Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti

TRIBUNAL DE CONTAS DA UNIÃO TC 024.956/2010-4

1

GRUPO I – CLASSE V – Plenário

TC 024.956/2010-4

Natureza: Relatório de Auditoria.

Unidade: Ministério do Planejamento, Orçamento e Gestão – MPOG.

Responsável: João Bernardo de Azevedo Bringel, secretário

executivo.

Advogado constituído nos autos: não há.

Sumário: RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE

CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO.

CONSTATAÇÃO DE PRECARIEDADES E OPORTUNIDADES

DE MELHORIA. DETERMINAÇÕES E RECOMENDAÇÕES.

RELATÓRIO

A Secretaria de Fiscalização de Tecnologia da Informação – Sefti realizou auditoria no

Ministério do Planejamento, Orçamento e Gestão – MPOG com o objetivo de avaliar controles gerais de

tecnologia da informação – TI e verificar se estão de acordo com a legislação pertinente e com as boas

práticas de governança de TI.

2. As ocorrências detectadas foram apresentadas pela equipe de auditoria nos seguintes

termos (fls. 122/149):

―2 – ACHADOS DE AUDITORIA

2.1 – Inexistência do plano estratégico institucional

2.1.1 – Situação encontrada:

Por meio do item 1 do Anexo I do Ofício 1-849/2010-Sefti, o qual faz referência à

pergunta 2.1 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do planejamento

estratégico institucional do MP (fl. 19).

O Gestor declarou que o processo de planejamento estratégico institucional formal é

acompanhado segundo indicadores estabelecidos (Anexo 1, fl. 15v).

Como evidências, o Gestor encaminhou: a) plano estratégico da SOF (Anexo 1, fls. 60-72),

com planilhas (Anexo 1, arquivos da pasta ‗1.1 e 2.1 – Segue impresso e mídia\SOF‘ no CD, fl. 18)

e uma apresentação sobre o citado plano (Anexo 1, fls. 55-59); e b) apresentações versando sobre

planejamento estratégico de outras áreas (SLTI, Seges, SPU, Assec, SPI, SEAIN e SRH) (Anexo 1,

fls. 23-54; 73-82).

Ocorre que os documentos não evidenciam a existência de um planejamento estratégico

institucional do Ministério, tendo em vista que:

a) todos os documentos encaminhados referem-se especificamente a determinado órgão

singular da estrutura do Ministério (SOF, SLTI, Seges, SPU, Assec, SPI, SEAIN, SRH);

b) os documentos, a menos da SOF, não versam sobre negócio, missão, visão, avaliação

dos ambientes externo e interno do Ministério; não declaram objetivos e iniciativas estratégicas do

órgão; e não estabelecem indicadores de desempenho do órgão;

c) não foi apresentado um planejamento estratégico institucional do MP que agregue

todos os órgãos integrantes da estrutura do Ministério;

d) somente há evidências de que a SOF contém documento formal versando sobre

planejamento estratégico. As evidências trazidas pelos demais setores são apenas apresentações

versando sobre aspectos do planejamento estratégico de cada área;

e) a ata de reunião do DSTI, datada de 11/8/2010, registra que ‗...foi destacado que no

Ministério do Planejamento não há um Plano Estratégico...‘ (Anexo 1, v. 2, fl. 532); e

f) o próprio diagnóstico do PDTI do MP confirma a ‗Inexistência de Planejamento

Estratégico Organizacional do Ministério‘ (Anexo 1, fl. 91).

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 47199617.


2

2.1.2 – Causas da ocorrência do achado:

a) deficiências de controles;

b) inexistência ou insuficiência de gestão de riscos.

2.1.3 – Efeitos/Consequências do achado:

a) ausência de referencial para verificar o alinhamento estratégico das ações da área de

TI com o negócio da instituição (efeito real);

b) risco de a instituição não conseguir atuar de forma eficiente no alcance de seus

objetivos finalísticos (efeito potencial).

2.1.4 – Critérios:

a) Decreto-Lei 200/1967, art. 6º, inciso I; art. 7º;

b) Norma Técnica – MP – Gespública – Instrumento para Avaliação da Gestão Pública

– Ciclo 2010 – critério de avaliação 2.

2.1.5 – Evidências:

a) resposta do MP ao item 2.1 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal

– fls. 15-17);

b) resposta do MP ao questionamento 1 do Anexo I do Ofício 1-849/2010-Sefti

(arquivos em CD) (Anexo 1 – Principal – fl. 18);

c) apresentação sobre ‗Planejamento estratégico da SLTI‘ (Anexo 1 – Principal – fls.

23-35);

d) apresentação sobre ‗Seges planejamento 2008/2009‘ (Anexo 1 – Principal – fls. 36-

41);

e) apresentação da Secretaria do Patrimônio da União (o título da apresentação está

ilegível) (Anexo 1 – Principal – fls. 42-47);

f) apresentação sobre ‗Planejamento estratégico 2008 – Assessoria Econômica – Assec‘

(Anexo 1 – Principal – fls. 48-50);

g) apresentação sobre ‗Planejamento estratégico da SPI‘ (Anexo 1 – Principal – fls. 51-

54);

h) apresentação sobre ‗Planejamento estratégico da SOF‘ (Anexo 1 – Principal – fls. 55-

59);

i) documento intitulado ‗Planejamento Estratégico 2007-2010‘ da SOF (Anexo 1 –

Principal – fls. 60-72);

j) apresentação sobre ‗Planejamento estratégico‘ da Seain (Anexo 1 – Principal – fls.

73-77);

k) apresentação sobre ‗Secretaria de Recursos Humanos – Planejamento Estratégico

2008-2010‘ (Anexo 1 – Principal – fls. 78-82);

l) PDTI-MP, Anexo I da Nota Técnica – DSTI/SLTI/MP 173/2010 (Anexo 1 –


m) ata de Reunião – DSTI/SLTI/MP, de 11/8/2010 (Anexo 1 – Volume 2 – fls. 531-

532);

n) Ofício – SE/MP 684/2010, que encaminhou documentos quanto ao Anexo 2, item 1,

do Ofício 7-849/2010-Sefti (Anexo 1 – Volumes 4 e 5 – fls. 713-1004);

o) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –

DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das conclusões e

propostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010).

2.1.6 – Esclarecimentos dos responsáveis:

Após reuniões realizadas entre a coordenação do TMS 6 – Gestão e Uso de TI, a equipe de

fiscalização e os auditados, em que foram discutidos os resultados e apresentados os critérios

utilizados, o Gestor da Secretaria-executiva do MP encaminhou, em caráter restrito, por meio do

Ofício – SE/MP 684/2010 (Anexo 1, v. 4, fl. 713), telas de apresentação de agenda de governo, as

quais considera constituírem o planejamento estratégico institucional do Ministério (Anexo 1, v. 4-

5, fls. 714-1004).



3

Após o envio do relatório preliminar para a SE/MP para conhecimento e apresentação de

comentários sobre as conclusões e propostas, o Gestor da Secretaria-executiva do MP, por meio da

Nota Técnica Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício –

SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o planejamento estratégico do Ministério

é definido em reuniões com as unidades responsáveis, está consubstanciado nos programas e

orçamento do Ministério e é acompanhado e avaliado mediante reuniões periódicas com os órgãos

setoriais e central de orçamento (Anexo 1, v. 6, fl. 1006-1006v).

2.1.7 – Conclusão da equipe:

Os documentos apresentados pelas áreas de TI e pela Secretaria-executiva do MP,

incluindo as informações enviadas em caráter restrito acerca da agenda de governo, não constituem

um Plano Estratégico Institucional no âmbito de todo o MP, como referência para o alinhamento

estratégico das ações da área de TI com o negócio da instituição.

Igualmente, os comentários do Gestor apresentados em resposta às conclusões e propostas

do relatório preliminar não dão conta de que exista um plano estratégico institucional do Ministério.

Dessa forma, o MP não adota as boas práticas preconizadas pelo Programa Nacional de

Gestão Pública e Desburocratização – Gespública –, cujo comitê gestor é instituído no âmbito do

próprio órgão.

Cumpre destacar que a ausência de referencial de negócio na organização prejudica a

aderência de modelos de governança corporativa de TI no Ministério.

Considerando o pedido de tratamento restrito às informações enviadas pelo MP por meio

do Ofício – SE/MP 684/2010, recomenda-se a aposição da chancela de sigilo às peças dos presentes

autos em que as referidas informações foram autuadas.

2.1.8 – Propostas de encaminhamento:

Apor chancela de sigilo aos Volumes 4 e 5 do Anexo 1 dos presentes autos;

Recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestão

que, em atenção ao Decreto-Lei 200/1967, art. 6º, I, e art. 7º, elabore um plano estratégico

institucional, considerando o previsto no critério de avaliação 2 do Gespública.

2.2 – Falhas no PDTI


Por meio do item 2 do Anexo I do Ofício 1-849/2010-Sefti, o qual faz referência à

pergunta 2.3 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do plano diretor

de tecnologia da informação do MP (fl. 19). O Gestor declarou que, além de vincular as ações de TI

a indicadores e metas de negócio, o PDTI do MP vincula os custos de TI a atividades e projetos de

TI e vincula as ações de TI a indicadores e metas de serviços ao cidadão (Anexo 1, fl. 15v).

Ocorre que o PDTI publicado pelo MP não estabelece indicadores de desempenho, não

vincula custos de TI a atividades e projetos de TI e não vincula as ações de TI a indicadores e metas

de serviços ao cidadão (Anexo 1, fls. 90-91).

Convém salientar mais duas falhas, essas baseadas no disposto no art. 4º, inciso III, da IN –

SLTI/MP 4/2008, expedida pelo próprio Ministério (Anexo 1, fls. 90-91):

a) o PDTI não alinha necessidades de informação à estratégia do órgão;

b) o PDTI não dispõe de um plano de investimentos.





a) ações de TI não alinhadas ao negócio (efeito potencial).

b) dificuldade de a instituição atuar de forma eficiente no alcance de seus objetivos

finalísticos (efeito potencial).


a) Instrução Normativa – SLTI/MP 4/2008, art. 4º, inciso III;

b) Norma Técnica – ITGI – Cobit 4.1, PO1 – Planejamento Estratégico de TI.



4



– fls. 15-17);

b) resposta do MP ao questionamento 2 do Anexo I do Ofício 1-849/2010-Sefti.


c) PDTI-MP, Anexo I da Nota Técnica – DSTI/SLTI/MP 173/2010 (Anexo 1 –


d) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca da

avaliação preliminar de seus controles gerais de TI (Anexo 1 – Volume 3 – fls. 679-710);

e) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –






utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício-

SE/MP 678/2010 – SE/MP 678/2010, que está em elaboração o PDTI para 2011, que apresentará

indicadores de desempenho para as equipes definidas no novo organograma proposto para a TI do

Ministério (Anexo 1, v. 3, fl. 684).




SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o PDTI está sendo revisado visando

contemplar já no exercício de 2011 as recomendações da proposta sugerida no relatório preliminar

(Anexo 1, v. 6, fl. 1006v).


Conquanto o MP tenha apresentado PDTI aprovado e publicado, o referido plano contém

falhas: não estabelece indicadores de desempenho, não vincula custos de TI a atividades e projetos

de TI e não apresenta indicadores e metas de serviços ao cidadão. Além disso, em desatendimento

ao disposto no inciso III do art. 4º da Instrução Normativa – SLTI/MP 4/2008, expedida pelo

Ministério, o PDTI do MP não dispõe de plano de investimentos e não alinha necessidades de

informação à estratégia do órgão, sendo que para essa falha, a causa é a inexistência de

planejamento estratégico institucional.

O processo de revisão do PDTI do MP para 2011, citado pelo Gestor, ainda estava em

andamento após a ação de controle, e, portanto, seus resultados não puderam ser comprovados pela

equipe no presente trabalho, o que poderá ser realizado em futuro monitoramento das deliberações

do acórdão que vier a ser proferido.

2.2.8 – Proposta de encaminhamento:


que, em atenção às disposições contidas no Decreto-Lei 200/1967, art. 6º, I, e na Instrução

Normativa – SLTI/MP 4/2010, art. 4º, aperfeiçoe o processo de planejamento estratégico de TI,

observando as diretrizes constantes da Estratégia Geral de Tecnologia da Informação (EGTI) em

vigor, e à semelhança das orientações previstas no Cobit 4.1, processo PO1 – Planejamento

Estratégico de TI.

2.3 – Falhas relativas ao comitê de TI


Por meio do item 2.1 do Anexo I do Ofício 1-849/2010-Sefti, o qual faz referência à

pergunta 1.1 do Questionário Perfil GovTI-2010, solicitaram-se informações acerca da organização

e dos relacionamentos da TI (fl. 19). Como resposta, o Gestor declarou que a instituição designou

formalmente um comitê de TI para auxiliá-la nas decisões relativas à gestão e ao uso corporativo da

TI (Anexo 1, fl. 15).



5

Da análise das respostas (Portaria SE/MP 276/2009 e ata da 23ª reunião do comitê de TI do

MP), verifica-se que o órgão não atribuiu ao comitê de TI a responsabilidade de acompanhar o

estado dos projetos e resolver conflitos por recursos, nem a de monitorar as melhorias implantadas e

os níveis de serviço acordados entre as áreas de TI e as áreas usuárias do MP (Anexo 1, arquivo

‗\3.1\Portaria SE 276 – publicada no BPS de 21-05-2009.pdf‘ no CD, fl. 18).

2.3.2 – Causa da ocorrência do achado:

a) deficiências de controles.


a) ausência de resolução de conflitos por recursos (efeito real);

b) ausência de acompanhamento de status dos projetos (efeito potencial);

c) ausência de monitoramento das melhorias implantadas (efeito potencial);

d) ausência de monitoramento dos níveis de serviço (efeito real).


a) Instrução Normativa – SLTI/MP 4/2008, art. 4º, inciso IV;

b) Norma Técnica – ITGI – Cobit 4.1, PO4.3 – Comitê diretor de TI;

c) Norma Técnica – ITGI – Cobit 4.1, PO4.2 – Comitê estratégico de TI.



– fls. 15-17);

b) resposta do MP ao questionamento 2.1 do Anexo I do Ofício 1-849/2010-Sefti


c) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca da


d) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –


propostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010);

e) Ofício – SLTI/MP 1.113/2011, que encaminhou documentos em complementação ao

Ofício – SE/MP 152/2011 (Anexo 1 – Volume 6 – fls. 1011-1054).




utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício –

SE/MP 678/2010, que a partir do segundo semestre de 2010 reformulou a composição da

representatividade do comitê com o propósito de aprimorar o acompanhamento de projetos de TI e

o processo decisório de priorização de novas ações e investimentos em TI (Anexo 1, v. 3, fl. 684).




SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que as atas do comitê de TI comprovam o

acompanhamento de projetos e monitoramento de melhorias implantadas (Anexo 1, v. 6, fl. 1006v),

apresentando evidências (Anexo 1, v. 6, fls. 1032; 1035; 1037).


Não obstante o MP dispor de comitê de TI formalizado, constatou-se que o rol de suas

atribuições bem como sua atuação não incluem a resolução de conflitos por recursos e o

monitoramento dos níveis de serviço de TI.

Além disso, apesar de o comitê de TI do MP acompanhar o estado de projetos e monitorar

melhorias implantadas, tais atribuições não foram previstas na formalização do comitê, o que gera

risco de descontinuidade desse acompanhamento.



que aperfeiçoe a atuação do comitê de tecnologia da informação, à semelhança das diretrizes do



6

Cobit 4.1, PO4.2 – Comitê estratégico de TI e PO4.3 – Comitê diretor de TI, prevendo as seguintes

atribuições para o comitê de TI: a) acompanhar o estado dos projetos; b) resolver conflitos por

recursos; e c) monitorar os níveis de serviço e as melhorias implantadas.

2.4 – Inexistência de avaliação do quadro de pessoal de TI


Por meio do item 2.7 do Anexo I do Ofício 1-849/2010-Sefti, solicitaram-se informações

acerca da avaliação do quadro de pessoal de TI do MP (fl. 20).

Como resposta, o Gestor encaminhou evidências de algumas áreas de TI do Ministério –

Seges, SPU, SOF e DSTI – com as seguintes observações:

a) o setor de TI da Seges afirma que não tem informações suficientes para embasar uma

resposta neste sentido (Anexo 1, arquivo ‗\3.7\SEGES – resposta tcu – 3.7.odt‘ no CD, fl. 18);

b) a Coordenação-Geral de Tecnologia da Informação da SPU afirma que a estrutura

alocada não é suficiente para o desempenho das necessidades da Secretaria, e aduz que baseou a

resposta em estudo contido no plano diretor de tecnologia da informação da SPU, elaborado em

2008, citando trecho desse PDTI quanto ao assunto, sem, contudo, apresentar cópia do citado

documento (Anexo 1, arquivo ‗\3.7\SPU – 3.7.odt‘ no CD, fl. 18);

c) a Coordenação-Geral de Tecnologia da Informação da SOF aduz que não foi

consolidado estudo que identificasse a demanda por profissionais na área de TI para a Secretaria.

Afirma também que foram abertas vagas específicas para a área de TI em 2009, mas que ainda

persiste a demanda por mais profissionais dessa área (Anexo 1, arquivo ‗\3.7\SOF – Item 3.7\SOF –

3.7.odt‘ no CD, fl. 18); e

d) o DSTI afirmou que existe um projeto de governança de TI em fase final de

elaboração, o qual proporá nova estrutura organizacional do departamento, identificando as

carências e definindo qualificação (Anexo 1, arquivo ‗\3.7\Item 3.7.odt‘ no CD, fl. 18).

Durante a execução dos trabalhos, o Gestor encaminhou, como resposta complementar, um

relatório sobre análise quantitativa de pessoal do DSTI (Anexo 1, v. 3, fl. 631), o qual sugere como

quantitativo ideal de pessoal para o DSTI um número de servidores superior ao informado na

resposta do MP ao item 2.4 do Anexo I do Ofício 1-849/2010-Sefti (Anexo 1, fl. 18).

Ocorre que essa análise quantitativa de pessoal de TI está restrita ao escopo do DSTI e não

ao do Ministério como um todo (Anexo 1, v. 3, fl. 631).




a) dependência do serviço de empresas terceirizadas (efeito potencial);

b) recursos humanos de TI insuficientes para atender às necessidades do negócio (efeito

potencial);

c) falta de competências apropriadas na área de TI (efeito potencial).


a) Decreto 5.707/2006, art. 1º, inciso III;

b) Norma Técnica – ITGI – Cobit 4.1, PO4.12 – Pessoal de TI.


a) resposta do MP ao questionamento 2.7 do Anexo I ao Ofício 1-849/2010-Sefti


b) análise quantitativa de pessoal de TI alinhada à proposta do novo organograma do

DSTI (Anexo 1 – Volume 3 – fls. 626-632);

c) relatório executivo de governança de TI – Estrutura Organizacional DSTI (Anexo 1 –

Volume 3 – fls. 603-625);





7







utilizados, o Gestor da Secretaria-executiva do MP, por meio do Anexo 2 do Ofício – SE/MP

678/2010, mencionou novamente a análise quantitativa de pessoal de TI realizada para o DSTI,

afirmando que cerca de 50% dos 115 analistas de TI que tiveram sua chamada autorizada no

segundo semestre de 2010 foram empossados no MP a partir da citada avaliação. Manifestou

também que o projeto de governança de TI com a UnB previu a definição de atribuições das novas

equipes do DSTI, o que embasou a alocação dos profissionais admitidos nas referidas equipes de TI

(Anexo 1, v. 3, fl. 684).




SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o MP envidará esforços para realizar

avaliação do quadro de pessoal de TI, nos moldes da realizada no DSTI, com abrangência para todo

o Ministério (Anexo 1, v. 6, fl. 1006v).


Não obstante as declarações da SPU e da SOF indiquem a necessidade de servidores para

as referidas áreas, bem como o fato de a realização de estudo quantitativo do quadro de pessoal para

o DSTI ter embasado a alocação dos profissionais das equipes de TI do DSTI, não foi apresentada

evidência de realização de avaliação do quadro de pessoal de TI no âmbito de todo o Ministério que

justifique o quadro de pessoal adequado para toda a área de TI do MP.

Por oportuno, os comentários do Gestor no sentido de que o MP envidará esforços para

realizar avaliação do quadro de pessoal de TI no âmbito de todo o Ministério confirmam a

necessidade de realização de tal estudo.



que, em atenção ao Decreto 5.707/2006, art. 1º, III, elabore estudo técnico de avaliação qualitativa e

quantitativa do quadro da área de TI no âmbito de todo o Ministério, com vistas a fundamentar

futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente

qualificados, objetivando o melhor atendimento das necessidades institucionais, à semelhança das

práticas contidas no Cobit 4.1, PO4.12 – Pessoal de TI.

