites para a adeso Ata de Registro de Preos por outros rgos e outras entidades. 33. De qualquer forma, reconheo que o planejamento conjunto para a gerao de ata de registro de preo atende ao esprito da legislao quando realizada seguindo os procedimentos definidos no Decreto j mencionado, especialmente, no que tange necessidade de que haja planejamento. Nesse aspecto, alm de dar cumprimento ao princpio constitucional da eficincia, com certeza atender, tambm, ao princpio da legalidade, tornando-se prtica de grande vantajosidade para a administrao, conforme pode ser constatado no exemplo apresentados no Relatrio de consolidao (item 244). 34. Entretanto, certo que a situao se torna muito preocupante se forem consideradas as adeses a atas com indcios de graves irregularidades, como os casos tambm mencionados no Relatrio precedente (itens 246/ 250). 35. A possibilidade de fraude fator que no pode ser afastado nas contrataes de grande vulto. No estou defendendo a presuno de m-f na conduta do gestor que defende a adeso ata de registro ou mesmo da empresa contratada. Entretanto, no adequado ter por razoveis atitudes como as mencionadas no item 248 do Relatrio, a exemplo da no declarao da fundamentao legal que sustenta o motivo da criao da ata; da no realizao do planejamento da contratao, tanto na criao da ata quanto na adeso; da no fixao dos quantitativos mximos que sero adquiridos por meio de ata; da no demonstrao da vantajosidade em aderir ata; e da adeso ata de registro de preos oriunda de licitao com critrios e condies aplicveis ao ente que registrou a ata. 36. A adeso tardia (carona), que deveria ser exceo, tornou-se prtica comum. 37. Nesse sentido, a Sefti prope a realizao de determinaes Secretaria de Logstica e Tecnologia da Informao do Ministrio do Planejamento, Oramento e Gesto (SLTI/MP), com objetivo de mitigar, j no curto prazo, a continuidade de ocorrncias de desconformidades, nos termos constantes do item 251 do Relatrio (fls. 435 do v. 2). 38. Sugeriu, ainda, que determinao anloga deve ser proposta ao Departamento de Coordenao e Governana das Estatais (Dest), ao CNJ e ao CNMP. 39. Tendo em vista a natureza e a relevncia da matria em apreciao, com repercusso em toda a administrao pblica, solicitei a manifestao do Ministrio Pblico junto a este Tribunal, quanto
129

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

matria de direito em relao ao contedo e s propostas relacionadas ao ttulo III, subttulo III.1, do Relatrio de Auditoria. 40. Em resposta, o Parquet elaborou o parecer reproduzido como parte do Relatrio precedente, onde, aps tecer consideraes sobre a matria, afirma que os elementos colhidos na presente auditoria comprovam os problemas que decorrem da adeso ilimitada Ata de Registro de Preos, causados, basicamente, pela marcante ausncia de planejamento dos rgos e das entidades da Administrao Pblica. 41. Defende que o instituto do SRP apresenta grande potencial de proporcionar racionalizao administrativa e economia para os cofres pblicos, no obstante entender que a prtica disseminada em todos os entes da federao, da adeso ilimitada s Atas de Registro de Preos desvirtua o SRP de sua finalidade principal, fundada no planejamento dos rgos e entidades da Administrao Pblica, alm de afrontar a Constituio Federal e a Lei 8.666/93, trazendo, em seu bojo, uma ampla liberalidade que favorece a prtica da fraude, do conluio e da corrupo. 42. Ante todo o exposto, o representante do Ministrio Pblico manifesta-se em conformidade com a anlise realizada no ttulo III, subttulo III.1, do Relatrio de Auditoria, bem como com a proposta formulada pela Sefti no item 251. 43. Como se v, no h divergncia nos entendimentos quanto ao fato de o SRP, se utilizado de acordo com as normas legais vigentes, apresenta potencial fantstico de racionalizar as aquisies de bens e servios pela Administrao Pblica, podendo trazer significativa economia aos cofres pblicos. 44. Entretanto, conforme defende o Parquet, essas vantagens no podem ser obtidas custa do descumprimento da legislao especfica de licitaes ou dos princpios constitucionais que regem a matria. Assim, a adeso ilimitada (ou adeso sem regras claras) s atas, conforme pode ser visto nos pareceres, textos doutrinrios e exemplos trazidos aos autos, poderia representar clara ofensa ao disposto no art. 37, inciso XXI, da Constituio Federal, que exige que compras e servios sejam contratados mediante processo de licitao pblica que assegure igualdade de condies a todos os concorrentes. 45. Por ser o Tribunal rgo essencialmente de controle, no pode deixar de avaliar, tambm, a possibilidade de que a sistemtica de permitir adeses ilimitadas s Atas de Registro de Preos, por intermdio de caronas, possa constituir-se em incentivo a prticas reprovveis, como fraude ao procedimento licitatrio e prtica da corrupo, principalmente em licitaes destinadas ao fornecimento de grande vulto. 46. Confesso que fiquei perplexo com a informao constante no parecer do MP/TCU, de que at sites foram criados por empresas privadas com objetivo de oferecer auxlio nas compras via adeso a atas vlidas de rgos federais, estaduais e municipais, configurando verdadeira explorao comercial das Atas de Registro de Preos. 47. Nota-se, claramente, que a adeso ilimitada Ata de Registro de Preos representa um desvirtuamento do SRP, que tem como pressuposto principal o planejamento das aquisies pela Administrao Pblica, na medida em que propicia a contratao de muito mais itens do que a quantidade efetivamente licitada. Compreendo, tambm, que difcil definir um limite razovel para a adeso. Este, para mim, ainda um ponto rduo e que merece alguma reflexo. 48. Entretanto, as distores experimentadas, na prtica, em relao ao limite mximo de quantitativo passvel de contratao com base no registro de preo, que me levam a concordar com o entendimento da Sefti e do Parquet de que aspecto de fundamental importncia para o regular funcionamento do SRP o devido planejamento que deve ser realizado pelo rgo gerenciador e pelos rgos participantes. Os elementos colhidos na presente auditoria comprovam os problemas que decorrem da adeso ilimitada Ata de Registro de Preos, causados, basicamente, pela marcante ausncia do indigitado planejamento dos rgos e das entidades da Administrao Pblica. 49. Devo observar que interpretao proposta pela unidade tcnica comporta todos os dispositivos legais e regulamentares, inclusive a adeso tardia (carona) prevista no Decreto 3.931/2001, art. 8 Alm do que nessa interpretao, o participante passa a ser a regra e o carona, a exceo, como deve ser em organizaes que atentam ao princpio do planejamento. 50. Ante essas consideraes, manifesto-me em conformidade com a proposta formulada pela Sefti no item 251 do Relatrio precedente que teve anuncia do Ministrio Pblico junto a este Tribunal.
130

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

51. Ainda sobre o tema contratao pela APF, devo destacar as avenas firmadas entre os entes da administrao e o Servio Federal de Processamento de Dados (Serpro). 52. Auditoria-piloto deste TMS (TC 009.982/2010-8, Acrdo 866/2011-TCU-Plenrio) identificou, logo no incio dos trabalhos, a dependncia que alguns entes da administrao poderiam ter em relao entidade. Essa situao j havia sido detectada em fiscalizao realizada por ocasio do TMS 2007 Terceirizao em TI (TC 026.200/2007-3, Acrdo 1.330/2008-TCU-Plenrio). 53. No mbito da fiscalizao que gerou o Acrdo 1.793/2011-TCU-Plenrio, identificou-se que o Serpro recebera mais de R$ 1 bilho oriundos de contratos com rgos e entidades da APF. Assim, pelo risco em razo da dependncia e pela alta materialidade dos contratos com aquela empresa, incluiuse no TMS fiscalizao especfica para avaliar os ditos contratos. 54. Segundo informaes constantes do TC 022.241/2010-8, em 2010, o Serpro possua 236 contratos com a APF, no total de R$ 5.027.481.735,14, sendo dois deles selecionados para anlise: o da Receita Federal do Brasil (RFB) e o do Ministrio do Planejamento, Oramento e Gesto (MP). Em termos de materialidade, a soma do valor desses dois representa mais da metade do valor dos contratos do Serpro (53,5%) e, em termos de abrangncia dos servios, eles contm praticamente todo o espectro de servios fornecidos por aquela empresa, alm de contemplar servios que do suporte a sistemas estratgicos do Governo Federal. 55. Os principais problemas identificados na contratao so oriundos de deficincias no planejamento e esto descritos no item 261 e subitens do Relatrio. J as falhas ou impropriedades observadas na execuo contratual esto descritas no item 263 e subitens. Todas as situaes afrontam o previsto na Lei 8.666/1993, art. 66, que vincula todos os contratos administrativos da APF, inclusive os feitos com o Serpro. 56. Ao mesmo tempo, o relatrio do TC 022.241/2010-8 consigna como bom o modelo do contrato da RFB, bem como eficaz a gesto contratual realizada no mbito daquele rgo, mesmo que o contrato da RFB tenha complexidade acima da mdia. Esta constatao evidencia que possvel firmar e gerir contratos com o Serpro seguindo os preceitos legais e de acordo com as boas prticas. 57. Diante dessas constataes, a Sefti prope que seja expedido determinar SLTI/MP para que oriente os rgos e as entidades sob sua jurisdio para solucionar as ocorrncias verificadas. 58. Na fiscalizao realizada verificaram-se ainda situaes em que o servio prestado pelo Serpro tinha qualidade incompatvel com o previsto no contrato, o que foi objeto de medida corretiva por parte da RFB. Relevante a informao, trazida na instruo, de que, quando o Serpro no atende a um nvel mnimo de servio contratado pela RFB (ou qualquer outro ente pblico), independentemente da glosa no contrato, h impacto nas atividades do rgo contratante, que utiliza seus sistemas de informao para prestar servios sociedade. Exemplos foram colacionados ao Relatrio. 59. Em termos de gesto de TI, foi ressaltado que o Serpro no integra a estrutura do tomador do servio, sendo necessrio gerir a relao advinda do contrato, importante tambm que a gesto dos processos de trabalho do contratante deve ser executada por servidores ou empregados integrantes da sua estrutura organizacional, nos termos preconizados pelo Decreto-Lei 200/1967, art. 10, 7, no podendo ser delegada a funcionrios contratados de terceiros, mesmo que a contratada seja o Serpro. 60. Da mesma forma, a transferncia da execuo dos servios de tecnologia da informao ao Serpro no desobriga a contratante da APF a possuir, alm da gesto da execuo desses servios, estruturas de governana de TI na organizao, diversamente do que foi evidenciado no MP. Nesse sentido, acolho a proposta de expedio de determinao SLTI/MP, bem como determinao anloga deve ser feita ao Dest/MP, ao CNJ e ao CNMP. III 61. Por fim, na Sesso cujo ttulo Governana Corporativa como Limite para o Amadurecimento da Governana de TI, a unidade tcnica discorreu, de forma sucinta, como a doutrina indica que a ausncia de maturidade em governana corporativa limita a maturidade em governana de TI. 62. As informaes foram extradas do estudo elaborado pela Secretaria Adjunta de Planejamento e Procedimento, Diretoria de Mtodos e Procedimentos de Controle. O estudo em questo foi realizado com o objetivo de subsidiar a discusso, no mbito do Senado Federal, para a elaborao de
131

