€¦ · Web viewTC 010.474/2010-2. Natureza: Relatório de Auditoria. Unidade: Departamento...

TRIBUNAL DE CONTAS DA UNIÃO TC 010.474/2010-2

GRUPO I – CLASSE V – PlenárioTC 010.474/2010-2Natureza: Relatório de Auditoria.Unidade: Departamento Nacional de Infraestrutura de Transportes – Dnit.Responsáveis: Jorge Ernesto Pinto Fraxe, diretor-geral (CPF 108.617.424-00) e Luiz Antônio Pagot, ex-diretor-geral (CPF 435.102.567-00).Advogado constituído nos autos: não há.

SUMÁRIO: Relatório de Auditoria (Fiscalis 491/2010). Avaliação da confiabilidade do sistema eletrônico de acompanhamento de contratos do DNIT. Constatação de falhas e precariedades. Riscos ao funcionamento da autarquia. Determinações, recomendações e comunicações.

RELATÓRIO

A Secretaria de Fiscalização de Desestatização – Sefti realizou auditoria no Departamento Nacional de Infraestrutura de Transportes – Dnit (Fiscalis 491/2010), no período compreendido de 12/4/2010 a 23/7/2010, com o objetivo avaliar o Sistema de Acompanhamento de Contratos – Siac daquela autarquia, especialmente no tocante à integridade e à confiabilidade das bases de dados do sistema e à sua compatibilidade com as regras de negócio da entidade.2. O objeto auditado foi descrito pela equipe de auditoria nos seguintes termos (fl. 78):

“1.2 – Visão geral do objeto2. O objeto desta auditoria é o Sistema de Acompanhamentos de Contratos (Siac) do

Departamento Nacional de Infraestrutura de Transportes (Dnit). Trata-se de sistema informatizado responsável por operacionalizar a gestão dos contratos celebrados pelo Dnit, sobretudo de obras.

3. Esse sistema, disponível via Internet no endereço http://sisdnit.dnit.gov.br/, teve sua implantação concluída em junho de 2009 (anexo 1, fl. 52) como resultado da integração de funcionalidades antes suportadas por diversos sistemas, a saber: Sistema de medições (SMD), Ofício eletrônico de pagamento (OFPG) e os módulos RSuperv (Relatório de Supervisão), RSinal (Relatório de Sinalização), RObras (Relatório de Obras) e RConserv (Relatório de Conservação) do sistema Avanço Físico.

4. O Siac representa um dos três módulos da plataforma SisDnit, que agrega também os sistemas de administração de usuários e de geração de número de contratos (GeCon). Em síntese, por meio do Siac os contratos com as respectivas planilhas de serviço são cadastrados (anexo 2, fl. 2), as medições contratuais são lançadas periodicamente com base nos preços cadastrados previamente (anexo 2, fl. 3) e os processos de pagamento são montados e aprovados (anexo 2, fl. 4).

5. Para que possa cumprir seu objetivo, o sistema é constituído de quatro módulos:a) administração: operacionaliza o cadastro de empresas, vias (rodovias, ferrovias,

hidrovias e portos), índices de reajustamento e seus valores mensais, itens de serviço etc. (anexo 2, fl. 45);

b) contratos: módulo que suporta o cadastro do contrato – contendo dados da licitação/dispensa que o originou, da empresa, do objeto, do fiscal e substituto, da localização da obra, das datas de assinatura e da proposta, do valor inicial do contrato e origem orçamentária dos recursos etc. Neste módulo é realizada também a vinculação do contrato aos itens de serviço previamente cadastrados, à nota de empenho (NE) e à garantia contratual, além do cadastro dos dados dos termos aditivos e apostilamentos (anexo 2, fl. 46);

1


c) medições: permite o registro periódico das medições dos itens de serviço de cada contrato, calculando o valor a ser pago à empresa contratada (anexo 2, fl. 47);

d) ofício eletrônico: suporta a emissão dos Atestados de Execução de Serviço (AES), a montagem eletrônica do processo de pagamento, e a respectiva aprovação do ofício de pagamento, o qual, por sua vez, é encaminhado ao setor contábil-financeiro, iniciando o processo de liquidação contábil e pagamento (anexo 2, fl. 48).

6. Além disso, em todos os módulos é possível realizar consultas diversas e obter relatórios gerenciais.

7. Segundo dados da LOA 2010 (Lei 12.214/2010), a função Transporte operacionalizada pelo Dnit, e suportada pelo Siac, possui rubrica superior a R$ 11 bilhões (anexo 2, fl. 5). Ademais, segundo dados do próprio Siac, há cerca de R$ 24 bilhões em contratos ativos no sistema, para os quais, conveniente lembrar, são lançadas medições periodicamente (anexo 2, fl. 6).

8. O multicitado sistema representa também importante ferramenta de controle, podendo ser utilizada por diversos órgãos públicos, inclusive pelo TCU, conforme previsão das LDO 2010 e 2011, art. 102, inciso XIV (Lei 12.017/2009 e Lei 12.309/2010).

9. Além da alta materialidade das informações gerenciadas pelo Siac, conforme relatado acima, e de sua relevância, trata-se de sistema crítico, que suporta o principal processo de trabalho da atividade fim do Dnit e que, segundo a própria entidade, é capaz de provocar a parada imediata de seu negócio caso o sistema pare, conforme formulário eletrônico respondido pelo Dnit no âmbito do TC 000.390/2010-0 (anexo 2, fl. 7-v).”

3. Os objetivos do trabalho, as respectivas questões de auditoria, a metodologia utilizada e as limitações enfrentadas foram apresentados da seguinte forma (fl. 78/80):

“1.3 – Objetivo e questões de auditoria10. A presente auditoria teve por objetivo avaliar o Sistema de Acompanhamento de

Contratos (Siac), em especial se as bases de dados do sistema são integras confiáveis e representam as regras do negócio.

11. A partir do objetivo do trabalho e a fim de avaliar em que medida os recursos estão sendo aplicados de acordo com a legislação pertinente, formularam-se as questões adiante indicadas:

1 – Há suficiente regulamentação aplicável ao sistema?2 – Há controles gerais de TI que contribuam para a regular gestão de identidades e acessos

no Siac?3 – As informações relativas aos valores dos contratos, itens de serviço contratados,

medições de contrato e atestados de execução de serviços cadastrados na base de dados do Siac são consistentes?

4 – Os itens de serviço e seus respectivos índices de reajustamento são cadastrados e mantidos em conformidade com a legislação aplicável?

5 – Há usuários do Siac ativos indevidamente?6 – As responsabilidades operacionais são definidas segundo as boas práticas?7 – O cadastramento de contratos e aditivos foi realizado segundo a legislação?8 – O cadastramento das empresas dos contratos foi realizado corretamente?9 – O cadastramento dos fiscais dos contratos foi realizado corretamente?10 – As medições foram lançadas dentro dos prazos legais?11 – Os preços dos itens de serviço medidos estão em conformidade com o contrato?12 – Os Atestados de Execução de Serviços (AES) estão em conformidade com as

medições?13 – Os pagamentos autorizados no Sistema de Gestão Financeira (SGF) estão em

conformidade com os correspondentes pagamentos aprovados no Siac?1.4 – Metodologia utilizada

2


12. Nesta fiscalização, que teve como objeto a base de dados do Siac, elaboraram-se procedimentos com vistas a responder as questões de auditoria definidas, executados por meio da ferramenta Audit Command Language (ACL).

13. Em suma, tais procedimentos consistem em cotejar os dados de tabelas da base de dados do Siac com dados do mesmo sistema ou até com dados de outros sistemas.

14. Assim, para a equipe obter conhecimento técnico suficiente sobre a estruturação da base de dados do Siac, durante a fase de planejamento, foram realizadas diversas reuniões com servidores e terceirizados do Dnit, bem como com técnicos do Serpro, empresa pública responsável pelo desenvolvimento e pela manutenção do sistema. Contribuíram para o levantamento de informações nesta etapa servidores da Secob-2 e da Secex/PR.

15. Posteriormente, após ter conhecimento sobre a estrutura da base de dados do Siac, a equipe solicitou os dados do mesmo por meio do Ofício de Requisição 4-491/2010, de 3/5/2010 (fl. 14/14v). Em resposta, uma primeira versão da base solicitada foi encaminhada em um DVD e um CD (anexo 1, fl. 23) por meio do Ofício – AUDINT/Dnit 299/2010, de 18/5/2010 (fl. 16). Contudo, constatou-se que o arquivo contido no DVD estava corrompido, o que fez necessário o encaminhamento de nova versão da base de dados, também em DVD (anexo 1, fl. 34), o que se deu por meio do Ofício – AUDINT/Dnit 319/2010, de 20/5/2010 (fl. 17). Da mesma forma, foi encaminhada outra versão do CD (anexo 1, fl. 30), por meio do Ofício – AUDINT/Dnit 363/2010, de 27/5/2010 (fl. 18).

16. Posteriormente, no intuito de responder as questões de auditoria, a equipe requisitou também dados do Sistema Integrado de Gerência de Recursos Humanos (Sigrhu) do Dnit, por meio do Ofício de Requisição 9-491/2010, de 14/6/2010 (fl. 31). O CD contendo o relatório em formato eletrônico encaminhado em atendimento à solicitação encontra-se acostado à fl. 88 do anexo 1 destes autos.

17. Dados do Sistema de Gestão Financeira (Sgf) do Dnit foram encaminhados à equipe por meio do Ofício – AUDINT/Dnit 476/2010, de 24/6/2010 (fl. 39), em meio eletrônico (anexo 1, fl. 105), após solicitação mediada pelo Ofício de Requisição 10-491/2010, de 14/6/2010 (fl. 34).

18. Após a realização de alguns procedimentos, foram gerados arquivos em formato compatível com Microsoft Excel, entre outros, acostados nestes autos à fl. 1 do anexo 2, nos quais constam os registros com indícios de impropriedades, organizados em pastas por achado.

19. Ademais, a equipe de auditoria contou com a colaboração do Serviço de Soluções e Gestão de Conteúdo (Segec), da Secretaria de Soluções de TI (STI), unidade de apoio técnico e administrativo do TCU, na execução de dois procedimentos de auditoria. Em suma, a Segec gerou uma base de dados, a partir de documentos compatíveis com Microsoft Word, contendo os boletins administrativos internos do Dnit, mantidos pela Autarquia, e realizou parametrizações na ferramenta Administração de Dados Públicos (ADP) com vistas à obtenção das informações de todas as publicações dos extratos de contratos do Dnit no DOU.

20. Como critério de auditoria, além da legislação brasileira aplicável, foram adotados os controles previstos na norma NBR ISO/IEC 27002:2005, código de boas práticas para gestão da segurança da informação, da Associação Brasileira de Normas Técnicas (ABNT), e no Cobit 4.1 (Control OBjectives for Information and related Technology), da Information Systems Audit and Control Association (Isaca), que provê um modelo de boas práticas para governança de tecnologia da informação.

21. Registre-se que os achados preliminares foram apresentados em reuniões com os gestores do Dnit, e que foi oferecida oportunidade para manifestação sobre os fatos narrados (fls. 48 e 70), não tendo o responsável pela Autarquia apresentado contestação.

22. Para a realização deste trabalho, foram utilizadas as diretrizes do roteiro de auditoria de conformidade, publicados na Portaria-Segecex/TCU 26, de 19/10/2009, norma vigente ao tempo do planejamento e da execução dos trabalhos.

1.5 – Limitações

3


23. O Siac teve sua implantação finalizada em junho de 2009 (anexo 1, fl. 52), contudo, como sucedeu outros sistemas de medição e acompanhamento de contratos, há em sua base de dados registros que não foram produzidos pelo Siac, mas migrados desses sistemas legados durante a implantação. Neste processo, algumas informações dos registros migrados foram perdidas, como, por exemplo, o usuário que realizou a criação/alteração do registro original no sistema antigo e a data e horário de tal operação. Dessa forma, considerou-se como período abrangido pela fiscalização o intervalo entre junho de 2009 a maio de 2010 (data da extração dos dados).

24. Além disso, os sistemas sucedidos pelo Siac não possuíam a mesma estrutura de dados e os mesmos campos de informação. Sendo assim, em alguns procedimentos aqui executados, não foi possível verificar todos os dados da atual base do Siac, mas somente os alterados ou, em alguns casos, os produzidos originalmente no Siac.

25. Ademais, ressalte-se que as verificações realizadas no âmbito desta auditoria não foram, em sua grande maioria, exaustivas, uma vez que o sistema possui mais de uma centena de tabelas, cada uma com seu respectivo histórico em outra tabela, tendo sido investigadas apenas as principais tabelas, consideradas em função de sua importância no processo de trabalho e de fatores de risco.

26. Da mesma forma, não foram observadas todas as funcionalidades do sistema, apenas aquelas consideradas mais relevantes, com maior materialidade e risco, obedecendo o escopo e o prazo definidos para a fiscalização. Com efeito, há a possibilidade de haver mais impropriedades no Siac não constantes deste relatório.

27. Outro ponto que se faz mister ressalvar é a inexistência do dicionário de dados do sistema (fl. 14v e anexo 1, fl. 20), artefato essencial na documentação de qualquer sistema informatizado, pois auxilia na navegação dos desenvolvedores, auditores e técnicos responsáveis pela manutenção da base de dados do sistema. Tal fato dificultou a execução dos procedimentos, obrigando a equipe de auditoria a questionar a equipe técnica do Serpro (responsável pelo desenvolvimento do Siac), a cada surgimento de dúvida na fase de execução. A inexistência do dicionário de dados foi noticiada ao Dnit durante os trabalhos de planejamento (fl. 14v).

28. Na execução do procedimento da questão sete, referente à publicação dos contratos e aditivos no DOU, não foi possível definir todas as parametrizações na aplicação ADP (mantida pela Segec) necessárias à obtenção de todas as publicações de extratos de contratos do Dnit no DOU, tendo em vista a falta de padronização na identificação da Autarquia nas publicações de seus extratos de contratos. Dessa forma, o resultado da execução do referido procedimento não foi considerado neste relatório.

29. Na execução da questão oito, relativa à contratação de empresas declaradas inidôneas ou impedidas para contratar com a Administração Pública ou julgadas ímprobas, utilizaram-se as bases de dados de empresas julgadas ímprobas, mantidas pelo Conselho Nacional de Justiça (CNJ), e do Cadastro Nacional de Empresas Inidôneas e Suspensas (Ceis), mantido pela Controladoria-Geral da União (CGU). Contudo, cabe registrar que tais bases não retratam todas as condenações sofridas por empresas, conforme ressaltado pelos gestores dessas bases, e que seus registros por vezes não se apresentam completos, não possuindo, por exemplo, a data inicial e o prazo da sanção em alguns casos (Relatório do Acórdão 1.793/2011-TCU-Plenário).

30. Na execução da questão nove, relativa ao cadastramento dos fiscais de contratos, o procedimento previa a utilização dos boletins internos do Dnit, mantidos pela Autarquia em documentos compatíveis com o Microsoft Word. No entanto, devido à falta de padronização no conteúdo das informações publicadas nas portarias de designação de fiscal – e necessárias ao cruzamento –, tais como número dos contratos e unidade fiscalizadora dos contratos, o procedimento relativo à verificação de divergências entre o cadastramento de fiscais de contratos no Siac e as designações via portaria tornou-se inviável de ser executado.

31. Por fim, cabe registrar também, como será relatado no achado doze (não decorrente de investigação), a precariedade do cadastro de terceirizados mantidos pela entidade ante a

4


inexistência das datas de início e fim da prestação de serviços de cada funcionário, bem como de um número identificador de cada pessoa, a exemplo do CPF.”

4. A partir dos trabalhos realizados, foram encontrados os seguintes achados de auditoria, alguns deles, inclusive, não decorrentes das questões de auditoria formuladas (fls. 80/96):

“2 – ACHADOS DE AUDITORIA2.1 – Ausência de regulamentação acerca da utilização do sistema2.1.1 – Situação encontrada:34. Após consulta aos normativos do Dnit, não se encontrou regulamentação acerca da

utilização do Siac. Tal constatação foi ratificada mediante os itens 1.a e 1.b do Memorando- CGMI/DAF 252/2010 (anexo 1, fl. 64), encaminhado por meio do Ofício – AUDINT/Dnit 457/2010 (fl. 28), em resposta ao Ofício de Requisição 7-491/2010 (fls. 24-27).

35. No mesmo expediente o Coordenador-Geral de Modernização e Informática informa que deverá ser elaborada instrução de serviço regulamentando o uso do Siac, abordando a necessidade de registro de contratos e de medições (anexo 1, fl. 64).

36. A adequada regulamentação do uso do sistema, a qual torne obrigatória sua utilização para automatizar o processo de trabalho de medição e pagamento dos contratos de obra, como as atividades de cadastro de todos os contratos de obras do Dnit, registro de todas as medições com os respectivos prazos máximos para tais operações, definição da unidade organizacional responsável por cada etapa do processo de trabalho e designação do responsável pelo lançamento das medições – representa etapa essencial na institucionalização do Siac, de forma a garantir sua utilização, em vista do princípio da legalidade insculpido no art. 37, caput, da Carta Magna, ampliando, por conseguinte, a efetividade do sistema e o benefício do investimento realizado para desenvolvê-lo e mantê-lo.

37. Além disso, a normatização da utilização do sistema e sua consequente institucionalização contribuem para facilitar a responsabilização de agentes públicos e terceirizados por eventuais operações indevidas no Siac ou por omissões no caso de operações obrigatórias. Considerando ainda a constatada intenção de digitalização dos processos de pagamento suportados pelo Siac, concebendo-se etapas de aprovação mediante assinatura digital (anexo 2, fls. 3-4), conclui-se como indispensável a garantia dos efeitos jurídicos dos atos administrativos realizados exclusivamente no sistema, para o qual contribui sua adequada regulamentação.

2.1.2 – Causa da ocorrência do achado:38. Não identificada.2.1.3 – Efeitos/Consequências do achado:39. Ausência de garantia quanto ao uso do sistema (efeito real);40. Indefinição quanto à competência organizacional por cada etapa do processo de

trabalho operacionalizada pelo Siac (efeito real);41. Dificuldades de responsabilização por operações realizadas no sistema (efeito real).2.1.4 – Critério:42. Constituição Federal, art. 37, caput.2.1.5 – Evidência:43. Memorando – CGMI/DAF 252/2010, itens 1.a e 1.b (anexo 1 – principal – fl. 64).2.1.6 – Conclusão da equipe:44. Não há qualquer regulamentação quanto à utilização do Siac. Por conseguinte, não

há obrigatoriedade jurídica de cadastro dos contratos e das medições nesse sistema pelos servidores em geral, tampouco definição de prazos e responsáveis por tais tarefas. Tal fato impede a institucionalização do Siac e dificulta a responsabilização pelo uso indevido do sistema.

2.1.7 – Proposta de encaminhamento:45. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso

II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes 5


(Dnit) que, em atenção ao princípio da legalidade constante do art. 37, caput, da Constituição Federal, crie normativo que regulamente a utilização do Siac, estabelecendo atribuições e responsabilidades para os agentes envolvidos no processo de gestão contratual operacionalizado pelo sistema.

2.2 – Ausência de política de controle de acesso (PCA) e de gerenciamento de acesso do usuário

2.2.1 – Situação encontrada:46. A norma NBR ISO/IEC 27002:2005, no item 11.1.1 – Política de controle de acesso

recomenda que as regras de controle de acesso e direitos para cada usuário ou grupo de usuários sejam expressas em uma política de controle de acesso (PCA), estabelecendo regras para obtenção de acesso a informações e recursos de TI. Na sequência, em seu item 11.2 – Gerenciamento de acesso do usuário, a norma recomenda ainda que procedimentos formais sejam implementados para controlar a distribuição de direitos de acesso a sistemas de informação e serviços.

47. No âmbito do Dnit, a situação encontrada foi de inexistência de PCA estabelecida, de procedimentos de gerenciamento de acesso de usuários do Siac ou de quaisquer procedimentos formais que disciplinem o controle de acesso lógico ao sistema.

48. Por meio do Ofício de Requisição 11-491/2010 (fl. 35), solicitou-se a PCA estabelecida pelo Dnit, bem como procedimentos de gerenciamento de acesso de usuários do Siac. No Memorando-CGMI/Dnit 253/2010, de 17/6/2010 (anexo 1, fl. 95), encaminhado em resposta, a Autarquia informa de maneira genérica que não utiliza política de acesso ao Siac em conformidade com a norma NBR ISSO/IEC 27.002/2005, nem possui instrução de serviço interna disciplinando o acesso lógico ao sistema.

49. Durante a execução da auditoria, verificou-se também que a inclusão de usuários e concessão de perfil, via de regra, ocorre após as unidades solicitarem à CGMI (Coordenação-Geral de Modernização e Informática) a criação de novo usuário com o perfil desejado. Assim sendo, como a CGMI sequer possui uma norma como referência para a criação de usuários e concessão de perfis, as permissões são concedidas a critério das unidades solicitantes.