2.5 – Inexistência de processo de software


Por meio do item 4 do Anexo I do Ofício1-849/2010-Sefti (fl. 20), o qual faz menção à

pergunta 7.3 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do processo de

software que apoie a administração da qualidade dos produtos de software.

Como resposta, o Gestor declarou no questionário que há um processo informal repetido

várias vezes e que implementa conceitos de qualidade de processo (Anexo 1, fl. 16v). Dentre as

evidências encaminhadas pelo MP, há uma proposta de metodologia de desenvolvimento de

sistemas (MDS), elaborada por grupo de trabalho formado por membros de alguns setores do órgão:

SLTI, Dest, SOF, SPI, SPOA/CGTI (Anexo 1, ‗\5.1\Proposta de MDS para Comitê de TI do MP

v15.doc‘ no CD, fl. 18) e um registro em ata de reunião do comitê estratégico de TI, de 23/9/2009,

afirmando que ‗A MDS foi aprovada pelos participantes, devendo ser formalizada em Resolução do

Comitê Estratégico de TI...‘ (Anexo 1, v.3, fl. 634).

Cumpre destacar que não foram encaminhadas pelo MP evidências da publicação da

referida MDS.



8

Da análise da MDS, constatou-se que não contempla todos os elementos essenciais de um

processo de software, haja vista que:

a) não descreve os papéis do cliente e do usuário;

b) não prevê artefatos para aceite de requisitos, nem registro de histórico de mudanças

de requisitos, e nem para acompanhamento de projetos;

c) não apresenta os modelos dos artefatos da metodologia, limitando-se a indicar que os

modelos de artefatos constam de documento complementar, e os citados artefatos não constam da

documentação enviada pelo Gestor.

Impende citar que não foram encaminhadas evidências de que a MDS esteja sendo

utilizada, visto que o Gestor encaminhou artefatos que não se referem ao processo, quais sejam:

especificações de regras de negócio, especificações de caso de uso e plano de testes utilizados pela

SOF no projeto SIOP (Anexo 1, arquivos da pasta ‗\5.1\SOF\‘ no CD, fl. 18) e especificações de

regras de negócio, evidência de homologação e documentos contendo telas de sistema e resultado

de homologação utilizados pela SPI em um projeto de software no âmbito do Contrato 45/2005

(Anexo 1, arquivos da pasta ‗\5.1\SPI – 5.1\‘ no CD, fl. 18).

Analisando-se esses artefatos à luz das fases do ciclo de desenvolvimento de software

previstas na MDS, constatou-se que não contemplam o previsto nessa metodologia, visto que, a

uma, no projeto da SOF foram apresentados somente artefatos que poderiam ser usados na análise

funcional e apenas três deles, enquanto a MDS elenca pelo menos oito artefatos para essa fase

(documento de visão, diagrama de casos de uso, especificação de casos de uso, requisitos de

software, regras de negócio, plano de testes, glossário, documento de mensuração) (fl. 11 do

arquivo ‗\5.1\Proposta de MDS para Comitê de TI do MP v15.doc‘ no CD, fl. 18), a duas, no

projeto da SPI foram encaminhados apenas um artefato que poderia ser considerado na fase de

análise funcional e um na fase de implementação, ao passo que a MDS elenca inúmeros outros

artefatos nas referidas fases do ciclo de desenvolvimento (fls. 11; 13, do arquivo ‗\5.1\Proposta de

MDS para Comitê de TI do MP v15.doc‘ no CD, fl. 18). Além disso, as evidências revelam que não

é seguido um modelo único pelo Ministério, uma vez que o modelo de artefato para especificação

de regras de negócio usado pela SOF é distinto do adotado pela SPI.

Por fim, cumpre destacar que a MDS não é mencionada no quarto e último termo aditivo

do Contrato 45/2005 (Anexo 2, v. 8, fls. 1739-1742), o qual abrange a maior parte dos serviços de

desenvolvimento/manutenção de software prestados ao MP, e foi celebrado posteriormente à

aprovação da multicitada MDS, e nem no Contrato 74/2010 (Anexo 1, v. 3, fls. 655-676), que

sucedeu o Contrato 45/2005.




a) impropriedade nos contratos 45/2005 e 74/2010, decorrente de que parte do objeto

(desenvolvimento e manutenção de software) não está suficientemente definido, pois o processo de

software é que o definiria (efeito real);

b) inexistência de parâmetros de aferição de qualidade para contratação de

desenvolvimento de sistemas (efeito real).


a) Instrução Normativa – SLTI/MP 4/2008, art. 12, inciso II;

b) Lei 8.666/1993, art. 6º, inciso IX;

c) Norma Técnica – ITGI – Cobit 4.1, PO8.3 – Padrões de desenvolvimento e de

aquisições;

d) Norma Técnica – NBR ISO/IEC – 12.207 e 15.504.



– fls. 15-17);



9



c) ata da 16ª reunião do comitê estratégico de TI do MP, de XX/XX/2009 (Anexo 1 –

Volume 3 – fls. 633-635);

d) Quarto termo aditivo ao Contrato 45/2005 (Anexo 2 – Volume 8 – fls. 1739-1742);

e) Contrato 47/2010 (Anexo 1, v. 3, fls. 655-676);

f) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca da


g) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –







678/2010, mencionou novamente a metodologia de desenvolvimento de sistemas (Anexo 1, v. 3, fl.

684), aprovada em reunião do comitê estratégico de TI do Ministério, de 23/9/2009 (Anexo 1, v. 3,

fl. 634), já analisada na seção situação encontrada.




SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que estaria em andamento projeto no sentido

de garantir a aplicabilidade e a formalização do uso da MDS, com previsão de implantação em

dezembro de 2011, e que desta forma, entenderia que existe processo de software (Anexo 1, v. 6, fl.

1006v).


A despeito das manifestações do Gestor, a MDS aprovada em ata de reunião do comitê

estratégico de TI do MP não contém os elementos essenciais de um processo de software, bem

como não foram apresentadas evidências de que esteja sendo utilizada no órgão, provocando

deficiências nos processos de contratação e aferição da qualidade dos artefatos produzidos nessas

contratações.

Ademais, o comentário do Gestor no sentido do andamento de projeto para garantir a

aplicabilidade e a formalização do uso da MDS a ser implantado até dezembro de 2011, confirma

que a metodologia ainda não é aplicada e não tem seu uso formalizado no Ministério.

Salienta-se que a iniciativa se materializou após a ação de controle e, portanto, seus

resultados não puderam ser comprovados pela equipe no presente trabalho, o que poderá ser

realizado em futuro monitoramento das deliberações do acórdão que vier a ser proferido.


Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-executiva do Ministério

do Planejamento, Orçamento e Gestão que, em atenção ao disposto na Lei 8.666/1993, art. 6º, IX, e

às disposições contidas na Instrução Normativa – SLTI/MP 4/2010, art. 13, II, defina um processo

de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de

software, vinculando o contrato com o processo de software, sem o qual o objeto não estará

precisamente definido.


que, quando do estabelecimento de seu processo de software, considere as Normas NBR ISO/IEC

12.207 e 15.504.

2.6 – Inexistência de processo de gerenciamento de projetos


Por meio do item 5 do Anexo I do Ofício 1-849/2010-Sefti (fls. 20/21), o qual faz menção

à pergunta 7.4 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do processo de



10

gerenciamento de projetos. Como resposta, o Gestor declarou no questionário que pratica

gerenciamento de projetos, mas não adota qualquer padrão interno ou de mercado (Anexo 1, fl. 16v)

e encaminhou alguns artefatos que evidenciariam algumas práticas de gerenciamento de projetos

implementadas por setores do órgão (SOF, SLTI, SPI e SPU) (Anexo 1, arquivos da pasta ‗\6.1‘ no

CD, fl. 18).

Além disso, o próprio diagnóstico do PDTI do Ministério registra ‗Gerenciamento de

processos e de projetos de TI feitos de maneira ad hoc‘ e aponta como solução a ‗Sistematização de

uma metodologia de gestão de projetos‘ (Anexo 1, fl. 91).



2.6.3 – Efeito/Consequência do achado:

a) elevação do risco de insucesso de projetos relevantes (efeito potencial).

2.6.4 – Critério:

a) Norma Técnica – ITGI – Cobit 4.1, PO10.2 – Estrutura de gerência de projetos.



– fls. 15-17);

b) resposta do MP ao questionamento 5 do Anexo I do Ofício 1-849/2010-Sefti. (Anexo

1 – Principal – fl. 18);












SE/MP 678/2010, que na proposta de novo modelo organizacional da TI do Ministério foi

recomendada a criação do escritório de projetos de TI, a qual foi viabilizada com a posse dos novos

analistas de TI, estando o escritório em funcionamento desde novembro de 2010. O representante

do auditado afirmou ainda que a descrição dos processos de trabalho do escritório e o início do uso

de ferramenta de gestão de portfólio de projetos estavam em fase final de implantação à época da

conclusão do relatório preliminar do presente trabalho (Anexo 1, v. 3, fl. 684).




SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o escritório de projetos do DSTI, não

formalizado no Regimento Interno do MP à época dos trabalhos de campo, estaria implantando,

desde novembro de 2010, processo de gerenciamento de projetos, acompanhando todos os projetos

de TI do Ministério (Anexo 1, v. 6, fl. 1006v).


O MP não possui um processo de gerenciamento de projetos, o que é confirmado no

diagnóstico constante do PDTI do próprio órgão e nos esclarecimentos acima, sob risco de

comprometimento da gestão de cada projeto corporativo do órgão.

A partir da manifestação do Gestor sobre o relatório preliminar, verifica-se que o MP já

vem adotando providências no sentido de implantar um processo de gerenciamento de projetos de

TI, o que está em consonância com a proposta sugerida no relatório preliminar.



11

A despeito disso, a iniciativa manifestada pelo Gestor iniciou-se posteriormente ao período

da ação de controle e não pôde ser comprovada pela equipe no presente trabalho, o que poderá ser




que implante uma estrutura formal de gerência de projetos, à semelhança das orientações contidas

no Cobit 4.1, processo PO10.2 – Estruturas de Gerência de Projetos e no PMBOK, entre outras boas

práticas de mercado.

2.7 – Inexistência do processo de gestão de mudanças


Por meio dos itens 6.1 e 6.2 do Anexo I do Ofício 1-849/2010-Sefti (fl. 21) e da pergunta

7.6 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do processo de gestão de

mudanças de TI estabelecido. Como resposta, o Gestor declarou no questionário que a instituição

não implementou corporativamente processo de gestão de mudanças (Anexo 1, fl. 17) e não

encaminhou evidências correspondentes ao referido processo (Anexo 1, fl. 18).




a) não avaliação do impacto de eventuais mudanças (efeito potencial);

b) incidentes de segurança no ambiente de TI do Ministério (efeito potencial).


a) Norma Técnica – ITGI – Cobit 4.1, AI6 – Gerenciar mudanças;

b) Norma Técnica – NBR – ISO/IEC 27002, 12.5.1 – Procedimentos para controle de

mudanças;

c) Norma Técnica – NBR – ISO/IEC 20000, item 9.2 – Gerenciamento de mudanças;

d) Norma Técnica – OGC – ITIL versão 2 – Livro Suporte a Serviços.



– fls. 15-17);

b) resposta do MP ao questionamento 6.1 do Anexo I do Ofício 1-849/2010-Sefti.











SE/MP 678/2010- SE/MP 678/2010, que o modelo de contratação com o Serpro define que os

serviços e processos de gestão de mudanças sejam conduzidos pela contratada, tendo em vista que

produção, manutenção e evolução dos serviços estratégicos de TI são integralmente prestados pelo

Serpro (Anexo 1, v. 3, fl. 684v).




SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o processo de gestão de demandas ao

Serpro, que é controlado pelas unidades do MP, garante que seu atendimento não interrompa os

negócios, e que o processo de gestão de mudanças na infraestrutura de TI do MP é conduzido pelo

DSTI (Anexo 1, v. 6, fl. 1006v).



12


Em relação à manifestação do Gestor encaminhada por meio do Ofício – SE/MP 678/2010,

ressalta-se que ainda que os serviços sejam contratados com o Serpro, o controle e a

responsabilidade pelos processos de gestão e governança de TI são dos gestores do MP.

Especificamente em relação ao processo de gestão de demandas citado pelo Gestor,

destaca-se que a existência de processo estanque de gestão de demandas a uma das prestadoras de

serviços de TI, qual seja, o Serpro, difere do processo de gestão de demandas a outra prestadora, por

exemplo, a empresa Calandra Soluções S.A., conforme ordens de serviço utilizadas no Contrato

58/2009 (Anexo 1, v. 3, fl. 600), demonstrando que não há um processo corporativo de gestão das

mudanças relacionadas às demandas de serviços de TI.

Acrescenta-se que a infraestrutura constitui apenas um dos objetos (aplicações,

procedimentos, processos, parâmetros de sistema, parâmetros de serviço e plataformas subjacentes)

que devem ter suas mudanças geridas em um processo de gestão de mudanças. Além disso, o MP

não apresentou em sua manifestação evidência de qualquer dos elementos essenciais de um

processo de gestão de mudanças (descrição dos papéis dos profissionais envolvidos, bem como

atividades e artefatos previstos) no tocante à infraestrutura de TI.

Portanto, como declarado inicialmente pelo Gestor, o MP não possui processo de gestão de

mudanças.



que estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto no item

12.5.1 da NBR ISO/IEC 27002, à semelhança das orientações contidas no Cobit 4.1, processo AI6 –

Gerenciar mudanças, e em outras boas práticas de mercado (tais como ITIL e NBR ISO/IEC

20000).

2.8 – Inexistência do processo de gestão de incidentes


Por meio dos itens 6.1 e 6.3 do Anexo I do Ofício 1-849/2010-Sefti e da pergunta 7.6 do

Questionário PerfilGovTI-2010 (fl. 21), solicitaram-se informações acerca do processo de gestão de

incidentes de TI estabelecido. Como resposta, o Gestor declarou no questionário que a instituição

não implementou corporativamente processo de gestão de incidentes (Anexo 1, fl. 17) e não





a) ocorrência de incidentes sem o devido gerenciamento (efeito potencial);

b) paralisação dos serviços de TI (efeito potencial);

c) paralisação das atividades da organização (efeito potencial).


a) Norma Técnica – ITGI – Cobit 4.1, DS8 – Gerenciar a Central de Serviço e os

Incidentes;

b) Norma Técnica – NBR – ISO/IEC 27002, item 13 – Gestão de incidentes de

segurança da informação;

c) Norma Técnica – NBR – ISO/IEC 20000, item 8.2 – Gerenciamento de incidentes;

d) Norma Técnica – OGC – ITIL versão 2 – Livro Suporte a Serviços.



– fls. 15-17);







13








SE/MP 678/2010- SE/MP 678/2010, que o modelo de contratação com o Serpro define que os

serviços e processos de gestão de incidentes sejam conduzidos pela contratada, tendo em vista que

produção, manutenção e evolução dos serviços estratégicos de TI são integralmente prestados pelo

Serpro (Anexo 1, v.3 , fl. 684v).

Por meio da citada comunicação, o Gestor da Secretaria-executiva do MP também afirmou

que o MP cumpre a Instrução Normativa – GSI/PR 1/2008 no que se refere à criação da equipe de

tratamento e resposta a incidentes em redes computacionais, e atua em parceria com o Serpro

conforme processo de trabalho definido (Anexo 1, v. 6, fl. 1013).




SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que existe equipe setorial na SLTI com

atribuição de atender acionamentos relacionados a incidentes nos sistemas setoriais do MP e que as

secretarias gestoras dos sistemas estruturantes têm o mesmo papel quanto a incidentes nesses

sistemas. Acrescentou que a equipe setorial do DSTI contrata suporte junto ao Serpro para

atendimento de incidentes de primeiro e segundo níveis (Anexo 1, v. 6, fls. 1006v-1007).


No que tange à manifestação do Gestor encaminhada por meio do Ofício – SE/MP

678/2010, convém ressaltar que os incidentes tratados por equipe de tratamento e resposta a

incidentes em redes computacionais são incidentes de segurança da informação, e não incidentes

sob a ótica de gestão de serviços de TI, que trata de uma gama mais ampla de incidentes (vide NBR

20.000).

Portanto, como declarado inicialmente pelo Gestor, o MP não possui processo de gestão de

incidentes no contexto da gestão de serviços de TI.

Novamente registra-se que ainda que os serviços sejam contratados com o Serpro, o

controle e a responsabilidade pelos processos de gestão e governança de TI são dos gestores do MP.

A existência de equipes para atender acionamentos de incidentes em sistemas, não

constitui, por si só, um processo de gestão de incidentes no contexto da gestão de serviços de TI, o

qual demandaria a descrição dos papéis dos profissionais envolvidos, das atividades e dos artefatos

previstos, tal como a lista de incidentes, que deve conter pelo menos a classificação dos incidentes,

datas de abertura e de fechamento do incidente e histórico das ações realizadas em virtude do

incidente.



que implemente processo de gestão de incidentes de serviços de tecnologia da informação, à

semelhança das orientações contidas no Cobit 4.1, processo DS8 – Gerenciar a central de serviços e

incidentes, e de outras boas práticas de mercado (tais como NBR ISO/IEC 20000, ITIL e NBR

27002).

2.9 – Inexistência do processo de gestão de configuração


Por meio dos itens 6.1 e 6.4 do Anexo I do Ofício 1-849/2010-Sefti (fl. 21) e da pergunta

7.6 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do processo de gestão de

configuração de TI estabelecido. Como resposta, o Gestor declarou no questionário que a instituição



14

não implementou corporativamente processo de gestão de configuração (Anexo 1, fl. 17) e não


Além disso, o próprio diagnóstico do PDTI do Ministério registra a ‗Ausência de

sistemática de gestão dos itens de configuração‘ e aponta como solução a ‗Gestão sistêmica dos

itens de configuração de TI‘ (Anexo 1, fl. 91).




a) desatualização ou deficiência da configuração de TI (efeito potencial);

b) incidentes de segurança no ambiente de TI do Ministério (efeito potencial).


a) Norma Técnica – ITGI – Cobit 4.1, DS9 – Gerenciar configurações;

b) Norma Técnica – NBR – ISO/IEC 20000, item 9.1 – Gerenciamento de

configuração;

c) Norma Técnica – OGC – ITIL versão 2 – Livro Suporte a Serviços.



– fls. 15-17);













utilizados, o MP manifestou, por meio do Ofício – SE/MP 678/2010- SE/MP 678/2010, que o

modelo de contratação com o Serpro define que os serviços e processos de gestão de configuração

sejam conduzidos pela contratada, tendo em vista que produção, manutenção e evolução dos

serviços estratégicos de TI são integralmente prestadas pelo Serpro (Anexo 1, v. 3, fl. 684v).




SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a definição da configuração da

infraestrutura de TI do MP é gerida pelo DSTI com o apoio do Serpro no âmbito do Contrato

74/2010 (Anexo 1, v. 6, fl. 1007).


Em relação à manifestação do Gestor encaminhada por meio do Ofício SE/MP 678/2010,

novamente cabe o comentário sobre impossibilidade de transferência aos contratados do controle e

responsabilidade dos processos de gestão e governança de TI.

No que concerne à manifestação do Gestor sobre o relatório preliminar, a configuração da

infraestrutura de TI que seria gerida pelo DSTI se refere ao âmbito dos itens de configuração dos

serviços prestados em um contrato específico, celebrado posteriormente ao período da ação de

controle e, isoladamente, não constitui um processo corporativo de gestão de configuração.

Demais disso, o Gestor não afirmou existir um processo corporativo de gestão de

configuração, nem apresentou evidências da existência de qualquer dos elementos essenciais desse



15

processo no MP (descrição dos papéis envolvidos, das atividades e dos artefatos previstos, tais

como base de dados de configuração e ferramenta de gestão de configuração).

Dessarte, como declarado inicialmente pelo Gestor, o MP não possui processo de gestão

de configuração no contexto da gestão de serviços de TI.



que implemente processo de gestão de configuração de serviços de tecnologia da informação, à

semelhança das orientações contidas no Cobit 4.1, processo DS9 – Gerenciar configuração e em

outras boas práticas de mercado (como ITIL e NBR ISO/IEC 20000).