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

anteprojeto de proposta legislativa com a finalidade de estabelecer critrios gerais para controles internos na administrao pblica brasileira. 63. O Trabalho consistiu em identificar como os pases pesquisados trata controles internos em seus ordenamentos jurdicos. Foram pesquisados materiais disponibilizados pelos seguintes pases: Canad, Estados Unidos da Amrica, Chile, Paraguai, Colmbia, Peru e frica do Sul. 64. O estudo demonstrou que a obrigatoriedade de implantar, manter e avaliar controle interno j est incorporada no ordenamento jurdico de diversos pases pesquisados e, ainda, que esses pases adotam modelos de controle interno convergentes, calcados em gerenciamento de riscos e em estruturas de governana e que esses modelos tm por base os principais documentos relacionados gesto de risco e controles internos reconhecidos internacionalmente, como o COSO I/II, o padro AS/NZS 4360 e as diretrizes para as Normas de controle Interno do Setor Pblico, da Intosai. 65. O entendimento da Sefti sobre a questo foi, em sntese, o seguinte: i) a norma brasileira de Governana Corporativa de TI (ABNT NBR ISO/IEC 38.500: 2008, p. 3-4) est baseada em normas internacionais de governana corporativa e deixa claro que todos os mecanismos de gerenciamento organizacional esto sujeitos governana corporativa. Na verdade, h fontes que consideram a governana de TI como sendo parte integrante da governana corporativa; ii) verso 5 do Cobit (com previso de lanamento oficial no incio do prximo ano), um arcabouo de governana de TI tradicionalmente reconhecido no mundo, j procurou garantir o estabelecimento de uma linguagem comum entre as duas governanas e a consistncia desse arcabouo com os padres de governana corporativa; iii) a governana de TI exerce grande influncia sobre as definies da governana corporativa em virtude das possibilidades que a tecnologia da informao oferece de suporte e alavancagem do negcio. Por outro lado, a construo de um modelo de governana de TI sofre a influncia dos princpios gerais da governana corporativa, em especial dos princpios da transparncia e da prestao de contas, e a forma como cada organizao implementa esses princpios dirige a maneira de construir o modelo de governana de TI; iv) embora possa at haver interesse da alta administrao de uma instituio pblica em alcanar um bom nvel de governana de TI, isso no ser possvel at que essa mesma alta administrao lance os fundamentos e construa as estruturas de governana corporativa necessrios para governar todos os seus recursos crticos, tais como pessoas, finanas, TI etc.; v) no caso do setor privado, j h evidncia de que a adoo de boas prticas de governana corporativa est associada com a obteno de resultados superiores de desempenho, em termos de retorno sobre o ativo. Considerando que provvel que o mesmo efeito seja passvel de ocorrer no setor pblico, recomendvel orientar a alta administrao das instituies pblicas federais a adotar as boas prticas de governana corporativa e de TI como forma de alcanar a eficincia constitucionalmente exigida. 66. Informa, na sequncia, que o estudo produzido por este Tribunal, j mencionado neste Voto, foi concludo com sugesto de anteprojeto de proposta legislativa para alterao da Lei de Responsabilidade Fiscal, incluindo uma seo tratando Da gesto de riscos, do Controle Interno e da Governana Corporativa, o que contribui para que seja positivado no ordenamento jurdico brasileiro boas prticas para a adequada governana corporativa contidas em marcos de referncia, como Coso I e II, reconhecidos mundialmente. 67. Sugere que o estudo e a proposta de anteprojeto sejam encaminhados s comisses temticas pertinentes das casas legislativas (Comisso de Finanas e Tributao da Cmara dos Deputados e Comisso de Assuntos Econmicos do Senado Federal), visto que podem vir a subsidiar proposta legislativa de deputados e senadores capazes de contribuir para uma substancial modernizao de nossa legislao, com efeitos diretos na melhoria da governana e gesto pblica nas trs esferas de governo. 68. Sugere, tambm, que este estudo seja encaminhado Cmara de Polticas de Gesto, Desempenho e Competitividade do Conselho de Governo, como subsdios possvel elaborao de normativo tratando de gesto de riscos, do controle interno e da governana corporativa para o poder
132

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

executivo, com fundamento no art. 2, II, do Decreto 7.478/2011, e, no mesmo sentido, sugere o encaminhamento do documento ao CNJ e ao CNMP, com propsito anlogo. 69. Relevante destacar a informao trazida pela unidade tcnica de que as unidades de auditoria interna so atores essenciais boa governana de TI, e ainda lembrar as deficincias dos sistemas de controles internos (controles internos dos gestores e atuao das unidades de auditoria interna), conforme evidenciado neste TMS. 70. Em razo desses elementos, a Sefti sugere oportunidade para que o TCU contribua para o cumprimento do comando previsto no art. 74 Constituio Federal, promovendo aes de controle no sentido de verificar a eficincia e eficcia dos sistemas de controles internos dos poderes. Essas aes estariam alinhadas com o referencial estratgico do TCU em vigor, que contempla como objetivo estratgico Contribuir para a melhoria da gesto e do desempenho da Administrao Pblica, o qual tem como um de seus indicadores o ndice de governana corporativa dos rgos da Administrao Pblica Federal. 71. Devo consignar que vejo com bastante otimismo o nvel dos trabalhos que vm sendo desenvolvidos pelas unidades especializadas desta Corte de Contas. O estudo referenciado nos itens supra e os elementos trazidos na consolidao ora em apreciao mostram como esta Corte de Contas capaz, sim, de contribuir para o aperfeioamento do arcabouo legislativo na rea de controle. O momento propcio, pois a estrutura administrativa est cada vez mais complexa. Os nveis de investimento pblico esto se intensificando e, ao mesmo tempo, a sociedade clama por uma gesto pblica de melhor desempenho. Assim, as estruturas de controle no podem ficar margem dessas exigncias. 72. Como bem frisou o Ministro emrito Ubiratan Aguiar, na apresentao do estudo Critrios Gerais de Controle Interno na Administrao Pblica, a obrigatoriedade legal de implantar, manter e avaliar estruturas de governana, gesto de risco e controles internos na administrao pblica de fundamental importncia para prover razovel segurana quanto ao cumprimento de suas misses e ao alcance dos objetivos fixados pelo Poder Pblico, de modo a restabelecer e manter a reputao das instituies e a confiana da sociedade. 73. Assim, entendo adequadas as propostas formuladas pela Sefti. A iniciativa vem ao encontro das aes que este Tribunal tem desempenhando no sentido de compartilhar informaes relevantes, trabalhos realizados e em andamento que podem apoiar e direcionar o esforo de amadurecimento da governana de Tecnologia de Informao e Corporativa na Administrao Pblica Federal, alm de alinhar-se aos objetivos estratgicos Instituir modelo de governana corporativa e gesto estratgica e Promover a melhoria da governana no TCU constantes, respectivamente, da agenda estratgica do Senado Federal e do Plano Estratgico do TCU. Encaminhe-se, portanto, os documentos conforme sugerido. 74. Quanto ao de controle proposta, depreendo que esta deve ocorrer mediante trabalho de avaliao sistematizada dos sistemas de controles internos dos poderes, motivo pelo qual proponho determinar a Segecex que analise a oportunidade e convenincia de incluir o tema avaliao da eficincia e eficcia dos sistemas de controles internos dos poderes como TMS em futuros planos de fiscalizaes do TCU. 75. Por fim, no poderia deixar de parabenizar, nesta oportunidade, o corpo tcnico desta Casa pela excelncia do trabalho realizado, agradecendo, em particular, a valiosa colaborao dos auditores da Sefti, a quem sado na pessoa do secretrio Cludio Souza Castello Branco, pela dedicao tarefa ora trazida ao Colegiado. 76. Com essas consideraes, acolho integralmente o encaminhamento proposto pela unidade tcnica especializada, e VOTO por que o Tribunal aprove o Acrdo que ora submeto considerao deste Plenrio. Sala das Sesses, em 23 de maio de 2012. AROLDO CEDRAZ Relator
133