50. A ausência de procedimentos padronizados relativos a controle de acesso ao Siac é consequência da ausência de uma política de controle de acesso formalmente estabelecida, podendo trazer dificuldade de responsabilização, risco de acessos não autorizados e de vazamento de informações. Assim, para assegurar a proteção dos ativos de informação do Dnit, sobretudo no tocante ao Siac, uma política de controle de acesso deve ser formalmente aprovada e disseminada na entidade.

51. Como será relatado adiante, a ausência de PCA e de procedimentos de gerenciamento de usuários resultou em um cenário de ex-servidores e ex-terceirizados com usuários do Siac ainda ativos, com direitos de acesso em desacordo com as regras de segregação de funções e incompatíveis com as competências da unidade a que pertencem, entre outras impropriedades.

52. Com efeito, torna-se mandatória a edição, aprovação, formalização e disseminação de uma política de controle de acesso (PCA) a informações e recursos de TI, sobretudo ao Siac, além de procedimentos de gerenciamento de acesso dos usuários do Siac, que, conforme informado pela entidade, representa seu principal sistema informatizado. Registre-se que os temas estão positivados pela Norma Complementar 07/IN01/DSIC/GSI/PR, itens 2.6 e 5.1.

2.2.2 – Causas da ocorrência do achado:53. inexistência de Comitê de Segurança da Informação e Comunicações (Acórdão

866/2011-TCU-Plenário, item 9.2.4);54. inexistência de Gestor de Segurança da Informação e Comunicações (Acórdão

866/2011-TCU-Plenário, item 9.2.5);55. pouco comprometimento da alta direção quanto às questões de segurança da

informação (ausência de seis dos sete controles gerais avaliados, conforme Acórdão 866/2011-TCU-Plenário).

2.2.3 – Efeitos/Consequências do achado:6


56. procedimentos não padronizados relativos a controle de acesso (efeito real);57. deficiência nos controles de acesso aos sistemas e recursos de TI (efeito real);58. dificuldade de responsabilização (efeito potencial);59. risco de acessos não autorizados e de vazamento de informações (efeito potencial).2.2.4 – Critérios:60. Instrução Normativa GSI/PR 1/2008, art. 5º, VII, in fine;61. Norma Complementar 07/IN01/DSIC/GSI/PR, item 2.6;62. Norma Complementar 07/IN01/DSIC/GSI/PR, item 5.1;63. Norma Técnica – ABNT – NBR ISO/IEC 27002, item 11.1.1 – Política de controle

de acesso;64. Norma Técnica – ABNT – NBR ISO/IEC 27002, item 11.2 – Gerenciamento de

acesso do usuário.2.2.5 – Evidência:65. Memorando – CGMI/Dnit 253/2010 (anexo 1 – principal – fl. 95).2.2.6 – Conclusão da equipe:66. O Dnit não possui procedimentos padronizados que controlem o acesso dos usuários

ao Siac, nem uma política de controle de acesso a informações e recursos de TI, sendo então necessária a edição, aprovação, formalização e disseminação de uma política de controle de acesso a informações e recursos de TI, bem como a implementação de processos de registro de usuário, gerenciamento de senhas, gerenciamento de privilégios e análise crítica dos direitos de acesso, com vistas a garantir a efetividade dos procedimentos de controle de acesso operacionalizados para esses processos.

2.2.7 – Propostas de encaminhamento:67. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso

II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que, em atenção à Norma Complementar 07/IN01/DSIC/GSI/PR, item 5.1, implante processos formais de registro de usuário, gerenciamento de senhas, gerenciamento de privilégios e análise crítica dos direitos de acesso, com vistas a garantir a efetividade dos procedimentos de controle de acesso operacionalizados para esses processos, observando ainda as recomendações contidas no item 11.2 e subitens da NBR ISO/IEC 27002:2005.

68. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que, em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII, in fine, e à Norma Complementar 07/IN01/DSIC/GSI/PR, item 2.6, defina uma política de controle de acesso a informações e recursos de TI, com base nos requisitos de negócio e de segurança da informação da entidade, observando ainda as orientações do item 11.1.1 da NBR ISO/IEC 27002:2005.

2.3 – Índices de reajustamento cadastrados em desacordo com os calculados pela FGV

2.3.1 – Situação encontrada:69. Por meio da comparação dos valores mensais de determinados índices setoriais da

construção civil cadastrados no Siac com aqueles calculados pela Fundação Getúlio Vargas (FGV), identificaram-se três registros com valores divergentes dos calculados pela FGV, considerando um total de 1.428 comparações.

70. Buscou-se evidenciar também cada um desses três casos por meio de consultas diretas ao Siac (anexo 2, fls. 8-10) e ao sítio da FGV (anexo 2, fls. 11-13). Em dois desses registros, o valor do Siac diverge em até 0,15% do correto, um para mais (anexo 2, fls. 8 e 11) e outro para menos (anexo 2, fls. 9 e 12). Já no terceiro caso, o valor cadastrado pelo Dnit é 5,51% superior ao calculado pela FGV (anexo 2, fls. 10 e 13).

71. Esses valores mensais dos índices setoriais são utilizados para cálculo do fator de reajustamento dos contratos do Dnit, que, por sua vez, é aplicado no cálculo do reajuste de cada item contratado, via de regra, de acordo com o mês em que a proposta foi elaborada. Para tanto, a

7


Coordenação-Geral de Custos de Infraestrutura (CGCIT) recebe mensalmente da FGV os valores dos índices em planilha eletrônica e os cadastra no Siac.

72. Apesar de haver apenas três registros de índices cadastrados em divergência com os valores da FGV – de um universo de 1.428 comparações –, e da pequena monta da divergência, cada um deles resulta no fator de reajustamento aplicado sobre todos os itens de serviço contratados pelo Dnit que adotam tal índice de reajuste e cujo contrato sofre reajustamento naquele período. Portanto, há o risco de que o erro em um único valor de determinado índice de reajustamento resulte em grande prejuízo ao erário, uma vez que esses valores são utilizados para reajustamento de todos os contratos do Dnit cadastrados no Siac.

73. Considerando que os erros no cadastramento ocorreram em 2005 e 2008 e que a avaliação dos impactos desses erros não estava no escopo da auditoria, propor-se-á determinação para que o Dnit avalie seus impactos e, se for o caso, adote as medidas necessárias com vistas à recuperação dos valores pagos indevidamente.

2.3.2 – Causa da ocorrência do achado:74. Deficiências de controles – Deficiências de controles sobre o processo de

manutenção dos valores mensais dos índices de reajustamento no Siac.2.3.3 – Efeito/Consequência do achado:75. Cálculo incorreto do fator de reajustamento aplicado sobre itens contratados pelo

Dnit (efeito real).2.3.4 – Critérios:76. Lei 8.666/1993, art. 55, inciso III;77. Instrução de Serviço – Dnit 2/2002, item 1.3 (anexo 2, fls. 176-179).2.3.5 – Evidências:78. Arquivo ‘A3\Indices Divergentes da FGV.xls’ constante do CD (anexo 1 – Principal

– fl. 1);79. Relatórios dos valores mensais dos índices de reajustamento retirados do Siac (anexo

2 – principal – fls. 8-10);80. Consultas ao sítio da FGV na Internet (anexo 2 – principal – fls. 11-13).2.3.6 – Conclusão da equipe:81. Conclui-se que há valores dos índices mensais de reajustamento cadastrados no Siac

em desacordo com os cálculos da FGV, provocando erros no cálculo e no pagamento do reajuste dos contratos do Dnit.


III, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que, em atenção à Instrução de Serviço – Dnit 2/2002, item 1.3, avalie os impactos financeiros decorrentes do erro no cadastramento dos três índices de reajustamento contidos no arquivo ‘A3\Indices Divergentes da FGV.xls’ do CD anexo e, se for o caso, adote as providências necessárias para recuperar os valores pagos em virtude do erro.

83. Recomendar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que implante controles para mitigar os riscos de cadastramento de índices de reajustamento em valor diverso do calculado pela Fundação Getúlio Vargas (FGV).

2.4 – Falhas no cadastro dos itens de serviço2.4.1 – Situação encontrada:84. Identificaram-se nas bases do Siac itens de serviço cadastrados em multiplicidade.

Cite-se como exemplo o item ‘PINTURA DE LIGAÇÃO’, que foi registrado nove vezes (linha quatro do arquivo ‘A4\Quantidades de registros de cada item de serviço.xls’, constante do CD acostado à fl. 1 do volume principal).

85. No total, encontraram-se 1.073 itens de serviço com múltiplos registros nas bases de dados analisadas, totalizando 2.536 registros, o que representa cerca de 10% do total de 25.165

8


registros de itens de serviço cadastrados no Siac. Frise-se que para se considerar um registro múltiplo, tomou-se por base o seu nome, sendo que, a mínima diferença do nome entre um registro e outro (a exemplo de um caractere de espaço) não o incluiria na estatística acima. Assim sendo, potencialmente o número de multiplicidades é maior que o encontrado. Ademais, há diversos registros de itens de serviço com nomes atribuídos aleatoriamente, como ‘;;;’, ‘AAAAAAA’, entre outros.

86. Tal situação dificulta ou até impede que o cadastro de itens de serviço do Siac seja utilizado para fins de comparação de valores nas obras contratadas, ou até mesmo para estudos estatísticos acerca do custo efetivo das obras do Dnit, tendo em vista inclusive a intenção, sinalizada em entrevista com os gestores da CGCIT e da CGMI, de unificação do Siac com o futuro sistema de licitações do Dnit.

87. A produção de sistemas de informações inconsistentes para a tomada de decisões no DNIT, particularmente no que se refere às medições e aos pagamentos das obras executadas, foi diagnosticada, inclusive, pelo próprio Dnit, quando da elaboração do seu Plano Diretor de Tecnologia da Informação (PDTI) relativo ao biênio 2009/2010 (anexo 2, fls. 183-183v – evidência emprestada do TC 009.982/2010-8, fl. 19, arquivo ‘PDTI_parte1.pdf’).

88. Em entrevista, representantes da CGCIT relataram à equipe que entendem que, devido à vinculação ao instrumento convocatório, o nome do item de serviço utilizado na licitação deve ser o mesmo utilizado durante a execução contratual. Ocorre que atualmente, devido a não obrigatoriedade de utilização de cadastro unificado nas etapas de contratação e gestão contratual, há licitações que, ao incluir item de serviço no edital com nome semelhante a item já cadastrado na base do Siac, mas designando o mesmo serviço, acaba por gerar multiplicidade de registros do mesmo serviço.

89. De acordo com o art. 2º, caput da IS – Dnit 14/2008, de 14/11/2008 (anexo 2, fl. 31-v), a manutenção do cadastro de itens de serviço do Siac é competência exclusiva da CGCIT, como será detalhado mais adiante no achado 2.7. Dessa forma, a CGCIT deve garantir que toda inclusão ou alteração no cadastro de itens de serviço no Siac e nos sistemas que geram os editais de licitação sejam feitas pelos seus servidores sob orientação única, de forma a evitar ocorrências múltiplas de itens de serviços iguais, duplicidade esta que deve ser evitada, de acordo com a Instrução de Serviço – Dnit 14/2008, art. 1º, caput (anexo 2, fl. 31). Demais disso, considera-se essencial que seja realizada ampla análise do atual cadastro, de maneira a impedir o uso de itens de serviço em duplicidades no cadastramento de novos contratos.

2.4.2 – Causa da ocorrência do achado:90. Deficiências de controles no processo de cadastro de itens de serviço.2.4.3 – Efeito/Consequência do achado:91. Falta de consistência no cadastro de itens de serviços (efeito real);92. Dificuldade de comparação de valores nas obras contratadas (efeito real).2.4.4 – Critério:93. Instrução de Serviço – Dnit 14/2008, art. 2º, caput;94. Instrução de Serviço – Dnit 14/2008, art. 1º, caput.2.4.5 – Evidência:95. Arquivos ‘A4\Quantidades de registros de cada item de serviço.xls’ constante do CD

(volume principal – fl. 1).2.4.6 – Conclusão da equipe:96. O cadastro de itens de serviço, competência da CGCIT, apresenta parte dos itens de

serviço com múltiplas ocorrências do mesmo item, dificultando a utilização do cadastro para fins de análise de custo de obras.


II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que, em atenção à Lei 8.666/1993, art. 3º, caput (princípio da vinculação ao instrumento

9


convocatório), adote um único cadastro de itens de serviço para todos seus sistemas informatizados, de maneira que ele seja utilizado desde a etapa de planejamento da contratação até a gestão dos contratos de obras e serviços.

98. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que, em atenção à Instrução de Serviço – Dnit 14/2008, art. 1º, caput, depure o cadastro de itens de serviço do Siac, com vistas a eliminar a ocorrência de múltiplos registros para um mesmo item.

2.5 – Contas de usuários do Siac ativas indevidamente2.5.1 – Situação encontrada:99. Constataram-se indícios de que há 52 ex-servidores da Autarquia cujos usuários do

Siac ainda se encontram ativos, de acordo com os dados da tabela de usuários datados de 4/6/2010 (arquivo ‘A5\ A5_Usuários ativos indevidamente.XLS’). Tal impropriedade ocorre também com os terceirizados que deixaram de prestar serviços ao Dnit, restando, contudo, evidenciado de maneira amostral, devido à deficiência no cadastro de terceirizados, como detalhado adiante no achado 3.1.

100. Toma-se como exemplo o caso da Srª Isa de Oliveira Lima, servidora aposentada desde 11/2/2010, conforme portaria publicada no DOU (anexo 2, fl. 14). Seu usuário, além de ainda se encontrar ativo no Siac, mesmo após cinco meses do fim do vínculo funcional (anexo 2, fl. 15), possui perfil para realizar as principais operações no sistema, como incluir e alterar contratos e termos aditivos (anexo 2, fls. 15-17), ativar contratos (anexo 2, fls. 15 e 18), lançar e aprovar medições (anexo 2, fls. 15 e 19-20), emitir e aprovar ofícios de pagamento, entre outras (anexo 2, fls. 15 e 21-22), evidenciando inclusive falta de segregação de funções na concessão de perfis de acesso ao sistema (item 2.6 relatado adiante).

101. Em síntese, o procedimento adotado consistiu em identificar a situação funcional dos usuários do Siac, por meio do cotejamento dos dados da tabela de usuários com o cadastro dos servidores do Dnit. Segundo o item 1 do ofício (anexo 1, fl. 76) do então Coordenador de Cadastro e Pagamento, subordinado à Coordenação-Geral de Recursos Humanos do Dnit, o citado cadastro é implementado pelo Sistema Integrado de Gerência de Recursos Humanos (SIGRHU), cujo relatório fora encaminhado a esta equipe em CD (anexo 1, fl. 88) por meio do Ofício – AUDINT/Dnit 458/2010 (fl. 32), incluindo, neste, as datas de ingresso e desligamento da Autarquia obtidas por meio do Sistema Integrado de Administração de Recursos Humanos do Poder Executivo Federal (Siape).

102. De posse dos dados, executou-se o procedimento utilizando-se o CPF como chave de cruzamento. Assim, obtiveram-se os usuários do Siac que são ou já foram servidores da Autarquia, e, entre estes, aqueles que já não possuem mais vínculo funcional com a entidade e ainda possuem seus usuários com o status ativo no sistema.

103. Buscou-se realizar o mesmo procedimento para os terceirizados que possuem acesso ao Siac. Dessa forma, solicitou-se mediante o item 1 do Ofício de Requisição 3-491/2010 (fl. 12) as informações dos terceirizados da Autarquia. Contudo, por meio das planilhas em CD (anexo 1, fl. 13), encaminhadas via Ofício – 254/2010 (fl. 13), constatou-se que o Dnit não possui cadastro unificado dos terceirizados que deixaram de prestar serviços à entidade. Ademais, para viabilizar o procedimento em tela seriam necessárias informações como a data do fim da prestação e um número identificador de cada prestador (e.g. CPF) para ser utilizado como chave de cruzamento, o que não consta nas planilhas encaminhadas, como detalhado no achado 3.1.

104. Todavia, selecionaram-se quatro usuários ativos de terceirizados e, assim, solicitou-se um esclarecimento à entidade acerca da situação dessas pessoas. Por meio da resposta encaminhada (anexo 1, fl. 107), concluiu-se que três desses realmente já haviam deixado de prestar serviços à Autarquia, e seus usuários do Siac ainda encontram-se ativos (anexo 2, fls. 24-26).

105. Na sequência, por meio do Memorando – DIR/Dnit 1.667/2010 (anexo 1, fl. 120), encaminhado em resposta ao Ofício de Requisição 13-491/2010 (fls. 40-42), mediante o Ofício – AUDINT/Dnit 559/25010 (fl. 44), obteve-se a data do fim do vínculo funcional dos três ex-

10


servidores. De posse de tal informação, conclui-se que seis meses após o término da prestação de serviço de tais profissionais, seus usuários continuam ativos no Siac (anexo 2, fls. 24-26). Encontrando-se ativas as contas desses usuários, torna-se possível aos seus titulares a realização de qualquer operação no sistema, de acordo com o perfil concedido.

106. Constataram-se também indícios de que foram realizadas operações por usuários já desligados (Arquivos da pasta ‘A5’ constante do CD; anexo 2 – principal – fl. 1). Verificou-se que houve lançamento (‘A5\A5_Lançamento_medições__ex_servidores.XLS’) e aprovação (‘A5\A5_Aprov_medições__ex_servidores.XLS’) de medições por um usuário após seu desligamento e posterior emissão (‘A5\A5_Emissao_Pagamento_ex_servidores.XLS’) e aprovação (‘A5\A5_Aprov_pagamento__ex_servidores.XLS’) dos respectivos ofícios de pagamento pela mesma pessoa. Neste caso, um mesmo usuário, cinco dias após seu desligamento formal, além de conseguir operar o sistema, realizou diversas operações em desacordo com as regras de segregação de funções.

107. Frise-se que o procedimento aqui executado avaliou somente os dados produzidos após a implantação do Siac, pois, como apontado na seção de limitações, os dados produzidos pelo sistema que antecedeu o Siac – e para este migrados – não permitem a execução desse procedimento, uma vez que a informação do usuário que executou a operação foi perdida na migração, ou sequer era armazenada no sistema anterior.

108. Registre-se ainda que a planejada verificação de inclusão/alteração de usuários por ex-servidores restou inviabilizada após a constatação de uma falha na implementação do sistema, que armazena de maneira equivocada a informação do usuário criador/alterador do registro de outro usuário no momento da troca de senha no sistema, resultando em falta de consistência e confiabilidade dessa informação (usuário criador/alterador) em todos os registros. Tal falha foi diagnosticada pela equipe do Serpro responsável pelo desenvolvimento do Siac, após ser questionada pela equipe de auditoria via mensagem eletrônica (anexo 2, fls. 27-28). Dessa forma, não se verificaram operações realizadas por usuários criados por ex-servidores ou ex-terceirizados com permissão para tal.

109. Anote-se, por fim, que o item 2.2 da Norma Complementar 07/IN01/DSIC/GSI/PR estabelece que ‘A identificação, a autorização, a autenticação, o interesse do serviço e a necessidade de conhecer são condicionantes prévias para concessão de acesso nos órgãos ou entidades da APF’ (grifamos).

2.5.2 – Causa da ocorrência do achado:110. Ausência de políticas e procedimentos para registro e cancelamento de usuário

(achado 2.2).2.5.3 – Efeitos/Consequências do achado:111. Utilização do Siac por servidores e terceirizados que não prestam mais serviços ao

Dnit (efeito real);112. Risco de fraudes no processo de gestão contratual do Dnit (efeito potencial);113. Inconsistência nos dados de usuários mantidos pelo Siac (efeito real);114. Falta de controle organizacional sobre os dados constantes do Siac (efeito potencial).2.5.4 – Critérios:115. Norma Complementar 07/IN01/DSIC/GSI/PR, item 2.2;116. Norma Técnica – ABNT – NBR ISO/IEC 27002, item 11.2.1 – Registro de usuário;117. Norma Técnica – ABNT – NBR ISO/IEC 27002, item 11.2.4 – Análise crítica dos

direitos de acesso de usuário.2.5.5 – Evidências:118. Arquivos da pasta ‘A5’ constante do CD (anexo 2 – principal – fl. 1);119. Portaria de Concessão de Aposentadoria (anexo 2 – principal – fl. 14);120. Memorando – DIR/Dnit 1.640/2010 (anexo 1 – principal – fl. 107);121. Memorando – DIR/Dnit 1.667/2010 (anexo 1 – principal – fl. 120);122. Telas do Siac (anexo 2 – principal – fls. 15-26);

11


123. Mensagem de correio eletrônico (anexo 2 – fls. 27-28).2.5.6 – Conclusão da equipe:124. Verifica-se, portanto, que há diversos usuários do Siac que se encontram ativos

quando seus titulares não possuem vínculos jurídico-funcionais com o Dnit e nem lhe prestam serviços, bem como operações realizadas por esses usuários, evidenciando-se um risco à segurança das informações manipuladas pelo Siac, o que consiste em vulnerabilidade para o cometimento de fraudes à execução dos contratos do Dnit.