2.10 – Inexistência de gestor de segurança da informação e comunicações


Por meio do item 7.2 do Anexo I do Ofício 1-849/2010-Sefti, solicitaram-se informações

acerca da designação formal e evidências de atuação do gestor de segurança da informação (fl. 22).

Da documentação apresentada, a ata da 2ª reunião do comitê de segurança da informação e

comunicações (CSIC) do órgão menciona que ‗Com a publicação da primeira versão da Posic, será

também atribuído o cargo de gestor de segurança...‘ (Anexo 1, fl. 1 do arquivo ‗\8.2 e

8.3\Oficio452ªnexoI-item8.3\CSIC-2ªReuniao.pdf‘ no CD, fl. 18).

No entanto, não foram apresentadas evidências de designação formal nem atuação do

gestor de segurança de informação e comunicações.




a) não otimização das ações de segurança da informação (efeito potencial).


a) Instrução Normativa 1/2008 do Gabinete de Segurança Institucional – Presidência da

República, art. 5º, inciso IV; art. 7º;

b) Norma Técnica – Gabinete de Segurança Institucional – Presidência da República –

Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2;

c) Norma Técnica – NBR – ISO/IEC 27002, 6.1.3 – Atribuição de responsabilidade

para segurança da informação.


a) resposta do MP ao questionamento 7.2 do Anexo I do Ofício 1-849/2010-Sefti

(Anexo 1 – Principal – fl. 18);

b) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca da


c) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –






utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofício

SE/MP 678/2010- SE/MP 678/2010, de 20/12/2010, que estava prevista a publicação da designação

do diretor do DSTI para a função de gestor de segurança da informação e comunicações (Anexo 1,

v. 3 , fl. 684v).

Posteriormente, em 4/3/2011, um dos gestores do MP encaminhou mensagem eletrônica

(Anexo 1, v. 3, fl. 711) informando que a impropriedade havia sido sanada, por meio da publicação

da Portaria SE/MP 56/2011, de 23/2/2011, que designou o diretor do DSTI/SLTI/MP como gestor

de segurança da informação e comunicações no âmbito do MP (Anexo 1, v. 3, fl. 712).





16


SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), ratificou que a impropriedade havia sido sanada (Anexo

1, v. 6, fl. 1007).


A medida promovida pelo Gestor após a ação de controle está em conformidade com o

disposto na Instrução Normativa GSI/PR 1/2008, art. 5º, IV, e art. 7º, c/c Norma Complementar

3/IN01/DSIC/GSIPR, item 5.3.7.2, e observa as práticas contidas na NBR ISO/IEC 27.002, item

6.1.3 – Atribuição de responsabilidade para segurança da informação, de modo que deixa-se de

propor comando à Secretaria-executiva do MP quanto a essa questão no presente relatório.

Tendo vista que um dos meios de se atingir o cumprimento tempestivo e eficiente da

missão da área de TI se dá a partir do monitoramento dos controles implantados, será proposta

determinação à Sefti para que avalie a atuação do gestor de segurança da informação e

comunicações do MP, por ocasião do monitoramento das deliberações do acórdão que vier a ser

proferido.


Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria de Fiscalização de

Tecnologia da Informação – Sefti que, por ocasião do monitoramento das deliberações do acórdão

que vier a ser proferido, avalie se a atuação do gestor de segurança da informação e comunicações

do MP está em conformidade com o disposto na Instrução Normativa – GSI/PR 1/2008, art. 7º

2.11 – Falhas na política de segurança da informação e comunicações (Posic)


Por meio do item 7.1 do Anexo I do Ofício 1-849/2010-Sefti (fl. 22), o qual faz menção à

pergunta 7.2 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca da política

corporativa de segurança da informação (Posic). Como resposta, o Gestor declarou no questionário

que a instituição formalizou – aprovou e publicou – a Posic do órgão (Anexo 1, fl. 16v) e

encaminhou cópia da referida política (Anexo 1, fl. 1 do arquivo ‗\8.1\Oficio452ªnexoI-

item8.1_Ref.Quest-item7.2\Posic.pdf‘ no CD, fl. 18).

Ocorre que há falhas na Posic/MP, por não conter os seguintes elementos essenciais

(referência a itens da Norma Complementar 03/IN01/DSIC/GSIPR):

a) não institui o papel de gestor de segurança da informação e comunicações e suas

responsabilidades (5.3.7.2);

b) não estabelece diretrizes gerais sobre auditoria e conformidade, uso de e-mail e

acesso à internet (5.3.5, letras e, f e g);

c) não estabelece competências e responsabilidades, com procedimentos que definam a

estrutura para a gestão da segurança da informação e comunicações (5.3.7.1);

d) não define responsabilidades pela edição de normas específicas, tais como as

referentes a penalidades (5.3.6). Apenas menciona genericamente a possibilidade de sanções

administrativas, penais e civis por descumprimento ou violação da Posic e a responsabilidade de

usuários por atos que comprometam a segurança do sistema da informação (Posic/MP, item 4,

inciso V, e item 8, inciso III);

e) não estabelece diretrizes gerais sobre tratamento de incidentes de rede (5.3.5, letra

b), embora haja disposição no item ‗Regras Gerais‘ prevendo normatização de procedimentos

específicos relacionados ao tema ‗incidentes‘ (Posic/MP, item 6, inciso V);

f) não estabelece diretrizes gerais sobre gestão de riscos e controle de acesso (5.3.5,

letras c e f). Apenas há a previsão de elaboração de procedimentos específicos sobre o primeiro.

Para o segundo, não há previsão de normas específicas para o tema, mas somente para o tema

‗segurança lógica‘ (Posic/MP, item 6, inciso V); e

g) não institui o papel do comitê de segurança da informação e comunicações (CSIC),

suas competências e responsabilidades (item 5.3.7.3), embora a sua publicação (do CSIC) tenha

sido enviada como parte da resposta ao item 7.1 anteriormente mencionado. A Posic apenas define



17

o termo CSIC (Posic/MP, item 2, inciso IV) e determina que é responsável por procedimentos

específicos (Posic/MP, item 6, inciso V).





a) incompletude das diretrizes mínimas sobre segurança da informação (efeito real);

b) falhas nos procedimentos de segurança (efeito potencial).


a) Instrução Normativa 1/2008, Gabinete de Segurança Institucional – Presidência da

República, art. 5º, inciso VII;


Norma Complementar 03/IN01/DSIC/GSIPR;

c) Norma Técnica – NBR – ISO/IEC 27002, item 5.1 – Política de segurança da

informação.



– fls. 15-17);












SE/MP 678/2010, que foi instituído grupo de trabalho, no âmbito do CSIC, com o intuito de

elaborar nova versão da política de segurança da informação e comunicações (Anexo 1, v. 3,

fl. 684v).




SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a publicação da Posic revisada,

conforme apontamentos do TCU durante a auditoria, estava em fase final de conclusão (Anexo 1, v.

6, fl. 1007).


Não obstante o MP dispor de uma política de segurança da informação e comunicações

(Posic) formalizada (aprovada e publicada), constatou-se que a norma não contempla elementos

essenciais, constituindo-se em falhas a serem corrigidas pelo Ministério.

A iniciativa de revisão da Posic do MP informada nas manifestações do Gestor não foi

concluída até o término da ação de controle e não pôde ser comprovada pela equipe no presente

trabalho, o que poderá ser realizado em futuro monitoramento das deliberações do acórdão que vier

a ser proferido.



do Planejamento, Orçamento e Gestão que, em atenção ao disposto na Instrução Normativa –

GSI/PR 1/2008, art. 5º, VII, adeque a política de segurança da informação e comunicações às

práticas contidas na Norma Complementar 3/IN01/DSIC/GSIPR.



18

2.12 – Inexistência de classificação da informação



pergunta 7.1 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca da classificação

de informações para o negócio. Como resposta, o Gestor declarou no questionário que a instituição

não classifica a informação (Anexo 1, fl. 16v) e não encaminhou evidências correspondentes ao

item 7.6 do referido ofício (Anexo 1, fl. 18).





a) risco de divulgação indevida de informação restrita (efeito potencial).


a) Decreto 4.553/2002, art. 6º, § 2º, inciso II; art. 67;

b) Norma Técnica – NBR – ISO/IEC 27002, item 7.2 – Classificação da informação.



– fls. 15-17);












SE/MP 678/2010, que o processo de classificação da informação está em elaboração, sob condução

da Coordenação de Documentação e Informação (Codin/CGDAP/SPOA) e acompanhamento pelo

comitê de segurança da informação e comunicações do MP (Anexo 1, v.3, fl. 684v).




SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o comitê de segurança da informação e

comunicações do MP em conjunto com a CODIN/CGDAP/SPOA/SE/MP irá elaborar agenda de

implementação da política de classificação da informação no âmbito do Ministério (Anexo 1, v. 6,

fl. 1007).


O MP não possui processo de classificação da informação, a fim de propiciar tratamento

diferenciado conforme importância, criticidade e sensibilidade, não observando o comando do

Decreto 4.553/2002 e as boas práticas de segurança da informação do item 7.2 da NBR ISO/IEC

27002.

Por oportuno, os comentários do Gestor no sentido de que o MP irá elaborar agenda de

implementação da política de classificação da informação no âmbito do Ministério confirmam a

necessidade de sua implementação.



do Planejamento, Orçamento e Gestão que, em atenção ao disposto no Decreto 4.553/2002, art. 6º,

§2º, II, e art. 67, estabeleça critérios de classificação das informações a fim de que possam ter



19

tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observando

as práticas contidas no item 7.2 da NBR ISO/IEC 27.002.

2.13 – Inexistência de inventário dos ativos de informação



pergunta 7.1 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca do inventário de

ativos de informação.

Como resposta, o Gestor declarou no questionário que a instituição inventaria todos os

ativos de informação (dados, hardware, software e instalações) (Anexo 1, fl. 16v).

As evidências apresentadas incluem apenas um gráfico estatístico sobre a distribuição de

estações de trabalho por sistemas operacionais, elaborado pelo software Cacic, um software público

do governo federal resultante do consórcio de cooperação entre a SLTI/MP e a Dataprev, que

realiza captura de informações de configuração de estações de trabalho, tais como os tipos de

softwares utilizados e licenciados, configurações de hardware, entre outras informações (Anexo 1,

arquivo ‗\8.5\Captura_de_tela.png‘ no CD, fl. 18).

Ocorre que as evidências não são suficientes para comprovar a realização de inventário de

ativos, uma vez que a mera instalação da ferramenta Cacic não significa que as informações obtidas

pela ferramenta estejam sendo utilizadas para a realização de um inventário de ativos de

informação.

Ademais, verifica-se que as informações fornecidas pela ferramenta Cacic abrangem

apenas ativos físicos e de software (informações das estações de trabalho), não contemplando ativos

de informação propriamente ditos, segundo o item 7.1.1 da NBR – ISO/IEC 27002, tais como base

de dados e arquivos, contratos e acordos, documentação de sistema, procedimentos de suporte ou

operação, planos de continuidade do negócio, procedimentos de recuperação etc. Além disso, a

ferramenta não fornece algumas das informações necessárias que permitem recuperar o ativo de um

desastre, tais como: a) tipo do ativo; b) formato; c) informações sobre cópia de segurança; d) a

importância do ativo para o negócio, e não identifica os responsáveis por esses ativos.

Por fim, cumpre ressaltar ainda que o próprio diagnóstico do PDTI do Ministério alerta

sobre a necessidade de padronização de serviços de infraestrutura, incluindo inventário do parque,

realizado de forma automática e sistêmica (Anexo 1, fl. 91).




a) dificuldade de recuperação de ativo de informação (efeito potencial).


a) Norma Técnica – NBR – ISO/IEC 27002, item 7.1.1 – inventário de ativos;


Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1.



– fls. 15-17);













20




SE/MP 678/2010, que o Ministério está utilizando em todas as estações de trabalho de sua rede o

software Cacic, não apresentando informações adicionais (Anexo 1, v.3, fl. 684).




SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o uso do software Cacic está sob gestão

do DSTI/SLTI/MP e que foi criada rotina para tratamento dos relatórios gerados pela ferramenta.

Acrescentou que os procedimentos de recuperação dos ativos de hardware e software passaram a ser

conduzidos pela equipe de tratamento e resposta a incidentes de redes computacionais (ETRI) do

MP, constituída em 25/3/2011 (Anexo 1, v. 6, fl. 1007).


As informações fornecidas pela ferramenta Cacic usada pelo MP abrangem apenas ativos

físicos e de software (informações das estações de trabalho), não contemplando ativos de

informação propriamente ditos. O Cacic também não oferece as informações necessárias que

permitem recuperar o ativo de um desastre.

Em face do exposto, o MP não realiza inventário de seus ativos de informação,

dificultando o controle e a recuperação desses ativos.

Quanto à iniciativa de recuperação dos ativos de hardware e software, mencionada pelo

Gestor nos comentários ao relatório preliminar, não há informação acerca de como esse

procedimento seria realizado. Além disso, essa iniciativa se iniciou após a ação de controle, não

podendo ser comprovada pela equipe no presente trabalho, o que poderá ser realizado em futuro

monitoramento das deliberações do acórdão que vier a ser proferido.



do Planejamento, Orçamento e Gestão que, em atenção ao disposto na Instrução Normativa –

GSI/PR 1/2008, art. 5º, VII, c/c Norma Complementar 4/IN01/DSIC/GSIPR, item 5.2.1, estabeleça

procedimento de inventário de ativos de informação, de maneira que todos os ativos de informação

sejam inventariados e tenham um proprietário responsável, observando as práticas contidas no item

7.1 da NBR ISO/IEC 27.002.

2.14 – Inexistência de processo de gestão de riscos de segurança da informação (GRSIC)



pergunta 7.1 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca da gestão de

riscos de segurança da informação e comunicações em vigor. Como resposta, o Gestor declarou no

questionário que a instituição não analisa riscos aos quais a informação crítica para o negócio está

submetida, considerando, pelo menos, confidencialidade, integridade e disponibilidade (Anexo 1, fl.

16v) e não encaminhou evidências correspondentes ao item 7.7 do referido ofício.

Cumpre salientar que o item 6, inciso II, da Posic/MP menciona que a gestão de riscos

deve ser considerada como critério para a confidencialidade, integridade, disponibilidade e

autenticidade das informações, serviços, sistemas de informação e recursos computacionais (Anexo

1, arquivo ‗\8.1\Oficio452ªnexoI-item8.1_Ref.Quest-item7.2\Posic.pdf‘ no CD, fl. 18).




a) desconhecimento das ameaças e dos respectivos impactos relacionados à segurança

da informação (efeito real).




21


República, art. 5º, inciso VII;


Norma Complementar 04/IN01/DSIC/GSIPR;

c) Norma Técnica – ITGI – Cobit 4.1, PO9.4 – Avaliação de riscos;

d) Norma Técnica – NBR – 27005 – Gestão de riscos de segurança da informação.



– fls. 15-17);

b) Posic/MP (Anexo 1, arquivo ‗\8.1\Oficio452ªnexoI-item8.1_Ref.Quest-

item7.2\Posic.pdf‘ no CD, fl. 18) (Anexo 1 – Principal – fl. 18);










SE/MP 678/2010, que a gestão de riscos de segurança da informação está em discussão no âmbito

do comitê de segurança da informação e comunicações do Ministério (Anexo 1, v.3, fl. 684v).




SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a gestão de riscos de segurança da

informação é realizada desde julho de 2010 pelo Centro de Tratamento e Resposta a Ataques na

Rede do MP – Cetra, instituído formalmente pela Portaria SLTI 13/2011, e acompanhada pelo

comitê de segurança da informação e comunicações do Ministério (Anexo 1, v. 6, fl. 1007).


Em que pese o Gestor ter manifestado nos comentários ao relatório preliminar que o MP

realiza gestão de riscos de segurança da informação desde julho de 2010, não foram apresentadas

evidências de qualquer dos elementos essenciais de um processo de gestão de riscos de segurança

da informação (descrição dos papéis envolvidos no GRSIC, bem como atividades e artefatos

previstos, tais como plano de análise e avaliação de risco ou plano de tratamento de riscos).

Ademais, o Gestor já havia manifestado após a apresentação dos resultados da auditoria,

que a gestão de riscos de segurança da informação estava apenas em discussão no âmbito do comitê

de segurança da informação e comunicações do Ministério.

Portanto, ante a contradição nas manifestações e ausência de evidências em contrário,

conclui-se que o MP não dispõe de processo de gestão de riscos de segurança da informação e

comunicações.

Por oportuno, registra-se que a instituição do Cetra no MP, em 25/3/2011, evidencia

adoção de medida que poderá contribuir para a realização da gestão de riscos de segurança da

informação no Ministério.



do Planejamento, Orçamento e Gestão que, em atenção ao disposto na Instrução Normativa GSI/PR

1/2008, art. 5º, VII, c/c Norma Complementar 4/IN01/DSIC/GSIPR, implemente processo de gestão

de riscos de segurança da informação.

2.15 – Falhas na equipe de tratamento e resposta a incidentes em redes computacionais

(ETRI)



22



pergunta 7.1 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca da existência de

uma equipe de tratamento e resposta a incidentes em redes computacionais (ETRI). Como resposta,

o Gestor declarou gerenciar os incidentes de segurança da informação (Anexo 1, fl. 16v).

Os documentos apresentados evidenciam que a ETRI do MP, chamada de Cetra.MP, foi

criada (Anexo 1, fls. 92/95; 100) e está em atuação (Anexo 1, arquivo ‗\8.8\Oficio452ªnexoI-

item8.8_Ref.Quest-item7.2\folder cetra_20100721.pdf‘ no CD, fl. 18; fls. 96-99). Todavia, sua

criação não havia sido formalizada.




a) falhas relativas às notificações e às atividades relacionadas a incidentes de segurança

em redes de computadores (efeito potencial).



República, art. 5º, inciso V;


Norma Complementar 05/IN01/DSIC/GSIPR.



– fls. 15-17);



c) cópia de documento, não formalizado, de criação da ETRI, Anexo II da Nota Técnica

– DSTI/SLTI/MP 173/2010 (Anexo 1 – Principal – fls. 92-95; 100);

d) ata da 2ª reunião do CSIC, Anexo II da Nota Técnica – DSTI/SLTI/MP 173/2010

(Anexo 1 – Principal – fls. 95-98);

e) informações do Comitê de Segurança da Informação e Comunicações do MP (Anexo

1 – Principal – fl. 99);



g) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –


propostas do relatório preliminar (Anexo 1 – Volume 6 – fls. 1005-1010);

h) Ofício – SLTI/MP 1113/2011, que encaminhou documentos em complementação ao

Ofício – SE/MP 152/2011 (Anexo 1 – Volume 6 – fls. 1011-1054).





SE/MP 678/2010, que a publicação da ETRI estava em trâmite interno (Anexo 1, v.3, fl. 684v).




SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a ETRI do MP existe desde julho/2010 e

sua formalização foi realizada pela Portaria 13, de 25 de março de 2011 (Anexo 1, v. 6, fls. 1007;

1013).


Conquanto existam evidências da existência e estruturação da ETRI do MP, ela foi

formalmente constituída somente após a ação de controle.



23

A medida promovida pelo Gestor abrange a proposta sugerida no relatório preliminar,

atendendo ao disposto na Instrução Normativa GSI/PR 1/2008, art. 5º, V, e observando as práticas

contidas na Norma Complementar 5/IN01/DSIC/GSIPR, motivo pelo qual, deixa-se de propor

comando à Secretaria-executiva do MP quanto a essa questão no presente relatório.

Tendo em vista que um dos meios de se atingir o cumprimento tempestivo e eficiente da

missão da área de TI se dá a partir do acompanhamento dos controles implantados, será proposta

determinação à Sefti para que avalie a atuação da ETRI do MP, por ocasião do monitoramento das

deliberações do acórdão que vier a ser proferido.


Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria de Fiscalização de


que vier a ser proferido, avalie a conformidade da atuação da equipe de tratamento e resposta a

incidentes em redes computacionais do MP com o disposto na Norma Complementar

05/IN01/DSIC/GSIPR.

2.16 – Inexistência de plano anual de capacitação


Por intermédio dos itens 8.2 e 8.4 do Anexo I do Ofício 1-849/2010-Sefti (fl. 22), os quais

fazem menção à pergunta 6.3 do Questionário PerfilGovTI-2010, solicitaram-se informações acerca

do processo de capacitação de profissionais de TI.

Como resposta, o Gestor declarou no questionário que a instituição elabora e executa um

plano de capacitação para atender às necessidades de capacitação em gestão de TI (Anexo 1, fl.

16v).