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

ACRDO N 1233/2012 TCU Plenrio 1. Processo n TC 011.772/2010-7. 2. Grupo I Classe de Assunto V: Relatrio de Auditoria 3. Interessados/Responsveis: 3.1. Interessada: Secretaria de Fiscalizao de Tecnologia da Informao Sefti. 4. rgo: Ministrio da Sade (vinculador). 5. Relator: Ministro Aroldo Cedraz. 6. Representante do Ministrio Pblico: Subprocurador-Geral Paulo Soares Bugarin. 7. Unidade Tcnica: Sec. de Fisc. de Tec. da Informao (SEFTI). 8. Advogado constitudo nos autos: no h. 9. Acrdo: Trata-se de relatrio consolidado das aes do TMS 6/2010, cujo objeto foi avaliar se a gesto e o uso da tecnologia da informao esto de acordo com a legislao e aderentes s boas prticas de governana de TI. ACORDAM os Ministros do Tribunal de Contas da Unio, reunidos em Sesso Plenria, ante as razes expostas pelo Relator, em: 9.1. recomendar, com fundamento no art. 43, inciso I, da Lei 8.443/1992, c/c o art. 250, inciso III do Regimento Interno do TCU, Cmara de Polticas de Gesto, Desempenho e Competitividade (CGDC) do Conselho de Governo que: 9.1.1 em ateno Decreto-Lei 200/1967, art. 6, inciso I, e art. 7, normatize a obrigatoriedade de que todos os entes sob sua jurisdio estabeleam processo de planejamento estratgico institucional, observando as boas prticas sobre o tema, a exemplo do critrio de avaliao 2 do Gespblica, contemplando, pelo menos (subitem II.1): 9.1.1.1. elaborao, com participao de representantes dos diversos setores da organizao, de um documento que materialize o plano estratgico institucional de longo prazo, contemplando, pelo menos, objetivos, indicadores e metas para a organizao; 9.1.1.2. aprovao, pela mais alta autoridade da organizao, do plano estratgico institucional; 9.1.1.3. desdobramento do plano estratgico pelas unidades executoras; 9.1.1.4. divulgao do plano estratgico institucional para conhecimento dos cidados brasileiros, exceto nos aspectos formalmente declarados sigilosos ou restritos; 9.1.1.5. acompanhamento peridico do alcance das metas estabelecidas, para correo de desvios; 9.1.1.6. divulgao interna e externa do alcance das metas, ou dos motivos de no as ter alcanado; 9.1.2. em ateno Decreto-Lei 200/1967, art. 6, inciso I, e art. 7, normatize a obrigatoriedade de que todos os entes sob sua jurisdio estabeleam processo de planejamento estratgico de TI, observando as boas prticas sobre o tema, a exemplo do processo PO1 Planejamento Estratgico de TI do Cobit 4.1, contemplando, pelo menos (subitem II.2): 9.1.2.1. elaborao, com participao de representantes dos diversos setores da organizao, de um documento que materialize o plano estratgico de TI, contemplando, pelo menos: 9.1.2.1.1. objetivos, indicadores e metas para a TI organizacional, sendo que os objetivos devem estar explicitamente alinhados aos objetivos de negcio constantes do plano estratgico institucional; 9.1.2.1.2. alocao de recursos (financeiros, humanos, materiais etc); 9.1.2.1.3. estratgia de terceirizao; 9.1.2.2. aprovao, pela mais alta autoridade da organizao, do plano estratgico de TI; 9.1.2.3. desdobramento do plano estratgico de TI pelas unidades executoras;
134

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

9.1.2.4. divulgao do plano estratgico de TI para conhecimento dos cidados brasileiros, exceto nos aspectos formalmente declarados sigilosos ou restritos; 9.1.2.5. acompanhamento peridico do alcance das metas estabelecidas, para correo de desvios; 9.1.2.6. divulgao interna e externa do alcance das metas, ou os motivos de no as ter alcanado; 9.1.3. em ateno ao Decreto-Lei 200/1967, art. 6, V, estabelea, normativamente para todos os entes sob sua jurisdio, a obrigatoriedade de a alta administrao implantar uma estrutura de controles internos, mediante a definio de atividades de controle em todos os nveis da organizao para mitigar os riscos de suas atividades no processo de planejamento estratgico institucional (subitem II.11); 9.2. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, Secretaria de Logstica e Tecnologia da Informao (SLTI/MP) que: 9.2.1. normatize a obrigatoriedade de que os entes sob sua jurisdio estabeleam comits de TI, observando as boas prticas sobre o tema, a exemplo do Cobit 4.1, PO4.2 comit estratgico de TI e PO4.3 comit diretor de TI (subitem II.3); 9.2.2. oriente os rgos e entidades sob sua jurisdio a realizar avaliao quantitativa e qualitativa do pessoal do setor de TI, de forma a delimitar as necessidades de recursos humanos necessrias para que estes setores realizem a gesto das atividades de TI da organizao (subitem II.3); 9.2.3. elabore um modelo de processo de software para a os entes sob sua jurisdio, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem II.5); 9.2.4. estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem um processo de software para si, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem II.5); 9.2.5. elabore um modelo de estrutura de gerenciamento de projetos para os entes sob sua jurisdio, observando as boas prticas sobre o tema (e.g., PMBoK; subitem II.6); 9.2.6. estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem um processo de gerenciamento de projetos para si, observando as boas prticas sobre o tema (e.g., PMBoK; subitem II.6); 9.2.7. elabore um modelo de processo de gesto de servios para os entes sob sua jurisdio que inclua, pelo menos, gesto de configurao, gesto de incidentes e gesto de mudana, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem II.7); 9.2.8. estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem processos de gesto de servios para si, incluindo, pelo menos, gesto de configurao, gesto de incidentes e gesto de mudana, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem II.7); 9.2.9. em ateno ao Decreto-Lei 200/1967, art. 6, V, estabelea, normativamente para todos os entes sob sua jurisdio, a obrigatoriedade de a alta administrao implantar uma estrutura de controles internos mediante a definio de atividades de controle em todos os nveis da organizao para mitigar os riscos de suas atividades, pelo menos nos seguintes processos (subitem II.11): 9.2.9.1. planejamento estratgico de TI; 9.2.9.2. funcionamento dos comits de TI; 9.2.9.3. processo oramentrio de TI; 9.2.9.4. processo de software; 9.2.9.5. gerenciamento de projetos; 9.2.9.6.gerenciamento de servios de TI; 9.2.9.7. segurana da informao; 9.2.9.8. gesto de pessoal de TI; 9.2.9.9. contratao e gesto de solues de TI; 9.2.9.10. monitorao do desempenho da TI organizacional. 9.3. determinar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso II, Secretaria de Logstica e Tecnologia da Informao (SLTI/MP) que:
135

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

9.3.1. em ateno ao previsto no Decreto 7.579/2011, art. 4, V, oriente os entes sob sua jurisdio sobre a necessidade de vincular seus contratos de servios de desenvolvimento ou manuteno de software a um processo de software, pois, sem esta vinculao, o objeto do contrato no estar precisamente definido, em desconformidade com o disposto na Lei 8.666/1993, art. 6, inciso IX (subitem II.5); 9.3.2. em ateno ao disposto no Decreto 1.094/1994, art. 2, inciso I, oriente os rgos e entidades sob sua jurisdio para que (subitem III.1): 9.3.2.1. ao realizarem licitao com finalidade de criar ata de registro de preos atentem que: 9.3.2.1.1. devem fundamentar formalmente a criao de ata de registro de preos, e.g., por um dos incisos do art. 2 do Decreto 3.931/2001 (Acrdo 2.401/2006-TCU-Plenrio); 9.3.2.1.2. devem praticar todos os atos descritos no Decreto 3.931/2001, art. 3, 2, em especial o previsto no seu inciso I, que consiste em convidar mediante correspondncia eletrnica ou outro meio eficaz, os rgos e entidades para participarem do registro de preos; 9.3.2.1.3. o planejamento da contratao obrigatrio, sendo que se o objeto for soluo de TI, caso seja integrante do Sisp, deve executar o processo de planejamento previsto na IN SLTI/MP 4/2010 (IN SLTI/MP 4/2010, art. 18, inciso III) ou, caso no o seja, deve realizar os devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); 9.3.2.1.4. a fixao, no termo de convocao, de quantitativos (mximos) a serem contratados por meio dos contratos derivados da ata de registro de preos, previstos no Decreto 3.931/2001, art. 9, inciso II, obrigao e no faculdade do gestor (Acrdo 991/2009-TCU-Plenrio, Acrdo 1.100/2007-TCU-Plenrio e Acrdo 4.411/2010-TCU-2 Cmara); 9.3.2.1.5. em ateno ao princpio da vinculao ao instrumento convocatrio (Lei 8.666/1993, art. 3, caput), devem gerenciar a ata de forma que a soma dos quantitativos contratados em todos os contratos derivados da ata no supere o quantitativo mximo previsto no edital; 9.3.3. quando realizarem adeso ata de registro de preos atentem que: 9.3.3.1. o planejamento da contratao obrigatrio, sendo que se o objeto for soluo de TI, caso seja integrante do Sisp, deve executar o processo de planejamento previsto na IN SLTI/MP 4/2010 (IN SLTI/MP 4/2010, art. 18, inciso III) ou, caso no o seja, realizar os devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); 9.3.3.2. devem demonstrar formalmente a vantajosidade da adeso, nos termos do Decreto 3.931/2001, art. 8; 9.3.3.3. as regras e condies estabelecidas no certame que originou a ata de registro de preos devem ser conformes as necessidades e condies determinadas na etapa de planejamento da contratao (Lei 8.666/1993, art. 6, inciso IX, alnea d, c/c o art. 3, 1, inciso I, e Lei 10.520/2002, art. 3, inciso II); 9.3.4. em ateno ao Decreto 7.579/2011, art. 4, V, oriente os rgos e entidades sob sua jurisdio para que, caso possuam contratos com empresas pblicas prestadoras de servios de TI (subitem III.3): 9.3.4.1. analisem a conformidade dos termos do contrato e do projeto bsico e verifiquem se: 9.3.4.1.1. foi realizado o adequado planejamento da contratao, consistindo na execuo do processo de planejamento previsto na IN SLTI/MP 4/2010 se for integrante do Sisp (IN SLTI/MP 4/2010, art. 18, inciso II) ou, caso no o seja, se foram realizados os devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); 9.3.4.1.2. as especificaes do objeto so precisas e suficientes, em conformidade com a Lei 8.666/1993, art. 6, IX; 9.3.4.1.3. os critrios de mensurao dos servios so precisos e suficientes, de acordo com o determinado na Lei 8.666/1993, art. 6, IX, e (tambm necessrios de acordo com a IN SLTI 4/2010, art. 14, II, a);