II, do Regimento Interno do TCU, à Coordenação-Geral de Modernização e Informática (CGMI) do Dnit que, em atenção às regras de negócio definidas para o Siac, corrija as falhas encontradas no módulo de alteração de senha do Siac.

126. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que, em atenção a Norma Complementar 07/IN01/DSIC/GSI/PR, item 2.2, analise as contas de usuário contidas no arquivo ‘A5\Usuários ativos indevidamente.xls’ constante do CD anexo e, se for o caso, adote as providências necessárias para torná-las inativas.

127. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que, em atenção a Norma Complementar 07/IN01/DSIC/GSI/PR, item 2.2, analise as contas de usuário dos funcionários das empresas prestadoras de serviço e, se for o caso, adote as providências necessárias para torná-las inativas.

2.6 – Atribuição de perfis de usuários e realização de operações em desconformidade com as regras de segregação de funções

2.6.1 – Situação encontrada:128. De acordo com o item 3.IV, da seção VIII, da Instrução Normativa – SFC/CGU

1/2001 e com o item 10.1.3 da NBR ISO/IEC 27002:2005, as operações de registro e de aprovação devem ser segregadas, isto é, realizadas por pessoas necessariamente diferentes.

129. Com base nos fluxos de utilização definidos no manual do Siac (anexo 2, fls. 2-4), nas operações definidas nos módulos do sistema (anexo 2, fls. 45-48), em entrevistas realizadas com os Gestores da Autarquia e nas ratificações das informações obtidas nessas entrevistas constantes do Memorando – CGMI/DAF 252/2010 (anexo 1, fl. 64), encaminhado em resposta ao Ofício de Requisição 7-491/2010 (fls. 24-27), foram identificadas algumas regras de segregação de funções do sistema Siac.

130. Como já comentado na introdução deste relatório, o Siac é constituído de quatro módulos:

1) Administração: Operacionaliza o cadastro de empresas, vias (rodovias, ferrovias, hidrovias e portos), itens de serviço, índices de reajustamento e seus valores mensais etc. (anexo 2, fl. 45).

2) Contratos: Permite o cadastro do contrato, contendo dados da licitação/dispensa que o originou, empresa, objeto, fiscal e substituto, localização da obra, datas de assinatura e da proposta, valor inicial do contrato e origem orçamentária dos recursos etc. Neste módulo é realizada também a vinculação do contrato com os itens de serviço previamente cadastrados, com a nota de empenho (NE) e com garantia contratual, além do cadastro dos dados dos termos aditivos e apostilamentos (anexo 2, fl. 46).

3) Medições: Onde são periodicamente registradas as medições dos itens de serviço de cada contrato, calculando o valor a ser pago à empresa contratada (anexo 2, fl. 47).

4) Ofício eletrônico: Suporta a emissão dos Atestados de Execução de Serviço (AES), a montagem eletrônica do processo de pagamento e a respectiva aprovação do ofício de pagamento, que, por sua vez, é encaminhado ao setor contábil-financeiro, dando início ao processo de liquidação contábil e pagamento (anexo 2, fl. 48).

12


131. Isto posto, passa-se ao relato das responsabilidades pelas principais operações e das regras de segregação de funções observadas.

132. De acordo com o item 1.f do Memorando – CGMI/DAF 252/2010 (anexo 1, fl. 64), a Coordenação-Geral de Modernização e Informática (CGMI) foi apontada como responsável pela administração do sistema.

133. Por sua vez, o item 1.c do Memorando – CGMI/DAF 252/2010 (anexo 1, fl. 64) destacou que o papel de cadastrador de contratos somente pode ser exercido por usuários da unidade gestora do contrato, podendo ser desempenhado pela unidade de lavratura por delegação. A partir da separação de funções definida pelos módulos do Siac, ratificada pelos itens do memorando citado, depreende-se que usuários com perfil para realizar operações de administração do sistema não podem possuir perfil para cadastrar contratos (primeira regra de segregação de funções observada – S1).

134. Já o papel de cadastrador de itens de serviço, segundo o fluxo de utilização do sistema para cadastro de contratos (anexo 2, fl. 2), é diferente do papel de cadastrador de contratos. Assim, identificou-se uma segunda regra de segregação – S2, qual seja, usuários com perfil para cadastrar itens de serviço não podem possuir perfil para cadastrar contratos.

135. Ainda no fluxo para cadastro de contratos (anexo 2, fl. 2), os papéis de cadastrador de contrato e ativador de contratos são segregados. Essa informação foi ratificada pela Autarquia nos itens 1.c e 1.e do Memorando – CGMI/DAF 252/2010 (anexo 1, fl. 64) ao informarem quem desempenha os papéis de cadastrador e ativador de contratos. Assim, identificou-se uma terceira regra de segregação – S3, qual seja, usuários com perfil para cadastrar contratos não podem possuir perfil para ativar contratos.

136. Da leitura do fluxo de utilização do Siac para acompanhamento de contratos (anexo 2, fl. 3), concluiu-se que as operações de lançamento de medições e de aprovação de medições ficariam a cargo de papéis distintos, cadastrador de medições e aprovador de medições, respectivamente. Assim, buscou-se ratificar tal entendimento por meio dos itens 1.g, 1.h e 2 do Ofício de Requisição 7-491/2010 (fls. 24-27).

137. Em resposta, o item 1.g do Memorando – CGMI/DAF 252/2010 (anexo 1, fl. 64), anexo ao Ofício – AUDINT/Dnit 457/2010 (fl. 28), informa que o papel de cadastrador de medições deve ser exercido pelo fiscal do contrato ou por servidor por ele designado (IS 01/2010, art. 4º), contrariando a indicação contida no manual de usuário do sistema. No item 2 do mesmo expediente, o Coordenador-Geral de Modernização e Informática assevera que o responsável pelo registro das medições é o fiscal do contrato, nomeado por portaria.

138. Em consulta ao citado art. 4º da Instrução de Serviço – Dnit 1/2010, depreende-se que a ‘medição de obras e serviços é da competência exclusiva de representante da Administração especialmente designado, (...) denominado de ‘Engenheiro Fiscal do Contrato’, definido no art. 67 da Lei 8.666/1993’. (anexo 2, fl. 33v).

139. Da leitura, depreende-se que, a julgar pelo teor do item 1.g do Memorando – CGMI/DAF 252/2010 (anexo 1, fl. 64), a CGMI entende que a operação de lançamento de medição no Siac faz parte da atividade de fiscalização de contrato, constante do art. 67 da Lei 8.666/1993, sendo assim, de competência exclusiva do fiscal designado. Porém, ao mesmo tempo em que cita o art. 4º da Instrução de serviço – Dnit 1/2010, o expediente da CGMI ressalta a possibilidade de delegação de tal competência pelo fiscal, ainda que o multicitado ato normativo deixe clara ser a competência exclusiva, isto é, não passível de delegação.

140. No campo regulamentar, portanto, verifica-se indefinição acerca da responsabilidade pelo exercício do papel de cadastrador de medição.

141. No que tange à operação de aprovação de medições, da leitura do item 1.h do Memorando – CGMI/DAF 252/2010 (anexo 1, fl. 64), tem-se que a operação de aprovação de medição deve ser desempenhada por:

a) superintendente ou delegada ao chefe de serviço de Infraestrutura (representa o mesmo cargo designado pela expressão ‘Chefe de Serviço de Engenharia’, conforme o item 3 do

13


Memorando – CGMI/DAF 290/2010 – anexo 1, fl. 125), no caso de a fiscalização ser realizada pelas superintendências;

b) coordenador-geral, se a fiscalização for exercida por unidades da sede.142. Dessa maneira, em que pese a indefinição regulamentar acerca da responsabilidade

pelo exercício do papel de cadastrador de medição, resta evidente que tal papel deve ser exercido por pessoa diferente daquela que exerce o papel de aprovador de medições, chegando-se a mais uma regra de segregação de funções identificada no Siac, qual seja, usuários com perfil de lançador de medições não podem possuir perfil de aprovador de medições (quarta regra de segregação de funções – S4).

143. Por fim, segundo o fluxo para processo de pagamento (anexo 2, fl. 4), o papel que desempenha a operação de emissão de ofício de pagamento, denominado elaborador do processo de pagamento, deve ser distinto daquele que aprova processo de pagamento, chamado validador do processo de pagamento. Assim, tem-se a regra de que usuários que têm perfil para emitir ofício de pagamento não podem possuir perfil de acesso para aprovar processos de pagamento (quinta regra de segregação de funções – S5).

144. Dessa forma, foi aplicado procedimento (utilizando-se somente dados do Siac) para verificar se as cinco regras de segregação identificadas são respeitadas na atribuição de perfis de acesso ao sistema Siac:

S1: administrador do sistema não pode ser cadastrador de contratos;S2: cadastrador de itens de serviço não pode ser cadastrador de contratos;S3: cadastrador de contratos não pode ser ativador de contratos;S4: lançador de medições não pode ser aprovador de medições;S5: emissor de ofício de pagamento não pode ser aprovador do pagamento.145. As verificações apontaram impropriedades relativas à segregação de funções em

39% dos usuários ativos no sistema (453 dos 1.163), conforme abaixo:a) 31 usuários têm perfil para realizar operações de administração do sistema (incluir

empresa ou incluir índice de reajustamento) e para incluir contratos (arquivo ‘A6\A6_usu_sem_segregacao_S1.XLS’);

b) 38 usuários têm perfil para cadastrar itens de serviço e também para cadastrar contratos (arquivo ‘A6\A6_usu_sem_segregacao_S2.XLS’);

c) 392 usuários têm perfil para cadastrar contratos e para ativá-los (arquivo ‘A6\A6_usu_sem_segregacao_S3.XLS’);

d) 323 usuários têm perfil para lançar medições e para aprová-las (arquivo ‘A6\A6_usu_sem_segregacao_S4.XLS’);

e) 137 usuários têm perfil para emitir ofício de pagamento e para aprovar processo de pagamento (arquivo ‘A6\A6_usu_sem_segregacao_S5.XLS’).

146. Frise-se que há casos em que o mesmo usuário incorre em violação a mais de uma das regras de segregação de funções testadas.

147. Para ilustrar a atribuição de perfis de acesso a usuários em desconformidade com cada regra de segregação de funções (S1 a S5), tomam-se como exemplos os seguintes usuários ativos no Siac consultados diretamente no sistema:

S1) Sr. Luiz Alberto Paixão, servidor lotado, de acordo com o sistema Siac, na Superintendência Regional do Dnit (SER) – RJ, cujos perfis de acesso o permitem incluir empresa (operação de administração) e incluir contratos e aditivos (anexo 2, fls. 78-80);

S2) Sr. Daniel Moreira Portela, servidor lotado, de acordo com o sistema Siac, na CGMRR – Coordenação-Geral de Manutenção e Restauração Rodoviária, com permissão para incluir itens de serviço e para incluir contratos e aditivos (anexo 2, fls. 81-83);

S3) Sr. Andre Martins de Araujo, servidor lotado, de acordo com o sistema Siac, também na CGMRR, com permissão para incluir contratos e para ativar contratos (anexo 2, fls. 84-86). Cita-se também o Sr. Sebastião Donizete de Souza, que possui o perfil de acesso ‘GESTOR DE

14


CONTRATOS NA SUP. REGIONAL’, o qual já está pré-configurado para permitir a qualquer usuário que o possua incluir e ativar contratos (anexo 2, fls. 87-88);

S4) Sr. Volnei Vieira de Freitas, servidor lotado, de acordo com o sistema Siac, na SRE – GO/DF, com permissão para lançar e aprovar medições (anexo 2, fls. 89-91);

S5) Sr. Marco Antonio Lucas da Silva, servidor lotado, de acordo com o sistema Siac, na CGMRR, com permissão para emitir ofício de pagamento e para aprovar processo de pagamento (anexo 2, fls. 92-94).

148. Como citado, há dois perfis de acesso pré-configurados no Siac que já violam a regra de segregação de funções ‘S3’ e um perfil de acesso que viola a regra ‘S5’. Os dois primeiros são os perfis ‘GESTOR DE CONTRATOS NA SUP. REGIONAL’ e ‘GESTOR DE CONTRATOS NA SEDE’, enquanto o perfil que viola a regra ‘S5’ é o ‘GESTOR DE PAGAMENTOS’ (arquivo ‘A6\A6_Perfil_preconfigurado_sem_segregacao.XLS’).

149. Cumpre destacar que foram atribuídos perfis de acesso a 38 usuários ativos no sistema, que permitem a cada um desses usuários realizar a maioria das principais operações do sistema, a saber: operações de administração do sistema, cadastro e ativação de contratos, lançamento e aprovação de medições, emissão de ofício de pagamento e aprovação de processo de pagamento, ou seja, violando quatro das cinco regras de segregação de funções (arquivo ‘A6\A6_usuario_sem_seg_S1345.XLS’). Como exemplo, tem-se os perfis de acesso atribuídos ao Sr. Homero Renato Silva Brantes (anexo 2, fls. 95-100).

150. Considerando que no item f do Memorando – CGMI/DAF 252/2010 (anexo 1, fl. 64) – Departamento Nacional de Infraestrutura de Transportes (Dnit) (anexo 1, fl. 64), a Autarquia afirma que a Coordenação-Geral de Modernização e Informática (CGMI) é responsável pela administração do sistema, o que inclui a manutenção do cadastro de usuários do Siac; foi executado um outro procedimento para verificar se na própria operação de atribuição de perfis de acesso a usuários do sistema são tomados certos cuidados para impedir que uma única pessoa possa acessar, modificar ou usar ativos sem a devida autorização ou detecção.

151. Esse procedimento consistiu em verificar a existência de usuários que tenham atribuído a si mesmos perfis de acesso ao sistema, tendo sido identificados seis usuários ativos no Siac que atribuíram a si mesmos diversos perfis de acesso ao sistema (arquivo ‘A6\A6_usu_perf_si_mesmo_pos_SIAC.XLS’). Os referidos usuários, em sua maioria, estão lotados na CGMI. Cabe ressaltar que dois dos seis usuários identificados, os Sres Carlos Alves Fernandes e Rogério Moreira Alves, estão lotados na CGMI segundo o sistema SIGHRU, embora constem como sendo de outras unidades no cadastro do Siac. Assim, quatro são usuários da CGMI, um é do Serpro e o outro da SRE–RS (anexo 2, fl. 101).

152. Na sequência, buscou-se identificar se efetivamente houve operações em desacordo com as regras de segregação de funções, ou seja, explorando a constatada falha na atribuição de perfis. De acordo com o procedimento executado, cerca de 55% das medições aprovadas no Siac foram cadastradas ou alteradas pelo mesmo usuário, que, na sequência, as aprovou, desconsiderando os dados migrados (arquivo ‘A6\OperacoesExecutadas\S4-Medições Aprovadas pelo usuário que as lançou.XLS’).

153. A mesma impropriedade repete-se para os seguintes pares de operação: cadastro de itens de serviço e registro de contratos (11% dos itens cadastrados/alterados via Siac, arquivo ‘A6\OperacoesExecutadas\S2-Itens e contratos pelo mesmo usuário.XLS’), cadastramento e ativação de contratos (39% dos contratos verificados, arquivo ‘A6\OperacoesExecutadas\S3-Contratos Ativados pelo usuário que cadastrou.XLS’) e emissão e aprovação de ofícios de pagamento (17% dos ofícios de pagamento aprovados, arquivo ‘A6\OperacoesExecutadas\S5-Aprovacao e emissão Ofício mesmo usuário.XLS’). Não foram identificadas operações violando a regra S1.

154. Assim sendo, as etapas de ativação de contrato, aprovação de medição e de pagamento, entre outras, que constituem-se em controle via segregação de funções, acabam por ser desvirtuadas, perdendo toda sua eficácia, tornando-se um mero entrave burocrático ao avanço do

15


processo de pagamento dos contratos e constituindo vulnerabilidade que pode ser explorada inclusive com objetivo de fraude.

155. Quanto às etapas de emissão e aprovação de ofícios de pagamento, constatou-se que a própria implementação do Siac torna obrigatória que a aprovação do ofício de pagamento seja realizada pela mesma unidade que o emitiu (anexo 2, fl. 34). Esta regra diz respeito à unidade competente pela aprovação e emissão dos ofícios de pagamento, não fazendo referência especificamente a um usuário.

156. Frise-se novamente que o procedimento aqui executado cuidou somente dos dados produzidos sob a égide do Siac, pois, como apontado na seção de limitações, os dados produzidos pelo sistema que antecedeu o Siac, e para este migrados, não permitem a execução desse procedimento, uma vez que a informação do usuário que executou a operação foi perdida na migração, ou sequer era armazenada no sistema anterior.

2.6.2 – Causas da ocorrência do achado:157. Ausência de procedimentos de gerenciamento de acesso dos usuários do Siac;158. Ausências de controles de aplicação que impeçam o acúmulo indevido de permissões

de acesso a funcionalidades;159. Ausências de controles que impeçam a realização de operações em desacordo com as

regras de segregação de funções.2.6.3 – Efeitos/Consequências do achado:160. Ausência de segregação entre usuários que concedem perfis de acesso no sistema

(efeito real);161. Ausência de segregação entre usuários que realizam pares de funções que deveriam

ser segregadas (efeito real);162. Risco de fraudes no processo de gestão contratual do Dnit (efeito potencial).2.6.4 – Critérios:163. Instrução Normativa – SFC/CGU 1/2001, seção VIII, item 3.IV – Segregação de

funções.164. Norma Técnica – ABNT – NBR ISO/IEC 27002, item 10.1.3 – Segregação de

funções.165. Manual de sistema, fluxos de utilização do Siac constantes do manual do usuário do

sistema (anexo 2, fls. 2-4) – Departamento Nacional de Infraestrutura de Transportes (Dnit).166. Memorando – CGMI/DAF 252/2010 (anexo 1, fl. 64) – Departamento Nacional de

Infraestrutura de Transportes (Dnit).2.6.5 – Evidências:167. Arquivos da pasta ‘A6’ constante do CD (anexo 2 – principal – fl. 1);168. Mensagem eletrônica enviada por técnico do Serpro (anexo 2 – principal – fl. 34);169. Telas do Siac com perfis de acesso de usuários (volume principal – fls. 78-100);170. Impressão de tela da ferramenta ACL (volume principal – fl. 101).2.6.6 – Conclusão da equipe:171. Trata-se, portanto, de ausência de segregação de funções relevantes que se origina

desde a criação dos perfis de acesso, passa pela atribuição de permissões aos usuários resultando na falta de implementação de controles de aplicação no Siac capazes de assegurar a obediência às regras de segregação de funções, impedindo, por exemplo, que o usuário que cadastrou uma medição a aprove.


II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que, em atenção à Instrução Normativa – SFC/CGU 1/2001, Seção VIII, item 3.IV, defina de maneira clara e formal as regras de segregação de funções do Siac.

173. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes

16


(Dnit) que, em atenção à Instrução Normativa – SFC/CGU 1/2001, seção VIII, item 3.IV, avalie os perfis dos usuários contidos nos arquivos contidos na pasta A6 constante do CD anexo e, se for o caso, adote as providências necessárias para torná-las compatíveis com as regras as regras de segregação de funções.

174. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que, em atenção à Instrução Normativa – SFC/CGU 1/2001, seção VIII, item 3.IV , implante controles no Siac capazes de impedir a concessão de perfis de usuários em desacordo com as regras de segregação de funções definidas, obstando a realização de operações em desacordo com essas regras, à semelhança do disposto no controle de aplicação AC1 do COBIT 4.1.

2.7 – Atribuição de perfis de usuários e realização de operações em desconformidade com os controles de acessos sensíveis

2.7.1 – Situação encontrada:175. Após a execução de procedimentos em que foram confrontados dados somente do

Siac, constatou-se a concessão de perfis de acesso a usuários não lotados nas unidades competentes para execução de operações sensíveis nos módulos de administração, de contratos e de pagamentos do sistema.

Módulo de Administração176. Apesar de a Coordenação-Geral de Modernização e Informática (CGMI) ter sido

apontada como responsável pela administração do Siac, conforme constatado em entrevistas com os gestores da Autarquia e ratificado por meio do item 1.f do Memorando – CGMI/DAF 252/2010 (anexo 1, fl. 64), encaminhado em resposta ao Ofício de Requisição 7-491/2010 (fls. 24-27), o procedimento aplicado identificou cinco usuários ativos não pertencentes à CGMI com perfis de acesso que permitem inclusão/alteração dos dados de empresas e de trechos viários (Arquivo ‘A7\ A7_usu_operacoes_administrativas_nao_lotado_CGMI.XLS’). Visando a ilustrar a atribuição de perfis de acesso a usuários em desconformidade com os controles de acessos sensíveis, apresenta-se para esse e os demais controles não implantados um exemplo de atribuição de perfil em desconformidade, obtido a partir de consultas diretas ao sistema.