Quatro setores do órgão encaminharam evidências:

a) DSTI: encaminhou um plano anual de capacitação do DSTI para 2010 (Anexo 1,

fls. 102-119);

b) SOF: encaminhou um plano de capacitação anual (PCA) constituído de apenas uma

lista de cursos e quantidade de vagas (Anexo 1, arquivo ‗\9.4\SOF – 9.4.odt‘ no CD, fl. 18);

c) SPU: afirmou que ‗não existe um plano formal de capacitação de funcionários de TI

para o setor‘ (Anexo 1, arquivo ‗\9.2\SPU – 9.odt‘ no CD, fl. 18); e

d) Seges: afirmou que ‗não conta com um plano anual de capacitação específico para

seus profissionais de tecnologia da informação‘ (Anexo 1, arquivo ‗\9.4\ SEGES – resposta tcu –

9.4.odt‘ no CD, fl. 18).

Também foi recebido relatório de execução de capacitações que não identifica o período a

que se refere (Anexo 1, fls. 120-129) nem o plano de capacitação a que se refere.

Nenhum dos documentos acima, nem a união deles, corresponde ao previsto no Decreto

5.707/2006, arts. 5º e 2º, c/c Portaria – MP 208/2006, art. 2º, I, e art. 4º




a) não otimização do potencial dos recursos humanos (efeito potencial);

b) desatualização do quadro de pessoal em termos de conhecimento/capacitação (efeito

potencial).


a) Decreto 5.707/2006, art. 5º, § 2º;

b) Norma Técnica – ITGI – Cobit 4.1, PO7.2 – Competências Pessoais;

c) Norma Técnica – ITGI – Cobit 4.1, PO7.4 – Treinamento do Pessoal;

d) Portaria 208/2006, Ministério do Planejamento, art. 2º, inciso I; art. 4º


a) cópia de plano anual de capacitação do DSTI, Anexo III da Nota Técnica –

DSTI/SLTI/MP 173/2010 (Anexo 1 – Principal – fls. 102-119);



24

b) cópia de relatório de execução de um plano de capacitação, constante do anexo III da

Nota Técnica DSTI/SLTI/MP 173/2010 (Anexo 1 – Principal – fls. 120-129);

c) resposta do MP ao item 6.3 do Questionário PerfilGovTI-2010 (Anexo 1 – Principal

– fls. 15-17);

d) resposta do MP aos questionamentos 8.2 e 8.4 do Anexo I do Ofício 1-849/2010-

Sefti. (arquivos em CD) (Anexo 1 – Principal – fl. 18);










678/2010, trouxe aos autos um relatório, elaborado pela SPOA/SE/MP, por unidade administrativa

do Ministério, contendo as capacitações realizadas com e sem ônus em 2010 (Anexo 1, v. 3, fls.

687-710), mas não um plano anual de capacitação para o ano de 2010.




SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a SPOA encaminha anualmente à

SRH/MP o relatório do plano anual de capacitação para o exercício seguinte, bem como o relatório

de execução do plano de capacitação do exercício corrente. Acrescentou que, para o exercício de

2011, a SRH/MP determinou, por intermédio do SIPEC, que fosse respondido questionário

diretamente em seu portal eletrônico (Anexo 1, v. 6, fl. 1007).


Embora o Gestor da Secretaria-executiva do MP tenha manifestado que anualmente é

elaborado plano anual de capacitação para o exercício seguinte, não apresentou evidências da

existência do plano anual de capacitação de 2010.

Dessarte, o MP não apresentou plano anual de capacitação do órgão como um todo, nos

moldes preconizados pelo Decreto 5.707/2006, arts. 5º e 2º c/c Portaria – MP 208/2006, art. 2º, I, e

art. 4º, criando o risco de não otimizar o potencial de recursos humanos disponíveis e desatualizar o

quadro de pessoal em termos de conhecimento.



do Planejamento, Orçamento e Gestão que, em atenção às disposições contidas no Decreto

5.707/2006, art. 5º, § 2º, c/c Portaria – MP 208/2006, art. 2º, I, e art. 4º, elabore plano anual de

capacitação.


que, quando elaborar o plano anual de capacitação, contemple ações de capacitação voltadas para a

gestão de tecnologia da informação, à semelhança das práticas contidas no Cobit 4.1, processos

PO7.2 – Competências Pessoais e PO7.4 – Treinamento do Pessoal.

2.17 – Auditoria interna não apoia avaliação da TI




monitoração do desempenho da gestão e do uso da TI, em particular sobre a realização de auditorias

de TI por iniciativa da própria instituição nos últimos três anos.

Como resposta, o Gestor declarou no questionário que a instituição realizou auditorias de

segurança da informação nos últimos três anos (Anexo 1, fl. 15v). Como evidência, encaminhou



25

relatórios de 2009, expedidos pela Coordenação Geral de Tecnologia da Informação (CGTI), área

de TI existente anteriormente à publicação do Decreto 7.063/2010 (Anexo 1, arquivos da pasta

‗\10.2\Oficio452ªnexoI-item10.2_Ref.Quest-item1.4‘ no CD, fl. 18).

Os documentos apresentados evidenciam avaliações realizadas pelos próprios gestores,

prática conhecida por controle de auto-avaliação (do inglês Control Self Assessement – CSA), e não

evidenciam apoio da auditoria interna aos trabalhos realizados.




a) deficiências na governança de TI, gestão de riscos e controles internos (efeito real,

evidenciado pelos achados descritos neste relatório).


a) Norma Técnica – ITGI – Cobit 4.1, E2 – Monitorar e avaliar os controles internos.



– fls. 15-17);












SE/MP 678/2010, que a estrutura regimental do Ministério, aprovada pelo Decreto 7.063/2010, não

prevê a realização de auditoria pela SLTI, nem por outra unidade/entidade do Ministério (Anexo 1,

v.3, fl. 686).




SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), mencionou que a Controladoria Geral da União (CGU)

realizou várias auditorias nos últimos anos, inclusive com diversas recomendações que foram

incorporadas ao Contrato 74/2010, celebrado com o Serpro (Anexo 1, v. 6, fl. 1007v).


Em que pese o Gestor do MP afirmar que houve auditorias realizadas pelo órgão

responsável pela auditoria interna do MP, a CGU, com incorporação de recomendações no Contrato

74/2010, não foram trazidas aos autos evidências da afirmação.

Ademais, não se pôde evidenciar, segundo as informações constantes dos autos, que a

CGU apoia a avaliação da TI do Ministério.

Registre-se que as boas práticas internacionais (The Institute of Internal Auditors – IIA,

The International Organisation of Supreme Audit Institutions – Intosai, dentre outros) preconizam

que a Auditoria Interna é um instrumento que deve ser utilizado pelos gestores para avaliar seus

processos de governança, riscos e controles internos, incluindo-se na avaliação do processo de

governança a avaliação do alcance das metas atribuídas à gestão da tecnologia da informação. Nas

informações constantes dos autos, não se pôde evidenciar a existência de metas atribuídas à gestão

da tecnologia da informação do MP.

Houve uma boa prática dos gestores do MP ao praticar, em alguma medida, o controle de

auto-avaliação.



26



que promova ações para que a auditoria interna apoie a avaliação da TI, à semelhança das

orientações contidas no Cobit 4.1, ME2 – Monitorar e avaliar os controles internos.

2.18 – Falhas na avaliação da gestão de TI




monitoração do desempenho da gestão e do uso da TI, em particular sobre a atuação da alta

administração no desempenho organizacional da gestão e do uso da TI.

O Gestor respondeu no questionário (Anexo 1, fl. 15) que:

a) estabeleceu objetivos (diretrizes) de desempenho de gestão e de uso corporativos de

TI;

b) recebe e avalia regularmente informações sobre o desempenho relativo à gestão e ao

uso corporativos de TI.

Como evidências, o Gestor encaminhou relatórios de auditoria anual de contas e relatórios

de gestão de algumas das áreas do MP, todos do exercício de 2008 (Anexo 1, arquivos da pasta

‗\10.1\‘ no CD, fl. 18).

Os relatórios de auditoria de contas não tratam de gestão de TI e os relatórios de gestão

incluem atividades executadas pela gestão de TI, o que evidencia um acompanhamento a posteriori

das ações realizadas, mas não uma avaliação da gestão de TI como preconizam as boas práticas, por

conta da ausência de elementos essenciais, tais como: definição de indicadores e metas da gestão da

TI; realização de avaliação propriamente dita da gestão de TI, materializada por relatórios de

desempenho que avaliem o alcance ou não das metas estipuladas; e determinação de ações

corretivas, caso necessário.




a) dificuldades de identificação de possibilidades de melhoria da gestão de TI (efeito

potencial);

b) dificuldades de identificação de problemas nos serviços de TI (efeito potencial);

c) decisões gerenciais baseadas em informações incompletas ou errôneas (efeito

potencial).


a) Norma Técnica – ITGI – Cobit 4.1, ME1.5 – Relatórios gerenciais;

b) Norma Técnica – ITGI – Cobit 4.1, ME1.4 – Avaliar o desempenho;

c) Norma Técnica – ITGI – Cobit 4.1, ME1.6 – Ações corretivas;

d) Norma Técnica – ITGI – Cobit 4.1, ME2 – Monitorar e avaliar os controles internos.



– fls. 15-17);

b) resposta do MP ao questionamento 9.1 do Anexo I do Ofício 1-849/2010-Sefti.












27


SE/MP 678/2010, que as falhas da avaliação da gestão da TI estão relacionadas a falhas no

conteúdo do PDTI do Ministério, notadamente a inexistência de indicadores de desempenho.

Afirmou ainda que estava em elaboração o PDTI para 2011, com a previsão de inclusão de

indicadores de desempenho para as equipes definidas no novo organograma proposto para a TI do

MP (Anexo 1, v. 3,fl. 685).




SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o PDTI do MP estava sendo revisado

visando contemplar as recomendações do TCU (Anexo 1, v. 6, fl. 1007v).


O MP apresenta falhas na avaliação de sua gestão de TI, pela ausência de elementos

essenciais, tais como mencionado ao final do item 2.18.1.

Essas falhas dificultam a identificação de possibilidades de melhoria na gestão de TI, o que

pode conduzir a decisões gerenciais baseadas em informações incompletas ou errôneas.

O processo de revisão do PDTI do MP para 2011, citado pelo Gestor nos comentários ao

relatório preliminar, ainda estava em andamento após a ação de controle, e, portanto, seus

resultados não puderam ser comprovados pela equipe no presente trabalho, o que poderá ser

realizado, em futuro monitoramento das deliberações do acórdão que vier a ser proferido.



que aperfeiçoe o processo de avaliação da gestão de TI, à semelhança das orientações contidas no

Cobit 4.1, itens ME1.4 – Avaliação de desempenho, ME1.5 – Relatórios gerenciais, ME1.6 – Ações

corretivas e ME2 – Monitorar e avaliar os controles internos.

2.19 – Falhas nos controles que promovam o cumprimento da Instrução Normativa –

SLTI/MP 4/2008


Por meio do item 10 do Anexo I do Ofício 1-849/2010-Sefti (fl. 23), o qual faz menção à


contratação de bens e serviços de TI, incluindo informar se há controles no órgão que promovam o

cumprimento da Instrução Normativa – SLTI/MP 4/2008, com a apresentação de evidências de que

este controle é utilizado e é monitorado.

Como resposta, o Gestor afirmou que as aquisições de TI estão centralizadas no DSTI, que

monitora os processos de contratações de TI (Anexo 1, arquivo ‗\11.2\Item 11.2‘ no CD,

fl. 18). Em adição, encaminhou um documento referente ao planejamento da contratação de

servidores e equipamentos de armazenamento para a SOF e um fluxograma de um escritório de

aquisições de tecnologia da informação (Anexo 1, arquivos da pasta ‗\11.1\‘ no CD,

fl. 18).

Dessa forma, por meio dos itens 1 e 2 do Ofício de Requisição 3-849/2010-Sefti (fl. 26), a

equipe de auditoria solicitou as seguintes informações adicionais:

1) cópia de documento formal que expresse as atribuições do escritório de aquisições,

bem como descrição de sua localização na estrutura organizacional no MP; e

2) descrição dos controles existentes no órgão para promover o cumprimento do

processo de planejamento de contratações de bens e serviços de TI de acordo com o disposto na

Instrução Normativa – SLTI/MP 4/2008, identificando as etapas realizadas, os modelos de

documentos produzidos e as áreas responsáveis por sua realização.

Como resposta ao novo ofício, o Gestor:

a) informou que a proposta para a criação de uma estrutura de escritório de projetos de

aquisições, numa parceria do DSTI com a Universidade de Brasília (UnB), encontrava-se em

andamento e, para atender ao disposto no Decreto 7.063/2010, encontrava-se em fase de



28

estruturação uma equipe interna no sentido do exercício da competência do DSTI de aprovar as

proposições para aquisição de bens e serviços de informática (Anexo 1, fl. 138), encaminhando;

b) fluxo do processo de aquisição do DSTI (Anexo 1, fls. 139-145); e

c) documentos relativos a um processo de planejamento de aquisição de rack para

servidores (Anexo 1, fls. 146-163).

Quanto ao escritório de aquisições, verifica-se que a proposta para a sua criação

encontrava-se em andamento, até a época da conclusão dos trabalhos de campo, conforme resposta

do Gestor (Anexo 1, fl. 138), denotando que o escritório de projetos não estava formalmente criado

dentro da estrutura organizacional do DSTI.

Quanto às demais evidências apresentadas, se referem à aplicação de controles no

planejamento de contratações específicas, o que não demonstra que tais controles estejam

formalizados e sejam aplicados no processo de contratação de bens e serviços de TI do órgão.

Ademais, mesmo se coubesse análise somente no escopo dos referidos planejamentos de

contratações, cumpre destacar que a aplicação dos controles foi insuficiente, visto que os

documentos de análise de viabilidade da contratação desses planejamentos não identificam os

benefícios que serão alcançados com a efetivação da contratação em termos de eficácia, eficiência,

efetividade e economicidade (Anexo 1, fls. 7-17 do arquivo

‗\11.1\PLANEJAMENTO_CONTRATACAO_SOF – Servidores v2.odt‘ no CD, fl. 18; 159v-162).




a) falhas no cumprimento do processo de planejamento previsto na IN – SLTI/MP

4/2008 (efeito real, conforme achado relatado adiante).


a) Instrução Normativa – SLTI/MP 4/2008, art. 10.



– fls. 15-17);

b) resposta do MP ao questionamento 10 do Anexo I do Ofício 1-849/2010-Sefti.


c) definição das atribuições do escritório de aquisições, integrante do Anexo I da Nota

Técnica – DSTI/SLTI/MP 174/2010 (Anexo 1 – Principal – fls. 138-145);

d) documentos referentes a processos de aquisição de bens de TI, como o fluxo do

processo de aquisição, Anexo II da Nota Técnica – DSTI/SLTI/MP 174/2010 (Anexo 1 – Principal

–

fls. 139-163);

e) Ofício – SE/MP 678/2010 e seus anexos, contendo as considerações do MP acerca da


f) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –







SE/MP 678/2010, que estava em andamento projeto de aprimoramento e descrição do processo de

trabalho do escritório de aquisições de TI (Anexo 1, v. 3, fl. 685).




SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que foi iniciado em março de 2011 projeto



29

de definição de metodologia, processos e controles no âmbito do escritório de aquisições em TI, a

ser formalizado na estrutura organizacional do DSTI/SLTI/MP (Anexo 1, v. 6, fl. 1007v).


Há falhas nos controles que promovam o cumprimento da Instrução Normativa – SLTI/MP

4/2008, uma vez que as evidências apresentadas ora se referem a processos de planejamento de

contratações específicas de bens de TI com falhas, não demonstrando que os controles foram

formalizados, ora se referem a um fluxo de processo de aquisições de um escritório de aquisições

do DSTI, cujo processo de criação ainda estaria em andamento durante a ação de controle.

O projeto citado pelo Gestor iniciou-se após a ação de controle, de modo que seus

resultados, no tocante ao aperfeiçoamento dos controles que promovam o cumprimento da Instrução

Normativa – SLTI/MP 4/2008, não puderam ser comprovados pela equipe de auditoria no presente

trabalho, o que poderá ser realizado em futuro monitoramento das deliberações do acórdão que vier

a ser proferido.



que aperfeiçoe os controles destinados a promover o cumprimento do processo de planejamento

previsto na Instrução Normativa – SLTI/MP 4/2010.

2.20 – Inexistência dos estudos técnicos preliminares


O projeto básico do Contrato 45/2005 informa que o MP é responsável por diversos

sistemas de gestão administrativa do governo federal e que, devido à ausência de quadros

especializados no Ministério, a contratação dos serviços com o Serpro traria segurança, por ser a

empresa reconhecida por operar com elevados requisitos nesse sentido. Declara ainda que a

contratação se justificaria para evitar o risco de perda de continuidade da gestão de processos

estratégicos e para possibilitar a integração dos sistemas existentes no âmbito do MP, haja vista que

os serviços já eram prestados pelo Serpro, de forma continuada, também por dispensa de licitação

(Anexo 2, fls. 6-7).

Quanto aos pressupostos de segurança da informação, argumenta-se, de plano, que não

constam dos autos estudos que demonstrem que somente o Serpro poderia satisfazer tais requisitos

de segurança. Nesse sentido, há serviços dentre os contratados, como o de provimento de

infraestrutura de redes, que poderiam ser licitados, desde que positivadas cláusulas de segurança

que garantissem a disponibilidade, integridade, confidencialidade e não repúdio da informação.

No que tange ao dimensionamento dos serviços, constam dos autos analisados somente as

quantidades a serem contratadas, informadas no projeto básico (Anexo 2, fls. 29-31) e na proposta

comercial do Serpro (Anexo 2, fls. 128; 136; 142; 154; 160; 164; 168; 170; 172v; 174; 175v; 180v),

sem que haja memória de cálculo que as justifique.

Também não há nos autos analisados demonstrativo de resultados a serem alcançados com

a referida contratação, em termos de economicidade e de melhor aproveitamento dos recursos

humanos, materiais ou financeiros disponíveis.

Assim, por intermédio dos itens 1 e 2.a) do Ofício de Requisição 4-849/2010-Sefti (fl. 27),

a equipe de auditoria solicitou a apresentação de estudos técnicos preliminares à elaboração do

projeto básico, conforme preconiza a Lei 8666/1993, art. 6º, IX, a exemplo do demonstrativo de

resultados na forma do disposto no Decreto 2.271/1997.

Em resposta, o Gestor da Subsecretaria de Planejamento, Orçamento e Gestão do MP

declarou que:

a) os serviços objeto do Contrato 45/2005 não se tratavam de serviços novos que

ensejariam a realização de estudos técnicos preliminares, e sim a continuidade de serviços que já

vinham sendo prestados pelo Serpro, mas que mesmo assim, a SLTI havia promovido avaliação

técnica global dos serviços, a qual contém elementos/informações para sustentação do projeto

básico (Anexo 1, fl. 198), encaminhando o documento (Anexo 1, v. 1, fls. 205-206), que já constava

dos presentes autos (Anexo 2, fls. 100v-101);



30

b) os serviços de informática previstos no Decreto 2.271/1997 privilegiam o simples

pagamento da mão de obra e os serviços contratados com o Serpro, por serem baseados na entrega

de produtos, não estão sujeitos aos dispositivos mencionados no citado Decreto (Anexo 1, fls. 198-

199).

Quanto ao item a da manifestação do Gestor, destaca-se que:

1) o fato de os serviços já estarem sendo prestados pela contratada no âmbito de

contratos anteriores não exime o órgão da realização dos estudos técnicos preliminares;

2) a análise da SLTI foi realizada posteriormente à elaboração do projeto básico e

aborda aspectos acerca da justificativa para a escolha da empresa (Anexo 1, v. 1, fl. 205), já tratados

no projeto básico (Anexo 2, fls. 6-7), não contemplando as justificativas da necessidade e do

dimensionamento dos serviços, nem demonstrativo dos resultados a serem alcançados.