136

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

9.3.4.1.4. a metodologia de avaliao da adequao dos produtos precisa e suficiente, de acordo com o determinado na Lei 8.666/1993, art. 6, IX, e (tambm necessria de acordo com a IN SLTI 4/2010, art. 14, II, c); 9.3.4.1.5. as clusulas de penalidades contidas na Lei 8.666/1993, art. 87, de acordo com o determinado na Lei 8.666/1993, art. 55, VII e VIII, so detalhadas e atendem aos princpios da razoabilidade, proporcionalidade e prudncia (e tambm o previsto na IN SLTI 4/2010, art. 15, III, h); 9.3.4.1.6. o modelo de pagamento vinculado a resultados, obedecendo ao princpio constitucional da eficincia (e tambm ao previsto no Decreto 2.271/1997, art. 3, 1, e na IN SLTI 4/2010, art. 15, 2 e 3); 9.3.4.1.7. a justificativa dos preos contratados adequadamente fundamentada em arrazoada pesquisa de mercado, de acordo com o determinado na Lei 8.666/1993, art. 26, III, inclusive com a anlise da planilha de composio de custos dos servios, necessria segundo a Lei 8.666/1993, art. 7, 2, II; 9.3.4.2. caso a anlise realizada de acordo com orientao acima indique desconformidade, elaborem plano de ao para providenciar as adequaes contratuais necessrias, que devero ser realizadas no prazo de 180 dias; 9.3.4.3. mantenham o resultado da anlise de conformidade empreendida em documento formalizado, disposio dos controles externo e interno; 9.3.4.4. informem seu rgo de assessoramento jurdico e sua unidade de auditoria interna da anlise que est sendo empreendida e do resultado obtido; 9.3.5. em ateno ao Decreto 7.579/2011, art. 4, V, oriente os rgos e entidades sob sua jurisdio que (subitem III.3): 9.3.5.1. mesmo que a execuo de seus servios de tecnologia da informao seja transferida mediante contrato ou outro acordo a outra organizao pblica, como as empresas pblicas prestadoras de servios de tecnologia da informao, as atividades de gesto (planejamento, coordenao, superviso e controle) de TI devem ser acometidas a pessoas integrantes do quadro permanente, ou, excepcionalmente, a detentores de cargo em comisso, da organizao contratante, no podendo ser delegadas a pessoas direta ou indiretamente ligadas contratada; 9.3.5.2. a contratao de empresas pblicas prestadoras de servios de tecnologia da informao no afasta a necessidade de a organizao contratante manter estrutura de governana de TI prpria, que direcione e controle a gesto desses contratos bem como a gesto de todos os processos de TI da organizao; 9.4. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Ministrio do Planejamento, Oramento e Gesto que: 9.4.1. em ateno ao Decreto 5.707/2006, art. 5, 2, c/c o art. 1, III, discipline a forma de acesso s funes de liderana nos setores de Tecnologia da Informao, considerando as competncias multidisciplinares necessrias para estas funes, que incluem, mas no se limitam a conhecimentos em TI (subitem II.3). 9.5. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, Secretaria de Oramento Federal (SOF/MP) que: 9.5.1. implante controles para mitigar os riscos de ocorrncia de propostas oramentrias que indevidamente no tenham previso de despesas com tecnologia da informao (subitem II.4); 9.5.2 com base no disposto na Lei 10.180/2001, art. 8, II, c/c Decreto 7.063/2010, art. 17, II, normatize a obrigatoriedade de que todos os entes sob sua jurisdio estabeleam processo de trabalho formal para elaborao e acompanhamento da execuo do oramento, contemplando, pelo menos, a obrigatoriedade de que (subitem II.4): 9.5.2.1. a solicitao do oramento de TI seja feita com base nas estimativas de custos das atividades que pretendam executar, alinhadas aos objetivos do negcio da organizao; 9.5.2.2. haja acompanhamento, ao longo do exerccio financeiro, dos gastos efetuados especificamente com TI. 9.6. determinar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso II, Secretaria de Oramento Federal (SOF/MP) que, em ateno ao Decreto-Lei 200/1967, art. 75,
137

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

encaminhe, Secretaria de Fiscalizao de Tecnologia da Informao do Tribunal de Contas da Unio (Sefti/TCU): 9.6.1. no prazo de quinze dias aps o envio do projeto da Lei de Diretrizes Oramentrias ao Congresso Nacional, as medidas adotadas para permitir a identificao clara, objetiva e transparente da previso dos gastos em TI no Oramento Geral da Unio ou, alternativamente, normatize o processo de trabalho para obteno de ditas informaes, valendo-se da competncia prevista no Decreto 7.063/2010, art. 17, II (subitem II.4); 9.6.2. no prazo de quinze dias aps o envio do Projeto da Lei Oramentria Anual (PLOA) ao Congresso Nacional, relao da previso das despesas com TI que constam do PLOA, em meio magntico, na forma de banco de dados editvel ou planilha eletrnica, no maior detalhamento possvel, preferencialmente no formato encaminhado por meio do Ofcio 06/SECAD/SOF/MP, de 25/2/2010, ou, alternativamente, disponibilize funcionalidade nos seus sistemas informatizados para que a Sefti/TCU possa acessar os dados requeridos para o atendimento da determinao (subitem II.4); 9.6.3. no prazo de quinze dias aps a publicao da Lei Oramentria Anual (LOA), relao da previso das despesas com TI que constam da LOA, em meio magntico, na forma de banco de dados editvel ou planilha eletrnica, no maior detalhamento possvel, preferencialmente no formato encaminhado por meio do Ofcio 06/SECAD/SOF/MP, de 25/2/2010, ou, alternativamente, disponibilize funcionalidade nos seus sistemas informatizados para que a Sefti/TCU possa acessar os dados requeridos para o atendimento da determinao (subitem II.4). 9.7. determinar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso II, Departamento de Coordenao e Governana das Estatais (Dest/MP) que: em ateno ao Decreto-Lei 200/1967, art. 75, encaminhe, Secretaria de Fiscalizao de Tecnologia da Informao do Tribunal de Contas da Unio (Sefti/TCU): 9.7.1. no prazo de quinze dias aps o envio do Projeto da Lei Oramentria Anual (PLOA) ao Congresso Nacional, relao da previso das despesas com TI que constam do PLOA, em meio magntico, na forma de banco de dados editvel ou planilha eletrnica, no maior detalhamento possvel, preferencialmente no formato encaminhado por meio do Ofcio 163/2010/MP/SE/DEST, de 23/2/2010, ou, alternativamente, disponibilize funcionalidade nos seus sistemas informatizados para que a Sefti/TCU possa acessar os dados requeridos para o atendimento da determinao (subitem II.4); 9.7.2. no prazo de quinze dias aps a publicao da Lei Oramentria Anual (LOA), relao da previso das despesas com TI que constam da LOA, em meio magntico, na forma de banco de dados editvel ou planilha eletrnica, no maior detalhamento possvel, preferencialmente no formato encaminhado por meio do Ofcio 163/2010/MP/SE/DEST, de 23/2/2010, ou, alternativamente, disponibilize funcionalidade nos seus sistemas informatizados para que a Sefti/TCU possa acessar os dados requeridos para o atendimento da determinao (subitem II.4); 9.7.3. em ateno ao disposto no Decreto 7.063/2010, art. 6, inciso XII, oriente as entidades sob sua jurisdio para que (subitem III.1): 9.7.3.1. ao realizarem licitao com finalidade de criar ata de registro de preos atentem que: 9.7.3.1.1. devem fundamentar formalmente a criao de ata de registro de preos, e.g., por um dos incisos do art. 2 do Decreto 3.931/2001 (Acrdo 2.401/2006-TCU-Plenrio); 9.7.3.1.2. devem praticar todos os atos descritos no Decreto 3.931/2001, art. 3, 2, em especial o previsto no seu inciso I, que consiste em convidar mediante correspondncia eletrnica ou outro meio eficaz, os rgos e entidades para participarem do registro de preos; 9.7.3.1.3. o planejamento da contratao obrigatrio, sendo obrigatria a realizao dos devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); 9.7.3.1.4. a fixao, no termo de convocao, de quantitativos (mximos) a serem contratados por meio dos contratos derivados da ata de registro de preos, previstos no Decreto 3.931/2001, art. 9, inciso II, obrigao e no faculdade do gestor (Acrdo 991/2009-TCU-Plenrio, Acrdo 1.100/2007-TCU-Plenrio e Acrdo 4.411/2010-TCU-2 Cmara);

138

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

9.7.3.1.5. em ateno ao princpio da vinculao ao instrumento convocatrio (Lei 8.666/1993, art. 3, caput), devem gerenciar a ata de forma que a soma dos quantitativos contratados em todos os contratos derivados da ata no supere o quantitativo mximo previsto no edital; 9.7.3.2. quando realizarem adeso ata de registro de preos atentem que: 9.7.3.2.1. o planejamento da contratao obrigatrio, sendo obrigatria a realizao dos devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); 9.7.3.2.2. devem demonstrar formalmente a vantajosidade da adeso, nos termos do Decreto 3.931/2001, art. 8; 9.7.3.2.3. as regras e condies estabelecidas no certame que originou a ata de registro de preos devem ser conformes as necessidades e condies determinadas na etapa de planejamento da contratao (Lei 8.666/1993, art. 6, inciso IX, alnea d, c/c o art. 3, 1, inciso I, e Lei 10.520/2002, art. 3, inciso II); 9.7.4. em ateno ao disposto no Decreto 7.063/2010, art. 6, inciso XII, oriente as entidades sob sua jurisdio para que, caso possuam contratos com empresas pblicas prestadoras de servios de TI (subitem III.3): 9.7.4.1. analisem a conformidade dos termos do contrato e do projeto bsico e verifiquem se: 9.7.4.1.1. foi realizado o adequado planejamento da contratao, consistindo na execuo do processo de planejamento previsto na IN SLTI/MP 4/2010 se for integrante do Sisp (IN SLTI/MP 4/2010, art. 18, inciso II) ou, caso no o seja, se foram realizados os devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); 9.7.4.1.2. as especificaes do objeto so precisas e suficientes, em conformidade com a Lei 8.666/1993, art. 6, IX; 9.7.4.1.3. os critrios de mensurao dos servios so precisos e suficientes, de acordo com o determinado na Lei 8.666/1993, art. 6, IX, e (tambm necessrios de acordo com a IN SLTI 4/2010, art. 14, II, a); 9.7.4.1.4. a metodologia de avaliao da adequao dos produtos precisa e suficiente, de acordo com o determinado na Lei 8.666/1993, art. 6, IX, e (tambm necessria de acordo com a IN SLTI 4/2010, art. 14, II, c); 9.7.4.1.5. as clusulas de penalidades contidas na Lei 8.666/1993, art. 87, de acordo com o determinado na Lei 8.666/1993, art. 55, VII e VIII, so detalhadas e atendem aos princpios da razoabilidade, proporcionalidade e prudncia (e tambm o previsto na IN SLTI 4/2010, art. 15, III, h); 9.7.4.1.6. o modelo de pagamento vinculado a resultados, obedecendo ao princpio constitucional da eficincia (e tambm ao previsto no Decreto 2.271/1997, art. 3, 1, e na IN SLTI 4/2010, art. 15, 2 e 3); 9.7.4.1.7. a justificativa dos preos contratados adequadamente fundamentada em arrazoada pesquisa de mercado, de acordo com o determinado na Lei 8.666/1993, art. 26, III, inclusive com a anlise da planilha de composio de custos dos servios, necessria segundo a Lei 8.666/1993, art. 7, 2, II; 9.7.4.2. caso a anlise realizada de acordo com orientao acima indique desconformidade, elaborem plano de ao para providenciar as adequaes contratuais necessrias, que devero ser realizadas no prazo de 180 dias; 9.7.4.3. mantenham o resultado da anlise de conformidade empreendida em documento formalizado, disposio dos controles externo e interno; 9.7.4.4. informem seu rgo de assessoramento jurdico e sua unidade de auditoria interna da anlise que est sendo empreendida e do resultado obtido; 9.7.5. em ateno ao disposto no Decreto 7.063/2010, art. 6, inciso XII, oriente as entidades sob sua jurisdio que (subitem III.3): 9.7.5.1. mesmo que a execuo de seus servios de tecnologia da informao seja transferida mediante contrato ou outro acordo a outra organizao pblica, como as empresas pblicas prestadoras de servios de tecnologia da informao, as atividades de gesto (planejamento, coordenao, superviso e controle) de TI devem ser acometidas a pessoas integrantes do quadro permanente, ou,
139