177. Assim, cita-se como exemplo de atribuição de perfil de acesso que permite a realização de operações de administração do sistema a usuário não lotado na CGMI o perfil ‘GESTOR DE EMPRESAS’ atribuído ao Sr. Fábio Moulin Rocha, servidor lotado na SRE-RJ – Superintendência Regional do Dnit no Estado do Rio de Janeiro (anexo 2, fls. 102-103). Em decorrência disso, constataram-se inclusão/alteração de registros de empresas, unidades e vias por usuários lotados fora da CGMI (arquivos ‘Cadastr_Empresa_fora_CGMI.XLS’, ‘Cadastr_Unidade_fora_CGMI.XLS’ e ‘Segmentos_cadastr_fora_CGMI.XLS’, na pasta ‘A7\ OperacoesExecutadas’). Registre-se, por oportuno, que em se tratando de sistema da área finalística do Dnit, a atribuição do papel de administrator do sistema à CGMI se mostra desarrazoado, ante as competências daquela Coordenação-Geral.

178. Ainda no módulo de administração, destacam-se também as operações de inclusão/alteração de itens de serviço, de índices de reajustamento e a manutenção de seus respectivos valores mensais.

179. Segundo o art. 23, inciso I, do Regimento Interno do Dnit, a Coordenação-Geral de Custos de Infraestrutura (CGCIT) é a unidade incumbida de manter um sistema de gestão de custos referenciais, atualmente constituído pelo Sistema de Custos Rodoviários (SICRO 2), que tem como finalidade estimar o custo da execução de serviços de construção, conservação e sinalização rodoviários em diversas unidades da Federação, conforme se extrai do seu manual do usuário (anexo 2, fl. 30), obtido no sítio http://www.dnit.gov.br/servicos/sicro/manual-de-custos-rodoviarios/Volume2_3_2003.pdf/at_download/file em consulta realizada no dia 16/7/2010. Para cumprir sua finalidade, o sistema possui um cadastro de itens de serviço de obras e representa o cadastro primário de itens de serviço contratuais.

17


180. Paralelamente, o Dnit mantém cadastro estanque de itens de serviço contratuais que dá suporte ao sistema de medição contratual. De acordo com o art. 2º, caput da IS – Dnit 14/2008, de 14/11/2008 (anexo 2, fl. 31-v), a gestão dos itens de serviço é competência exclusiva da CGCIT. À época da edição dessa instrução, tal cadastro independente era operacionalizado pelo Sistema de Medições (SMD), todavia este sistema foi substituído pelo Siac, conforme verificado por meio de entrevistas a servidores da Autarquia e de consulta ao sítio do Serpro (anexo 2, fl. 32).

181. Portanto, conclui-se que a CGCIT é a unidade organizacional que possui competência exclusiva para inclusão e manutenção dos itens de serviço no Siac, ainda que o item 1.d do Memorando – CGMI/DAF 252/2010 informe que a CGCIT é a unidade responsável por tal papel, podendo ser excepcionalmente delegado a outras áreas (anexo 1, fl. 64), o que não se coaduna com a exclusividade da competência.

182. Ocorre que, após a execução de procedimento em que se averiguou se somente os usuários lotados na CGCIT possuem perfil de acesso para incluir/alterar itens de serviço, verificou-se que 33 dos 1.163 usuários ativos têm permissão para incluir/alterar itens de serviço, mesmo não sendo usuários lotados na CGCIT (arquivo ‘A7\ A7_usu_cadastro_item_servico_nao_lotado_CGCIT.XLS’). Como exemplo dessa desconformidade, tem-se a concessão de perfil de ‘CADASTRADOR DE SERVIÇOS’ a Srª Izabela Barbosa Souza, lotada na CGMRR – Coordenação-Geral de Manutenção e Restauração Rodoviária (anexo 2, fls. 104-105).

183. Quanto ao cadastro dos índices de reajustamento e à manutenção de seus valores mensais, registre-se o Ofício da CGCIT, de 16/7/2010 (anexo 1, fl. 133), que, em seu item 1 e subitens, traz um arrazoado afirmando a competência desta unidade também pela operação de manutenção dos valores mensais dos índices de reajustamento no Siac. Ademais, tais índices constituem parte do cadastro do item de serviço, e, portanto, competência exclusiva da CGCIT.

184. Ao realizar o procedimento sobre a base de dados do Siac, constatou-se que quarenta usuários não lotados na CGCIT têm perfil de acesso para incluir/alterar índices de reajustamento e que quarenta usuários também não lotados na CGCIT têm acesso à operação de manutenção de valores mensais de índices de reajustamento (arquivo ‘A7\ A7_usu_cadastro_indice_reajustamento_nao_lotado_CGCIT.XLS’). Como exemplos de atribuição de perfis de acesso que apresentam essas desconformidades, cita-se a atribuição do perfil de ‘CADASTRADOR DE SERVIÇOS’, que permite incluir/alterar índice de reajustamento, bem como manter valores mensais dos referidos índices, ao Sr. Fabricio Bertin Vieira e ao Sr. Djalma Wilson Faria Machado, ambos lotados na CGMRR – Coordenação-Geral de Manutenção e Restauração Rodoviária (anexo 2, fls. 106-109).

185. Constatou-se também a realização de operações por parte desses servidores não lotados na CGCIT (arquivos ‘Itens_cadastr_fora_CGCIT.XLS’, ‘Indices_cadastr_fora_CGCIT.XLS’ e ‘Vr_Indices_cadastr_fora_CGCIT.XLS’, na pasta ‘A7\ OperacoesExecutadas’): inclusão/alteração de itens de serviço (24% dos itens verificados), índices de reajustamento (10% dos índices checados) e seus valores mensais (1,4% dos registros observados).

186. Cumpre lembrar que nos procedimentos citados acima foram utilizadas as informações vigentes de lotação dos servidores e de perfis de acesso dos usuários, ou seja, não foram verificados os históricos das respectivas tabelas, de forma que os números de perfis e operações desconformes pode ter sido ainda maior.

Módulo de Contratos187. No módulo de contratos, destacam-se as operações de lançamento e aprovação de

medições. No tocante ao lançamento de medições, observou-se que os gestores do Dnit não têm precisão quanto à definição acerca de quem seria o responsável pelo registro dessas medições no Siac. Primeiramente, frise-se que não há previsão normativa quanto à responsabilidade por tal operação, tampouco por qualquer outra operação no sistema, conforme relatou-se no achado 2.1. No fluxo de utilização do Siac, constante do manual do usuário do sistema (anexo 2, fl. 3), há uma série

18


de tarefas desempenhadas pelo fiscal da medição (cor amarela), como fiscalizar contrato, receber relatórios da medição (...) e conferir relatórios. Na sequência, há outras atividades desempenhadas pelo papel cadastrador de medição (cor azul), entre outras, a de lançar medição financeira. A partir de tal diagrama, presumiu-se que a operação de lançamento de medições ficaria a cargo de pessoa diferente do fiscal do contrato, e buscou-se ratificar tal entendimento por meio dos itens 1.g e 2 do Ofício de Requisição 7-491/2010 (fls. 24-27).

188. Em resposta, foi encaminhado o Memorando – CGMI/DAF 252/2010 (anexo 1, fl. 64), anexo ao Ofício – AUDINT/Dnit 457/2010 (fl. 28), informando, em seu item 1.g, que tal papel deve ser exercido pelo fiscal do contrato ou por servidor por ele designado (IS-Dnit 01/2010, art. 4º), sugerindo que a pessoa do fiscal poderia exercer dois papéis, o que foi ratificado por meio do item 2 do mesmo expediente, no qual o Coordenador-Geral de Modernização e Informática assevera que o responsável pelo registro das medições é o fiscal do contrato, nomeado por portaria.

189. Em consulta ao citado art. 4º da IS – Dnit 1/2010, depreende-se que ‘A medição das Obras e Serviços é da competência exclusiva de representante da Administração especialmente designado (...) denominado de Engenheiro Fiscal do Contrato, definido no Art. 67 da Lei 8.666/1993.’ (anexo 2, fl. 33-v).

190. Da leitura, depreende-se que, a julgar pelo teor do item 1.g do Memorando – CGMI/DAF 252/2010 (anexo 1, fl. 64), a CGMI entende que a operação de lançamento da medição no Siac faz parte da atividade de fiscalização de contrato, constante do art. 67 da Lei 8.666/1993, sendo assim, de competência exclusiva do fiscal designado. Essa é a interpretação mais adequada, visto que as informações sobre medições inseridas no sistema são a origem dos pagamentos efetuados às contratadas e que estas informações sobre as medições não serão mais realimentadas pelo fiscal ao longo do processo de pagamento.

191. Foi executado procedimento na base de dados do Siac para verificar se os usuários a que foram atribuídos perfis vigentes para lançar/alterar medições foram ou são fiscais ou substitutos de fiscais de contratos. A identificação de todos os usuários que já foram fiscais ou substitutos foi obtida a partir de busca nas informações vigentes e históricas dos contratos cadastrados no Siac.

192. Após a execução do procedimento, constatou-se que 471 dos 1.163 usuários ativos no sistema têm perfil para lançar/alterar medições, sendo que 321 (68%) não são ou não foram fiscais ou substitutos de fiscais de contratos (arquivo ‘A7\ A7_Usuarios_nao_fiscais_ou_subst_perf_lancar_medicoes.XLS’), enquanto apenas 149 (32%) dos usuários que têm perfil para lançar/alterar medições são ou foram fiscais substitutos de fiscais de contratos (arquivo ‘A7\A7_Usuarios_fiscais_ou_subst_perf_lancar_medicoes.XLS’). Como exemplo de usuário a que foi concedido perfil de acesso para lançar/alterar medições mesmo nunca tendo sido fiscal ou substituto de fiscal de contratos acompanhados pelo sistema, tem-se o Sr. Guilherme Akio Sato, lotado na CGCIT, a quem foram atribuídos os perfis de ‘CADASTRADOR DE MEDIÇÕES’ e de ‘FISCAL DE MEDIÇÕES’ (anexo 2, fl. 110).

193. Quanto ao que vem sendo praticado nos processos de medições do Dnit, esta equipe executou procedimento na base de dados do Siac, por meio do qual constatou que 74% das medições observadas não foram lançadas por usuário fiscal de contrato (arquivo ‘A7\OperacoesExecutadas Medicoes_por_nao_fiscal.XLS’). Visando esclarecer a situação, solicitou-se esclarecimentos à Autarquia, mediante o item 6 do Ofício de Requisição 13-491/2010 (fl. 40).

194. Em resposta, o Coordenador-Geral de Modernização e Informática (CGMI) afirma genericamente, no item 6 do Memorando – CGMI/DAF 290/2010 (anexo 1, fl. 125), que o lançamento das medições é, em geral, realizado por técnicos designados pelas superintendências e demais unidades fiscalizadoras, ou seja, em geral, os fiscais dos contratos realizam as medições em suas planilhas de controle e as entregam para que os técnicos insiram as informações no Siac.

195. Em que pese a prática evidenciada, avalia-se como imprescindível a atuação direta do fiscal de contrato no Siac, de maneira a garantir que a medição registrada no Siac reflita de maneira exata as informações produzidas ou conferidas pelo fiscal, este último caso, na situação em que exista empresa contratada para supervisionar o contrato fiscalizado.

19


196. O risco de divergências entre as informações produzidas pelo fiscal e as constantes do Siac foi materializado em contratos da Superintendência do Dnit no Paraná, conforme relatório do Acórdão 2.766/2009-TCU-Plenário. Segundo o relatório que conduziu ao acórdão, da lavra do Ministro Raimundo Carreiro, tal irregularidade resultou no pagamento por serviços não prestados.

197. Assim, o citado acórdão, em seu item 9.12, determinou à Direção-Geral do Dnit a adoção de providências necessárias ao incremento dos níveis de segurança do Siac quanto ao controle de medições, em particular quanto à possibilidade de alterações indevidas dos boletins de desempenho parciais e atestados de execução de serviços no que diz respeito à correlação entre fiscais de contratos e portarias de designação, supervisores, e o exigido respeito ao princípio da segregação de funções. O mesmo acórdão determinou, inclusive, o afastamento cautelar do superintendente regional do Dnit no Paraná, entre outros servidores, em função da gravidade do conjunto de achados.

198. O risco mencionado mostra-se alto (há possibilidade de divergência nos dados de quase 75% das medições, com impacto em pagamentos que ultrapassam bilhões de reais), sendo necessário que se adote medida mitigadora de risco, por meio da atuação direta do fiscal designado no Siac. Tal operacionalização pode se dar por meio da obrigatoriedade do lançamento das medições no Siac pelo próprio fiscal do contrato, o que já ocorre em alguns casos, e mostra-se, portanto, possível de ser implementado, ou inserindo-se uma etapa de homologação pelo fiscal após o lançamento da medição por outro usuário.

199. Dessa maneira, garante-se que os dados inseridos no sistema, os quais serão utilizados para fins de pagamento são efetivamente os que o fiscal do contrato mediu, sendo estes de sua exclusiva responsabilidade como preconizam os normativos vigentes (IS-Dnit 1/2010, art. 4º, Le 8.666/1993, art. 67).

200. A consequência é que hoje não é possível garantir, por meio da análise das informações contidas no Siac, que as medições que constam do sistema são efetivamente aquelas que os fiscais realizaram e entregaram aos técnicos para inserção no sistema, o que constitui vulnerabilidade que gera risco de não detecção de fraude (vide fatos relatados no Acórdão 2.766/2009-TCU-Plenário).

201. No que tange à operação de aprovação de medições, tem-se que, da leitura do item 1.h do Memorando – CGMI/DAF 252/2010 (anexo 1, fl. 64), encaminhado em resposta ao Ofício de Requisição 7-491/2010 (fls. 24-27), a operação de aprovação de medição deve ser desempenhada por: (a) superintendente ou delegatário do chefe de Serviço de Infraestrutura (representa o mesmo cargo designado pela expressão ‘chefe de Serviço de Engenharia’, conforme o item 3 do Memorando – CGMI/DAF 290/2010 (anexo 1, fl. 125), no caso de a fiscalização ser realizada pelas Superintendências; ou (b) coordenador-geral, se a fiscalização for exercida por unidades da sede.

202. Tendo em vista que a operação de atribuição de perfil a usuário não é associada a contratos específicos, bem como o fato de que todas as diretorias e a unidade de administração hidroviária também são unidades fiscalizadoras de contratos, foi realizado procedimento para verificar se cada usuário que tem permissão para aprovar medições está lotado em uma superintendência, ou em uma coordenação-geral, ou em uma diretoria ou na unidade de administração hidroviária.

203. Constatou-se que dezoito usuários ativos no Siac com perfil para aprovar medições não pertencem à coordenação-geral, a superintendência, a diretoria ou à unidade de administração hidroviária (arquivo ‘A7\A7_Usuarios_nao_coordenacaogeral_superintendencia_perf_aprovar_ medicoes.XLS’). Um desses casos representa um usuário do Serpro e os demais de unidades locais do Dnit. Para ilustrar, cita-se o Sr. Leonardo Disconzi Barboza, lotado na unidade local ULRS07-Santa Maria, com perfil de ‘GESTOR DE MEDIÇÕES’, o que lhe permite aprovar ou reprovar medições (anexo 2, fls. 111-112).

204. Registre-se que não se verificou se somente o titular da unidade de fiscalização do contrato (ou o chefe de Serviço de Engenharia por delegação) tem permissão para aprovar medições, ainda que essa seja a regra informada pela CGMI, ante a precariedade do cadastro de

20


cargos em comissão e funções gratificadas da Autarquia, sobretudo do histórico de ocupação dos mesmos.

205. Verificou-se que não há operações de aprovação de medições realizadas por usuários não lotados na unidade de fiscalização do contrato. Segundo técnicos do Serpro, há uma regra implementada no sistema que impede tal desconformidade (anexo 2, fl. 34, item 1), o que não foi objeto de verificação por esta equipe, visto que não se previu procedimentos de inspeção de código nesta fiscalização.

Módulo de pagamento206. No módulo de pagamento, sobressaem-se a emissão e a aprovação de ofícios de

pagamento.207. Em que pese o conteúdo do item 1.i do Memorando – CGMI/DAF 252/2010 (anexo

1, fl. 64) informar que o papel de elaborador do processo de pagamento deve ser exercido pela unidade gestora do respectivo contrato e o conteúdo do item 1.j do citado memorando informar que, nos processos pagos pela sede, a validação do pagamento é realizada pela Coordenação-Geral de Orçamento e Finanças (CGOF/DAF), e que nos pagamentos realizados pelas superintendências, a validação é executada localmente, verificou-se que não há na base do Siac nenhum contrato cuja unidade gestora ou unidade de pagamento seja a CGOF/DAF. Diante disso, buscou-se ratificação da regra de negócio junto aos técnicos do Serpro, que informaram que a emissão e aprovação de ofícios eletrônicos de pagamento somente é permitida a usuários lotados na unidade responsável pelo pagamento do contrato (anexo 2, fl. 34, item 2).

208. Assim, foi executado procedimento na base de dados do Siac para verificar se os usuários que têm perfil para emitir ofício de pagamento estão lotados em unidade de pagamento de contrato. Para identificação das unidades de pagamento dos contratos, foram elencadas as unidades de pagamento vigentes e as que já tenham sido unidades de pagamento dos contratos. As verificações apontaram que dos 165 usuários ativos com permissão para emitir ofício eletrônico de pagamento, dezoito (11%) não estão lotados em unidades pagadoras de contratos (arquivo ‘A7\A7_usuarios_nao_unidade_pagamento_perf_emitir_oficio.xls’). Como exemplo, traz-se o usuário Sr. Andre Luis Ramos, lotado em unidade externa ao Dnit, qual seja, no Serpro – Serviço Federal de Processamento de Dados, com perfil de ‘GESTOR DE PAGAMENTOS’, o que lhe permite emitir ofício, inclusive aprovar processo de pagamento (anexo 2, fls. 113-114).

209. Constatou-se também que houve emissão/alteração de 744 ofícios eletrônicos por usuários não lotados na unidade pagadora dos respectivos contratos, de 13.185 registros checados, isto é, 5,6% do total (arquivo ‘A7\OperacoesExecutadas\Ofic_eltro_emit_fora_Unid_pag.XLS’).

210. Considerando a informação de que existe uma regra implementada no Siac que obsta a emissão de ofícios eletrônicos de pagamento por usuários não lotados na unidade pagadora do contrato (anexo 2, fl. 34, item 2), pondera-se que as operações em princípio indevidas (5,6%) deve-se a incorreções nas informações de lotação na tabela de usuários do Siac, conforme salientado ao final deste tópico.

211. Quanto à operação de aprovação de ofícios eletrônicos de pagamento, após executado procedimento na base de dados do Siac, com base nas informações vigentes e históricas das unidades de pagamento dos contratos, observou-se que três usuários ativos têm perfil de acesso para aprovar processo de pagamento, mesmo não estando lotados em unidades pagadoras de contratos (arquivo ‘A7\A7_usuarios_nao_unidade_pagamento_perf_aprovar_pagamento.xls’). Como evidência, citam-se o Sr. Sr. Andre Luis Ramos, lotado no Serpro (anexo 2, fls. 113-114), ou seja, um usuário que não faz parte de corpo funcional do Dnit, e a Srª Zilma Maria de Araujo Cruz, lotada na SRE-RJ – Superintendência Regional do Dnit no Estado da Paraíba (anexo 2, fls. 115-116).

212. Encontraram-se também 49 ofícios aprovados por usuários não pertencentes à estrutura da unidade pagadora, isto é, 0,47% do total investigado, ao qual se aplica a mesma ressalva do relatada anteriormente (arquivo ‘A7\OperacoesRealizadas\Aprov_pagam_fora_Unid_pag.XLS’).

21


213. Cabe ressalvar que a investigação empreendida não foi exaustiva, isto é, pode haver outras operações realizadas em desconformidade com o processo de medição do Dnit não detectadas pelos procedimentos realizados, até mesmo porque, a partir da análise do fluxo completo de utilização do Siac, elegeram-se alguns pontos de controle, e nestes, apenas determinadas tabelas. Além disso, não se verificaram tais operações por meio das tabelas de histórico, mas tão somente nos registros vigentes.

214. Ademais, adotou-se a informação de lotação dos servidores constante da tabela de usuários. Tal premissa se deu, inclusive, devido ao fato de o Siac utilizar a própria informação de lotação do usuário nas regras de negócio em princípio implementadas no sistema, como, por exemplo, para impedir que usuários não lotados na unidade de fiscalização de determinado contrato lancem medições para o mesmo.