O item b da manifestação do Gestor também não prospera, haja vista que o citado Decreto

não especifica que os serviços de informática elencados em seu art. 1º, § 1º, privilegiem o simples

pagamento da mão de obra, e, em sentido inverso à manifestação do Gestor, o multicitado Decreto

dispõe que:

a) é vedada a inclusão de dispositivos contratuais que permitam a caracterização

exclusiva do objeto como fornecimento de mão de obra (art. 4º, II);

b) sempre que a prestação do serviço puder ser avaliada por unidade quantitativa de

serviço, esta será utilizada na aferição dos resultados (art. 3º, § 1º), situação na qual se enquadram

os serviços objeto do referido contrato.




a) risco da ocorrência de aquisições ou contratações que não atendam à necessidade do

órgão (efeito potencial);

b) falhas no termo de referência ou projeto básico (efeito real, conforme achado

relatado adiante).


a) Lei 8.666/1993, art. 6º, inciso IX.


a) projeto básico do Contrato 45/2005 (Anexo 2 – Principal – fls. 6-99);

b) Nota Informativa – GAB/SPOA/MP 2/2010 (Anexo 1 – Principal – fls. 197-203);

c) Anexo I da Nota Informativa – GAB/SPOA/MP 2/2010 (Anexo 1 – Volume 1 – fls.

204-206);

d) Nota Técnica – SLTI/MP s/n, de 17/10/2005 (Anexo 2 – Principal – fls. 100v-101);

e) proposta comercial do Serpro (Anexo 2 – Principal – fls. 102-180);








SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o contrato analisado foi celebrado antes

da vigência da Instrução Normativa – SLTI/MP 4/2008 e, portanto, não previa a existência dos

estudos técnicos preliminares. Acrescentou que o Contrato 74/2010 substituiu o contrato 45/2005 e

atende plenamente a referida instrução (Anexo 1, v. 6, fl. 1007v).


Embora o processo administrativo mencione a necessidade de prestação dos serviços de TI,

não apresenta estudos que a demonstrem. Além disso, não consta do referido processo ou dos

documentos contidos na manifestação do Gestor justificativa quanto à quantidade dos serviços a



31

serem contratados, nem demonstração dos resultados a serem alcançados em termos de

economicidade e de melhor aproveitamento dos recursos disponíveis, o que desatende ao disposto

no Decreto 2.271/1997, incisos II e III, ao qual o Contrato 45/2005 está sujeito.

A elaboração do projeto básico deveria ter sido baseada em estudos técnicos preliminares,

conforme preconiza a Lei 8.666/1993, em seu art. 6º, inciso IX, uma vez que o dispositivo deve ser

seguido independentemente da data de vigência da Instrução Normativa – SLTI/MP 4/2008. Os

estudos técnicos preliminares devem trazer elementos que evidenciem viabilidade técnica e

possibilite a avaliação do custo contratual, dentre outros.

Como exemplo de conteúdo esperado dos estudos técnicos preliminares, podemos citar o

previsto na etapa de análise da viabilidade da contratação, definido pelo art. 10 da Instrução

Normativa – SLTI/MP 4/2008.

Dessa forma, ressalta-se que a elaboração dos estudos técnicos preliminares está prevista

desde a vigência da Lei 8.666/1993, art. 6º, inciso IX, e não somente para contratos posteriores ao

advento da Instrução Normativa – SLTI/MP 4/2008.

Como consta desse relatório encaminhamento no sentido de determinar que o MP

estabeleça controles que garantam a produção dos artefatos previstos na instrução normativa, no

âmbito de seus processos de contratação de serviços de TI, será proposto apenas dar ciência à

SE/MP sobre a ausência de estudos técnicos preliminares ao projeto básico referente ao Contrato

45/2005, decorrente do descumprimento do inciso IX, art. 6º, da Lei 8.666/1993.


Dar ciência à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestão

sobre a ausência de estudos técnicos preliminares à elaboração do projeto básico referente ao

Contrato 45/2005, o que afronta o disposto na Lei 8.666/1993, art. 6º, IX.

2.21 – Falhas no cumprimento do processo de planejamento de acordo com a Instrução

Normativa – SLTI/MP 4/2008


Foram realizados testes substantivos no Contrato 58/2009 (anexo 3, v. 1, fls. 294-305),

celebrado com a empresa Calandra Soluções S.A. em 1/1/2009, por inexigibilidade de licitação,

amparada no caput do art. 25 da mesma lei, com o objetivo de avaliar o cumprimento do processo

de planejamento de acordo com a Instrução Normativa – SLTI/MP 4/2008, e constatadas as

seguintes impropriedades:

a) a análise de riscos não levou em consideração as informações obtidas durante a etapa

de elaboração da estratégia da contratação, pois o documento referente à estratégia da contratação

(Anexo 3, v.1, fl. 222-231) foi elaborado posteriormente (setembro de 2009) ao documento de

análise de riscos da contratação (julho de 2009) (Anexo 3, fls. 14-15);

b) falhas no conteúdo do documento sobre estratégia da contratação, tais como:

emprego do indicador ‗Horas‘ (Anexo 3, v.1, fl. 223) para mensurar ‗número de solicitações

realizadas/número de solicitações atendidas‘ para o serviço de suporte remoto; conteúdo da seção

‗Critério Técnicos de Julgamento da Proposta‘ (Anexo 3, v. 1, fl. 231) versando apenas sobre a

indicação de gestor do contrato;

c) o documento versando sobre análise de riscos não foi assinado pelo gestor do

contrato (Anexo 3, fl. 15), o qual teve sua indicação como gestor realizada no mesmo dia da data do

documento (Anexo 3, fl. 16).





órgão (efeito potencial);

b) falhas no termo de referência ou projeto básico (efeito potencial).


a) Instrução Normativa – SLTI/MP 4/2008, arts. 9º, 11, 12, 13, 14, 15 e 16.



32


a) Contrato 58/2009 (Anexo 3 – Volume 1 – fls. 294-305);

b) projeto básico do Contrato 58/2009 (Anexo 3 – Principal – fls. 17-21);

c) análise de risco da fase de planejamento da contratação 58/2009 (Anexo 3 – Principal

– fls. 14-15);

d) indicação do gestor na fase de planejamento da contratação 58/2009 (Anexo 3 –

Principal – fl. 16);

e) estratégica da contratação elaborada na fase de planejamento da contratação 58/2009

(Anexo 3 – Volume 1 – fls. 222-231);








SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que à época da apresentação de seus

comentários as recomendações da Instrução Normativa – SLTI/MP 4/2010 estavam sendo atendidas

pela equipe responsável pela contratação (Anexo 1, v. 6, fl. 1007v).


A partir dos testes substantivos realizados no processo referente ao Contrato 58/2009, a

equipe concluiu pela existência de falhas no cumprimento do processo de planejamento de acordo

com a Instrução Normativa – SLTI/MP 4/2008, quais sejam:

a) a análise de riscos não levou em consideração as informações obtidas durante a etapa

estratégia da contratação;

b) falhas na elaboração do documento sobre estratégia da contratação; e

c) falta de assinatura do documento versando sobre análise de riscos pelo Gestor do

contrato o qual foi teve sua indicação como gestor realizada no mesmo dia da data do documento.

O atendimento à Instrução Normativa – SLTI/MP 4/2010 citado pelo Gestor refere-se a

momento posterior à ação de controle, e não pôde ser comprovado pela equipe de auditoria no

presente trabalho, o que poderá ser realizado em futuro monitoramento das deliberações do acórdão

que vier a ser proferido.



que planeje as contratações de serviços de tecnologia da informação executando o processo previsto

na Instrução Normativa – SLTI/MP 4/2010, observando a sequência lógico-temporal entre as

tarefas e os ritos de aprovação dos artefatos produzidos ao longo do processo.

2.22 – Impropriedades na contratação


Foram realizados testes substantivos no Contrato 45/2005 – celebrado com o Serpro, por

dispensa de licitação, com fundamento no inciso XVI do art. 24 da Lei 8.666/1993 – e no Contrato

58/2009 – celebrado com a empresa Calandra Soluções S.A., por inexigibilidade de licitação,

amparada no caput do art. 25 da mesma lei, com o objetivo de avaliar a aderência da contratação

com a legislação –, nos quais foram constatadas as seguintes impropriedades:

I – Relativo ao Contrato 45/2005:

a) não divisibilidade do objeto, estando presentes a viabilidade técnica e econômica;

O contrato tem por objeto a prestação de serviços de desenvolvimento e manutenção de

sistema, produção, atendimento aos usuários, treinamento, correio eletrônico, assessoramento

técnico, rede multisserviços, acesso discado à rede de comunicação, Infovia Brasília, rede

corporativa, administração do ambiente de tecnologia da informação, suporte técnico e assistência



33

técnica para manutenção corretiva de hardware, os quais são tecnicamente divisíveis (Anexo 2, v.1,

fl. 235).

Consta do projeto básico que a unificação dos contratos anteriores celebrados entre o MP e

o Serpro teve como objetivo inicial racionalizar o trâmite administrativo e proporcionar ganhos de

controle, permitindo uma visão padronizada e consolidada dos serviços (Anexo 2, fl. 8).

No entanto, o que se observa é que os serviços contratados possuem naturezas distintas,

utilizam diferentes métricas (Anexo 2, v.1, fls. 274-279), em sua maioria não apresentam qualquer

relação entre si, e nem houve ganhos de escala com a contratação conjunta. Além disso, os serviços

contratados têm sua gestão realizada de forma separada, não refletindo a visão padronizada

informada pelo MP.

b) ausência de elementos básicos na fundamentação do objetivo da contratação;

Não consta do processo administrativo indicação precisa de com quais elementos

(objetivos, iniciativas e ações) das estratégias institucionais e de tecnologia da informação a

contratação está alinhada (Decreto-Lei 200/1967, art. 6º, inciso I, c/c itens 9.3.11 doAcórdão

1.558/2003, 9.1.1 do Acórdão 2.094/2004 e 9.1.9 do Acórdão 2.023/2005, todos do Plenário).

Por meio do item 2.b do Ofício 4/849/2010-Sefti (fl. 27), foi solicitado ao MP informações

acerca do alinhamento da contratação com o seu planejamento de longo prazo. Em atendimento ao

citado ofício, o Gestor declarou que a contratação encontra-se alinhada com o PDTI do Ministério e

com os objetivos de longo prazo constantes do Plano Plurianual (PPA) (Anexo 1, fl. 199).

No entanto, verifica-se que não foi formalizado plano estratégico institucional pelo MP até

a data de conclusão desse trabalho e que o PDTI do Ministério foi elaborado e publicado somente

em 2009, portanto, em momento posterior à contratação.

c) desconformidades nos pareceres jurídicos;

Os pareceres jurídicos que analisaram as minutas do Contrato 45/2005 (Anexo 2, v. 1, fl.

222) e do primeiro termo aditivo (Anexo 2, v. 2, fl. 461) não questionaram o fato de as respectivas

justificativas de preço apresentadas pela Administração (Anexo 2, v. 1, fls. 214-216, Anexo 2, v. 2,

fls. 458-459) basearem-se somente em preços globais praticados pela contratada (Anexo 2, v. 1, fls.

184-213, Anexo 1, v. 1-2, fls. 341-447), sem a realização de pesquisa dos preços no mercado,

conforme dispõe o art. 24, inciso VIII, da Lei 8.666/1993.

Além disso, o parecer jurídico que analisou a minuta do segundo termo aditivo (Anexo 2,

v. 3, fl. 764) não questionou a justificativa de preço apresentada pela Administração, a qual apenas

informou que os valores do contrato encontravam-se razoáveis em relação aos preços praticados no

mercado (Anexo 2, v. 3, fl. 756), sem que tivesse sido realizada qualquer estimativa de preços que

fundamentasse a argumentação de vantagem para a prorrogação, seja no mercado ou na

Administração Pública.

d) insuficiência de cláusulas contratuais;

Há falhas em requisitos essenciais de contratação (necessários e suficientes), sem os quais

se compromete a boa execução do objeto pretendido, uma vez que não estão presentes a vinculação

a processo de software e a processo de gerenciamento de projetos.

Como o MP não dispõe de processo de software (Anexo 1, fls. 16v e 18), o Contrato

45/2005 (Anexo 2, v.1, fls. 235-411) e o projeto básico (Anexo 2, fls. 6-99) não vinculam processo

de software do contratante nos serviços de desenvolvimento e manutenção de sistemas.

Como o MP não possui processo de gerenciamento de projetos (Anexo 1, fl. 16v e 18), o

Contrato 45/2005 não define como se dará o processo de gerenciamento de projetos por parte do

contratante para o rol de serviços a serem prestados, a exemplo da cláusula quinta – das definições e

dos níveis de serviços básicos, item 5.1 (administração e operação de correio eletrônico, que inclui

desenvolvimento de projetos para ampliação da capacidade dos servidores) (Anexo 2, v. 1, fl. 349).

II – Com relação ao Contrato 58/2009:

a) ausência de elementos básicos na fundamentação do objetivo da contratação;

Não há indicação precisa de quais elementos (objetivos, iniciativas e ações) das estratégias

institucionais e de tecnologia da informação a contratação está alinhada (Decreto-Lei 200/1967, art.



34

6º, inciso I, c/c itens 9.3.11 do Acórdão 1.558/2003, 9.1.1 do Acórdão 2.094/2004 e 9.1.9 do

Acórdão 2.023/2005, todos do Plenário).

b) falhas no método de mensuração dos serviços;

Não foi definido no projeto básico (Anexo 3, fls. 17-21) ou no contrato (Anexo 3, v. 1, fls.

294-305) um modelo de ordem de serviço (OS) para mensuração dos serviços prestados, o que

descumpre a Lei 8.666/1993, art. 6º, inciso IX, e está em desconformidade com a jurisprudência

desta Corte, constante dos itens 9.4.3 e 9.4.4 do Acórdão 786/2006-TCU-Plenário.

c) insuficiência de cláusulas contratuais;

Há insuficiência de cláusulas contratuais no tocante a: i) cláusulas de segurança da

informação; ii) vinculação a processo de software; iii) gestão de projetos; e iv) valor do contrato,

em desacordo com o disposto na Lei 8.666/1993, art. 6º, inciso IX, letra d.

i) O contrato não contém cláusula de segurança da informação para acordos com terceiros

(Anexo 3, v. 1, fls. 294-305);

ii) não há vinculação do contrato (Anexo 3, v. 1, fls. 294-305) ou do projeto básico (Anexo

3, fls. 17-21) com processo de software nos serviços de desenvolvimento e manutenção de sistemas;

iii) não há vinculação do contrato ou do projeto básico com metodologia de gestão de

projetos, para os serviços de assessoramento técnico especializado por projetos (Anexo 3, v. 1, fls.

294-305);

iv) a cláusula nona do contrato estabelece o valor total do ajuste (Anexo 3, v. 1, fl. 300),

não havendo cláusula que especifique o valor previsto para cada um dos serviços que compõem o

objeto, quais sejam: assessoramento técnico especializado, suporte remoto e manutenção evolutiva,

sendo a prestação do assessoramento técnico especializado em duas modalidades: serviços

contínuos e por projetos (Anexo 3, v. 1, fl. 294). O contrato detalha apenas o valor dos serviços a

serem prestados por projetos, sem dimensionar os valores para os serviços contínuos e de

manutenção evolutiva (Anexo 3, v. 1, fl. 297).

d) falhas nas cláusulas de penalidades.

As cláusulas de penalidades do Contrato 58/2009 são genéricas (Anexo 3, v. 1, fl. 302).

Não se observa procedimentos para calcular o valor da sanção, impossibilitando, assim, enquadrar a

sanção em cada possível caso de descumprimento contratual.

Além disso, o contrato não estabelece as sanções de advertência, de suspensão temporária

de participação em licitação e de declaração de inidoneidade para licitar ou para contratar com a

Administração Pública, conforme determina o art. 87, I, III e IV, da Lei 8.666/1993.





órgão (efeito potencial).


a) Instrução Normativa – SLTI/MP 4/2008, art. 9º; art. 17;

b) Norma Técnica – NBR – ISO/IEC 27002, 6.2.3 – Identificando segurança da

informação nos acordos com terceiros;

c) são também considerados critérios para este achado, de maneira geral, a Lei

8.666/1993 e a

IN – SLTI/MP 4/2008.


a) resposta do MP aos itens 7.3 e 7.4 do Questionário PerfilGovTI-2010 (Anexo 1 –


b) resposta do MP aos Questionamentos 4 e 5 do Anexo I do Ofício 1-849/2010-Sefti


c) projeto básico do Contrato 45/2005 (Anexo 2 – Principal – fls. 6-99);

d) proposta comercial do Serpro (Anexo 2 – Principal – fls. 102-180);



35

e) Contrato 45/2005 (Anexo 2 – Volume 1 – fls. 235-411);

f) projeto básico do Contrato 58/2009 (Anexo 3 – Principal – fls. 17-21);

g) Contrato 58/2009 (Anexo 3 – Volume 1 – fls. 294-305);

h) Nota Informativa – GAB/SPOA/MP 2/2010 (Anexo 1 – Principal – fls. 197-203);

i) anexos da Nota Informativa – GAB/SPOA/MP 2/2010 (Anexo 1 – Volumes 1 e 2 –

fls. 204-530);

j) pesquisa de preços do Contrato 45/2005 (Anexo 2 – Volume 1 – fls. 184-211);

k) pesquisa de preços do primeiro aditivo ao Contrato 45/2005 (Anexo 1 – Volumes 1 e

2 –

fls. 341-447);

l) Ofício – SUNMP/MPCTR 31405/2004 (Anexo 2 – Volume 1 – fls. 211v-213);

m) Despacho – CGLOG/SPOA/MP 105/2005 (Anexo 2 – Volume 1 – fls. 214-216);

n) Despacho s/n, de 30/10/2006 (Anexo 2 – Volume 2 – fls. 458-459);

o) Despacho – CGLOG/SPOA/SE/MP 97/2007(Anexo 2 – Volume 3 – fls. 756-757);

p) parecer jurídico da minuta do Contrato 45/2005 (Anexo 2 – Volume 1 – fls. 217-

225);

q) parecer jurídico da minuta do primeiro termo aditivo ao Contrato 45/2005 (Anexo 2

– Volume 2 – fls. 460-462);

r) parecer jurídico da minuta do segundo termo aditivo ao Contrato 45/2005 (Anexo 2 –

Volume 3 – fls. 759-766);

s) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –







SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o Contrato 45/2005, encerrado em

31/10/2010, foi substituído pelo Contrato 74/2010, o qual foi celebrado atendendo as etapas

previstas na Instrução Normativa – SLTI/MP 4/2008. Acrescentou que o Contrato 58/2009 foi

encerrado em fevereiro/2011 e será formalizado novo contrato, que da mesma forma atenderá as

recomendações do TCU (Anexo 1, v. 6, fl. 1007v).



equipe chegou às seguintes conclusões:

a) a divisibilidade do objeto da contratação é técnica e economicamente viável, tendo

em vista que os serviços possuem naturezas distintas, utilizam diferentes métricas, em sua maioria

não apresentam qualquer relação entre si, e que não houve ganhos de escala com a contratação

conjunta. Além disso, os serviços têm sua gestão contratual realizada de forma separada, o que não

reflete a visão padronizada informada pelo MP. A não divisibilidade do objeto afronta o art. 23, §1º,

da Lei 8.666/1993;

b) em face dos esclarecimentos apresentados, persiste a ausência de indicação precisa

de com quais elementos (objetivos, iniciativas e ações) das estratégias institucionais e de tecnologia

da informação a contratação está alinhada, uma vez que não foi formalizado plano estratégico

institucional pelo MP até a data de conclusão desse trabalho e que o PDTI do Ministério foi

elaborado e publicado somente em 2009, portanto, em momento posterior à contratação, o que

afronta o disposto no Decreto-Lei 200/1967, art. 6º, inciso I c/c itens 9.3.11 do Acórdão 1.558/2003,

9.1.1 do Acórdão 2.094/2004 e 9.1.9 do Acórdão 2.023/2005, todos do Plenário;

c) quanto às desconformidades na elaboração dos pareceres jurídicos, considera-se que

deveria ter sido apontada a necessidade de realização de pesquisa de preços no mercado no que

tange às minutas do Contrato 45/2005 e de seus dois primeiros termos aditivos;



36

d) insuficiência de cláusulas contratuais, pela ausência de vinculação a processo de

software para serviços de desenvolvimento e manutenção de sistemas e pela ausência de vinculação

a um processo de gerenciamento para os projetos executados no âmbito dos serviços do contrato,

decorrente do descumprimento da Lei 8.666/1993, art. 6º, inciso IX, letra d.


equipe chegou às seguintes conclusões:

a) não há indicação precisa de com quais elementos (objetivos, iniciativas e ações) das

estratégias institucionais e de Tecnologia da Informação a contratação está alinhada (Decreto-Lei

200/1967, art. 6º, inciso I c/c itens 9.3.11 do Acórdão 1.558/2003, 9.1.1 do Acórdão 2.094/2004 e

9.1.9 do Acórdão 2.023/2005, todos do Plenário);

b) há falhas no método de mensuração dos serviços, tendo em vista que não foi definido

no projeto básico ou no contrato um modelo de ordem de serviço (OS) para mensuração dos

serviços prestados, o que afronta o disposto na Lei 8.666/1993, art. 6º, inciso IX, e está em

desconformidade com a jurisprudência desta Corte, constante dos itens 9.4.3 e 9.4.4 do Acórdão

786/2006-TCU-Plenário;

c) há insuficiência de cláusulas contratuais no tocante à segurança da informação, à

gestão de projetos, a processo de software e ao valor do contrato, o que afronta o disposto na Lei

8.666/1993, art. 6º, inciso IX, letra d;

d) as cláusulas de penalidades do contrato são genéricas e não fazem previsão de

sanções de: advertência, suspensão temporária de participação em licitação, e declaração de

inidoneidade para licitar ou para contratar com a Administração Pública, conforme determina o art.