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

excepcionalmente, a detentores de cargo em comisso, da organizao contratante, no podendo ser delegadas a pessoas direta ou indiretamente ligadas contratada; 9.7.5.2. a contratao de empresas pblicas prestadoras de servios de tecnologia da informao no afasta a necessidade de a organizao contratante manter estrutura de governana de TI prpria, que direcione e controle a gesto desses contratos bem como a gesto de todos os processos de TI da organizao. 9.8. Recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Gabinete de Segurana Institucional da Presidncia da repblica (GSI/PR) que: 9.8.1. em ateno Lei 10.168/2003, art. 6, IV, articule-se com as escolas de governo, notadamente Enap, a fim de ampliar a oferta de aes de capacitao em segurana da informao para os entes sob sua jurisdio (subitem II.8); 9.8.2. em ateno a Lei 10.168/2003, art. 6, IV, oriente os rgos e entidades sob sua jurisdio que a implantao dos controles gerais de segurana da informao positivados nas normas do GSI/PR no faculdade, mas obrigao da alta administrao, e sua no implantao sem justificativa passvel da sano prevista na Lei 8.443/1992, art. 58, II (subitem II.8); 9.8.3. reveja a Norma Complementar 4/IN01/DSIC/GSIPR, uma vez que aborda o tema gesto de riscos considerando apenas ativo de informao e no ativo em sentido amplo, como o faz a NBR ISO/IEC 27.002 no item 7.1.1 (subitem II.8). 9.9. Recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Comit Gestor da Poltica Nacional de Desenvolvimento de Pessoal que, em ateno ao Decreto 5.707/2006, art. 7, II e IV: 9.9.1. oriente os rgos e entidades sob sua jurisdio sobre a obrigatoriedade de aprovar o plano anual de capacitao, nos termos do Decreto 5.707/2006, arts. 5 e 2, c/c Portaria MP 208/2006, art. 2, I, e art. 4 (subitem II.9); 9.9.2. estabelea, aps consulta Secretaria de Logstica e Tecnologia da Informao, um programa de capacitao em governana e em gesto de tecnologia da informao (subitem II.9). 9.10. Recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, Controladoria-Geral da Unio (CGU/PR) que: 9.10.1. considere os temas governana de TI, riscos de TI e controles de TI na seleo dos objetos a auditar, consoante o previsto nas boas prticas internacionais para que a atividade de auditoria interna seja mais efetiva (e.g., IPPF 2110.A2, 2120.A1 e 2130.A1; subitem II.11). 9.10.2. oriente as unidades de auditoria interna sob sua orientao normativa a considerar os temas governana de TI, riscos de TI e controles de TI na seleo dos objetos a auditar, consoante o previsto nas boas prticas internacionais para que a atividade de auditoria interna seja mais efetiva (e.g., IPPF 2110.A2, 2120.A1 e 2130.A1; subitem II.11). 9.11. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, Comisso Interministerial de Governana Corporativa e de Administrao de Participaes Societrias da Unio (CGPAR) que: 9.11.1. normatize a obrigatoriedade de que os entes sob sua jurisdio estabeleam comits de TI, observando as boas prticas sobre o tema, a exemplo do Cobit 4.1, PO4.2 comit estratgico de TI e PO4.3 comit diretor de TI (subitem II.3); 9.11.2. oriente os rgos e entidades sob sua jurisdio a realizar avaliao quantitativa e qualitativa do pessoal do setor de TI, de forma a delimitar as necessidades de recursos humanos necessrias para que estes setores realizem a gesto das atividades de TI da organizao (subitem II.3); 9.11.3. discipline a forma de acesso s funes de liderana nos setores de Tecnologia da Informao, considerando as competncias multidisciplinares necessrias para estas funes, que incluem, mas no se limitam a conhecimentos em TI (subitem II.3); 9.11.4. elabore um modelo de processo de software para a os entes sob sua jurisdio, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem II.5);

140

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

9.11.5. estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem um processo de software para si, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem II.5); 9.11.6. elabore um modelo de estrutura de gerenciamento de projetos para os entes sob sua jurisdio, observando as boas prticas sobre o tema (e.g., PMBoK; subitem II.6); 9.11.7. estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem um processo de gerenciamento de projetos para si, observando as boas prticas sobre o tema (e.g., PMBoK; subitem II.6); 9.11.8. estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem processos de gesto de servios para si, incluindo, pelo menos, gesto de configurao, gesto de incidentes e gesto de mudana, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem II.7); 9.11.9. estabelea a obrigatoriedade de que as entidades sob sua jurisdio aprovem um plano anual de capacitao (subitem II.9); 9.11.10. estabelea a obrigatoriedade de que as entidades sob sua jurisdio estabeleam um processo formal para a contratao e gesto de solues de tecnologia da informao (subitem II.10); 9.11.11. oriente as entidades sob sua jurisdio que o processo a ser formalizado em ateno ao item anterior deve ser elaborado a partir das diretrizes expostas no Acrdo 786/2006-TCUPlenrio, que tambm esto contidas no modelo implementado pela IN SLTI/MP 4/2010 (subitem II.10); 9.11.12. em ateno ao Decreto-Lei 200/1967, art. 6, V, estabelea, normativamente para todos os entes sob sua jurisdio, a obrigatoriedade de a alta administrao implantar uma estrutura de controles internos mediante a definio de atividades de controle em todos os nveis da organizao para mitigar os riscos de suas atividades, pelo menos nos seguintes processos (subitem II.11): 9.11.12. 1. planejamento estratgico institucional; 9.11.12.2. planejamento estratgico de TI; 9.11.12.3. funcionamento dos comits de TI; 9.11.12.4. processo oramentrio de TI; 9.11.12. 5. processo de software; 9.11.12.6. gerenciamento de projetos; 9.11.12.7. gerenciamento de servios de TI; 9.11.12. 8. segurana da informao; 9.11.12. 9. gesto de pessoal de TI; 9.11.12.10.contratao e gesto de solues de TI; 9.11.12.11. monitorao do desempenho da TI organizacional. 9.12. Determinar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso II, Comisso Interministerial de Governana Corporativa e de Administrao de Participaes Societrias da Unio (CGPAR) que, em ateno ao previsto no Decreto 6.021/2007, art. 3, I, b, oriente os entes sob sua jurisdio sobre necessidade de vincular seus contratos de servios de desenvolvimento ou manuteno de software a um processo de software, pois, sem essa vinculao, o objeto do contrato no estar precisamente definido, em desconformidade com o disposto na Lei 8.666/1993, art. 6, inciso IX (subitem II.5). 9.13. Recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Conselho Nacional da Justia (CNJ) que: 9.13.1. oriente os rgos e entidades sob sua jurisdio a realizar avaliao quantitativa e qualitativa do pessoal do setor de TI, de forma a delimitar as necessidades de recursos humanos necessrias para que estes setores realizem a gesto das atividades de TI da organizao (subitem II.3); 9.13.2. discipline a forma de acesso s funes de liderana nos setores de Tecnologia da Informao, considerando as competncias multidisciplinares necessrias para estas funes, que incluem, mas no se limitam a conhecimentos em TI (subitem II.3);

141

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

9.13.3. elabore um modelo de processo de software para a os entes sob sua jurisdio, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem II.5); 9.13.4. estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem um processo de software para si, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem II.5); 9.13.5. elabore um modelo de estrutura de gerenciamento de projetos para os entes sob sua jurisdio, observando as boas prticas sobre o tema (e.g., PMBoK; subitem II.6); 9.13.6. estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem um processo de gerenciamento de projetos para si, observando as boas prticas sobre o tema (e.g., PMBoK; subitem II.6); 9.13.7. elabore um modelo de processo de gesto de servios para os entes sob sua jurisdio que inclua, pelo menos, gesto de configurao, gesto de incidentes e gesto de mudana, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem II.7); 9.13.8. estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem processos de gesto de servios para si, incluindo, pelo menos, gesto de configurao, gesto de incidentes e gesto de mudana, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem II.7); 9.13.9. crie procedimentos para orientar os entes sob sua jurisdio na implementao dos seguintes controles (subitem II.8): 9.13.9.1. nomeao de responsvel pela segurana da informao na organizao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 6.1.3 Atribuio de responsabilidade para segurana da informao; 9.13.9.2. criao de comit para coordenar os assuntos de segurana da informao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 6.1.2 Coordenao de segurana da informao; 9.13.9.3. processo de gesto de riscos de segurana da informao, semelhana das orientaes contidas na NBR ISO/IEC 27005 Gesto de riscos de segurana da informao; 9.13.9.4. estabelecimento de poltica de segurana da informao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 5.1 Poltica de segurana da informao; 9.13.9.5. processo de elaborao de inventrio de ativos, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 7.1 Inventrio de ativos; 9.13.9.6. processo de classificao da informao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 7.2 Classificao da informao, processo necessrio segundo o Decreto 4.553/2002, art. 6, 2, inciso II, e art. 67; 9.13.10. oriente os rgos e entidades sob sua jurisdio sobre a obrigatoriedade de aprovar o plano anual de capacitao, nos termos da Resoluo CNJ 90/2009, art. 3 (subitem II.9); 9.13.11. estabelea um programa de capacitao em governana e em gesto de tecnologia da informao (subitem II.9); 9.13.12. a partir das diretrizes expostas no Acrdo 786/2006-TCU-Plenrio, elabore um modelo de processo para contratao e gesto de solues de tecnologia da informao para o Poder Judicirio ou, alternativamente, adote o modelo contido na IN SLTI/MP 4/2010 (subitem II.10); 9.13.13. promova a implementao do modelo elaborado em ateno ao item anterior nos rgos e entidades sob sua jurisdio mediante orientao normativa (subitem II.10); 9.13.14. em ateno ao Decreto-Lei 200/1967, art. 6, V, estabelea, normativamente para todos os entes sob sua jurisdio, a obrigatoriedade de a alta administrao implantar uma estrutura de controles internos mediante a definio de atividades de controle em todos os nveis da organizao para mitigar os riscos de suas atividades, pelo menos nos seguintes processos (subitem II.11): 9.13.14.1. planejamento estratgico institucional; 9.13.14.2. planejamento estratgico de TI; 9.13.14. 3. funcionamento dos comits de TI; 9.13.14.4. processo oramentrio de TI;
142