215. Contudo, tendo em vista a possibilidade de alteração na unidade de lotação dos servidores, pelo princípio da prudência, consideraram-se como indícios de irregularidades somente as operações realizadas após a última alteração do registro do usuário que realizou a operação. Assim, presume-se que os possíveis falsos positivos deste achado sejam, em sua maioria, decorrentes da incorreção das informações de lotação da referida tabela, ainda que o próprio Siac utilize tal informação na implantação das regras de negócio.

216. Frise-se novamente que os procedimentos aqui executados cuidaram somente dos dados produzidos sob a égide do Siac, pois, como apontado na seção de limitações, os dados produzidos pelo sistema que antecedeu o Siac, e para este migrados, não permitem a execução desse procedimento, uma vez que a informação do usuário que executou a operação foi perdida na migração, ou sequer era armazenada no sistema anterior.

2.7.2 – Causas da ocorrência do achado:217. Ausência de regulamentação do fluxo de cadastramento de contrato, medição e

pagamento;218. Ausência de política e procedimentos de controle de acesso ao Siac;219. Ausência de controles de aplicação que restrinjam a realização das operações por

usuários competentes;220. Impropriedades no cadastramento do fiscal de contrato (achado 2.8).2.7.3 – Efeitos/Consequências do achado:221. Usuários não competentes realizam operações sensíveis (efeito real);222. Fraude nas medições, consistente na inserção de dados no sistema diversos dos

informados pelos fiscais (efeito real).2.7.4 – Critérios:223. Norma Complementar 07/IN01/DSIC/GSI/PR, item 2.2;224. Instrução de Serviço – Dnit 14/2008, art. 2º, caput (a partir de 14/11/2008) (anexo 2,

fl. 31-v) .225. Regras de negócio, ratificadas por meio do Memorando – CGMI/DAF 252/2010

(anexo 1, fl. 64).226. Regras de negócio, ratificadas por meio do Memorando – CGMI/DAF 290/2010

(anexo 1, fl. 125).227. Regras de negócio, ratificadas por meio do Ofício – CGCIT s/n, de 16/7/2010 (anexo

1, fl. 133).228. Instrução Normativa – SFC/CGU 1/2001, seção VIII, item 3.IV – Segregação de

funções.229. Norma Técnica – ABNT – NBR ISO/IEC 27002, item 10.1.3 – Segregação de

funções.230. Norma Técnica – Information Systems Audit and Control Association (Isaca) – Cobit

4.1, AC1 – Preparação e Autorização de Dados Originais.2.7.5 – Evidências:231. arquivos da pasta ‘A7’ constante do CD (anexo 2 – principal – fl. 1);

22


232. mensagem eletrônica enviada por técnico do Serpro (anexo 2 – principal – fl. 34);233. telas do Siac (volume principal – fls. 102-116).2.7.6 – Conclusão da equipe:234. Ante a carência de regulamentação quanto às unidades competentes e autorizadas a

realizar operações no sistema, tais como inclusão/alteração de usuários e empresas, itens de serviço, índices de reajustamento e manutenção de seus valores mensais, lançamento de medições, aprovação de medições e emissão e aprovação de pagamentos, isto é, em face da ausência de processo de trabalho formal a ser seguido e da inexistência de controles de aplicação que obriguem a restrição de acesso a operações em todos os módulos do Siac, foi identificado para cada uma das operações supracitadas a existência de atribuição de perfis de acesso a usuário não lotado na unidade apontada como responsável pela realização da tarefa, o que ensejam medidas corretivas por parte da Autarquia.

235. Por outro lado, as operações realizadas com indícios de ausência de competência devem ser objeto de informação à Secob-2, juntamente com os demais achados, com objetivo de subsidiar possíveis trabalhos.


II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que, em atenção ao princípio da legalidade insculpido no caput do art. 37 da Constituição da República:

a) inclua na regulamentação da utilização do Siac a definição formal do processo de trabalho de medição e pagamento dos contratos, estabelecendo os papéis e responsáveis para cada atividade;

b) implante controles no Siac que assegurem a observância do processo de trabalho definido em atenção ao item anterior.

237. Recomendar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso III, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que, na definição do processo de trabalho de medição e pagamento dos contratos a ser estabelecido, avalie a possibilidade de que o lançamento das medições no Siac seja realizado obrigatoriamente pelo próprio fiscal do contrato ou, alternativamente, que haja uma etapa de homologação pelo fiscal após o lançamento da medição por outro usuário.

238. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que, em atenção à Norma Complementar 07/IN01/DSIC/GSI/PR, item 2.2, avalie os perfis dos usuários contidos nos arquivos contidos na pasta A7 constante do CD anexo e, se for o caso, adote as providências necessárias para torná-los compatíveis com as regras contidas no processo de trabalho formalmente definido.

2.8 – Impropriedades no cadastramento do fiscal de contrato2.8.1 – Situação encontrada:239. Constataram-se indícios de que 739 contratos ativos no Siac (equivalente à 52%)

possuem fiscal cujo usuário do sistema encontra-se inativo (arquivo ‘A8\ A8_UsuFiscalInativo.XLS’). Contratos com status ativo são aqueles que se encontram em execução, para os quais há lançamento periódico de medição e, por conseguinte, pagamento. Assim, similar ao relato do achado sobre a realização de operações em desacordo com os controles de acessos sensíveis, verifica-se que mais da metade dos fiscais não lança medições dos contratos sob sua fiscalização, uma vez que com o usuário inativo não é possível ao seu titular operar o sistema.

240. Verificaram-se também indícios de que 422 (equivalente a 30%) contratos ativos não possuem fiscal substituto cadastrado no Siac, ou o usuário indicado como substituto é o próprio fiscal titular (arquivo ‘A8\ A8_SemFiscalSubs.XLS’).

241. Ora, uma mesma pessoa não consegue ser responsável pela atividade de fiscalização durante todo o período da execução contratual, pois goza férias, está sujeita a uma série de

23


intercorrências (doenças, consultas médicas de rotina, treinamentos, convocações judiciais etc.), faz jus a licenças (capacitação etc.) entre outros afastamentos. É bastante improvável um único servidor fiscalizar a execução do objeto contratual, do início ao fim, sem se ausentar, sem mencionar que um mesmo servidor fiscaliza diversos contratos, como ocorre em 47% dos casos (anexo 2, fls. 35-36). Imagina-se que as situações fáticas que explicam tal constatação são: a não designação do substituto do fiscal ou o não preenchimento dessa informação no Siac. De toda sorte, o Siac atualmente permite a ocorrência de ambas as impropriedades.

242. Quanto à quantidade de contratos ativos por fiscal (arquivo ‘A8\ A8_Qtdade_contrato_por_fiscal.XLS’), considerando que cada servidor possuísse apenas um código de usuário, encontrou-se o seguinte (anexo 2, fl. 37): cerca de 87% dos fiscais de contrato são responsáveis pela medição de um a quatro contratos, aproximadamente 10% fiscalizam de cinco a oito contratos e cerca de 2% fiscalizam de nove a doze contratos. Neste ponto já se observa uma situação bastante heterogênea, na qual a grande maioria dos fiscais responsabiliza-se por até quatro contratos, ao passo que outros usuários são fiscais de nove a doze contratos. Os casos mais extremos vêm a seguir: há um fiscal responsável por 31 contratos, outro por dezenove contratos e mais quatro usuários fiscalizando de treze a dezesseis contratos.

243. Inicialmente, utilizando o código de usuário como identificador único de um usuário do Siac, toma-se para análise o caso do usuário responsável por fiscalizar 24 contratos, de acordo com dados do Siac (anexo 2, fl. 38-v). Trata-se do Sr. Carlos Adalberto Pitta Pinheiro, servidor ativo, segundo a CGRH (anexo 1, volume 1, fl. 144, item 16), lotado na Superintendência Regional do Dnit no Rio Grande do Sul (anexo 2, fl. 38). Os valores iniciais dos contratos por ele fiscalizados totalizam mais de R$ 880 milhões (anexo 2, fl. 38-v). Um desses contratos representa a maior cifra contratada pelo Dnit, de acordo com a base do Siac: Contrato 492/2009, no valor de quase R$ 450 milhões (anexo 2, fl. 39), cujo objeto é a execução das obras de implantação e pavimentação na Rodovia BR-448/RS (do Km 14,44 ao Km 22,34) (anexo 2, fl. 40). Além desses 24 contratos ativos que se encontram sob a fiscalização do citado servidor, há outros dois sob a mesma supervisão, sendo que um encontra-se paralisado e outro cadastrado, aguardando ativação, totalizando 26 contratos em potencial. Agravando a situação, posteriormente identificou-se que o citado servidor possui cinco códigos de usuário do Siac diferentes (CO_FISCAL), e chegou-se ao total de 31 contratos ativos e uma cifra próxima a R$ 1 bilhão (anexo 2, fl. 133). A publicação das portarias de designação desse fiscal encontram-se acostadas no anexo 2 às fls. 134-160.

244. Na mesma superintendência, encontra-se o Sr. Delmar Pellegrini Filho, responsável pela fiscalização de treze contratos ativos, que totalizam mais de R$ 638 milhões (anexo 2, fl. 161), segundo dados do Siac. A publicação das portarias de designação desse fiscal também se encontram acostadas nestes autos (anexo 2, fls. 162-173).

245. Com essa quantidade de contratos a serem fiscalizados pelo mesmo servidor, ainda que ele disponha de empresas supervisoras para auxiliá-lo em alguns desses, e considerando o princípio da razoabilidade, há risco de a eficácia das atividades de acompanhamento e de fiscalização desses contratos, previstas no caput do art. 67 da Lei 8.666/1993, ser prejudicada.

246. Ocorre que, além desses dois servidores, a superintendência conta com mais 24 engenheiros e analistas em Infraestrutura de Transportes, segundo o Memorando – DAF-Dnit 3.358/2010 (anexo 1, volume 1, fls. 143-147), juridicamente aptos a fiscalizar os 111 contratos ativos da unidade, segundo dados do Siac (anexo 2, fls. 174-175). Ora, pelos cálculos diretos, com tal quantidade de recursos, a quantidade média de contratos por fiscal na SRE/RS seria de 4,3. Assim sendo, a situação exemplificativa dos dois servidores citados vai de encontro às estatísticas do Dnit (87% dos fiscais são responsáveis por até quatro contratos) e de encontro à situação específica da unidade gaúcha.

247. Questionado sobre o fato por meio do Ofício de Requisição 17-491/2010 (fl. 63, item 3), o Dnit esclarece que (anexo 1, volume 2, fls. 478-479) ambos os servidores são supervisores de unidades locais, que dois contratos já foram concluídos (à época do esclarecimento), e que os fiscais são auxiliados por empresas supervisoras na fiscalização de alguns desses contratos. Informa ainda

24


que já foram designados dois analistas para auxiliar o Sr. Carlos Adalberto e que os demais engenheiros lotados na SRE-RS atendem a outras demandas.

248. Contudo, os esclarecimentos oferecidos limitam-se a relatar fatos relacionados aos servidores mencionados e aos contratos vinculados, sem elucidar, em momento algum, o fato de somente dois servidores serem fiscais de 33% dos contratos ativos de uma Superintendência (37 de 111), e a mesma unidade contar com mais 24 engenheiros e analistas, ou ainda pelo fato de esses dois servidores fiscalizarem R$ 1.615.073.453,94 (anexo 2, fl. 133 e 161) dos R$ 2.723.149.373,93 (anexo 2, fl. 174-v) em contratos ativos daquela Superintendência, isto é, 59%.

249. No próximo achado será evidenciado o atraso no lançamento das medições, a partir do qual poderá ser feita correlação com a situação aqui relatada.

2.8.2 – Causas da ocorrência do achado:250. Ausência de controles de aplicação que obriguem o cadastramento de fiscal

substituto diferente do titular;251. Ausência de controles de aplicação que limitem o lançamento de medições aos

fiscais cadastrados para o contrato;252. Ausência de controles sobre a quantidade de contratos fiscalizada por cada servidor.2.8.3 – Efeito/Consequência do achado:253. Deficiências na fiscalização contratual (efeito potencial).2.8.4 – Critérios:254. Lei 8.666/1993, art. 67, caput.255. Norma Técnica – Information Systems Audit and Control Association (Isaca) – Cobit

4.1, AC1 – Preparação e Autorização de Dados Originais.2.8.5 – Evidências:256. Arquivos da pasta ‘A8’ constante do CD (anexo 2 – principal – fl. 1);257. Impressões de telas da ferramenta ACL (Anexo 2 – principal – fls. 35-38);258. Extrato do Contrato 492/2009 publicado no DOU (anexo 2 – principal – fl. 39);259. Impressão de tela do Siac (anexo 2 – principal – fl. 40).2.8.6 – Conclusão da equipe:260. Verificaram-se, portanto, falhas no cadastramento do fiscal substituto e variação

relevante na quantidade de contratos fiscalizada por cada servidor, prejudicando potencialmente a fiscalização contratual, além de haver diversos fiscais de contratos ativos cujos usuários do Siac encontram-se inativos, evidenciando a não operacionalização do sistema pela maioria dos fiscais, um dos principais atores do Siac.


II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que, em atenção ao art. 67 da Lei 8.666/1993, implante controles no Siac com vistas a assegurar que:

a) os dados de fiscais titular e substituto constantes do sistema reflitam as designações formais via portaria;

b) o fiscal substituto cadastrado seja diferente do fiscal titular.262. Recomendar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso

III, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que avalie o quantitativo de contratos fiscalizados por cada servidor com vistas a garantir uma efetiva fiscalização contratual, mitigando riscos dessa atividade, podendo utilizar-se inicialmente dos dados do arquivo ‘A8\A8_Qtdade_contrato_por_fiscal.XLS’ constante do CD anexo.

2.9 – Processamento de medição efetuado fora dos prazos legais2.9.1 – Situação encontrada:263. De acordo com dados do Siac, constatou-se que 45% (2.072 registros) das medições

observadas foram processadas em data que excede trinta dias após o fim do período de referência da 25


medição (arquivo ‘A9\ A9_Medicoes_fora_prazo.XLS’). A partir do disposto na Lei 8.666/1993, art. 40, inciso XIV, alínea a, depreende-se que o prazo para pagamento das parcelas de obras e serviços contratuais não pode ser superior a trinta dias, contados a partir da data final do período de adimplemento de cada parcela, ainda que o caput do citado artigo refira-se explicitamente apenas a cláusulas editalícias.

264. Verificou-se também que o prazo médio de processamento das medições dos contratos do Dnit é de 46,6 dias, desconsiderando-se, para tanto, as medições migradas, as do tipo históricas, as de contratos não administrados diretamente pelo Dnit e aquelas cujo valor medido é zero (célula E35, do arquivo ‘A9\A9_Média_Prazo_de_lançamento_por_unid_fisc.XLS’).

265. Foram encontradas diversas medições em que o lapso temporal entre a data do fim do período de medição e a data de seu processamento foi superior a seis meses. Assim, com vistas a melhor elucidar os fatos, a equipe examinou os autos de alguns processos de medição contratual, conforme relatado a seguir.

266. A medição 26 do Contrato 65/2007, fiscalizado pela Superintendência Regional do Dnit (SRE) de Minas Gerais, referente ao período de 1 a 31/5/2009, foi processada em 11/2/2010, isto é, 256 dias após o fim do período de medição (anexo 1, volume 1, fl. 197), seu atestado de execução de serviços (AES) foi encaminhado à sede do Dnit em Brasília em 8/3/2010 (anexo 1, volume 1, fl. 200), e o pagamento se deu em 26/3/2010 (anexo 1, volume 1, fl. 206), completando um período de 299 dias entre o fim da prestação dessa parcela e seu respectivo pagamento.

267. Nessa mesma situação, entre muitas outras, citam-se também a medição 25, do Contrato 127/2007 – 255 dias para processamento e 322 para pagamento (anexo 1, volume 1, fls. 208 e 216); a medição 20, do Contrato 125/2007 – 251 dias para processamento e 273 para pagamento (anexo 1, volume 1, fls. 219 e 230); e a medição 25, do Contrato 73/2007 – 227 dias até o processamento e 243 até o pagamento (anexo 1, volume 1, fls. 238 e 272), todos fiscalizados pela SRE/MG, embora os casos não se restrinjam a esta unidade.

268. Sobre os três casos tomados como exemplos, e por meio do Memorando – CGMRR/Dnit 2305/2010 (anexo 1, volume 2, fls. 401-402) e seu anexo (anexo 1, volume 2, fls. 409/411), o Dnit informa que, em suma, o atraso ocorreu devido à tramitação interna de processos que visavam o aditamento de valor dos respectivos contratos ‘com a inclusão de quantitativos da nova etapa’ (anexo 1, volume 2, fls. 409 e 410). Segue dizendo que ‘esses contratos são de prestação de serviços contínuos os quais não foram paralisados, tendo sido efetuados neste período diversos serviços’ (anexo 1, volume 2, fl. 411). Ao finalizar o esclarecimento, o gestor afirma ainda que caso a SRE-MG optasse pelo processamento de medições com valor nulo, durante os trâmites da prorrogação, com seu consequente aumento de valor posteriormente, estaria acobertando a nova etapa do contrato (anexo 1, volume 2, fl. 411).

269. Segundo o informado, a velocidade do trâmite administrativo referente a esses contratos nas unidades do Dnit não foi suficiente para garantir que a prestação desses serviços se desse somente após a celebração dos respectivos termos aditivos que, por sua vez, viriam a incluir os quantitativos necessários para tal prestação. Portanto, evidencia-se tanto a ocorrência de excessivo atraso entre a prestação dos serviços e o processamento da medição realizada, mas também a medição de itens de serviço que vieram a ser contratados em período posterior ao que o serviço foi prestado, em afronta ao art. 60 c/c. art. 62 da Lei 8.666/1993.

270. Em outra linha de procedimentos, agruparam-se as medições por unidade fiscalizadora e obteve-se o prazo médio que cada uma das unidades do Dnit leva para processar as medições dos contratos administrativos que se encontram sob sua fiscalização (Arquivo ‘A9\ A9_Média_Prazo_de_lançamento_por_unid_fisc.XLS’). Observa-se, por exemplo, que a SRE/RJ levou em média 81 dias para processar as medições dos contratos sob sua fiscalização, cujas medições perfizeram cerca de R$ 52 milhões, em valores a preços iniciais (anexo 2, fl. 44). Ao mesmo tempo, a SRE/MT levou cerca de 29 dias para processar medições equivalentes a R$ 210 milhões dos contratos sob sua fiscalização, a preços iniciais (anexo 2, fl. 44).

26


271. Analisando sob outro enfoque, agruparam-se as medições por empresa contratada e obteve-se o tempo médio que cada empresa contratada pelo Dnit esperou para ter seus serviços medidos e processados, ordenando-se em ordem crescente (anexo 2, fls. 126-129). Constatou-se que apenas uma, entre as dez empresas que mais receberam em contratos de obras com o Dnit, teve suas medições lançadas em prazo superior à média geral de lançamento do Dnit, que é de 46,6 dias (arquivo ‘A9\A9_Média_Prazo_de_lançamento_por_empresa.XLS’).

272. Por último, e sob outro enfoque, tomou-se como exemplo o seguinte caso: um mesmo servidor já foi responsável pela fiscalização e pelo lançamento de medições de doze contratos (anexo 2, fl. 130). Nesse período, o prazo médio de lançamento das medições de contratos por ele fiscalizados foi de 105 dias aproximadamente. Contudo, esse prazo médio de lançamento oscilou entre 9 e 410 dias nos doze contratos por ele fiscalizados, sendo que as medições que totalizaram os maiores valores a preços iniciais foram aquelas lançadas em menor tempo.

273. Ao prestar seus esclarecimentos (anexo 1, volume 2, fls. 415-416), o Dnit alega que os dados contidos no Anexo I do Ofício de requisição 17-491/2010 (fl. 64) não permitem análise por parte do mesmo, e cita alguns fatos genéricos relacionados a três dos contratos listados no aludido Anexo I.

274. Sabe-se que a medição é o ato que calcula o quantum devido pelo Dnit, e somente a partir da sua inserção no Siac e do seu processamento é possível dar início ao processo de liquidação contábil e pagamento. Se o prazo para pagamento não deve ser superior a trinta dias da data final do período de adimplemento, isto é, a data final a que se refere o período de medição, muito menos o lançamento ou o processamento da medição devem ocorrer após tal período.

275. Ao consultar cópias de contratos de obras fornecidos pelo Dnit, observou-se que o prazo legal de trinta dias para pagamento é contado a partir da data da emissão do aceite na nota fiscal recebida pelo Dnit. Contudo, não é estabelecido no contrato prazo algum para que o Dnit realize e processe a medição da parcela de obra, citando-se, como exemplo, os trechos dos contratos às fls. 161, 169 e 179 do anexo 1, volume 1.