87, I, III e IV, da Lei 8.666/1993.



sobre as seguintes impropriedades identificadas no processo de contratação do Contrato 45/2005:

a) não divisibilidade do objeto, estando presentes a viabilidade técnica e econômica, o

que afronta o disposto no art. 23, §1º, da Lei 8.666/1993;

b) ausência de elementos básicos na fundamentação do objetivo da contratação, o que

afronta o disposto no Decreto-Lei 200/1967, art. 6º, I, c/c itens 9.3.11 do Acórdão 1.558/2003, 9.1.1

do Acórdão 2.094/2004 e 9.1.9 do Acórdão 2.023/2005, todos do Plenário;

c) desconformidades nos pareceres jurídicos, o que afronta o disposto no art. 38, VI, e

parágrafo único, c/c o art. 26, III, todos da Lei 8.666/1993, por não ter sido apontada a necessidade

de realização de pesquisa de preços no mercado no que tange às minutas do Contrato 45/2005 e de

seus dois primeiros termos aditivos;

d) insuficiência de cláusulas contratuais, pela ausência de vinculação a processo de


a um processo de gerenciamento para os projetos executados no contrato, o que afronta o disposto

na

Lei 8.666/1993, art. 6º, IX, letra d;


sobre as seguintes impropriedades identificadas no processo de contratação do Contrato 58/2009:

a) ausência de elementos básicos na fundamentação do objetivo da contratação, o que



b) falhas no método de mensuração dos serviços, tendo em vista que não foi definido no

projeto básico ou no contrato um modelo de ordem de serviço (OS) para mensuração dos serviços

prestados, o que afronta o disposto na Lei 8.666/1993, art. 6º, IX, e está em desconformidade com a

jurisprudência desta Corte, constante dos itens 9.4.3 e 9.4.4 do Acórdão 786/2006-TCU-Plenário;

c) insuficiência de cláusulas contratuais, no tocante à segurança da informação, à gestão

de projetos, a processo de software e ao valor do contrato, o que afronta o disposto na Lei

8.666/1993, art. 6º, IX, letra d;



37

d) não definição objetiva das penalidades e da fórmula de cálculo dos valores

correspondentes a serem aplicados a cada caso de descumprimento contratual, o que afronta o

disposto no art. 55, VII, da Lei 8.666/1993.

2.23 – Falhas nos controles que promovam a regular gestão contratual


Por meio do item 11 do Anexo I do Ofício 1-849/2010-Sefti (fl. 23), o qual faz menção à


gestão de contratos de TI, em particular, sobre a existência de algum tipo de controle na fiscalização

da execução de contratos de TI que permita identificar se todas as obrigações do contratado foram

cumpridas (p.ex., produtos foram entregues, obrigações previdenciárias e trabalhistas, manutenção

das condições de habilitação e pontuação, quando for o caso), apresentando evidências de que este

controle é utilizado e monitorado.

Como resposta, o Gestor encaminhou apenas casos concretos de aplicação de controles na

execução do Contrato 45/2005, celebrado entre o MP e o Serpro (Anexo 1, arquivos das pastas

‗\12.1‘ e ‗\12.2‘ no CD, fl. 18).

Dessa forma, por meio do item 3 do Ofício de Requisição 3-849/2010-Sefti (fl. 26), a

equipe de auditoria solicitou descrição dos controles existentes no órgão para promover a regular

gestão contratual, identificando as etapas realizadas, os modelos de documentos produzidos e as

áreas responsáveis por sua realização (fl. 26).

Em resposta, o Gestor reenviou as informações apresentadas no Ofício 1-849/2010-Sefti,

adicionando mais algumas evidências, que, conjuntamente, são as seguintes:

a) afirmação da Seges de que não possui metodologia definida para ateste de execução

dos serviços, aduzindo que o ateste é realizado, mas não está definido formalmente (Anexo 1, fl.

18);

b) controles aplicados pela SPI na gestão do contrato com o Serpro para a prestação de

serviços nos sistemas Sispac e SIGPlan (Anexo 1, arquivos da pasta ‗\12.1\12.1 – SPI‘ no CD, fl.

18);

c) descrição textual da atuação do DSTI e de algumas outras áreas de TI, de unidades

de negócio e do Serpro na gestão do contrato (Anexo 1, fl. 165);

d) uma sequência de e-mails versando sobre homologação de uma demanda específica

da SRH/MP, registrada em sistema de controle de demandas, cujo endereço é

http://demandas.serpro.gov.br (Anexo 1, fls. 166-169);

e) checklist elaborado pelo DSTI para ateste de uma fatura, bem como planilhas

contendo demonstrativos de faturamento apresentados pela contratada no ano de 2010 e relação de

demandas associadas no âmbito de serviços prestados especificamente ao DSTI (Anexo 1, fls. 170-

180);

f) duas atas de reunião realizadas entre a SOF e o Serpro acerca de uma demanda

específica (Anexo 1, fls. 181-187); e

g) descrição dos controles usados pela SPU na gestão do contrato com o Serpro (Anexo

1, fls. 188-191).

Ocorre que os documentos apresentados não evidenciam a existência de um controle

formalizado de gestão de contratos de TI, pois se referem apenas à aplicação de controles em

algumas demandas de um contrato específico de TI, o que caracteriza um controle ad hoc, ou seja,

que pode ou não ser implementado, a depender da pessoa que execute o processo.




a) ineficiência no acompanhamento da execução contratual, podendo resultar na(o)

qualidade/prazo insatisfatória(o) de serviços e produtos entregues (efeito potencial).


a) Instrução Normativa – SLTI/MP 4/2008, art. 20;



38

b) Norma Técnica – ITGI – Cobit 4.1, ME3.3 – Avaliar a conformidade com requisitos

externos;

c) Norma Técnica – ITGI – Cobit 4.1, DS2.4 – Monitorar o desempenho do fornecedor;

d) Norma Técnica – ITGI – Cobit 4.1, AI5.2 – Gerir contratos com fornecedores.



– fls. 15-17);



c) Anexo III da Nota Técnica – DSTI/SLTI/MP 174/2010 (Volume Principal, fls. 164-

191);









utilizados, o Gestor da Secretaria-executiva do MP admitiu falhas no tocante à gestão contratual,

afirmando que o novo contrato com o Serpro, Contrato 74/2010, assinado em 29/10/2010,

viabilizará um novo modelo de gestão contratual, cujos processos estão em revisão no Ministério

(Anexo 1, v.3, fl. 685).




SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o Contrato 74/2010 foi aditivado para

incluir em seu anexo h roteiro de métricas publicado pelo Sistema de Administração dos Recursos

de Informação e Informática (Sisp). Acrescentou que o DSTI criou equipe chamada ‗escritório de

métricas‘ para apoiar as áreas de TI do MP na contagem de pontos por função (Anexo 1, v. 6, fls.

1007v-1008).


Em que pese a apresentação de casos concretos de aplicação de controles no Contrato

45/2005, não houve padronização entre as áreas de TI do MP quanto aos controles aplicados na

gestão contratual do referido ajuste. Ademais, esses controles não são sistematizados formalmente,

de forma a serem aplicados não apenas nos contratos com o Serpro, mas em todas as contratações

de bens e serviços de TI. Registre-se que a implementação de controles ad hoc gera riscos de

descontinuidade na sua aplicação.

Portanto, não é possível inferir que todas as contratações seguem o disposto na seção de

gestão contratual positivada na Instrução Normativa – SLTI/MP 4/2008.

A criação de equipe para apoiar as áreas de TI do MP na contagem de pontos por função,

conforme a manifestação do Gestor sobre o relatório preliminar, ocorreu posteriormente ao período

da ação de controle e não pôde ser comprovada pela equipe no presente trabalho, o que poderá ser




que aperfeiçoe os controles que promovam a regular gestão contratual e que permitam identificar se

todas as obrigações do contratado foram cumpridas antes do ateste do serviço.

2.24 – Impropriedades na gestão contratual




39

Foram também realizados testes substantivos no Contrato 45/2005 e no Contrato 58/2009,

com o objetivo de avaliar a aderência da gestão contratual com a legislação, tendo sido constatadas

as seguintes impropriedades:

I – Relativas ao Contrato 45/2005:

a) inexistência de designação formal de preposto;

Não consta dos autos analisados a designação formal de preposto para representar a

contratada durante a execução contratual.

Dessa forma, por meio do item 3 do Ofício 4-849/2010-Sefti (fl. 27), foi solicitado ao

Ministério cópia da designação formal do preposto. Em resposta, o Gestor afirmou que o Serpro

designou o Senhor Iran Martins Porto Junior (Anexo 1, v. 1, fls. 207-212), o qual foi aceito pela

Administração e vinha sendo acionado em todas as ocasiões em que houve necessidade de

interlocução com a contratada (Anexo 1, fls. 199-200). Todavia, a designação apresentada pelo MP

ocorreu em 1/4/2008, quando o contrato já se encontrava na vigência de seu terceiro termo aditivo,

não apresentando designação de preposto para o período de 31/10/2005 a 31/3/2008.

b) falha na designação formal dos fiscais do contrato;

Na celebração inicial e nos três primeiros termos aditivos, os fiscais foram formalmente

designados, mas de maneira intempestiva, pois os próprios atos de designação referentes ao período

inicial e ao primeiro termo aditivo previam efeitos retroativos, e os referentes ao segundo e ao

terceiro termos aditivos foram posteriores ao início da vigência e sequer previram efeitos retroativos

(Anexo 2, v. 4, fls. 1022-1024; Anexo 2, v. 7, fls. 1592-1595), conforme a seguir:

i) o primeiro ato de designação do supervisor para a vigência inicial do contrato, qual

seja a Portaria MP 59/2006, de 21/3/2006 (Anexo 2, v. 2, fl. 422), previu efeitos retroativos a

1/11/2005;

ii) o primeiro ato de designação do supervisor e dos fiscais para a vigência do primeiro

termo aditivo, qual seja, a Portaria MP 182/2007, de 30/3/2007 (Anexo 2, v. 3, fls. 697-699), previu

efeitos retroativos a 1/11/2006;

iii) a Portaria MP 120/2008, de 3/4/2008 (Anexo 2, v. 4, fls. 1022-1024) foi o primeiro

ato de designação do supervisor e dos fiscais para a vigência do segundo termo aditivo; portanto,

intempestivo;

iv) também foi intempestivo o primeiro ato de designação do supervisor e dos fiscais

para a vigência do terceiro termo aditivo, qual seja, a Portaria MP 510/2008, de 19/12/2008,

conforme disposto na Portaria MP 44/2009, de 28/1/2009 (Anexo 2, v. 7, fls. 1592-1595).

c) ateste de serviços por servidor não designado como fiscal do contrato;

Verificou-se que serviços do primeiro termo aditivo foram atestados por servidores não

designados na portaria de designação dos fiscais do contrato (Anexo 2, v. 3, fls. 697-700), a

exemplo do ocorrido durante os meses de maio e junho de 2007 para os serviços prestados à

SPOA/SE/MP (Anexo 2, v. 3 , fls. 702-704) e do ocorrido no mês de julho do mesmo ano para os

serviços prestados à SRH/MP (Anexo 2, v. 4 , fl. 1004).

d) liquidação de despesas em conta contábil indevida;

Verificou-se que despesas referentes a todos os diversos serviços distintos de TI prestados

no âmbito do Contrato 45/2005 foram liquidadas no elemento/subelemento 39.57 – Serviços

técnicos profissionais de TI – (Anexo 2, v. 9-12, fls. 1876; 1916; 1950; 2047; 2095; 2158; 2194;

2290; 2328; 2378; 2402; 2433; 2472; 2512; 2652; 2696), mesmo após alteração no Plano de Contas,

o qual passou a abarcar subelementos específicos para a prestação de serviços de tecnologia da

informação. Assim, as despesas referentes a tais serviços deveriam ser sido separadas e alocadas nas

contas devidas, conforme orientações constantes da Seção 021100 — Outros Procedimentos a

Macrofunção 021130 — DESPESAS COM TI, do Manual Siafi Web.

e) falha na alteração do objeto.

O parecer da consultoria jurídica do MP anterior à celebração do terceiro termo aditivo

(Anexo 2, v. 4, fls. 1080-1081) apontou que o limite de 25% para alterações contratuais deve ser

calculado com base no custo unitário dos serviços a serem adicionados ou suprimidos, e não apenas



40

no valor total do contrato, conforme o disposto no item 9.4.21 do Acórdão 1.330/2008-TCU-

Plenário, recomendando que fossem juntados aos autos esclarecimentos quanto ao percentual de

acréscimo da maneira determinada por essa Corte de Contas.

Contudo, a Administração, aduzindo que a principal característica do contrato é o fato de

não se dispor dos elementos que proporcionem o exato dimensionamento do quantitativo que será

executado (Anexo 2, v. 6, fls. 1334-1337), prosseguiu com a contratação, sem demonstrar a

alteração no valor do contrato em termos dos custos unitários dos serviços adicionados ou

suprimidos.

II – Relativas ao Contrato 58/2009:

a) ausência de designação formal do preposto da contratada;

Não consta dos autos analisados a designação formal de preposto para representar a

contratada durante a execução contratual.

Dessa forma, por meio do item 8 do Ofício 4-849/2010-Sefti (fl. 27), foi solicitado ao

Ministério cópia da designação formal do preposto, em conformidade com o disposto no art. 68 da

Lei 8.666/1993.

Em resposta, o Gestor informou que o dispositivo legal supra não determina a necessidade

de designação formal de preposto e informou que a contratada indicou a Senhora Juliana Kamimura

para atuar na condição de preposta da empresa, aduzindo que o fato foi aceito pela Administração

(Anexo 1, fl. 200).

Preliminarmente, registre-se que, contrariamente ao afirmado pelo gestor, a designação de

representante da contratada deve ser formal. Essa formalidade é condição para que o administrador

público pratique, nos termos do art. 38 da Lei 8.666/1993, o ato administrativo de aceitar o preposto

(ou recusá-lo). No mesmo sentido, a formalidade da indicação do preposto pela contratada é

condição para que este (preposto) represente a contratada junto à Administração no âmbito do

contrato, por exemplo, assinando documentos e dando encaminhamento a demandas da contratante.

Haja vista os esclarecimentos do Gestor e o fato de ele não ter encaminhado qualquer

evidência da referida designação, depreende-se que não foi realizada uma designação formal do

preposto da contratada.

b) falhas na mensuração dos serviços;

Apesar da omissão no projeto básico e no contrato quanto à definição de um modelo de

ordem de serviço (OS) para mensuração dos serviços prestados, foi adotado um modelo na

execução contratual dos serviços de assessoramento técnico especializado, os quais são prestados

por projetos ou por serviços contínuos.

Ocorre que as OS utilizadas na execução contratual dos serviços prestados por projetos não

distinguem a estimativa de esforço da quantidade de esforço realizado, não permitindo a

comparação e o controle entre o estimado e o efetivamente executado, a exemplo das OS

MP043/2010 (Anexo 1, v.3, fl. 583) e MP044/2010 (Anexo 1, v.3, fl. 568), relativas à fase de

elaboração do projeto HOLOGRAMA na dimensão SLTI.

Verificam-se ainda outras falhas na utilização das OS, quais sejam:

1) algumas OS referentes ao projeto HOLOGRAMA têm a informação de esforço

preenchida com o valor do custo do homem-hora, em vez da quantidade de horas, a exemplo das

OS MP044/2010, MP043/2010 (Anexo 1, v.3, fls. 568; 583) e MP042/2010 (Anexo 1, v.3, arquivo

‗\OS Holograma\OS-MP42 HOLOGRAMA_SLTI_ELABORACAO_CONVENIOS.doc‘ no CD,

fl. 600) (em todas elas, o esforço total registrado foi de 140 homens/hora, quando o total de horas é

100);

2) nas OS referentes a serviços contínuos, que são remunerados por homem-hora

(Anexo 3, v. 1, fl. 295), as atividades previstas são genéricas e idênticas, bem como são idênticos os

produtos e quantitativos de homens-hora para diversos meses, a exemplo das OS MP07/2009,

MP16/2010, MP18/2010 e MP045/2010 (Anexo 1, v.3, fl. 600). Apesar da falha, cumpre salientar

que nos processos de pagamento analisados, as quantidades de homem-hora foram confrontadas



41

com os quantitativos constantes das OS, sendo pagos somente os quantitativos aceitos no ateste dos

serviços (Anexo 3, v. 1, fls. 352; 384).

c) liquidação de despesas em conta contábil indevida;

O MP vem empregando o elemento de despesa 3.3.3.9.0.39.05 – Serviços técnicos

profissionais – (Anexo 3, v. 1. fls. 362; 394), no âmbito do presente contrato, mesmo após alteração

no Plano de Contas, que passou a abarcar subelementos específicos para a prestação de serviços de

tecnologia da informação.

d) falha na prorrogação.

Não foi realizada pesquisa de preço no processo de prorrogação do contrato capaz de

comprovar vantajosidade para a Administração, mesmo que a consultoria jurídica do MP tenha

recomendado sua realização por meio de parecer anterior à celebração do primeiro termo aditivo

(Anexo 1, v. 3, fls. 641-642).




a) serviços em desacordo com o contratado (efeito potencial);

b) pagamentos sem que tenham sido produzidos os resultados esperados (efeito

potencial).


a) Lei 8.666/1993, art. 66;

b) são também considerados critérios para este achado, de maneira geral, a Lei

8.666/1993 e a Instrução Normativa – SLTI/MP 4/2008, art. 20.


a) Nota Informativa – GAB/SPOA/MP 2/2010 (Anexo 1 – Principal – fls. 197-203);

b) anexos da Nota Informativa – GAB/SPOA/MP 2/2010 (Anexo 1 – Volumes 1 e 2 –

fls. 204-530);

c) Contrato 58/2009 (Anexo 3 – Volume 1 – fls. 294-305);

d) Portaria – SPOA/MP 59/2006, de 21/3/2006 (Anexo 2 – Volume 2 – fl. 422);

e) Portaria – SPOA/MP 182/2007, de 30/3/2007 (Anexo 2 – Volume 3 – fls. 697-700);

f) Portaria – SPOA/MP 120/2008, de 3/4/2008 (Anexo 2 – Volume 4 – fls. 1022-1024);

g) Portaria – SPOA/MP 44/2009, de 28/1/2009 (Anexo 2 – Volume 7 – fls. 1592-1595);

h) Nota técnica – CGTI/SPOA s/n, de 10/7/2007, referente a ateste de serviços

realizados no mês de maio de 2007 do Anexo IV do Contrato 45/2005 – Anexo IV (Anexo 2 –

Volume 3 – fl. 702);

i) Nota técnica – CGTI/SPOA/MP 23/2007, referente a ateste de serviços realizados no

mês de junho de 2007 do Anexo IV do Contrato 45/2005 – Anexo IV (Anexo 2 – Volume 3 – fl.

703);

j) Memorando – CGCON/SPOA/MP 53/2007 (Anexo 2 – Volume 3 – fl. 704);

k) Memorando – COSUC/CGCON/SPOA/MP 44/2007 (Anexo 2 – Volume 4 – fl.

1004);

l) parecer jurídico da minuta do terceiro termo aditivo ao Contrato 45/2005 (Anexo 2 –

Volume 4 – fls. 1078-1085);

m) Nota técnica – COGEC/CGCON/SPOA/SE/MP 36/2008 (Anexo 2 – Volume 6 – fls.