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

9.13.14. 5. processo de software; 9.13.14.6. gerenciamento de projetos; 9.13.14. 7. gerenciamento de servios de TI; 9.13.14.8. segurana da informao; 9.13.14.9. gesto de pessoal de TI; 9.13.14. 10. contratao e gesto de solues de TI; 9.13.14.11. monitorao do desempenho da TI organizacional; 9.13.15. oriente as unidades de auditoria interna sob sua orientao normativa a considerar os temas governana de TI, riscos de TI e controles de TI na seleo dos objetos a auditar, consoante o previsto nas boas prticas internacionais para que a atividade de auditoria interna seja mais efetiva (e.g., IPPF 2110.A2, 2120.A1 e 2130.A1; subitem II.11); 9.13.16. em ateno Constituio Federal, art. 74, c/c o art. 103-B, 4, I, estabelea sistema de controle interno integrado para todo o Poder Judicirio (subitem II.11). 9.14. determinar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso II, ao Conselho Nacional de Justia (CNJ) que: 9.14.1. em ateno ao previsto na Constituio Federal, art. 103-B, 4, II, oriente os entes sob sua jurisdio sobre necessidade de vincular seus contratos de servios de desenvolvimento ou manuteno de software a um processo de software, pois, sem esta vinculao, o objeto do contrato no estar precisamente definido, em desconformidade com o disposto na Lei 8.666/1993, art. 6, inciso IX (subitem II.5); 9.14.2. em ateno ao previsto na Constituio Federal, art. 103-B, 4, II, oriente os rgos e entidades sob sua jurisdio para que (subitem III.1): 9.14.2.1. ao realizarem licitao com finalidade de criar ata de registro de preos atentem que: 9.14.2.1.1. devem fundamentar formalmente a criao de ata de registro de preos, e.g., por um dos incisos do art. 2 do Decreto 3.931/2001 (Acrdo 2.401/2006-TCU-Plenrio); 9.14.2.1.2. devem praticar todos os atos descritos no Decreto 3.931/2001, art. 3, 2, em especial o previsto no seu inciso I, que consiste em convidar mediante correspondncia eletrnica ou outro meio eficaz, os rgos e entidades para participarem do registro de preos; 9.14.2.1.3. o planejamento da contratao obrigatrio, sendo obrigatria a realizao dos devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); 9.14.2.1.4. a fixao, no termo de convocao, de quantitativos (mximos) a serem contratados por meio dos contratos derivados da ata de registro de preos, previstos no Decreto 3.931/2001, art. 9, inciso II, obrigao e no faculdade do gestor (Acrdo 991/2009-TCU-Plenrio, Acrdo 1.100/2007-TCU-Plenrio e Acrdo 4.411/2010-TCU-2 Cmara) 9.14.2.1.5. em ateno ao princpio da vinculao ao instrumento convocatrio (Lei 8.666/1993, art. 3, caput), devem gerenciar a ata de forma que a soma dos quantitativos contratados em todos os contratos derivados da ata no supere o quantitativo mximo previsto no edital; 9.14.3. quando realizarem adeso ata de registro de preos atentem que: 9.14.3.1. o planejamento da contratao obrigatrio, sendo obrigatria a realizao dos devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); 9.14.3.2. devem demonstrar formalmentea vantajosidade da adeso, nos termos do Decreto 3.931/2001, art. 8; 9.14.3.3. as regras e condies estabelecidas no certame que originou a ata de registro de preos devem ser conformes as necessidades e condies determinadas na etapa de planejamento da contratao (Lei 8.666/1993, art. 6, inciso IX, alnea d, c/c o art. 3, 1, inciso I, e Lei 10.520/2002, art. 3, inciso II); 9.14.4. em ateno ao previsto na Constituio Federal, art. 103-B, 4, II, oriente os rgos e entidades sob sua jurisdio para que, caso possuam contratos com empresas pblicas prestadoras de servios de TI (subitem III.3): 9.14.4.1. analisem a conformidade dos termos do contrato e do projeto bsico e verifiquem se:
143

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

9.14.4.1.1. foi realizado o adequado planejamento da contratao, consistindo na execuo do processo de planejamento previsto na IN SLTI/MP 4/2010 se for integrante do Sisp (IN SLTI/MP 4/2010, art. 18, inciso II) ou, caso no o seja, se foram realizados os devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); 9.14.4.1. 2. as especificaes do objeto so precisas e suficientes, em conformidade com a Lei 8.666/1993, art. 6, IX; 9.14.4.1.3. os critrios de mensurao dos servios so precisos e suficientes, de acordo com o determinado na Lei 8.666/1993, art. 6, IX, e (tambm necessrios de acordo com a IN SLTI 4/2010, art. 14, II, a); 9.14.4.1.4. a metodologia de avaliao da adequao dos produtos precisa e suficiente, de acordo com o determinado na Lei 8.666/1993, art. 6, IX, e (tambm necessria de acordo com a IN SLTI 4/2010, art. 14, II, c); 9.14.4.1.5. as clusulas de penalidades contidas na Lei 8.666/1993, art. 87, de acordo com o determinado na Lei 8.666/1993, art. 55, VII e VIII, so detalhadas e atendem aos princpios da razoabilidade, proporcionalidade e prudncia (e tambm o previsto na IN SLTI 4/2010, art. 15, III, h); 9.14.4.1.6. o modelo de pagamento vinculado a resultados, obedecendo ao princpio constitucional da eficincia (e tambm ao previsto no Decreto 2.271/1997, art. 3, 1, e na IN SLTI 4/2010, art. 15, 2 e 3); 9.14.4.1.7. a justificativa dos preos contratados adequadamente fundamentada em arrazoada pesquisa de mercado, de acordo com o determinado na Lei 8.666/1993, art. 26, III, inclusive com a anlise da planilha de composio de custos dos servios, necessria segundo a Lei 8.666/1993, art. 7, 2, II; 9.14.4.2. caso a anlise realizada de acordo com orientao acima indique desconformidade, elaborem plano de ao para providenciar as adequaes contratuais necessrias, que devero ser realizadas no prazo de 180 dias; 9.14.4.3. mantenham o resultado da anlise de conformidade empreendida em documento formalizado, disposio dos controles externo e interno; 9.14.4.4. informem seu rgo de assessoramento jurdico e sua unidade de auditoria interna da anlise que est sendo empreendida e do resultado obtido; 9.14.5. em ateno ao previsto na Constituio Federal, art. 103-B, 4, II, oriente os rgos e entidades sob sua jurisdio que (subitem III.3): 9.14.5.1. mesmo que a execuo de seus servios de tecnologia da informao seja transferida mediante contrato ou outro acordo a outra organizao pblica, como as empresas pblicas prestadoras de servios de tecnologia da informao, as atividades de gesto (planejamento, coordenao, superviso e controle) de TI devem ser acometidas a pessoas integrantes do quadro permanente, ou, excepcionalmente, a detentores de cargo em comisso, da organizao contratante, no podendo ser delegadas a pessoas direta ou indiretamente ligadas contratada; 9.14.5.2. a contratao de empresas pblicas prestadoras de servios de tecnologia da informao no afasta a necessidade de a organizao contratante manter estrutura de governana de TI prpria, que direcione e controle a gesto desses contratos bem como a gesto de todos os processos de TI da organizao; 9.15. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Conselho Nacional do Ministrio Pblico (CNMP) que: 9.15.1. em ateno ao Decreto-Lei 200/1967, art. 6, inciso I, e art. 7, normatize a obrigatoriedade de que todos os entes sob sua jurisdio estabeleam processo de planejamento estratgico institucional, observando as boas prticas sobre o tema, a exemplo do critrio de avaliao 2 do Gespblica, contemplando, pelo menos (subitem II.1): 9.15.1.1. elaborao, com participao de representantes dos diversos setores da organizao, de um documento que materialize o plano estratgico institucional de longo prazo, contemplando, pelo menos, objetivos, indicadores e metas para a organizao; 9.15.1.2. aprovao, pela mais alta autoridade da organizao, do plano estratgico institucional;
144