276. Nesse sentido, a IS – Dnit 1/2010, de 23/2/2010, disciplinou em seu art. 32 que a medição deve ser encaminhada à Superintendência Regional do Dnit até o quinto dia útil do mês subsequente, ainda que zerada (anexo 2, fls. 41-42), sem mencionar se o encaminhamento corresponderia à operação de lançamento da medição no Siac, o que evidencia a precariedade de definição quanto ao prazo para que se lancem no sistema e se processem as medições.

277. Considerando o prazo médio de processamento que vem sendo praticado pela Autarquia (46,6 dias) e a grande variação do prazo de processamento entre suas unidades (arquivo ‘A9\ A9_Média_Prazo_de_lançamento_por_unid_fisc.XLS’), entre seus fiscais de contrato (arquivo ‘A9\ A9_Média_Prazo_de_lançamento_por_fiscal.XLS’) e entre as empresas contratadas (arquivo ‘A9\A9_Média_Prazo_de_lançamento_por_empresa.XLS’), conclui-se que tal definição acaba por representar um risco para a empresa que, ao ser contratada pelo Dnit, o assume e o traduz em aumento de custos de sua proposta de preços.

278. Ademais, é conveniente assinalar a possibilidade de privilegiar algumas empresas, processando suas medições mais rapidamente, atentando-se contra a isonomia entre os contratados pelo Dnit.

279. Assim, conclui-se ser de extrema importância que o Dnit preveja um prazo para lançamento da medição no Siac pelo profissional responsável, e não somente o encaminhamento dos documentos em papel para a superintendência, bem como a definição de cada uma das etapas restantes do processo de trabalho de medição, o que deve ser contemplado no processo de trabalho cuja formalização se propôs na determinação constante do achado 2.7.

280. É imperativo, também, que o Dnit crie mecanismos que promovam o cumprimento do prazo definido, utilizando-se, inclusive, da potencialidade do Siac, como, por exemplo, a disponibilização pública de um indicador de prazo médio de lançamento e processamento de medição por fiscal, por unidade, por contrato e por empresa contratada, estimulando, assim, o

27


controle por parte dos próprios contratados, além de facilitar o acompanhamento pelas unidades do Dnit responsáveis para tanto e pelos órgãos de controle.

2.9.2 – Causas da ocorrência do achado:281. Ausência de estabelecimento dos prazos para lançamento e processamento de

medição no Siac.2.9.3 – Efeitos/Consequências do achado:282. Atraso na medição e no pagamento aos contratados do Dnit (efeito real);283. Aumento potencial do custo das obras decorrente do atraso no pagamento (efeito

potencial);284. Risco de fraude por meio do favorecimento de empresas (efeito potencial).2.9.4 – Critérios:285. Lei 8.666/1993, art. 40, inciso XIV, alínea a.286. IS – Dnit 14/2008, art. 2º, caput (a partir de 14/11/2008).2.9.5 – Evidências:287. Arquivos da pasta ‘A9’ constante do CD (anexo 2 – principal – fl. 1);288. Impressões de telas da ferramenta ACL (anexo 2 – principal – fls. 43-44).2.9.6 – Conclusão da equipe:289. Constatou-se que 45% das medições contratuais observadas no Siac são processadas

em prazo superior a trinta dias, provocando, por conseguinte, atraso no pagamento à empresa fornecedora, em dissonância com o disposto no art. 40, inciso XIV, alínea a da Lei 8.666/1993, além de provocar potencialmente o aumento dos custos dos contratados que são repassados ao Dnit e possibilitar a ocorrência de fraudes envolvendo atraso no lançamento de medições. Destarte, é necessário o estabelecimento de prazo para lançamento no Siac de medição pelo profissional responsável e também a criação de controles que promovam o cumprimento do prazo definido, sendo recomendável a criação de mecanismos, por meio do Siac, que permitam o controle social.

2.9.7 – Proposta de encaminhamento:290. Recomendar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso

III, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que, na definição do processo de trabalho de medição e pagamento dos contratos a ser estabelecido, estabeleça prazo máximo para lançamento das medições no Siac, levando em consideração o prazo previsto na Lei 8.666/1993, art. 40, inciso XIV, alínea a.

291. Recomendar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso III, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que implante controles no Siac para dar cumprimento ao prazo máximo estabelecido para lançamento das medições no Siac.

292. Recomendar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso III, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que implante no Siac mecanismos que disponibilizem informações que permitam o controle social dos prazos de lançamento das medições, como o prazo médio de lançamento das medições por contrato, por fiscal, por empresa e por unidade local e de fiscalização.

2.10 – Ausência de consistência entre os valores dos contratos e as somas dos respectivos itens de serviço

2.10.1 – Situação encontrada:293. Segundo as regras de negócio do sistema, a soma da planilha dos itens de serviços

cadastrados para um contrato (a preços iniciais) não deve ser superior ao valor total do contrato (também a preços iniciais), considerando ainda eventuais aditivos, conforme confirmação com os técnicos do Serpro (anexo 2, fl. 34-v, itens 3 e 4).

294. No entanto, identificaram-se 154 contratos (desconsiderando-se aqueles com status ‘CADASTRADO’) em que o valor total da planilha de itens de serviços (a preços iniciais) é maior que o valor vigente do contrato, ou seja, valor inicial do contrato somado com aditivos eventuais (arquivo ‘A10\A10

28


Valor_contrato_mais_aditivos_menor_valor_inicial_itens_desconsiderado_status_cadastrado.xls’). Desse total, 39 encontram-se na base analisada como ativos (arquivo ‘A10\A10 Valor_contrato_mais_aditivos_menor_valor_inicial_itens_status_ativo.xls). Nenhum desses registros representa contrato registrado inicialmente no atual Siac, contudo alguns foram alterados após sua implantação.

295. Citam-se como exemplos os contratos 145/2006 (em que a diferença entre seu valor total com a soma da planilha é de R$ 102.296,00) e o 143/2006 (cuja diferença é de R$ 256.413,96), ambos ativos e fiscalizados pela SRE-GO/DF à época da realização do procedimento (anexo 2, fls. 60-64 e 65-69).

296. Foram identificados também contratos em outros status, a exemplo do contrato 3/2003, fiscalizado pela SRE – AM/RR, o qual se encontrava com o status ‘ENCERRADO’ já à época da aplicação do procedimento, em que se verificou que o total acumulado de medições a preços iniciais chegou a R$ 534.375,05 (anexo 2, fl. 71) – mesmo valor da planilha de serviços (anexo 2, fl. 70-v), mas superior ao valor total contratado que foi de R$ 500.501,16 (anexo 2, fl. 70). Outro exemplo seria o do contrato 69/2001, que se encontrava ativo e passou a concluído na fase final dos trabalhos da equipe, tendo sido fiscalizado pela CGPERT – Coordenação-Geral de Operações Rodoviárias, com valor vigente do contrato de R$ 11.268.103,85 e planilha de itens de serviços totalizando R$ 12.428.345,56, o que representa uma diferença de R$ 1.160.241,71 (anexo 2, fls. 55-59).

297. Acerca desse último contrato (69/2001), o gestor do Dnit informou que (anexo 1, volume 2, fls. 437-439) trata-se de um contrato originalmente cadastrado no SMD (antecessor do Siac) e que teve seu registro migrado para a base de dados do Siac. Assim, diante das novas regras de negócio do sistema – que impedem o lançamento de medições acima do total da planilha de serviços, fez-se necessário cadastrar no Siac um valor superior ao total contratado, para que se pudesse continuar lançando as medições contratuais. O gestor do Dnit afirma também que, ainda assim, o valor total executado não superou o efetivamente contratado, apresentando planilhas como evidência (anexo 1, volume 2, fls. 441-442).

298. Ainda que não tenham sido encontrados contratos cadastrados diretamente no Siac com a inconsistência relatada, há risco de os 39 contratos ativos que se encontram na base de dados com essa inconsistência sejam executados em valor superior ao total contratado, afrontando a Lei 8.666/1993, art. 66.

2.10.2 – Causa da ocorrência do achado:299. Falhas no sistema que antecedeu o Siac ou falha no processo de migração de dados.2.10.3 – Efeitos/Consequências do achado:300. Risco de execução contratual superior ao valor contratado (efeito real);2.10.4 – Critérios:301. Lei 8.666/1993, art. 66.302. Regra de negócio informada pelos técnicos do Serpro (anexo 2, fl. 34-v, itens 3 e 4).303. Norma Técnica – ABNT – Norma Técnica – ABNT – NBR ISO/IEC 27002, item

12.2.2 – Controle do processamento interno.304. Norma Técnica – Norma Técnica – Information Systems Audit and Control

Association (Isaca) – Cobit 4.1, AC4 – Processamento íntegro e válido.2.10.5 – Evidências:305. Arquivos da pasta ‘A10’ constante do CD (anexo 2 – principal – fl. 1);306. Mensagem eletrônica enviada por técnico do Serpro em 19/7/2010 (anexo 2 –

principal – fl. 34);307. Telas do Siac (volume principal – fls. 55-71).2.10.6 – Conclusão da equipe:308. As inconsistências na base de dados do Siac, ainda que originárias de sistemas

legados ou do processo de migração, representam riscos à regular gestão dos contratos do Dnit cadastrados no citado sistema.

29



II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que, em atenção à Lei 8.666/1993, art. 66, avalie os contratos identificados no arquivo ‘A10\A10 Valor_contrato_mais_aditivos_menor_valor_inicial_itens_desconsiderado_status_cadastrado.xls’ constante do CD anexo e:

a) adote medidas para impedir que a execução desses contratos que ainda se encontrem ativos supere o valor contratado;

b) para os contratos que foram executados em valores superiores aos contratados, adote as medidas cabíveis, apurando, inclusive, as responsabilidades.

2.11 – Falhas no cadastro dos contratos2.11.1 – Situação encontrada:310. Por meio do procedimento realizado na base de dados do Siac, foi verificado o tempo

decorrido entre a celebração do contrato e o cadastro inicial do contrato no sistema (arquivo ‘A11\A11_Tempo_cad_contratos_siac.XLS’).

311. Frise-se que o procedimento aqui executado cuidou somente dos dados produzidos sob a égide do Siac, pois, como apontado na seção de limitações, os dados produzidos pelo sistema que o antecedeu, e para este migrados, não permitem a execução desse procedimento para os contratos cadastrados anteriormente à sua implantação, uma vez que a informação do momento em que o contrato foi incluído no sistema foi perdida na migração, ou sequer era armazenada no sistema anterior. Dessa forma, somente foram considerados os contratos incluídos após a implantação do Siac, que somam 724 contratos dos 5.514 cadastrados no sistema. A análise dos dados indica que (arquivo ‘A11\A11_Tempo_cad_contratos_estratificado.XLS’):

a) 387 contratos foram cadastrados em menos de trinta dias a partir da data de assinatura;

b) 186 contratos foram cadastrados no período de trinta a 59 dias após a data de assinatura cadastrada no Siac;

c) 81 contratos foram cadastrados entre sessenta e 89 dias;d) trinta contratos foram cadastrados entre noventa e 119 dias;e) 27 contratos foram cadastrados ente 120 e 365 dias; ef) treze contratos somente foram cadastrados após 365 dias da data de assinatura

registrada no sistema.312. Cabe ressaltar que 256 dos 337 contratos cujo tempo decorrido para cadastro foi

igual ou superior a trinta dias referem-se a contratos ativos.313. Toma-se como exemplo o Contrato 88/2010 (execução de serviços de conservação e

recuperação – anexo 1, volume 1, fls. 159-164), cuja celebração, segundo o Siac (anexo 2, fl. 121) e os próprios autos de contratação (anexo 1, volume 1, fl. 164), se deu em 8/2/2010. A ordem para início de serviços ocorreu em 19/2/2010 (anexo 1, volume 1, fl. 165) e as três primeiras medições referem-se ao período de 19/2/2010 a 19/4/2010, e totalizam R$ 560.470,44 (anexo 2, fls. 123-125). Ocorre que o registro do contrato no Siac ocorreu apenas em 3/5/2010 (linha 708 da planilha contida no arquivo ‘A11\A11_Tempo_cad_contratos_siac.XLS’), isto é, 84 dias após a celebração e, além disso, posterior ao período de referência das três primeiras medições. Frise-se que a data de cadastro do contrato não pode ser visualizada pelo sistema, apenas mediante consulta diretamente à base de dados, conforme registrado no achado 2.13 relatado adiante. Cabe registrar que o Contrato 88/2010 possuía o status ‘CADASTRADO’, de acordo com a base de dados encaminhada em 27/5/2010 para realização do procedimento de auditoria, e que ao término do presente relatório já se encontrava com o status ‘CONCLUÍDO’ no sistema Siac.

314. Tendo em vista que as medições só podem ser processadas no sistema e pagas após o cadastro de seus respectivos contratos, a demora no cadastro dos contratos no Siac traz como consequência direta o atraso no pagamento das primeiras medições desses contratos. No exemplo

30


tomado, o processamento das duas primeiras medições ocorreu em 26/5/2010 e 20/7/2010, respectivamente (anexo 2, fls. 123 e 124), isto é, respectivamente 87 e 111 dias após o fim do período de referência de cada medição.

315. Ademais, imagina-se que o decurso de tempo excessivo entre a data de celebração do contrato e seu respectivo cadastro no Siac eleva o risco de ocorrer o pagamento por serviços não executados nos contratos de conservação (responsáveis por 19% dos contratos ativos e uma cifra superior a um R$ 1 bilhão – anexo 2, fl. 43), mediante a seguinte tipologia: o contrato não é cadastrado no Siac e tampouco suas primeiras medições são passíveis de serem registradas. Durante esse período, o serviço de conservação (e.g. capina de beira de rodovia) não é prestado. Posteriormente, o contrato é cadastrado e as primeiras medições são todas lançadas de uma só vez, de maneira que, após as medições serem lançadas e pagas, não é possível verificar se o serviço foi realmente prestado, uma vez que, nessa oportunidade, pode-se perder a evidência da execução do serviço (e.g., já se faz necessária nova capina na beira da rodovia).

316. Assim, é necessário que o Dnit normatize a obrigatoriedade de cadastro dos contratos no Siac como condição para autorizar sua execução.

2.11.2 – Causa da ocorrência do achado:317. Ausência de cadastro de contrato no Siac como condição para o início da execução

do contrato.2.11.3 – Efeitos/Consequências do achado:318. Atraso na medição e no pagamento aos contratados do Dnit (efeito real);319. Risco de facilitar a ocorrência de fraude de pagamento por serviços não realizados

(efeito potencial).2.11.4 – Critério:320. Princípio da prudência.2.11.5 – Evidência:321. Arquivos da pasta ‘A11’ constante do CD (anexo 2 – principal – fl. 1).2.11.6 – Conclusão da equipe:322. Constatou-se excessivo tempo decorrido entre a data de celebração dos contratos e a

data de seu cadastro no Siac, provocando, por conseguinte, atraso no lançamento das medições e no pagamento à empresa contratada. Destarte, é necessário o estabelecimento de regra prazo para cadastro do contrato no Siac pelo profissional responsável e também a criação de mecanismos que promovam o cumprimento do prazo definido, inclusive por meio do Siac.

2.11.7 – Proposta de encaminhamento:323. Recomendar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso

III, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que, na definição do processo de trabalho de medição e pagamento dos contratos a ser estabelecido, estabeleça como regra que a ordem de início de serviços somente seja expedida após o cadastramento do contrato no Siac.

324. Recomendar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso III, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que implante controles no Siac para dar cumprimento a regra supra, implantando ainda, se necessário, controles compensatórios para os casos de exceção.’

3 – ACHADOS NÃO DECORRENTES DAS QUESTÕES DE AUDITORIA3.1 – Precariedade do cadastro de terceirizados3.1.1 – Situação encontrada:325. Em entrevista com servidores da Auditoria Interna do Dnit, tomou-se conhecimento

da existência de planilhas com informações de todos os terceirizados que prestam serviço à Autarquia, por meio das quais a entidade manteria um controle centralizado dos prestadores de serviço, inclusive com vistas ao cumprimento do art. 78, §7º da Lei 12.017/2009 (LDO 2010) e do art. 77, §§ 4º e 5º c/c. art. 87, § 4º da Lei 12.309/2010 (LDO 2011).

31


326. Assim, por meio do item um do Ofício de Requisição 3-491/2010 (fl. 12), a equipe solicitou as citadas planilhas que foram, por sua vez, encaminhadas em formato digital, mediante o Ofício 254/2010/AUDINT/Dnit (fl. 13). Contudo, ao consultar os arquivos encaminhados (anexo 1, fl. 13), verificou-se que não consta informação da data de quando se deu o início ou o fim do vínculo de cada prestador de serviço com o Dnit. Assim, a partir de tal cadastro, não é possível saber a partir de que data uma pessoa começou a prestar serviços ao Dnit, tampouco se em determinado dia, um funcionário ainda prestava serviços ao Dnit.

327. Para este trabalho, tal fato implica, basicamente, não saber se na data em que um usuário terceirizado realizou operações no Siac o mesmo ainda se encontrava prestando serviços ao Dnit. Dessa forma, tal achado também foi registrado na seção de limitações deste relatório, pois limitou a execução dos procedimentos relativos à questão cinco.

328. Também foi registrado na seção das limitações, o fato de esse mesmo cadastro de terceirizados não conter o número de qualquer documento que identifique cada profissional, como CPF ou número de identidade. Cada pessoa é identificada unicamente pelo nome, o que dificulta a realização de procedimentos envolvendo tal cadastro, dada a precariedade da utilização do nome como chave de cruzamento. Destarte, será proposto ao Dnit que adote providências no sentido de corrigir tais impropriedades.

3.1.2 – Causa da ocorrência do achado:329. Deficiências nos controles de pessoal terceirizado.3.1.3 – Efeitos/Consequências do achado:330. Nesta auditoria, impedimento de identificar, de maneira automatizada, os

terceirizados com contas ativas indevidamente no Siac (efeito real).3.1.4 – Critérios:331. Lei 12.017/2009, art. 78, § 7º (LDO 2010);332. Lei 12.309/2010, art. 87, § 4º (LDO 2011).3.1.5 – Evidências:333. Arquivos contidos no CD (anexo 1, fl. 13) encaminhados por meio do Ofício

254/2010/AUDINT/Dnit (fl. 13).3.1.6 – Conclusão da equipe:334. A ausência da data de início e fim da prestação dos serviços, bem como de um

identificador de cada funcionário do cadastro de terceirizados do Dnit, representa afronta parcial ao preceito legal da LDO, traduzindo-se em falta de transparência nesse ponto, e prejudicou a identificação de todos os terceirizados que possuem contas no Siac ativas indevidamente.


II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que, em atenção à Lei 12.309/2010, art. 87, § 4º (LDO 2011), ou dispositivo que vier a lhe suceder nas próximas LDO, inclua no cadastro de terceiros que prestam serviços à entidade, um número único de identificação (a exemplo do CPF), as datas de início e fim da cessão de mão de obra.

3.2 – Ausência de exibição das informações do nome do usuário e da data de realização das operações no Siac

3.2.1 – Situação encontrada:336. No intuito de melhor evidenciar os achados dos trabalhos, a equipe acessou

diretamente o Siac, buscando também imprimir telas com a indicação do usuário que realizou a operação avaliada e da data e hora da mesma. Contudo, constatou-se que o nome do usuário (ou qualquer informação do mesmo) não é exibido nas principais telas do sistema, especificamente nas telas que permitem consulta às operações de cadastro de contrato, lançamento e aprovação de medição, emissão de ofício de pagamento e aprovação do respectivo processo de pagamento.

337. Isto é, acessando o sistema não é possível visualizar a data em que essas operações ocorreram ou, ainda mais importante, quem as realizou. Tais informações são registradas na base de

32


dados do Siac, contudo inacessíveis aos usuários do sistema que, via de regra, não possuem acesso ao seu banco de dados, uma vez que a base de dados (da mesma maneira que o sistema) é administrada pelo Serpro.

338. Com efeito, considerando que as informações de quem e quando as operações ocorreram devem ser e são registradas no banco de dados do Siac, que essas informações não são de natureza restrita ou sigilosa, que são de utilidade para os operadores do sistema e para os órgãos de controle (usuários legítimos do sistema em decorrência da previsão no art. 102, inciso XIV das LDO 2010 e 2011 – Leis 12.017/2009 e 12.309/2010) e considerando ainda os princípios da publicidade e da transparência, será proposta recomendação ao Dnit para que inclua esta informação nas principais telas do Siac.

339. Registre-se ainda que a exposição das informações sobre a autoria das operações em qualquer sistema constitui-se em controle do tipo dissuasivo.

3.2.2 – Causa da ocorrência do achado:340. Ausência de preocupação com controles dissuasivos.3.2.3 – Efeitos/Consequências do achado:341. Falta de transparência e publicidade com respeito às operações no Siac.3.2.4 – Critérios:342. Princípios da publicidade e transparência.3.2.5 – Evidências:343. Telas do Siac (anexo 2, fls. 15-26, 40, 55-70-v, 117-125).3.2.6 – Conclusão da equipe:344. Verifica-se que a ausência da exibição das informações do usuário e da data em que

as operações no Siac foram realizadas dificulta a obtenção e a rastreabilidade das mesmas pelos usuários do sistema.