1300-1341);

n) Ordem de serviço MP 044/2010, referente ao Contrato 58/2009 (Anexo 1 – Volume

3 – fls. 567-569);

o) Ordem de serviço MP 043/2010, referente ao Contrato 58/2009 (Anexo 1 – Volume

3 – fls. 582-584);

p) Ordens de serviço referentes ao Contrato 58/2009 (Anexo 1 – Volume 3 – fl. 600);

q) processos de pagamento dos Anexos do Contrato 45/2005, referentes aos meses de

abril, junho e julho de 2010 (Anexo 2, v. 9-12, fls. 1809-2698);



42

r) Processo de pagamento 03110.007905/2010-31 – Contrato 58/2009 (Anexo 3 –

Volume 1 – fls. 338-368);

s) Processo de pagamento 03110.007897/2010-23 – Contrato 58/2009 (Anexo 3 –

Volume 1 – fls. 369-400);

t) Parecer jurídico da minuta do primeiro termo aditivo ao Contrato 58/2009 (Anexo 1

– Volume 3 – fls. 640-645);

u) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –





comentários sobre as conclusões e propostas:

I – O Gestor da Secretaria-executiva do MP, por meio do Anexo I da Nota Técnica

Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício – SE/MP 152/2011

(Anexo 1, v. 6, fl. 1005), manifestou em relação ao Contrato 45/2005 que:

a) as designações dos prepostos têm sido realizadas imediatamente após a assinatura

dos contratos, porém não apresentou evidências (Anexo 1, v. 6, fl. 1009);

b) as portarias de designação dos fiscais têm sido publicadas imediatamente após a

assinatura dos contratos (Anexo 1, v. 6, fl. 1009), e encaminhou todas as portarias de designação

dos fiscais (Anexo 1, v. 6, fls. 1098-1176);

c) nos processos de pagamento examinados, todas as faturas foram atestadas por

servidor formalmente designado (Anexo 1, v. 6, fl. 1009);

d) a conta contábil 3.3.3.9.0.39.57 utilizada no Contrato 45/2005 indica o registro de

despesa com serviços prestados por profissionais de TI, exceto quando puder ser classificada em

conta específica. Acrescentou que incorporou a alteração no Plano de Contas e que tem orientado as

unidades do Ministério para que detalhem o tipo de serviço executado (Anexo 1, v. 6, fl. 1009v);

e) a justificativa para o questionamento da consultoria jurídica a respeito da ausência de

declaração das modificações propostas ultrapassarem o limite de 25% encontra-se nos itens 25 a 31

da Nota Técnica – COGEC/CGCON/SPOA/SE/MP 36/2008 (Anexo 1, v. 6, fls. 1090-1093).

Convém destacar que a justificativa apresentada pelo Gestor (Anexo 2, v. 6, fls. 1334-1337) nesse

item já foi analisada na letra e do item 2.24.1do relatório preliminar (fl. 99);

II – O Gestor da Secretaria-executiva do MP, por meio do Anexo I da Nota Técnica

Conjunta – DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofício – SE/MP 152/2011

(Anexo 1, v. 6, fl. 1005), manifestou em relação ao Contrato 58/2009 que:

a) as designações dos prepostos têm sido realizadas imediatamente após a assinatura

dos contratos (Anexo 1, v. 6, fl. 1009v), mas encaminhou apenas designações de fiscais do contrato

(Anexo 1, v. 6, fls. 1177-1180);

b) o fato de que na OS inexista a estimativa prévia para fins de comparação posterior

não significou que os produtos entregues estejam em desconformidade com as especificações do

contrato. Acrescentou que as constatações apontadas serão levadas em consideração por ocasião do

novo contrato sucessor daquele vencido (Anexo 1, v. 6, fl. 1010);

c) no entendimento da área de execução orçamentária e financeira a despesa seria

classificada como ‗serviços técnicos profissionais‘. Acrescentou que com as alterações ocorridas no

Plano de Contas, a SPOA/MP tem buscado no exercício de 2011 obter o detalhamento da despesa

junto às áreas demandantes (Anexo 1, v. 6, fl. 1010);

d) houve pesquisa de preço em três órgãos em que a Calandra presta o mesmo serviço, e

que a pesquisa foi realizada nas empresas em que a Calandra presta serviço, tendo em vista tratar-se

de software exclusivo (Anexo 1, v. 6, fl. 1010).


Em síntese, os comentários do gestor:



43

a) negam a inexistência de nomeação tempestiva dos prepostos dos dois contratos, a

despeito das evidências apresentadas no relatório preliminar, sem apresentar argumentos ou

evidências em contrário;

b) negam a inexistência de nomeação tempestiva dos fiscais dos dois contratos, a

despeito das evidências apresentadas no relatório preliminar, sem apresentar argumentos ou

evidências em contrário;

c) negam o ateste de serviços por servidor não designado como fiscal do contrato

45/2005, a despeito das evidências apresentadas no relatório preliminar, sem apresentar argumentos

ou evidências em contrário;

d) reconhecem a necessidade de aperfeiçoar a contabilização das despesas com

tecnologia da informação, conforme falhas apontadas nos dois contratos;

e) trazem argumento já analisado no item 2.24.1 do relatório preliminar com respeito à

alteração do objeto no terceiro termo aditivo do contrato 45/2005;

f) informam que se pretende corrigir as falhas nas OS por ocasião do novo contrato que

sucederá o contrato 58/2009;

g) informam que a pesquisa de preços para o Contrato 58/2009 foi feita, mas o que se

questionou foi a ausência de pesquisa para a prorrogação do referido contrato, fato não contestado

na manifestação do Gestor do MP.

A partir dos testes substantivos realizados no processo de execução do Contrato 45/2005 e

da análise dos comentários do Gestor ao relatório preliminar, a equipe chegou às seguintes

conclusões:

a) ausência de designação formal de preposto da contratada durante os períodos de

vigência da celebração inicial do contrato, de seus dois primeiros termos aditivos e de parte do

terceiro termo aditivo, o que afronta o disposto no art. 68 da Lei 8.666/1993;

b) falha na designação formal do fiscal do contrato, tendo em vista a intempestividade

dos atos de designação para os períodos de vigência da celebração inicial do contrato e dos três

primeiros termos aditivos, o que afronta o disposto no art. 58, III, c/c o art. 67 da Lei 8.666/1993;

c) ateste de serviços do primeiro termo aditivo por servidor não designado formalmente

como fiscal do contrato, o que afronta o disposto no art. 67 da Lei 8.666/1993;

d) Despesas referentes a todos os diversos serviços distintos de TI prestados no âmbito

do Contrato 45/2005 foram liquidadas no subelemento de despesa 3.3.3.9.0.39.57, , as quais

deveriam ser separadas e alocadas nas contas devidas, conforme alteração no Plano de Contas, que

passou a abarcar subelementos específicos para a prestação de serviços de tecnologia da

informação;

e) falha na alteração do objeto, em razão da não demonstração de que a alteração do

valor do contrato na celebração do terceiro termo aditivo respeitou o limite de 25% em termos dos

custos unitários dos serviços adicionados ou suprimidos, em face do disposto no item 9.4.21 do

Acórdão 1.330/2008-TCU-Plenário, o que afronta o disposto no art. 65, §1º, da Lei 8.666/1993.

A partir dos testes substantivos realizados no processo de execução do Contrato 58/2009 e

da análise dos comentários do Gestor ao relatório preliminar, a equipe chegou às seguintes

conclusões:

a) ausência de designação formal de preposto da contratada, o que afronta o disposto no

art. 68 da Lei 8.666/1993;

b) falhas na mensuração dos serviços, tendo em vista que o instrumento de ordem de

serviço adotado não contém a estimativa prévia do volume de serviços demandados, para fins de

comparação e controle, bem como o fato de que as atividades previstas em algumas OS referentes a

serviços contínuos prestados em diversos meses são genéricas e idênticas, bem como são idênticos

os produtos e quantitativos de homens-hora, contrariamente ao que foi atestado, o que afronta o art.

20, II, b, da IN – SLTI/MP 4/2008, e está em desconformidade com a jurisprudência do TCU

constante dos itens 9.4.3 e 9.4.4 do Acórdão 786/2006-TCU-Plenário;



44

c) liquidação de despesas em conta contábil indevida, uma vez que foi empregado o

subelemento de despesa 3.3.3.9.0.39.05 – Serviços técnicos profissionais – (Anexo 3, v.1, fls. 357;

362; 389; 394), no âmbito do presente contrato, mesmo após alteração no Plano de Contas, que

passou a abarcar subelementos específicos para a prestação de serviços de tecnologia da

informação;

d) Previamente à celebração inicial do contrato, foi realizada pesquisa de preços

balizada em contratos com as empresas IBOPE, ARACRUZ Celulose S.A. e com o BNDES,

empresas privadas e pública em que a Calandra prestou serviço semelhante (Anexo 3, fls. 23-78).

No entanto, na prorrogação do contrato não foi realizada pesquisa de preço capaz de comprovar

vantajosidade para a Administração, o que vai de encontro ao art. 6º, IX, alínea f; art. 7º, §2º, II; art.

26, parágrafo único, III, todos da Lei 8.666/1993.


Considerando tratar-se de desconformidades em contrato de órgão da APF com o Serpro,

objeto de apuração específica em outro processo deste TMS (TC 022.241/2010-8), propomos dar

ciência à Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestão, sobre as

seguintes impropriedades identificadas na execução do Contrato 45/2005:

a) não designação formal de um preposto aceito pela Administração para representar a

contratada durante os períodos de vigência da celebração inicial do contrato, de seus dois primeiros

termos aditivos e de parte do terceiro termo aditivo, o que afronta o disposto no art. 68 da Lei

8.666/1993;

b) falha na designação formal do fiscal do contrato, tendo em vista a intempestividade



c) ateste de serviços do primeiro termo aditivo por servidor não designado formalmente


d) adoção de elemento de despesa desconforme com o Plano de Contas Aplicado ao

Setor Público – Administração Pública Federal, o que afronta o disposto nas orientações constantes

da Seção 021100 – Outros Procedimentos da Macrofunção 021130 — DESPESAS COM TI, do

Manual Siafi Web;

e) ausência de declaração de que as modificações propostas para a celebração do

terceiro termo aditivo encontravam-se dentro do limite de 25%, em face do disposto no item 9.4.21

do Acórdão 1.330/2008-TCU-Plenário, o que afronta o disposto no art. 65, §1º, da Lei 8.666/1993.


sobre as seguintes impropriedades identificadas na execução do Contrato 58/2009:

a) não designação formal de um preposto aceito pela Administração para representar a

contratada na execução do contrato, o que afronta o disposto no art. 68 da Lei 8.666/1993;

b) falhas na mensuração dos serviços constantes das ordens de serviço, por ausência da

estimativa prévia do volume de serviços demandados e por especificação genérica e idêntica dos

serviços contínuos com produtos e quantitativos de homens-hora também idênticos para diversos

meses, o que afronta o disposto no art. 20, II, b, da IN – SLTI/MP 4/2008 e está em

desconformidade com a jurisprudência do TCU constante dos itens 9.4.3 e 9.4.4 do Acórdão


c) adoção de elemento de despesa desconforme com o Plano de Contas Aplicado ao



Manual Siafi Web;

d) não realização de pesquisa de preços na prorrogação do contrato, o que afronta o

disposto no art. 6º, IX, alínea f; art. 7º, §2º, II; art. 26, parágrafo único, III, todos da Lei 8.666/1993.

2.25 – Falhas no controle da execução do orçamento de TI




45

Por meio do item 3.3 do Anexo I do Ofício 1-849/2010-Sefti (fl. 20) e da pergunta 7.15 do

Questionário PerfilGovTI-2010, solicitaram-se informações acerca do controle periódico da

execução dos gastos da área de TI do ano corrente, em função da disponibilidade orçamentária.

Como resposta, o Gestor declarou que a execução da despesa de TI é acompanhada pela

área de TI e pela alta administração da instituição, e que a classificação das despesas de TI é de

responsabilidade da área contábil/orçamentária da instituição (Anexo 1, fl. 17).

No entanto, as evidências encaminhadas pelo Gestor dão conta de que somente a SOF e o

DSTI apresentam algum procedimento de controle da execução dos gastos de TI. Em relação à

SOF, verificou-se procedimento de controle da disponibilidade orçamentária para despesas de TI de

2010 (arquivo ‗\4.1\SOF – Item 4.1\ACOMP EXECUÇÃO TI SOF 2010.xls‘ no CD, fl. 18) e

relativo ao DSTI, procedimento de controle de gastos de TI no âmbito do Contrato 45/2005

(arquivo ‗\4.1\Demonstrativo de faturamento DSTI – nov09 a out10.xls‘ no CD, fl. 18), ainda que

não seja em função da disponibilidade orçamentária. Não foram apresentadas evidências de que as

demais áreas de TI do MP ou a área contábil/orçamentária do MP ou a alta administração do órgão

possuem algum controle no que tange à execução dos gastos constantes do orçamento de TI do

Ministério (arquivos da pasta ‗\4.1\‘ no CD, fl. 18).

Outrossim, os controles apresentados não tratam o risco de alocação de despesas de TI em

subelementos de despesa que não estejam em conformidade com as orientações constantes da Seção

021100 – Outros Procedimentos da Macrofunção 021130 — DESPESAS COM TI, do Manual Siafi

Web, à época definidos pela Portaria 467/2009 – STN, específicos para a prestação de serviços de

tecnologia da informação, uma vez que o controle do DSTI não se dá em função da disponibilidade

orçamentária e o controle da SOF não detalha as despesas em nível de subelementos.


a) Deficiências de controles.


a) Desconhecimento da disponibilidade orçamentária do setor de TI (efeito potencial).


a) Lei 4320/1964, art. 75, inciso III;

b) Norma Técnica – MP – Gespública – Instrumento para Avaliação da Gestão Pública

– Ciclo 2010 – critério de avaliação 7.3;

c) Norma Técnica – ITGI – Cobit 4.1, PO5.4 – Gerência de custos.



– fls. 15-17);

b) resposta do MP ao questionamento 3 do Anexo I ao Ofício 1-849/2010-Sefti


c) Ofício – SE/MP 152/2011, que encaminhou a Nota Técnica Conjunta –







SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a Coordenação-Geral de Planejamento,

Orçamento e Finanças da SPOA/MP é a responsável pela gestão do orçamento do Ministério,

inclusive, o de TI. Quanto à ausência de tratamento do risco de alocação de despesa de TI em

subelementos de despesa que não estejam em conformidade com aqueles definidos na Portaria

467/2009 – STN, o Gestor da Secretaria-executiva do MP manifestou que acata a recomendação do

TCU e que o Ministério estaria aprimorando seus controles para adequação ao disposto nas normas

legais (Anexo 1, v. 6, fl. 1008).




46

Constataram-se falhas no controle da execução do orçamento de TI do MP, porquanto:

a) a menos dos controles da SOF e do DSTI, não foram apresentadas evidências de

controle da disponibilidade orçamentária para despesas de TI do MP; e

b) os controles apresentados não tratam o risco de alocação de despesa de TI em

subelementos de despesa que não estejam em conformidade com as orientações constantes da Seção

021100 – Outros Procedimentos da Macrofunção 021130 — DESPESAS COM TI, do Manual Siafi

Web, à época definidos pela Portaria 467/2009 – STN.



que, em atenção às disposições contidas na Lei 4.320/1964, art. 75, inciso III, aperfeiçoe os

procedimentos de controle da execução orçamentária, a fim de se obter prontamente informações

acerca dos gastos e da disponibilidade de recursos de TI do Ministério como um todo.

3 – ACHADOS NÃO DECORRENTES DA INVESTIGAÇÃO DE QUESTÕES DE

AUDITORIA

3.1 – TI descentralizada e sem coordenação


Apesar de haver a participação das várias áreas de TI do MP nas reuniões do Comitê

Estratégico de TI (Anexo 1, v. 3, fl. 633), foram verificadas evidências que configuram que a

estrutura de TI do Ministério é descentralizada e sem coordenação efetiva:

a) as respostas do MP a diversos questionamentos do Anexo I do Ofício 1-849/2010-

Sefti foram organizadas por setor de TI, e abrangem somente setores específicos e não o Ministério

como um todo (Anexo 1, fl. 18);

b) o DSTI/SLTI/MP foi criado em 2009 (Anexo 1, v. 3, fl. 633v), com a missão de

coordenar ações de TI no âmbito do MP (art. 33 do atual regimento interno contido no Decreto

7.063/2010). No entanto, Relatório Executivo de Governança de TI do DSTI registra a necessidade

de definição de novo organograma para o MP, prevendo a inclusão de processo de relacionamento

entre as unidades de TI e a incorporação das unidades de TI da SOF, SRH, SPU, COINF e Seges, à

estrutura formal do DSTI (Anexo 1, v. 3, fl. 611v), tendo em vista que as áreas setoriais de TI

mantém seu foco principal nas demandas específicas de suas áreas de negócio, não estando

totalmente alinhadas ao DSTI (Anexo 1, v. 3, fl. 614).

Além disso, o diagnóstico do PDTI do Ministério apontou falhas relacionadas à

descentralização, associadas à falta de coordenação efetiva de TI no órgão (Anexo 1, fl. 918),

registrando, entre outras, as seguintes conclusões quanto a governança de TI, gerenciamento da

informação, modelagem de processos de negócio e capacitação de recursos humanos:

a) gestão de TI despadronizada entre as unidades do Ministério;

b) gerenciamento de processos e projetos de TI feitos de maneira ad hoc;

c) parcerias de soluções de TI formalizadas isoladamente;

d) equipes de TI atuando isoladamente dentro de cada secretaria, sem uma visão

corporativa do Ministério.




a) ausência de referencial para estabelecer diretrizes de ações das áreas de TI na

instituição (efeito real);

b) despadronização e descoordenação de ações nas áreas de TI (efeito real);

c) ineficiência no suporte ao alcance dos objetivos finalísticos do órgão (efeito

potencial).


a) Decreto 7.063/2010, art. 33;

b) Norma Técnica – ITGI – Cobit 4.1 – PO4.10 – Supervisão.




47

a) PDTI-MP, Anexo I da Nota Técnica – DSTI/SLTI/MP 173/2010 (Anexo 1 –


b) relatório executivo de governança de TI – estrutura organizacional DSTI (Anexo 1 –

Volume 3 – fls. 603-625);

c) ata da 16ª reunião do Comitê Estratégico de Tecnologia da Informação (Anexo 1, v.

3, fls. 633-635);








SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que com a conclusão do projeto de

governança de TI do DSTI/SLTI/MP e com a posse de novos analistas de TI, simultaneamente em

dezembro de 2010, o departamento iniciou a atuação de equipes especializadas com vistas ao

exercício de atribuições de coordenação e supervisão das atividades de TI do MP. Acrescentou que

as referidas equipes do DSTI e suas atribuições seriam oficializadas em novo regimento interno do

Ministério (Anexo 1, v. 6, fl. 1008).


O Ministério do Planejamento, Orçamento e Gestão tem ações de TI executadas de forma

descentralizada e sem possuir coordenação das mesmas, ante a ausência de diretrizes para os

diferentes setores de TI do Ministério. Ratificam esse entendimento as medidas em curso

apresentadas pelo Gestor.

A descentralização é uma opção válida e não contraria as boas práticas de governança de

TI, para atender aos objetivos de negócio. Dessa forma, a TI adequa-se às necessidades da

organização sem perder eficiência nas ações e sem prejuízos à governança de TI. No entanto, em

que pese o fato de que a estrutura de TI deva refletir as necessidades do negócio, não é razoável que

a estrutura praticada pela organização privilegie ações descoordenadas, sob risco de ineficiência de

ações dos seus setores de TI.

A ausência de coordenação de TI pode gerar impacto negativo sobre todas as atividades de

TI do Ministério, o que inclui prejuízos à eficiência e à economicidade, com a falta de padronização

de contratos, de modelos de desenvolvimento e de aquisição de soluções, bem como com a ausência

de coordenação das atividades de: capacitação, segurança da informação, tratamento de incidentes,

planejamento de contratações de TI, organização e orçamento de TI, gestão de projetos e de

serviços e monitoração de desempenho da gestão e do uso da TI.

Por oportuno, registra-se que há previsão normativa para que o DSTI/SLTI/MP execute

essa função de coordenação, o que não ocorria na prática.

A atuação de equipes especializadas, ainda não formalizadas, com vistas ao exercício de

atribuições de coordenação e supervisão das atividades de TI, conforme manifestado pelo Gestor,

iniciou-se posteriormente ao período do presente trabalho e, dessa forma, seus resultados não

puderam ser comprovados pela equipe de auditoria, o que poderá ser realizado em futuro

monitoramento das deliberações do acórdão que vier a ser proferido.



que, em atenção ao disposto no Decreto 7.063/2010, art. 33, adote medidas para que o

DSTI/SLTI/MP exerça efetivamente suas atribuições de coordenação e supervisão das atividades de

Tecnologia da Informação no âmbito de todo o Ministério.