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

9.15.1.3. desdobramento do plano estratgico pelas unidades executoras; 9.15.1.4.divulgao do plano estratgico institucional para conhecimento dos cidados brasileiros, exceto nos aspectos formalmente declarados sigilosos ou restritos; 9.15.1.5. acompanhamento peridico do alcance das metas estabelecidas, para correo de desvios; 9.15.1.6. divulgao interna e externa do alcance das metas, ou dos motivos de no as ter alcanado; 9.15.2. em ateno ao Decreto-Lei 200/1967, art. 6, inciso I, e art. 7, normatize a obrigatoriedade de que todos os entes sob sua jurisdio estabeleam processo de planejamento estratgico de TI, observando as boas prticas sobre o tema, a exemplo do processo PO1 Planejamento Estratgico de TI do Cobit 4.1, contemplando, pelo menos (subitem II.2): 9.15.2.1. elaborao, com participao de representantes dos diversos setores da organizao, de um documento que materialize o plano estratgico de TI, contemplando, pelo menos: 9.15.2.1.1. objetivos, indicadores e metas para a TI organizacional, sendo que os objetivos devem estar explicitamente alinhados aos objetivos de negcio constantes do plano estratgico institucional; 9.15.2.1.2. alocao de recursos (financeiros, humanos, materiais etc); 9.15.2.1.3. estratgia de terceirizao; 9.15.2.2. aprovao, pela mais alta autoridade da organizao, do plano estratgico de TI; 9.15.2.3. desdobramento do plano estratgico de TI pelas unidades executoras; 9.15.2.4. divulgao do plano estratgico de TI para conhecimento dos cidados brasileiros, exceto nos aspectos formalmente declarados sigilosos ou restritos; 9.15.2.5. acompanhamento peridico do alcance das metas estabelecidas, para correo de desvios; 9.15.2.6. divulgao interna e externa do alcance das metas, ou os motivos de no as ter alcanado; 9.15.3. normatize a obrigatoriedade de que os entes sob sua jurisdio estabeleam comits de TI, observando as boas prticas sobre o tema, a exemplo do Cobit 4.1, PO4.2 comit estratgico de TI e PO4.3 comit diretor de TI (subitem II.3); 9.15.4. oriente os rgos e entidades sob sua jurisdio a realizarem avaliao quantitativa e qualitativa do pessoal do setor de TI, de forma a delimitar as necessidades de recursos humanos necessrias para que estes setores realizem a gesto das atividades de TI da organizao (subitem II.3); 9.15.5. discipline a forma de acesso s funes de liderana nos setores de Tecnologia da Informao, considerando as competncias multidisciplinares necessrias para estas funes, que incluem, mas no se limitam a conhecimentos em TI (subitem II.3); 9.15.6. elabore um modelo de processo de software para os entes sob sua jurisdio, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem II.5); 9.15.7. estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem um processo de software para si, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem II.5; 9.15.8. elabore um modelo de estrutura de gerenciamento de projetos para os entes sob sua jurisdio, observando as boas prticas sobre o tema (e.g., PMBoK; subitem II.6); 9.15.9. estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem um processo de gerenciamento de projetos para si, observando as boas prticas sobre o tema (e.g., PMBoK; subitem II.6); 9.15.10. elabore um modelo de processo de gesto de servios para os entes sob sua jurisdio que inclua, pelo menos, gesto de configurao, gesto de incidentes e gesto de mudana, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem II.7); 9.15.11. estabelea a obrigatoriedade de que os entes sob sua jurisdio formalizem processos de gesto de servios para si, incluindo, pelo menos, gesto de configurao, gesto de
145

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

incidentes e gesto de mudana, observando as boas prticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem II.7); 9.15.12. estabelea a obrigatoriedade de que os entes sob sua jurisdio implementem os seguintes controles gerais de TI relativos segurana da informao (subitem II.8): 9.15.12.1. nomeao de responsvel pela segurana da informao na organizao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 6.1.3 Atribuio de responsabilidade para segurana da informao; 9.15.12.2. criao de comit para coordenar os assuntos de segurana da informao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 6.1.2 Coordenao de segurana da informao; 9.15.12.3. processo de gesto de riscos de segurana da informao, semelhana das orientaes contidas na NBR ISO/IEC 27005 Gesto de riscos de segurana da informao; 9.15.12.4. estabelecimento de poltica de segurana da informao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 5.1 Poltica de segurana da informao; 9.15.12.5. processo de elaborao de inventrio de ativos, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 7.1 Inventrio de ativos; 9.15.12.6. processo de classificao da informao, semelhana das orientaes contidas na NBR ISO/IEC 27.002, item 7.2 Classificao da informao, processo necessrio segundo o Decreto 4.553/2002, art. 6, 2, inciso II e art. 67; 9.15.13. crie procedimentos para orientar os entes sob sua jurisdio na implementao dos controles listados no item acima (subitem II.8); 9.15.14. estabelea a obrigatoriedade de que os rgos e entidades sob sua jurisdio aprovem um plano anual de capacitao (subitem II.9); 9.15.15. estabelea um programa de capacitao em governana e em gesto de tecnologia da informao (subitem II.9); 9.15.16. a partir das diretrizes expostas no Acrdo 786/2006-TCU-Plenrio, elabore um modelo de processo para contratao e gesto de solues de tecnologia da informao para o Ministrio Pblico ou, alternativamente, adote o modelo contido na IN SLTI/MP 4/2010 (subitem II.10); 9.15.17. promova a implementao do modelo elaborado em ateno ao item anterior nos rgos e entidades sob sua jurisdio mediante orientao normativa (subitem II.10); 9.15.18. em ateno ao Decreto-Lei 200/1967, art. 6, V, estabelea, normativamente para todos os entes sob sua jurisdio, a obrigatoriedade de a alta administrao implantar uma estrutura de controles internos mediante a definio de atividades de controle em todos os nveis da organizao para mitigar os riscos de suas atividades, pelo menos, nos seguintes processos (subitem II.11): 9.15.18.1. planejamento estratgico institucionalinstitucional; 9.15.18.2. planejamento estratgico de TI; 9.15.18.3. funcionamento dos comits de TI; 9.15.18.4. processo oramentrio de TI; 9.15.18.5. processo de software; 9.15.18.6. gerenciamento de projetos; 9.15.18.7. gerenciamento de servios de TI; 9.15.18.8. segurana da informao; 9.15.18.9. gesto de pessoal de TI; 9.15.18. 10. contratao e gesto de solues de TI; 9.15.18.11. monitorao do desempenho da TI organizacional. 9.15.19. oriente as unidades de auditoria interna sob sua orientao normativa a considerar os temas governana de TI, riscos de TI e controles de TI na seleo dos objetos a auditar, consoante o previsto nas boas prticas internacionais para que a atividade de auditoria interna seja mais efetiva (e.g., IPPF 2110.A2, 2120.A1 e 2130.A1; subitem II.11); 9.15.20. em ateno Constituio Federal, art. 74, c/c o art. 103-B, 4, I, estabelea sistema de controle interno integrado para todo o Ministrio Pblico (subitem II.11).
146

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

9.16. determinar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso II, ao Conselho Nacional do Ministrio Pblico (CNMP) que: 9.16.1. em ateno ao previsto na Constituio Federal, art. 130-A, 2, II, oriente os entes sob sua jurisdio sobre necessidade de vincular seus contratos de servios de desenvolvimento ou manuteno de software a um processo de software, pois, sem esta vinculao, o objeto do contrato no estar precisamente definido, em desconformidade com o disposto na Lei 8.666/1993, art. 6, inciso IX (subitem II.5); 9.16.2. em ateno ao previsto na Constituio Federal, art. 130-A, 2, II, oriente os rgos e entidades sob sua jurisdio para que (subitem III.1): 9.16.2.1. ao realizarem licitao com finalidade de criar ata de registro de preos atentem que: 9.16.2.1.1devem fundamentar formalmente a criao de ata de registro de preos, e.g., por um dos incisos do art. 2 do Decreto 3.931/2001 (Acrdo 2.401/2006-TCU-Plenrio); 9.16.2.1.2. devem praticar todos os atos descritos no Decreto 3.931/2001, art. 3, 2, em especial o previsto no seu inciso I, que consiste em convidar mediante correspondncia eletrnica ou outro meio eficaz, os rgos e entidades para participarem do registro de preos; 9.16.2.1.3. o planejamento da contratao obrigatrio, sendo obrigatria a realizao dos devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); 9.16.2.1.4. a fixao, no termo de convocao, de quantitativos (mximos) a serem contratados por meio dos contratos derivados da ata de registro de preos, previstos no Decreto 3.931/2001, art. 9, inciso II, obrigao e no faculdade do gestor (Acrdo 991/2009-TCU-Plenrio, Acrdo 1.100/2007-TCU-Plenrio e Acrdo 4.411/2010-TCU-2 Cmara); 9.16.2.1.5. em ateno ao princpio da vinculao ao instrumento convocatrio (Lei 8.666/1993, art. 3, caput), devem gerenciar a ata de forma que a soma dos quantitativos contratados em todos os contratos derivados da ata no supere o quantitativo mximo previsto no edital; 19.16. 2.2. quando realizarem adeso ata de registro de preos atentem que: 19.16. 2.2.1.o planejamento da contratao obrigatrio, sendo obrigatria a realizao dos devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); 19.16. 2.2.2. devem demonstrar formalmente aa vantajosidade da adeso, nos termos do Decreto 3.931/2001, art. 8; 19.16. 2.2.3. as regras e condies estabelecidas no certame que originou a ata de registro de preos devem ser conformes as necessidades e condies determinadas na etapa de planejamento da contratao (Lei 8.666/1993, art. 6, inciso IX, alnea d, c/c o art. 3, 1, inciso I, e Lei 10.520/2002, art. 3, inciso II); 9.16.3. em ateno ao previsto na Constituio Federal, art. 130-A, 2, II, oriente os rgos e entidades sob sua jurisdio para que, caso possuam contratos com empresas pblicas prestadoras de servios de TI (subitem III.3): 9.16.3.1. analisem a conformidade dos termos do contrato e do projeto bsico e verifiquem se: 9.16.3.1.1. foi realizado o adequado planejamento da contratao, consistindo na execuo do processo de planejamento previsto na IN SLTI/MP 4/2010 se for integrante do Sisp (IN SLTI/MP 4/2010, art. 18, inciso II) ou, caso no o seja, se foram realizados os devidos estudos tcnicos preliminares (Lei 8.666/1993, art. 6, inciso IX); 9.16.3.1.2. as especificaes do objeto so precisas e suficientes, em conformidade com a Lei 8.666/1993, art. 6, IX; 9.16.3.1.3. os critrios de mensurao dos servios so precisos e suficientes, de acordo com o determinado na Lei 8.666/1993, art. 6, IX, e (tambm necessrios de acordo com a IN SLTI 4/2010, art. 14, II, a); 9.16.3.1.4. a metodologia de avaliao da adequao dos produtos precisa e suficiente, de acordo com o determinado na Lei 8.666/1993, art. 6, IX, e (tambm necessria de acordo com a IN SLTI 4/2010, art. 14, II, c);
147