3.2.7 – Proposta de encaminhamento:345. Recomendar, com fulcro no art. 43, inciso I, da Lei nº 8.443, de 16 de julho de 1992

c/c o art. 250, inciso III, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que implante controles dissuasivos no Siac, a exemplo da inclusão, nas principais telas de consulta do sistema, do nome do usuário e da data e hora de realização da operação consultada, de modo a ampliar a transparência das operações realizadas no sistema.

3.3 – Ausência de documentação do sistema3.3.1 – Situação encontrada:346. Como citado na seção limitações, constatou-se a inexistência do dicionário de dados

do Siac (fl. 14v e anexo 1, fl. 20), artefato essencial na documentação de qualquer sistema informatizado, pois auxilia na navegação dos desenvolvedores, auditores e técnicos responsáveis pela manutenção da base de dados do sistema. Tal fato dificultou a execução dos procedimentos, obrigando a equipe de auditoria a questionar a equipe técnica do Serpro (responsável pelo desenvolvimento do Siac), a cada surgimento de dúvida na fase de execução.

347. Após ser solicitado por meio do item 1.a) do Ofício de comunicação de auditoria (fl. 2), o Dnit informou que o dicionário de dados poderia ser solicitado junto aos técnicos do Serpro em Curitiba, durante a visita técnica agendada (fl. 5, item 2). Contudo, após receber um CD supostamente contendo o dicionário de dados do Siac, a equipe constatou que tal documento de fato não constava da mídia entregue, informando tal fato ao Dnit e ao Serpro (fl. 14v, último parágrafo). Adicionalmente, o Dnit encaminhou o Ofício SUNNE/NEDAC – 012660/2010 (anexo 1, fl. 20), que afirma que o único artefato que se possuía é o que foi entregue em Curitiba.

3.3.2 – Causa da ocorrência do achado:348. Ausência de processo de software (Acórdão 866/2011-TCU-Plenário, item 9.2.3).3.3.3 – Efeitos/Consequências do achado:349. Dificuldades na manutenção do Siac (efeito potencial);350. Dificuldade de auditar as bases de dados (efeito real).

33


3.3.4 – Critérios:351. Contrato DAF 265/2006-00, entre o Dnit e o Serpro (anexo 2, fls. 184-208);352. PO2.2 do Cobit 4.1 – Dicionário de Dados Corporativos e Regras de Sintaxe de

Dados.3.3.5 – Evidências:353. Ofício de Requisição 4-491/2010, de 3/5/2010 (fl. 14-v, último parágrafo).354. Ofício SUNNE/NEDAC-012660/2010 (anexo 1, fl. 20).3.3.6 – Conclusão da equipe:355. A ausência de dicionário de dados para o Siac prejudica a navegação no sistema

pelos desenvolvedores, auditores e técnicos responsáveis pela manutenção da base de dados do sistema, mostrando-se, portanto, artefato essencial na documentação de qualquer sistema informatizado.


II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que, em atenção à Lei 8.666/1993, art. 66, exija da empresa contratada os artefatos do desenvolvimento do Siac.”

5. Como o Dnit, apesar de instado a fazê-lo, deixou de se manifestar acerca dos achados de auditoria, a equipe de inspeção apresentou as seguintes conclusões e propostas (fls. 97/101):

“5 – CONCLUSÃO360. A presente fiscalização constitui uma das quatro auditorias específicas realizadas no

âmbito do TMS 6-Gestão e uso de TI (TC 011.772/2010-7) e teve como objetivo avaliar o Sistema de Acompanhamento de Contratos (Siac) do Departamento Nacional de Infraestrutura de Transportes (Dnit), em especial se as bases de dados do sistema são íntegras, confiáveis e representam as regras do negócio.

361. O Siac é o sistema informatizado responsável por operacionalizar a gestão dos contratos celebrados pelo Dnit, sobretudo de obras, suportando, assim, a principal atividade fim do Dnit. Tal atividade, incluída na função Transporte no orçamento de 2010, recebeu dotação orçamentária superior a R$ 11 bilhões (anexo 2, fl. 5). Esse mesmo sistema possui informações de contratos ativos (em execução) que somam cerca de R$ 24 bilhões (anexo 2, fl. 6). O próprio Diretor-Geral do Dnit reconhece que se trata de seu principal sistema, capaz de provocar a parada imediata de seu negócio caso o sistema pare (anexo 2, fl. 7-v).

362. Sendo o Siac essencial ao funcionamento do Dnit e ao seu negócio (‘implementar, em sua esfera de atuação, a política formulada para a administração da infraestrutura do Sistema Federal de Viação’ – Lei 10.233/2001, art. 80, caput), foram evidenciadas falhas em relação à integridade e à confiabilidade dos dados, bem como casos em que os dados não representam às regras de negócio da gestão de contratos. A ausência de regulamentação acerca da utilização do Siac (item 2.1) dificulta sua institucionalização e a adoção de procedimentos padronizados pelos servidores da Autarquia no tocante ao processo de trabalho de fiscalização de contratos.

363. A ausência de Política de Controle de Acesso (PCA) associada à ausência de procedimentos padronizados de controle de acesso ao Siac (item 2.2) é uma das causas para o cadastro de itens de serviço possuir múltiplas ocorrências de parte dos itens de serviço (item 2.4), para haver contas de usuários do Siac ativas indevidamente (item 2.5), para a atribuição de perfis de usuários e realização de operações em desconformidade com as regras de segregação de funções (item 2.6) e para a atribuição de perfis de usuários e realização de operações em desconformidade com os controles de acessos sensíveis (item 2.7).

364. Contribui para a existência dessas desconformidades a falta de comprometimento da Autarquia com assuntos relativos à segurança da informação, materializada pela inexistência de seis

34


dos sete controles testados na avaliação de controles gerais de TI empreendida na Autarquia (Acórdão 866/2011-TCU-Plenário).

365. Destarte, a adoção de política de controle de acesso a informações e recursos de TI e a implementação de processos de registro de usuário do Siac, gerenciamento de senhas, gerenciamento de privilégios e análise crítica dos direitos de acesso constituem etapa fundamental para que o Dnit possua um cadastro mais preciso dos itens de serviço de seus contratos, seja capaz de desativar a conta de seus ex-servidores e ex-terceirizados tempestivamente, para garantir que as regras de segregação de funções no processo de trabalho de gestão de contratos sejam respeitadas e que as operações no sistema sejam executadas somente pelas pessoas autorizadas para tanto.

366. Foram encontradas divergências entre os índices mensais de reajustamento cadastrados no Siac e os calculados pela FGV (item 2.3), além de impropriedades no cadastro dos fiscais de contrato (item 2.8), como a não vinculação com as informações das portarias de designação, o não cadastramento do fiscal substituto e a distribuição desigual da quantidade de contratos por fiscal.

367. O atraso no processamento das medições de contrato (item 2.9) além de representar um descumprimento de preceito legal, provoca potencialmente aumento dos valores das propostas de preços das obras. De forma semelhante, o excessivo tempo decorrido entre a data de celebração dos contratos e a data de seu cadastro no Siac (item 2.11) pode resultar em atraso no lançamento das medições e atraso no pagamento à empresa contratada. Nessa esteira, a ausência de críticas do Siac quanto a esses dois atrasos constitui vulnerabilidade que pode ser explorada para o cometimento de fraudes envolvendo atraso doloso no lançamento de medições e para o cometimento de fraudes no tocante ao pagamento por serviços não prestados em contratos de conservação.

368. No tocante à consistência dos dados, verificou-se ausência de consistência entre o valor de cada contrato com o total da planilha de serviços (item 2.10) nos dados migrados para o sistema, havendo, ainda, por conseguinte, indícios da ocorrência de um caso de execução contratual em valor superior ao contratado.

369. Cabe ressaltar que para as questões de auditoria oito, onze e treze não foram constatadas impropriedades ou irregularidades.

370. Com respeito ao objetivo da auditoria, pode-se afirmar que há inconsistências e falta de integridade em dados da base do Siac, e os dados evidenciam indícios de que há regras do negócio que não estão sendo observadas pelo sistema.

371. Assim, considerando-se os principais achados aqui relatados, conclui-se que se trata de um sistema que suporta informações de grande materialidade, crítico para o funcionamento da Autarquia e para a administração da política viária da União e relevante, inclusive, para a atuação dos órgãos de controle, como exemplifica o art. 102, inciso XIV das LDO 2010 e 2011 (Leis 12.017/2009 e 12.309/2010), mas que apresenta graves problemas relacionados à segurança da informação e desconformidade na implementação de importantes regras de negócio, falhas decorrentes da baixa maturidade tanto de governança de TI, quando se observa o conteúdo da avaliação que resultou o Acórdão 866/2011-TCU-Plenário, quanto de governança corporativa, evidenciada, por exemplo, pela ausência de definição formal do processo de regulamentação acerca do uso do sistema, o que traz risco de que as medições de obras realizadas no sistema não acompanhem a realidade.

372. Ressalta-se que as falhas no Siac constituem riscos nas medições em contratos ativos da Autarquia que somavam cerca de R$ 24 bilhões, o que deve ser objeto de conhecimento das comissões temáticas pertinentes das casas legislativas e da Comissão Mista de Planos, Orçamentos Públicos e Fiscalização do Congresso Nacional.

373. Também será proposto dar conhecimento dos fatos relatados ao Ministério supervisor e ao Comitê Gestor do PAC (Plano de Aceleração do Crescimento).

374. O principal benefício potencial resultante desta fiscalização é a melhoria dos controles atrelados ao processo de trabalho de medição e pagamento dos contratos de obra do Dnit, sobretudo nos controles de aplicação inseridos no Siac.

35


6 – ENCAMINHAMENTO375. Ante o exposto, submetemos os autos à consideração superior, com as propostas a

seguir.376. Recomendar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso

III, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que:

376.1. implante controles para mitigar os riscos de cadastramento de índices de reajustamento em valor diverso do calculado pela Fundação Getúlio Vargas (FGV) (achado 2.3);

376.2. na definição do processo de trabalho de medição e pagamento dos contratos a ser estabelecido em atenção à determinação contida no item , avalie a possibilidade de que o lançamento das medições no Siac seja realizado obrigatoriamente pelo próprio fiscal do contrato ou, alternativamente, que haja uma etapa de homologação pelo fiscal após o lançamento da medição por outro usuário (achado 2.7);

376.3. avalie o quantitativo de contratos fiscalizados por cada servidor com vistas a garantir uma efetiva fiscalização contratual, mitigando riscos dessa atividade, podendo utilizar-se inicialmente dos dados do arquivo ‘A8\A8_Qtdade_contrato_por_fiscal.XLS’ constante do CD anexo (achado 2.8);

376.4. na definição do processo de trabalho de medição e pagamento dos contratos a ser estabelecido em atenção à determinação contida no item , estabeleça prazo máximo para lançamento das medições no Siac, levando em consideração o prazo previsto na Lei 8.666/1993, art. 40, inciso XIV, alínea a (achado 2.9);

376.5. implante controles no Siac para dar cumprimento ao prazo máximo estabelecido para lançamento das medições no Siac (achado 2.9);

376.6. implante no Siac mecanismos que disponibilizem informações que permitam o controle social dos prazos de lançamento das medições, como o prazo médio de lançamento das medições por contrato, por fiscal, por empresa e por unidade local e de fiscalização (achado 2.9);

376.7. na definição do processo de trabalho de medição e pagamento dos contratos a ser estabelecido em atenção à determinação contida no item , estabeleça como regra que a ordem de início de serviços somente seja expedida após o cadastramento do contrato no Siac (achado 2.11);

376.8. implante controles no Siac para dar cumprimento a regra supra, implantando ainda, se necessário, controles compensatórios para os casos de exceção (achado 2.11);

376.9. implante controles dissuasivos no Siac, a exemplo da inclusão, nas principais telas de consulta do sistema, do nome do usuário e da data e hora de realização da operação consultada, de modo a ampliar a transparência das operações realizadas no sistema (achado 3.2);

377. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes (Dnit) que:

377.1. em atenção ao princípio da legalidade constante do art. 37, caput, da Constituição Federal:

377.1.1. crie normativo que regulamente a utilização do Siac, estabelecendo atribuições e responsabilidades para os agentes envolvidos no processo de gestão contratual operacionalizado pelo sistema (achado 2.1);

377.1.2. inclua na regulamentação da utilização do Siac a definição formal do processo de trabalho de medição e pagamento dos contratos, estabelecendo os papéis e responsáveis para cada atividade (achado 2.7);

377.1.3. implante controles no Siac que assegurem a observância do processo de trabalho definido em atenção ao item anterior (achado 2.7);

377.2. em atenção à Norma Complementar 07/IN01/DSIC/GSI/PR, item 5.1, implante processos formais de registro de usuário, gerenciamento de senhas, gerenciamento de privilégios e análise crítica dos direitos de acesso, com vistas a garantir a efetividade dos procedimentos de

36


controle de acesso operacionalizados para esses processos, observando ainda as recomendações contidas no item 11.2 e subitens da NBR ISO/IEC 27002:2005 (achado 2.2);

377.3. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII, in fine, e à Norma Complementar 07/IN01/DSIC/GSI/PR, item 2.6, defina uma política de controle de acesso a informações e recursos de TI, com base nos requisitos de negócio e de segurança da informação da entidade, observando ainda as orientações do item 11.1.1 da NBR ISO/IEC 27002:2005 (achado 2.2);

377.4. em atenção à Instrução de Serviço – Dnit 2/2002, item 1.3, avalie os impactos financeiros decorrentes do erro no cadastramento dos três índices de reajustamento contidos no arquivo ‘A3\Indices Divergentes da FGV.xls’ do CD anexo e, se for o caso, adote as providências necessárias para recuperar os valores pagos em virtude do erro (achado 2.3);

377.5. em atenção à Lei 8.666/1993, art. 3º, caput (princípio da vinculação ao instrumento convocatório), adote um único cadastro de itens de serviço para todos seus sistemas informatizados, de maneira que ele seja utilizado desde a etapa de planejamento da contratação até a gestão dos contratos de obras e serviços (achado 2.4);

377.6. em atenção à Instrução de Serviço – Dnit 14/2008, art. 1º, caput, depure o cadastro de itens de serviço do Siac, com vistas a eliminar a ocorrência de múltiplos registros para um mesmo item (achado 2.4);

377.7. em atenção às regras de negócio definidas para o Siac, corrija as falhas encontradas no módulo de alteração de senha do Siac (achado 2.5);

377.8. em atenção a Norma Complementar 07/IN01/DSIC/GSI/PR, item 2.2, analise as contas de usuário contidas no arquivo ‘A5\Usuários ativos indevidamente.xls’ constante do CD anexo e, se for o caso, adote as providências necessárias para torná-las inativas (achado 2.5);

377.9. em atenção a Norma Complementar 07/IN01/DSIC/GSI/PR, item 2.2, analise as contas de usuário dos funcionários das empresas prestadoras de serviço e, se for o caso, adote as providências necessárias para torná-las inativas (achado 2.5);

377.10. em atenção à Instrução Normativa – SFC/CGU 1/2001, Seção VIII, item 3.IV:377.10.1. defina de maneira clara e formal as regras de segregação de funções do Siac

(achado 2.6);377.10.2. avalie os perfis dos usuários contidos nos arquivos contidos na pasta A6

constante do CD anexo e, se for o caso, adote as providências necessárias para torná-las compatíveis com as regras as regras de segregação de funções (achado 2.6);

377.10.3. implante controles no Siac capazes de impedir a concessão de perfis de usuários em desacordo com as regras de segregação de funções definidas, obstando a realização de operações em desacordo com essas regras, à semelhança do disposto no controle de aplicação AC1 do COBIT 4.1 (achado 2.6);

377.11. em atenção à Norma Complementar 07/IN01/DSIC/GSI/PR, item 2.2, avalie os perfis dos usuários contidos nos arquivos contidos na pasta A7 constante do CD anexo e, se for o caso, adote as providências necessárias para torná-los compatíveis com as regras contidas no processo de trabalho formalmente definido. (achado 2.7)

377.12. em atenção ao art. 67 da Lei 8.666/1993, implante controles no Siac com vistas a assegurar que (achado 2.8):

377.12.1. os dados de fiscais titular e substituto constantes do sistema reflitam as designações formais via portaria;

377.12.2. o fiscal substituto cadastrado seja diferente do fiscal titular;377.13. em atenção à Lei 8.666/1993, art. 66, avalie os contratos identificados no

arquivo ‘A10\A10 Valor_contrato_mais_aditivos_menor_valor_inicial_itens_desconsiderado_status_cadastrado.xls’ constante do CD anexo e (achado 2.10):

377.13.1. adote medidas para impedir que a execução desses contratos que ainda se encontrem ativos supere o valor contratado;

37


377.13.2. para os contratos que foram executados em valores superiores aos contratados, adote as medidas cabíveis, apurando, inclusive, as responsabilidades;

377.14. em atenção à Lei 12.309/2010, art. 87, § 4º (LDO 2011), ou dispositivo que vier a lhe suceder nas próximas LDO, inclua no cadastro de terceiros que prestam serviços à entidade, um número único de identificação (a exemplo do CPF), as datas de início e fim da cessão de mão de obra. (achado 3.1)

377.15. em atenção à Lei 8.666/1993, art. 66, exija da empresa contratada os artefatos do desenvolvimento do Siac (achado 3.3);

377.16. no prazo de trinta dias, a contar da ciência do acórdão que vier a ser proferido, encaminhe plano de ação para a implementação das medidas contidas no Decisum, contendo:

377.16.1. para cada determinação, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações;

377.16.2. para cada recomendação, cuja implementação seja considerada conveniente e oportuna, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações;

377.16.3. para cada recomendação cuja implementação não seja considerada conveniente ou oportuna, justificativa da decisão;

378. Encaminhar cópia do acórdão que vier a ser proferido, bem como do Relatório e Voto que o fundamentarem, para o (a):

378.1. Departamento Nacional de Infraestrutura de Transportes (Dnit), acompanhada do CD contendo os arquivos de evidências;

378.2. Ministério dos Transportes;378.3. Comitê Gestor do PAC;378.4. Comissão Mista de Planos, Orçamentos Públicos e Fiscalização (CMO) do

Congresso Nacional;378.5. Comissão de Serviços de Infraestrutura (CI) do Senado Federal;378.6. Subcomissão Permanente – Plano de Aceleração do Crescimento (CIPAC) da

Comissão de Serviços de Infraestrutura (CI) do Senado Federal;378.7. Subcomissão Permanente de Infraestrutura e Desenvolvimento Urbano

(CISPID) Comissão de Serviços de Infraestrutura (CI) do Senado Federal;378.8. Comissão de Viação e Transportes (CVT) da Câmara dos Deputados;378.9. Subcomissão Permanente destinada a acompanhar as ações relacionadas às

rodovias e transporte rodoviário da Comissão de Viação e Transportes (CVT) da Câmara dos Deputados;

378.10. Comissão de Fiscalização Financeira e Controle da Câmara dos Deputados;378.11. Subcomissão Permanente do Programa de Aceleração do Crescimento (PAC) e

do Programa Minha Casa Minha Vida (PMCMV) da Comissão de Fiscalização Financeira e Controle da Câmara dos Deputados;

378.12. 1ª Secex;378.13. Secob-2.379. Arquivar os presentes autos.”

6. O diretor técnico e o secretário da Sefti endossaram o encaminhamento sugerido pela equipe de fiscalização.

É o Relatório.VOTO

A importância da tecnologia da informação – TI para a administração pública federal é indiscutível.2. Em primeiro lugar, por seu papel crítico no apoio à execução de políticas, programas e projetos de governo.