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

9.16.3.1.5 as clusulas de penalidades contidas na Lei 8.666/1993, art. 87, de acordo com o determinado na Lei 8.666/1993, art. 55, VII e VIII, so detalhadas e atendem aos princpios da razoabilidade, proporcionalidade e prudncia (e tambm o previsto na IN SLTI 4/2010, art. 15, III, h); 9.16.3.1.6. o modelo de pagamento vinculado a resultados, obedecendo ao princpio constitucional da eficincia (e tambm ao previsto no Decreto 2.271/1997, art. 3, 1, e na IN SLTI 4/2010, art. 15, 2 e 3); 9.16.3.1.7. a justificativa dos preos contratados adequadamente fundamentada em arrazoada pesquisa de mercado, de acordo com o determinado na Lei 8.666/1993, art. 26, III, inclusive com a anlise da planilha de composio de custos dos servios, necessria segundo a Lei 8.666/1993, art. 7, 2, II; 9.16.3.2. caso a anlise realizada de acordo com orientao acima indique desconformidade, elaborem plano de ao para providenciar as adequaes contratuais necessrias, que devero ser realizadas no prazo de 180 dias; 9.16.3.3. mantenham o resultado da anlise de conformidade empreendida em documento formalizado, disposio dos controles externo e interno; 9.16.3.4. informem seu rgo de assessoramento jurdico e sua unidade de auditoria interna da anlise que est sendo empreendida e do resultado obtido; 9.16.4. em ateno ao previsto na Constituio Federal, art. 130-A, 2, II, oriente os rgos e entidades sob sua jurisdio que (subitem III.3): 9.16.4.1. mesmo que a execuo de seus servios de tecnologia da informao seja transferida mediante contrato ou outro acordo a outra organizao pblica, como as empresas pblicas prestadoras de servios de tecnologia da informao, as atividades de gesto (planejamento, coordenao, superviso e controle) de TI devem ser acometidas a pessoas integrantes do quadro permanente, ou, excepcionalmente, a detentores de cargo em comisso, da organizao contratante, no podendo ser delegadas a pessoas direta ou indiretamente ligadas contratada; 9.16.4.2. a contratao de empresas pblicas prestadoras de servios de tecnologia da informao no afasta a necessidade de a organizao contratante manter estrutura de governana de TI prpria, que direcione e controle a gesto desses contratos bem como a gesto de todos os processos de TI da organizao; 9.17. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Tribunal de Contas da Unio que avalie as orientaes contidas no presente acrdo e adote as medidas necessrias a sua implementao; 9.18. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, Cmara dos Deputados que avalie as orientaes contidas no presente acrdo, e adote as medidas necessrias a sua implementao; 9.19. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Senado Federal que avalie as orientaes contidas no presente acrdo e adote as medidas necessrias a sua implementao; 9.20. dar cincia Casa Civil da Presidncia da Repblica de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 5.135/2004, art. 23, inciso I; 9.21. dar cincia ao Ministrio da Agricultura, Pecuria e Abastecimento de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.127/2010, art. 41, inciso I; 9.22. dar cincia ao Ministrio da Cincia e Tecnologia de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 5.886/2006, art. 38, inciso I; 9.23. dar cincia ao Ministrio da Educao de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.480/2011, art. 38, inciso I. 9.24. dar cincia ao Ministrio da Fazenda de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.482/2011, art. 43, inciso I;
148

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

9.25. dar cincia ao Ministrio da Integrao Nacional de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.472/2011, art. 29, inciso IV; 9.26. dar cincia ao Ministrio da Justia de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 6.061/2007, art. 43, inciso I; 9.27. dar cincia ao Ministrio da Sade de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.530/2011, art. 49, inciso I; 9.28. dar cincia ao Ministrio das Cidades de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 4.665/2003, art. 26, inciso I; 9.29. dar cincia ao Ministrio das Minas e Energia de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 5.267/2004, art. 27, inciso I; 9.30. dar cincia ao Ministrio do Desenvolvimento Agrrio de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.255/2010, art. 22, inciso I; 9.31. dar cincia ao Ministrio do Desenvolvimento Social e Combate Fome de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.493/2011, art. 36, inciso I; 9.32. dar cincia ao Ministrio do Desenvolvimento, Indstria e Comrcio Exterior de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.096/2010, art. 30, inciso I; 9.33. dar cincia ao Ministrio do Esporte de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.529/2011, art. 20, inciso I; 9.34. dar cincia ao Ministrio do Meio Ambiente de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 6.101/2007, art. 43, inciso I; 9.35. dar cincia ao Ministrio do Planejamento, Oramento e Gesto de que o secretrioexecutivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.063/2010, art. 49, inciso I; 9.36.dar cincia ao Ministrio do Trabalho e Emprego de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 5.063/2004, art. 27, inciso I; 9.37.dar cincia ao Ministrio do Turismo de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 6.546/2008, art. 20, inciso I; 9.38. dar cincia ao Ministrio dos Transportes de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 4.721/2003, art. 19, inciso I; 9.39. dar cincia Secretaria de Assuntos Estratgicos da Presidncia da Repblica de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 6.517/2008, art. 7, inciso I; 9.40. dar cincia Secretaria de Relaes Institucionais da Presidncia da Repblica de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 6.207/2007, art. 9, inciso I. 9.41. dar cincia Secretaria-Geral da Presidncia da Repblica de que o secretrioexecutivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 6.378/2008, art. 11, inciso I; 9.42. dar cincia Secretaria de Aviao Civil da Presidncia da Repblica de que o secretrio-executivo no submeteu ao Ministro de Estado o Plano de Ao Global da pasta, o que afronta o Decreto 7.476/2011, art. 18, inciso I; 9.43. recomendar Secretaria-Geral de Controle Externo (Segecex) que avalie a oportunidade e convenincia de incluir em futuros planos de fiscalizao do TCU Tema de Maior Significncia (TMS) com objetivo de avaliar a eficincia e eficcia dos sistemas de controles internos dos
149

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

poderes da Unio, em especial como as unidades de auditoria interna atuam na avaliao da eficcia dos processos de gerenciamento de riscos, controle e governana dos rgos e entidades da Administrao Pblica Federal, levando em considerao, inclusive, as boas prticas internacionais sobre o tema como o IPPF (International Professional Practices Framework) do Instituto de Auditores Internos; 9.44. determinar Secretaria de Fiscalizao de Tecnologia da Informao do TCU (Sefti/TCU) que: ] 9.44.1. promova a divulgao dos critrios de auditoria contidos no Apndice VIII.4, a fim de continuar a atividade de orientao que vem desenvolvendo (subitem I.4); 9.44.2. d publicidade, inclusive por meio do stio do TCU na internet, s informaes acerca de governana de tecnologia da informao que foram solicitadas aos gestores nesta fiscalizao (subitem I.6.2); 9.44.3. monitore as deliberaes do Acrdo 2.308/2010-TCU-Plenrio em conjunto com as proferidas nestes autos (subitem II.11); 9.44.4. divulgue o contedo das seis notas tcnicas existentes, como forma de informar e orientar a APF e a sociedade sobre a existncia do conjunto de normas que regem as aquisies de bens e servios de tecnologia da informao, bem como sobre a jurisprudncia deste Tribunal quanto ao assunto, promovendo, inclusive, a realizao de seminrios, cursos e palestras, caso entenda conveniente (subitem III.2); 9.44.5. encaminhe o estudo elaborado pelo TCU intitulado Critrios gerais de controle interno na administrao pblica (item IV): 9.44.5.1. Cmara de Polticas de Gesto, Desempenho e Competitividade do Conselho de Governo, com objetivo de subsidiar possvel elaborao de normativo para o poder executivo, com fundamento no Decreto 7.478/2011, art. 2, II, tratando de gesto de riscos, do controle interno e da governana corporativa; 9.44.5.2. Conselho Nacional de Justia, com objetivo de subsidiar possvel elaborao de normativo para o poder judicirio, com fundamento na Constituio Federal, art. 103-B, 4, II, tratando de gesto de riscos, do controle interno e da governana corporativa; 9.44.5.3. Conselho Nacional do Ministrio Pblico, com objetivo de subsidiar possvel elaborao de normativo para o ministrio publico, com fundamento na Constituio Federal, art. 130-A, 2, II, tratando de gesto de riscos, do controle interno e da governana corporativa; 9.44.5.4. Comisso de Finanas e Tributao da Cmara dos Deputados, com objetivo subsidiar possvel anteprojeto de proposta legislativa para alterao da Lei de Responsabilidade Fiscal; 9.44.5.5. Comisso de Assuntos Econmicos do Senado Federal, com objetivo subsidiar possvel anteprojeto de proposta legislativa para alterao da Lei de Responsabilidade Fiscal; 9.44.5.6. promova a divulgao, inclusive por meio de eventos, das recomendaes e determinaes dirigidas aos rgos governantes superiores por meio do presente acrdo, como forma de mitigar os riscos da sua implementao; 9.44.5.7. encaminhe cpia deste Acrdo, bem como do relatrio e voto que o fundamentam, assim como da ntegra deste relatrio, (ao)(s): 9.44.5.7.1. entes a que foram dirigidas as determinaes e recomendaes da deliberao; 9.44.5.7.2. Servio Federal de Processamento de Dados (Serpro); 9.44.5.7.3. Comisso de Cincia e Tecnologia, Comunicao e Informtica (CCTCI) da Cmara dos Deputados; 9.44.5.7.4. Subcomisso Permanente de Cincia e Tecnologia e Informtica da Comisso de Cincia e Tecnologia, Comunicao e Informtica (CCTCI) da Cmara dos Deputados; 9.44.5.7.5. Comisso de Cincia, Tecnologia, Inovao, Comunicao e Informtica (CCT) do Senado Federal; 9.44.5.7.6. Subcomisso Permanente de Servios de Informtica (CCTSINF) da Comisso de Cincia, Tecnologia, Inovao, Comunicao e Informtica (CCT) do Senado Federal; 9.44.5.7.7.Tribunais de Contas dos Estados e dos Municpios, para que adotem as medidas que entenderem pertinentes;
150

TRIBUNAL DE CONTAS DA UNIO

TC 011.772/2010-7

9.45. arquivar os presentes autos na Secretaria de Fiscalizao de Tecnologia da Informao. 10. Ata n 19/2012 Plenrio. 11. Data da Sesso: 23/5/2012 Ordinria. 12. Cdigo eletrnico para localizao na pgina do TCU na Internet: AC-1233-19/12-P. 13. Especificao do quorum: 13.1. Ministros presentes: Benjamin Zymler (Presidente), Valmir Campelo, Walton Alencar Rodrigues, Aroldo Cedraz (Relator), Raimundo Carreiro, Jos Jorge, Jos Mcio Monteiro e Ana Arraes. 13.2. Ministro-Substituto convocado: Marcos Bemquerer Costa. 13.3. Ministros-Substitutos presentes: Andr Lus de Carvalho e Weder de Oliveira.
(Assinado Eletronicamente) (Assinado Eletronicamente)

BENJAMIN ZYMLER Presidente Fui presente:


(Assinado Eletronicamente)

AROLDO CEDRAZ Relator

LUCAS ROCHA FURTADO Procurador-Geral

151