38


3. Em segundo lugar, pelo significativo montante de valores a ela alocados, que corresponderam a cerca de R$ 12,5 bilhões no orçamento da União de 2010.4. Por tais motivos, esta Corte elegeu a gestão e o o uso de TI como um dos temas de maior significância a nortear sua ação de controle no exercício de 2010 (TMS 6/2010).5. No âmbito dessa prioridade, foram implementadas 4 iniciativas:

a) a atualização, mediante análise de questionários encaminhados a 315 órgãos e entidades federais, do levantamento geral de informações sobre governança de TI efetuado pioneiramente em 2007;

b) o monitoramento das medidas adotadas pelos entes governantes superiores de TI, que têm a responsabilidade de normatizar e fiscalizar uso e gestão da tecnologia da informação em suas respectivas áreas de atuação, em atenção às determinações e recomendações de caráter estruturante que lhes foram endereçadas por esta Corte desde 2004;

c) a realização de auditorias específicas em 19 órgãos e entidades federais, com vistas a avaliar controles gerais de TI;

d) a realização de 4 auditorias específicas em contratos, sistemas ou processos de TI selecionados a partir das constatações obtidas nas auditorias de controles gerais.5. O levantamento geral sobre governança de TI foi apreciado por meio do acórdão 2.308/2010 – Plenário, que constatou a existência de um quadro preocupante, uma vez que, entre as organizações fiscalizada:

a) mais de 60% não possui planejamento estratégico de TI;b) algumas continuam a ter sua TI totalmente controlada por pessoas estranhas a seus

quadros de pessoal;c) muitas apresentam graves problemas de segurança da informação, já que informações

críticas não são protegidas adequadamente;d) metade não possui método ou processo para desenvolvimento de softwares e para

aquisição de bens e serviços de informática, o que gera riscos de irregularidades em contratações;e) em quase todas, a atuação sistemática da alta administração com respeito à TI ainda é

incipiente;f) mais da metade está no estágio inicial de governança de TI e apenas 5% encontram-se

em estágio aprimorado.6. Já o monitoramento das determinações e recomendações estruturantes, apreciado por meio do acórdão 1.145/2011 – Plenário, permitiu constatar, em linhas gerais, que:

a) graças às medidas estruturantes adotadas, os órgãos superiores lograram instituir um arcabouço normativo incipiente para dar sustentação a um modelo de governança de TI na administração pública federal;

b) o poder Executivo e o poder Judiciário trilharam caminhos distintos: enquanto o primeiro procurou, primordialmente, estabelecer um modelo de contratações de bens e serviços de TI e criar controles gerais relativos à gestão da segurança da informação, o segundo optou concentrar esforços no aprimoramento da governança na área de planejamento.7. As 19 auditorias específicas sobre controles gerais, por sua vez, já foram todas apreciadas por este Plenário entre novembro de 2010 e setembro de 2011. Em todas aquelas fiscalizações, foi constatada a fragilidade da governança de TI federal e a existência de falhas e oportunidades de melhoria bastante similares, o que permitiu comprovar a acurácia do levantamento geral há pouco mencionado.8. Nesta oportunidade, trago ao escrutínio deste colegiado uma das quatro auditorias específicas, realizada no Departamento Nacional de Infraestrutura de Transportes – Dnit com o objetivo avaliar o Sistema de Acompanhamento de Contratos – Siac daquela autarquia, especialmente no tocante à integridade e à confiabilidade das bases de dados do sistema e à sua compatibilidade com as regras de negócio da entidade.9. Antes de apresentar as principais constatações do trabalho, lembro que o Dnit foi uma das 19 organizações cujos controles gerais de TI foram examinados por esta Corte, que, por intermédio do acórdão 866/2011 – Plenário, verificou a existência, dentre outras, das seguintes fragilidades na governança de TI da autarquia:

39


a) inexistência de plano estratégico institucional;b) falhas no processo de planejamento;c) inexistência de comitê de TI;d) inexistência de avaliação do quadro de pessoal de TI;e) inexistência de processo de desenvolvimento de software;f) inexistência de processo de gerenciamento de projetos;g) inexistência de processo de gestão de mudanças;h) inexistência de processo de gestão de configuração de serviços de TI;i) inexistência de processo de gestão de incidentes;j) inexistência de classificação da informação;k) inexistência de inventário dos ativos de informação;l) inexistência de processo de gestão de riscos de segurança da informação;m) inexistência de plano anual de capacitação;n) inexistência de avaliação da gestão de TI;o) inexistência de apoio da auditoria interna à avaliação da TI;p) inexistência de estudos técnicos preliminares.

10. A auditoria realizada no Sistema de Acompanhamento de Contratos – Siac do Dnit mostrou parte das graves consequências negativas que a inadequada governança de TI pode ter sobre a gestão da área.11. Basicamente, procurou-se verificar:

a) a existência de regulamentação do sistema;b) a consistência da base de dados,c) o cadastramento, de acordo com a legislação pertinente, de itens de serviço e respectivos

índices de reajustamento;d) a existência de usuários indevidamente ativos;e) a observância de boas práticas na definição de responsabilidades operacionais pelo uso;f) a gestão de identidades e acessos.

12. Além disso, buscou-se avaliar, no que tange ao processo de trabalho apoiado pelo Siac:a) o cadastramento de contratos, de termos aditivos, de empresas contratadas e de fiscais de

contratos;b) o prazo de lançamento de medições;c) a conformidade dos preços dos itens medidos com os preços contratados;d) a conformidade entre os pagamentos aprovados no sistema e os pagamentos autorizados

no Sistema de Gestão Financeira – SGF.13. As constatações foram preocupantes. Verificou-se que:

a) não há regulamentação do uso do sistema;b) não existe política de controle de acesso;c) não há procedimento de gerenciamento de acesso de usuários;d) existem contas de usuários indevidamente ativas;e) perfis de usuários são atribuídos em desacordo com as regras de segregação de funções e

com os controles de acesso sensíveis;f) ausência de consistência nos valores dos contratos e respectivos itens de serviço

cadastrados;g) cadastramento de índices de reajustamento em desacordo com os calculados pela

Fundação Getúlio Vargas;h) utilização do sistema por usuários indevidamente ativos;i) realização de operações em desacordo com regras de segregação de funções;j) falhas no cadastramento de contratos e de fiscais; ek) processamento de medições fora dos prazos legais.

40


14. Tais ocorrências são graves. Em primeiro lugar, porque aumentam o risco de os dados referentes às medições de obras não corresponderem à realidade. Em segundo lugar, porque ampliam a possibilidade de ocorrência de fraudes.15. Assim, observa-se que o Siac, que operacionaliza a gestão de contratos de obras do Dnit, que apóia o processo de trabalho de medição e pagamento de obras e que, segundo a alta administração daquela entidade, é absolutamente vital para o funcionamento da organização, apresenta graves falhas de segurança, que criam riscos nas medições de contratos ativos que representam cerca de R$ 24 bilhões.16. Conclui-se que se trata de um sistema, como bem resumiu a equipe de fiscalização, que contem “informações de grande materialidade, crítico para o funcionamento da autarquia e para a administração da política viária da União e relevante, inclusive, para a atuação dos órgãos de controle, como exemplifica o art. 102, inciso XIV, das LDO 2010 e 2011 (Leis 12.017/2009 e 12.309/2010), mas que apresenta graves problemas relacionados à segurança da informação e à desconformidade na implementação de importantes regras de negócio, falhas decorrentes da baixa maturidade tanto de governança de TI, quando se observa o conteúdo da avaliação que resultou o acórdão 866/2011 – Plenário, quanto de governança corporativa”.17. Por tais motivos, considero adequadas as determinações corretivas e as recomendações de natureza estruturante sugeridas pela unidade técnica, bem como a comunicação das constatações obtidas à Comissão Mista de Planos, Orçamentos Públicos e Fiscalização do Congresso Nacional, às comissões de fiscalização e às comissões temáticas de ambas as Casas Legislativas, ao Ministro de Estado responsável pela supervisão do Dnit e ao Comitê Gestor do Plano de Aceleração do Crescimento.18. Considero importante, também, que o conteúdo deste trabalho seja encaminhado ao Ministro desta Casa responsável por consolidar os resultados do Plano de Fiscalização de Fiscalização de Obras de 2011 – Fiscobras 2011, uma vez que, historicamente, a maior parte das irregularidades apontadas por este Tribunal nas consolidações anualmente remetidas ao Congresso Nacional diz respeito a obras a cargo do Dnit.19. Tenho por adequado, igualmente, determinar à Secretaria de Fiscalização de Tecnologia da Informação que, dada a relevância da matéria tratada nestes autos, realize, no prazo de 180 dias, o monitoramento do cumprimento das orientações formuladas ao Dnit nesta oportunidade.20. Com essas observações, cumprimento a Sefti pelo trabalho realizado e, ao acolher as manifestações daquela unidade técnica, voto pela adoção da minuta de acórdão que trago ao escrutínio deste colegiado.

Sala das Sessões, em 25 de outubro de 2011.

AROLDO CEDRAZRelator

ACÓRDÃO Nº 2831/2011 – TCU – Plenário

1. Processo TC 010.474/2010-22. Grupo I – Classe V – Relatório de Auditoria.3. Responsáveis: Jorge Ernesto Pinto Fraxe, diretor-geral (CPF 108.617.424-00) e Luiz Antônio Pagot, ex-diretor-geral (CPF 435.102.567-00).4. Unidade: Departamento Nacional de Infraestrutura de Transportes – Dnit.5. Relator: Ministro Aroldo Cedraz.6. Representante do Ministério Público: não atuou.7. Unidade Técnica: Secretaria de Fiscalização de Tecnologia da Informação – Sefti.8. Advogado constituído nos autos: não há.

9. Acórdão:41


VISTOS, relatados e discutidos estes autos de relatório de auditoria realizada para avaliar o Sistema de Acompanhamento de Contratos – Siac do Departamento Nacional de Infraestrutura de Transportes – Dnit;

ACORDAM os Ministros do Tribunal de Contas da União, reunidos em sessão do Plenário, ante as razões expostas pelo relator e com base nos arts. 42, §1º, e 43, I, da Lei 8.443/1992, e nos arts. 245, §1º, e 250, inciso III, do Regimento Interno, em:

9.1. recomendar ao Dnit que:9.1.1. implante controles para mitigar riscos de cadastramento de índices de reajustamento

em valor diverso do calculado pela Fundação Getúlio Vargas (achado 2.3 do relatório de auditoria);9.1.2. na definição do processo de trabalho de medição e pagamento dos contratos a ser

estabelecido em atenção à determinação contida no item 9.2.1.2 abaixo, avalie a possibilidade de que o lançamento das medições no Siac seja realizado obrigatoriamente pelo próprio fiscal do contrato ou, alternativamente, que haja uma etapa de homologação pelo fiscal após o lançamento da medição por outro usuário (achado 2.7 do relatório de auditoria);

9.1.3. avalie o quantitativo de contratos fiscalizados por cada servidor, com vistas a garantir efetiva fiscalização contratual e a mitigar riscos dessa atividade, podendo utilizar-se inicialmente dos dados do arquivo “A8\A8_Qtdade_contrato_por_fiscal.XLS” constante do CD anexo (achado 2.8 do relatório de auditoria);

9.1.4. na definição do processo de trabalho de medição e pagamento dos contratos a ser estabelecido em atenção à determinação contida no item 9.2.1.2 abaixo, estabeleça prazo máximo para lançamento de medições no Siac, levando em consideração o prazo previsto na Lei 8.666/1993, art. 40, inciso XIV, alínea a (achado 2.9 do relatório de auditoria);

9.1.5. implante controles no Siac para dar cumprimento ao prazo máximo estabelecido para lançamento das medições no Siac (achado 2.9 do relatório de auditoria);

9.1.6. implante no Siac mecanismos que tornem disponíveis informações que permitam controle social dos prazos de lançamento das medições, como do prazo médio de lançamento das medições por contrato, por fiscal, por empresa contratada e por unidade local e de fiscalização (achado 2.9 do relatório de auditoria);

9.1.7. na definição do processo de trabalho de medição e pagamento dos contratos a ser estabelecido em atenção à determinação contida no item 9.2.1.2 abaixo, estabeleça como regra que a ordem de início de serviços somente seja expedida após cadastramento do contrato no Siac (achado 2.11 do relatório de auditoria);

9.1.8. implante controles no Siac para dar cumprimento à regra supramencionada, implantando ainda, se necessário, controles compensatórios para casos de exceção (achado 2.11 do relatório de auditoria);

9.1.9. implante controles dissuasivos no Siac, a exemplo da inclusão, nas principais telas de consulta do sistema, do nome do usuário e da data e hora de realização da operação consultada, de modo a ampliar a transparência das operações realizadas no sistema (achado 3.2 do relatório de auditoria);

9.2. determinar ao Dnit que:9.2.1. em atenção ao princípio da legalidade constante do art. 37, caput, da Constituição

Federal:9.2.1.1. crie normativo que regulamente a utilização do Siac, estabelecendo atribuições e

responsabilidades para os agentes envolvidos no processo de gestão contratual operacionalizado pelo sistema (achado 2.1 do relatório de auditoria);

9.2.1.2. inclua na regulamentação da utilização do Siac definição formal do processo de trabalho de medição e pagamento dos contratos, estabelecendo papéis e responsáveis para cada atividade (achado 2.7 do relatório de auditoria);

9.2.1.3. implante controles no Siac que assegurem observância do processo de trabalho definido em atenção ao subitem anterior (achado 2.7 do relatório de auditoria);

42


9.2.2. em atenção à Norma Complementar 07/IN01/DSIC/GSI/PR, item 5.1, implante processos formais de registro de usuário, gerenciamento de senhas, gerenciamento de privilégios e análise crítica dos direitos de acesso, com vistas a garantir efetividade dos procedimentos de controle de acesso operacionalizados para esses processos, com observância das recomendações do item 11.2 e subitens da NBR ISO/IEC 27002:2005 (achado 2.2 do relatório de auditoria);

9.2.3. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII, in fine, e à Norma Complementar 07/IN01/DSIC/GSI/PR, item 2.6, defina política de controle de acesso a informações e recursos de TI, com base nos requisitos de negócio e de segurança da informação da entidade, com observância das orientações do item 11.1.1 da NBR ISO/IEC 27002:2005 (achado 2.2 do relatório de auditoria);

9.2.4. em atenção à Instrução de Serviço – Dnit 2/2002, item 1.3, avalie impactos financeiros decorrentes do erro no cadastramento dos três índices de reajustamento contidos no arquivo “A3\Indices Divergentes da FGV.xls” do CD anexo e, se for o caso, adote as providências necessárias para recuperar os valores pagos em virtude do erro (achado 2.3 do relatório de auditoria);

9.2.5. em atenção à Lei 8.666/1993, art. 3º, caput (princípio da vinculação ao instrumento convocatório), adote um único cadastro de itens de serviço para todos seus sistemas informatizados, de maneira a que ele seja utilizado desde a etapa de planejamento da contratação até a gestão dos contratos de obras e serviços (achado 2.4 do relatório de auditoria);

9.2.6. em atenção à Instrução de Serviço – Dnit 14/2008, art. 1º, caput, depure o cadastro de itens de serviço do Siac, com vistas a eliminar a ocorrência de múltiplos registros para um mesmo item (achado 2.4 do relatório de auditoria);

9.2.7. em atenção às regras de negócio definidas para o Siac, corrija as falhas encontradas no módulo de alteração de senha daquele sistema (achado 2.5 do relatório de auditoria);

9.2.8. em atenção à Norma Complementar 07/IN01/DSIC/GSI/PR, item 2.2:9.2.8.1. analise as contas de usuário contidas no arquivo “A5\Usuários ativos

indevidamente.xls” constante do CD anexo e, se for o caso, adote as providências necessárias para torná-las inativas (achado 2.5 do relatório);

9.2.8.2. analise as contas de usuário dos funcionários das empresas prestadoras de serviço e, se for o caso, adote as providências necessárias para torná-las inativas (achado 2.5 do relatório de auditoria);

9.2.9. em atenção à Instrução Normativa – SFC/CGU 1/2001, Seção VIII, item 3.IV:9.2.9.1. defina, de maneira clara e formal, regras de segregação de funções do Siac (achado

2.6 do relatório de auditoria);9.2.9.2. avalie perfis dos usuários contidos nos arquivos contidos na pasta A6 constante do

CD anexo e, se for o caso, adote as providências necessárias para torná-las compatíveis com as regras as regras de segregação de funções (achado 2.6 do relatório de auditoria);

9.2.9.3. implante controles no Siac capazes de impedir concessão de perfis de usuários em desacordo com as regras de segregação de funções definidas e de obstar a realização de operações em desacordo com essas regras, à semelhança do controle de aplicação AC1 do COBIT 4.1 (achado 2.6 do relatório de auditoria);

9.2.10. em atenção à Norma Complementar 07/IN01/DSIC/GSI/PR, item 2.2, avalie perfis de usuários existentes nos arquivos contidos na pasta A7 constante do CD anexo e, se for o caso, adote as providências necessárias para torná-los compatíveis com as regras definidas no processo de trabalho formalmente estabelecido (achado 2.7 do relatório de auditoria);

9.2.11. em atenção ao art. 67 da Lei 8.666/1993, implante controles no Siac com vistas a assegurar que (achado 2.8 do relatório de auditoria):

9.2.11.1. os dados de fiscais titular e substituto constantes do sistema reflitam as designações formais via portaria;

9.2.11.2. o fiscal substituto cadastrado seja diferente do fiscal titular;9.2.12. em atenção à Lei 8.666/1993, art. 66:

43


9.2.12.1. avalie os contratos identificados no arquivo “A10\A10 Valor_contrato_mais_aditivos _menor_valor_inicial_itens_desconsiderado_status_cadastrado.xls” constante do CD anexo (achado 2.10 do relatório de auditoria):

9.2.12.2. adote medidas para impedir que a execução dos contratos que ainda se encontrem ativos supere o valor contratado;

9.2.12.3. para os contratos que foram executados em valores superiores aos contratados, adote as medidas cabíveis, apurando, inclusive, as responsabilidades;

9.2.13. em atenção à Lei 12.309/2010, art. 87, § 4º (LDO 2011), ou ao dispositivo que vier a sucedê-lo nas próximas LDO, inclua, no cadastro de terceiros que prestam serviços à entidade, um número único de identificação (a exemplo do CPF), as datas de início e fim da cessão de mão de obra. (achado 3.1 do relatório de auditoria);

9.2.14. em atenção à Lei 8.666/1993, art. 66, exija da empresa contratada os artefatos do desenvolvimento do Siac (achado 3.3 do relatório de auditoria);

9.2.15. no prazo de trinta dias, a contar da ciência deste acórdão, encaminhe plano de ação para a implementação das medidas aqui arroladas, contendo:

9.2.15.1. para cada determinação, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações;

9.2.15.2. para cada recomendação cuja implementação seja considerada conveniente e oportuna, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações;

9.2.15.3. para cada recomendação cuja implementação não seja considerada conveniente ou oportuna, justificativa da decisão;

9.3. determinar à Sefti o monitoramento, no prazo de 180 dias, da implementação das medidas contidas neste acórdão;

9.4. encaminhar cópia deste acórdão e do relatório e do voto que o fundamentaram:9.4.1. ao Departamento Nacional de Infraestrutura de Transportes, acompanhada do CD

contendo os arquivos de evidências;9.4.2. ao Ministro de Estado dos Transportes;9.4.3. ao Comitê Gestor do Programa de Aceleração do Crescimento;9.4.4. à Comissão Mista de Planos, Orçamentos Públicos e Fiscalização do Congresso

Nacional;9.4.5. à Comissão de Serviços de Infraestrutura do Senado Federal;9.4.6. Subcomissão Permanente – Plano de Aceleração do Crescimento da Comissão de

Serviços de Infraestrutura do Senado Federal;9.4.7. à Subcomissão Permanente de Infraestrutura e Desenvolvimento Urbano da

Comissão de Serviços de Infraestrutura do Senado Federal;9.4.8. à Comissão de Viação e Transportes da Câmara dos Deputados;9.4.9. à Subcomissão Permanente destinada a acompanhar as ações relacionadas às

rodovias e transporte rodoviário da Comissão de Viação e Transportes da Câmara dos Deputados;9.4.10. à Comissão de Fiscalização Financeira e Controle da Câmara dos Deputados;9.4.11. à Subcomissão Permanente do Programa de Aceleração do Crescimento e do

Programa Minha Casa Minha Vida da Comissão de Fiscalização Financeira e Controle da Câmara dos Deputados;

9.4.12. ao Ministro relator da consolidação do Plano de Fiscalização de Obras de 2011 – Fiscobras 2011;

9.4.13. à 1ª Secretaria de Controle Externo – Secex/1;9.4.14. à 2ª Secretaria de Fiscalização de Obras – Secob-2.9.5. arquivar os autos.

10. Ata n° 44/2011 – Plenário.11. Data da Sessão: 25/10/2011 – Extraordinária.12. Código eletrônico para localização na página do TCU na Internet: AC-2831-44/11-P.

44


13. Especificação do quorum: 13.1. Ministros presentes: Benjamin Zymler (Presidente), Valmir Campelo, Walton Alencar Rodrigues, Augusto Nardes, Aroldo Cedraz (Relator), Raimundo Carreiro, José Jorge e José Múcio Monteiro.13.2. Ministros-Substitutos presentes: Augusto Sherman Cavalcanti, Marcos Bemquerer Costa, André Luís de Carvalho e Weder de Oliveira.

(Assinado Eletronicamente)BENJAMIN ZYMLER

(Assinado Eletronicamente)AROLDO CEDRAZ

Presidente Relator

Fui presente:

(Assinado Eletronicamente)LUCAS ROCHA FURTADO

Procurador-Geral

45

€¦ · Web viewTC 010.474/2010-2. Natureza: Relatório de Auditoria. Unidade: Departamento...

Documents

Transcript of €¦ · Web viewTC 010.474/2010-2. Natureza: Relatório de Auditoria. Unidade: Departamento...