4 – CONCLUSÃO

As seguintes constatações foram identificadas neste trabalho:

Questão 1 Inexistência do plano estratégico institucional (item 2.1)



48

Questão 2 Falhas no PDTI (item 2.2)

Questão 3 Falhas relativas ao comitê de TI (item 2.3)

Inexistência de avaliação do quadro de pessoal de TI (item 2.4)

Questão 4 Falhas no controle da execução do orçamento de TI (item 2.25)

Questão 5 Inexistência de processo de software (item 2.5)

Questão 6 Inexistência de processo de gerenciamento de projetos (item 2.6)

Questão 7 Inexistência do processo de gestão de mudanças (item 2.7)

Inexistência do processo de gestão de incidentes (item 2.8)

Inexistência do processo de gestão de configuração (item 2.9)

Questão 8 Inexistência de gestor de segurança da informação e comunicações (item 2.10)

Falhas na política de segurança da informação e comunicações (Posic) (item 2.11)

Inexistência de classificação da informação (item 2.12)

Inexistência de inventário dos ativos de informação (item 2.13)

Inexistência de processo de gestão de riscos de segurança da informação (GRSIC)

(item 2.14)

Falhas na equipe de tratamento e resposta a incidentes em redes computacionais

(ETRI) (item 2.15)

Questão 9 Inexistência de plano anual de capacitação (item 2.16)

Questão 10 Auditoria interna não apoia avaliação da TI (item 2.17)

Falhas na avaliação da gestão de TI (item 2.18)

Questão 11 Falhas nos controles que promovam o cumprimento da IN4 (item 2.19)

Inexistência dos estudos técnicos preliminares (item 2.20)

Falhas no cumprimento do processo de planejamento de acordo com a IN4 (item 2.21)

Impropriedades na contratação (item 2.22)

Questão 12 Falhas nos controles que promovam a regular gestão contratual (item 2.23)

Impropriedades na gestão contratual (item 2.24)

Foi identificado ainda o seguinte achado não vinculado a questão de auditoria:

TI descentralizada e sem coordenação (item 3.1)

Entre os benefícios estimados desta fiscalização pode-se mencionar, principalmente, a

indução à melhoria nos controles internos do órgão e da governança de TI, cujas deficiências foram

evidenciadas pelas falhas e impropriedades identificadas e relatadas neste processo.

A presente fiscalização constituiu uma das catorze auditorias de avaliação de controles

gerais, as quais foram sendo realizadas no âmbito de um dos Temas de Maior Significância

definidos pelo TCU (TMS 6 – gestão e uso de TI) no ano de 2010, e teve como objetivo avaliar os

controles gerais de TI na Secretaria-executiva do Ministério do Planejamento, Orçamento e Gestão.

Constatou-se que não há um processo de planejamento estratégico institucional que abranja

todo o MP, o que provoca falta de visão unificada e afeta, sobremaneira, o planejamento estratégico

de TI do Ministério, o qual não tem como alinhar as necessidades de informação à estratégia do

órgão. Como consequência, podem-se gerar prejuízos à economicidade e à eficiência, com gastos

desnecessários e a redução da efetividade dos recursos investidos.

Quanto à estrutura organizacional, merece destaque o fato de a estrutura de TI do MP ser

descentralizada e não possuir uma coordenação e supervisão efetiva, como referência para o

estabelecimento de diretrizes para os diferentes setores de TI do Ministério. Em que pese as boas

práticas de governança de TI afirmarem que a estrutura de TI deva refletir as necessidades do

negócio, não é razoável que a estrutura praticada pela organização privilegie ações descoordenadas,

sob risco de ineficiência de ações dos seus setores de TI. A ausência de coordenação de TI pode

gerar impacto negativo sobre todas as atividades de TI do Ministério, o que inclui prejuízos à

eficiência e à economicidade, decorrentes da falta de padronização de contratos, de modelos de

desenvolvimento e de processo de aquisição de soluções, bem como da ausência de coordenação

das atividades de: capacitação, segurança da informação, tratamento de incidentes, planejamento de

contratações de TI, organização e orçamento de TI, gestão de projetos e de serviços e monitoração



49

de desempenho da gestão e do uso da TI. Registre-se que há previsão normativa de setor dentro do

MP para executar essas atividades de coordenação e supervisão, o que de fato não ocorria.

Outro aspecto relevante da organização de TI do MP diz respeito ao aspecto quantitativo e

qualitativo de seus profissionais. Não obstante algumas das áreas de TI apontarem a necessidade de

servidores, constatou-se a inexistência de uma avaliação do quadro de pessoal de TI no âmbito de

todo o Ministério. Sem esse estudo, não há como o MP justificar a necessidade de pessoal com

perfil adequado para executar as atividades próprias de TI. Sobre o aspecto de formação de

profissionais de TI, os trabalhos identificaram ainda a ausência de um plano de capacitação dos

servidores do órgão para o ano de 2010 e, em decorrência disso, a inexistência de ações de

capacitação para a área de gestão de TI da instituição.

O MP não possui processo de software estabelecido e nem processo de gerenciamento de

projetos, o que causa deficiências ou vulnerabilidades nos processos de contratação, nos projetos

corporativos do órgão e nos serviços de TI fornecidos para os usuários finais. A ausência desses

processos, adaptados às necessidades do órgão e aplicados aos projetos de construção de software,

configura fator de risco para a definição, a gestão e o acompanhamento dos resultados obtidos.

Não foram definidos processos de gestão de mudanças, gestão de configuração e gestão de

incidentes, o que pode acarretar falha na entrega e gestão dos serviços de TI. Considerando os

diversos sistemas estruturantes geridos pelo Ministério, a ausência de gestão dos serviços de TI

eleva o risco de interrupção ou mau funcionamento desses sistemas. Situação como essa pode

configurar prejuízo à eficácia e eficiência na execução das ações do MP. No caso, registra-se que

ainda que a produção, manutenção e evolução dos serviços estratégicos de TI do MP sejam

integralmente prestadas pelo Serpro, o controle e a responsabilidade pelos processos de gestão e

governança de TI são dos gestores do MP e não da contratada. A contratada até pode executar boa

parte desses processos, mas ainda assim o contratante é quem deve manter seu controle e

supervisão, atividades indelegáveis à luz do Decreto-Lei 200/1967, art. 10, §7º

Quanto à segurança da informação, o MP vem adotando medidas com vistas à adequação à

legislação vigente, uma vez que aprovou e publicou política de segurança da informação e

comunicações (Posic), instituiu comitê de segurança da informação e comunicações (CSIC),

nomeou gestor de segurança da informação e comunicações, e instituiu equipe de tratamento e

resposta a incidentes em redes computacionais (ETRI). No entanto, há falhas na Posic; não há

processos de segurança da informação destinados a classificar e a inventariar os ativos de

informação; e não há procedimentos de gestão de riscos de segurança da informação. Tais lacunas

configuram exigências previstas em normas técnicas elaboradas pelo Gabinete de Segurança

Institucional da Presidência da República, que fornece diretrizes sobre segurança da informação a

órgãos e entidades da Administração Pública Federal. Em face da relevância do tema, a ausência de

elementos que permitam a boa gestão de segurança da informação configura situação incompatível

com uma razoável governança de TI.

Como parte do escopo do trabalho, foram fiscalizados dois contratos de TI do MP, sob os

aspectos da conformidade do processo de contratação e da gestão contratual. Dessa análise, foram

constatadas várias impropriedades, algumas consideradas estruturais (ausência de estudos técnicos

preliminares e falhas no cumprimento do processo de planejamento de acordo com a Instrução

Normativa – SLTI/MP 4/2008) e outras pontuais (falhas na execução dos contratos). Em virtude da

gravidade dos indícios e da potencialidade de efeitos negativos, as seguintes impropriedades

verificadas na análise do Contrato 45/2005 e não constantes deste relatório serão tratadas no TC

022.241/2010-8, auditoria específica do TMS 6 – gestão e uso de TI, que avalia contratos do Serpro

com a Administração Pública Federal, quais sejam: falhas nos critérios de mensuração dos serviços,

modelo de pagamento não vinculado a resultados, falhas na justificativa de preço, desconformidade

na aplicação dos critérios de medição, dificuldade de rastrear serviços executados, entre outros.

Foi evidenciada boa prática dos gestores do MP, que realizaram avaliação por iniciativa

própria, prática conhecida como controle de auto-avaliação.



50

Ao final dos trabalhos de campo, para fins de estabelecimento de correlação entre a

situação de governança de TI declarada pelo MP em resposta ao Questionário PerfilGovTI-2010, no

âmbito do TC 009.329/2010-2 (Anexo 1, fls. 3-8), e a situação evidenciada in loco no presente

trabalho, esta equipe de auditoria respondeu o citado questionário com base na avaliação de

controles gerais realizada. Foram constatadas divergências nas questões 1.3, 2.3, 6.3 e 7.11, em que

a opinião da equipe sobre a resposta é diferente da do auditado e reflete uma situação de governança

pior que a declarada pelo gestor no âmbito do TC 012.538/2009-1 que subsidiou o Acórdão

2.308/2010-TCU-Plenário. Cabe ressaltar que foi pressuposta boa-fé nos itens que refletem uma

situação de governança pior que a declarada pelo gestor. Também foram constatadas divergências

nas questões 2.2, 2.4 e 7.15, em que a opinião da equipe reflete uma situação de governança melhor

que a declarada pelo gestor no âmbito do citado acórdão.

É papel vital da governança de TI atuar de modo a atingir os resultados esperados da área

de TI por parte da alta administração do órgão. Isso se dá a partir da criação e do acompanhamento

de processos e controles que têm como objetivo, entre outros, diminuir os riscos das operações,

visando fazer com que a área de TI cumpra tempestiva e eficientemente sua missão. Quanto menos

instrumentos de controle houver para a gestão da TI, maiores são as chances do surgimento de

situações que afetem negativamente o funcionamento da TI e, por conseguinte, do próprio órgão ao

qual ela dá suporte.

Sob essa premissa e considerando os achados relatados na fiscalização, entende-se que há

forte correlação entre as falhas associadas à Governança de TI e as impropriedades encontradas nos

contratos analisados.

Quando se analisa algumas das impropriedades nos contratos, o que se identifica são os

efeitos de processos mal executados. Uma das causas dos problemas reside, por certo, na ausência

ou falha em controles dos procedimentos internos de contratação de serviços de TI. Essa relação de

causa e efeito pode ser evidenciada, no sentido de que é difícil estabelecer controles em processos

de contratação sem que:

a) haja justificativa para a contratação do objeto pretendido alinhada com os objetivos

estratégicos e de TI do órgão – impossível em virtude da inexistência de plano estratégico

institucional e plano diretor de tecnologia da informação à época dos processos de contratação

analisados;

b) haja padronização do rol e da qualidade esperada dos produtos de software a serem

entregues pelas contratadas e padronização das atividades de gestão a serem desempenhadas pelo

órgão, com vistas a especificar adequadamente as suas necessidades nas contratações de serviços de

manutenção e desenvolvimento de sistemas – objetivo impossível de ser alcançado sem a utilização

de processos de software e de gerenciamento de projetos;

c) haja definição de cláusulas relativas a aspectos de segurança da informação nas

contratações de serviços de TI – prejudicado em razão da não instituição de processos de

classificação da informação e de gestão de riscos de segurança da informação.

Portanto, a melhoria de processos de governança de TI no MP é essencial para que os

riscos de ocorrências específicas na operação da TI que possam ocasionar falhas (inclusive as

relacionadas aos processos de contratação e gestão contratual) sejam tratados antecipadamente. Isso

é possível por meio do apoio da alta administração, da criação e revisão periódica de controles

internos e do aumento quantitativo e qualitativo de recursos humanos.

Cabe destacar que após a reunião de encerramento realizada no MP, com a presença da

coordenação do TMS 6, da equipe de fiscalização, do Gestor da Secretaria-executiva do MP e

principais gestores das demais das áreas envolvidas, em que foram discutidos os resultados

preliminares e apresentados os critérios utilizados, o Ministério foi instado a manifestar-se, por

intermédio do Ofício 7-849/2010-Sefti (fl. 45), no prazo de cinco dias, sobre a avaliação das

respostas enviadas pelo órgão ao Questionário PerfilGovTI-2010 após análise das evidências, e

sobre a avaliação de seus controles gerais de TI. Assim, os gestores ficaram cientes das falhas e

impropriedades encontradas, sua manifestação sobre os achados foi incorporada nas seções



51

esclarecimentos dos responsáveis, e sua análise foi considerada nas conclusões dos achados do

relatório preliminar desta auditoria.

Posteriormente, as conclusões e propostas do relatório preliminar foram consideradas pela

SE/MP, a qual teceu comentários pontuais a cada um dos 26 achados, incorporados e analisados

neste relatório final. A esse respeito, cabe salientar que as conclusões e propostas contidas no

presente relatório, que foram referenciadas pela SE/MP nos itens da Nota Técnica Conjunta –

DSTI/SPOA/SLTI/SE/MP 70/2011, consistem, de fato, na opinião da Sefti, que poderá ou não ser

acolhida pelo Relator do processo, Ministro Aroldo Cedraz, sendo que, somente após o julgamento

do processo pelo colegiado do Tribunal, é que se poderá falar em deliberação do TCU.

Registrem-se as iniciativas que já vêm sendo adotadas pelo MP, posteriormente à ação de

controle, no sentido de melhorar alguns processos de governança de TI e de adequá-los à legislação

vigente, a exemplo daquelas comprovadas pela equipe quanto aos achados 2.10 e 2.15. Além

dessas, o Gestor citou medidas, iniciadas após a ação de controle ou não concluídas até o término da

fiscalização, referentes aos achados 2.2, 2.5, 2.6, 2.11, 2.18, 2.19, 2.23 e 3.1, cujos resultados não

puderam ser comprovados pela equipe no presente trabalho, o que poderá ser realizado em futuro

monitoramento das deliberações do acórdão que vier a ser proferido. Tais iniciativas reforçam a

necessidade de serem implantados ou revisados processos e controles visando a induzir o alcance,

pela área de TI, dos resultados esperados por parte da alta administração do órgão.

Registre-se, ainda, que o presente trabalho faz parte de um diagnóstico da gestão e do uso

de TI dos entes públicos e que os fatos aqui relatados serão considerados em conjunto com as

conclusões das demais fiscalizações de avaliação de controles gerais de TI, no âmbito do processo

referente à fiscalização consolidadora do TMS 6 – gestão e uso de TI (Fiscalis 471/2010).

Por fim, tendo em vista as competências definidas para a CGU, órgão responsável pela

auditoria interna do MP, e o fato de o escopo do presente trabalho ser a avaliação de controles

gerais de TI, sustenta-se a proposta de encaminhar cópia do Acórdão que vier a ser proferido, bem

como do Relatório e Voto que o fundamentarem à CGU.‖

3. Por tais motivos, a Sefti, em pareceres uniformes (fls. 149/153), sugeriu a esta Corte:

―I. recomendar à Secretaria-executiva do Ministério do Planejamento, Orçamento e

Gestão que:

I.1. em atenção ao Decreto-Lei 200/1967, art. 6º, I, e art. 7º, elabore um plano estratégico

institucional, considerando o previsto no critério de avaliação 2 do Gespública; (2.1)

I.2. em atenção às disposições contidas no Decreto-Lei 200/1967, art. 6º, I, e na Instrução

Normativa – SLTI/MP 4/2010, art. 4º, aperfeiçoe o processo de planejamento estratégico de TI,

observando as diretrizes constantes da Estratégia Geral de Tecnologia da Informação (EGTI) em

vigor, e à semelhança das orientações previstas no Cobit 4.1, processo PO1 – Planejamento

Estratégico de TI; (2.2)

I.3. aperfeiçoe a atuação do comitê de tecnologia da informação, à semelhança das

diretrizes do Cobit 4.1, PO4.2 – Comitê estratégico de TI e PO4.3 – Comitê diretor de TI, prevendo

as seguintes atribuições para o comitê de TI: a) acompanhar o estado dos projetos; b) resolver

conflitos por recursos; e c) monitorar os níveis de serviço e as melhorias implantadas; (2.3)

I.4. em atenção ao Decreto 5.707/2006, art. 1º, III, elabore estudo técnico de avaliação

qualitativa e quantitativa do quadro da área de TI no âmbito de todo o Ministério, com vistas a

fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos

devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, à

semelhança das práticas contidas no Cobit 4.1, PO4.12 – Pessoal de TI; (2.4)

I.5. quando do estabelecimento de seu processo de software, considere as Normas NBR

ISO/IEC 12.207 e 15.504; (2.5)



52

I.6. implante uma estrutura formal de gerência de projetos, à semelhança das orientações

contidas no Cobit 4.1, processo PO10.2 – Estruturas de Gerência de Projetos e no PMBOK, dentre

outras boas práticas de mercado; (2.6)

I.7. estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto

no item 12.5.1 da NBR ISO/IEC 27002, à semelhança das orientações contidas no Cobit 4.1,

processo AI6 – Gerenciar mudanças, e em outras boas práticas de mercado (tais como ITIL e NBR

ISO/IEC 20000); (2.7)

I.8. implemente processo de gestão de incidentes de serviços de tecnologia da

informação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 – Gerenciar a

central de serviços e incidentes, e de outras boas práticas de mercado (tais como NBR ISO/IEC

20000, ITIL e NBR 27002); (2.8)

I.9. implemente processo de gestão de configuração de serviços de tecnologia da

informação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 – Gerenciar

configuração e em outras boas práticas de mercado (como ITIL e NBR ISO/IEC 20000); (2.9)

I.10. quando elaborar o plano anual de capacitação, contemple ações de capacitação

voltadas para a gestão de tecnologia da informação, à semelhança das práticas contidas no Cobit

4.1, processos PO7.2 – Competências Pessoais e PO7.4 – Treinamento do Pessoal; (2.16)

I.11. promova ações para que a auditoria interna apoie a avaliação da TI, à semelhança das

orientações contidas no Cobit 4.1, ME2 – Monitorar e avaliar os controles internos; (2.17)

I.12. aperfeiçoe o processo de avaliação da gestão de TI, à semelhança das orientações

contidas no Cobit 4.1, itens ME1.4 – Avaliação de desempenho, ME1.5 – Relatórios gerenciais,

ME1.6 – Ações corretivas e ME2 – Monitorar e avaliar os controles internos; (2.18)

I.13. aperfeiçoe os controles destinados a promover o cumprimento do processo de

planejamento previsto na Instrução Normativa – SLTI/MP 4/2010; (2.19)

I.14. planeje as contratações de serviços de tecnologia da informação executando o

processo previsto na Instrução Normativa – SLTI/MP 4/2010, observando a sequência lógico-

temporal entre as tarefas e os ritos de aprovação dos artefatos produzidos ao longo do processo;

(2.21)

I.15. aperfeiçoe os controles que promovam a regular gestão contratual e que permitam

identificar se todas as obrigações do contratado foram cumpridas antes do ateste do serviço; (2.23)

I.16. em atenção às disposições contidas na Lei 4.320/1964, art. 75, inciso III, aperfeiçoe

os procedimentos de controle da execução orçamentária, a fim de se obter prontamente informações

acerca dos gastos e da disponibilidade de recursos de TI do Ministério como um todo; (2.25)

I.17. em atenção ao disposto no Decreto 7.063/2010, art. 33, adote medidas para que o

DSTI/SLTI/MP exerça efetivamente suas atribuições de coordenação e supervisão das atividades de

Tecnologia da Informação no âmbito de todo o Ministério; (3.1)

II. determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-executiva do

Ministério do Planejamento, Orçamento e Gestão que:

II.1. em atenção ao disposto na Lei 8.666/1993, art. 6º, IX, e às disposições contidas na

Instrução Normativa – SLTI/MP 4/2010, art. 13, II, defina um processo de software previamente às

futuras contratações de serviços de desenvolvimento ou manutenção de software, vinculando o

contrato com o processo de software, sem o qual o objeto não estará precisamente definido; (2.5)

II.2. em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, VII, adeque

a política de segurança da informação e comunicações às práticas contidas na Norma

Complementar 3/IN01/DSIC/GSIPR; (2.11)

II.3. em atenção ao disposto no Decreto 4.553/2002, art. 6º, §2º, II, e art. 67, estabeleça

critérios de classificação das informações a fim de que possam ter tratamento diferenciado

conforme seu grau de importância, criticidade e sensibilidade, observando as práticas contidas no

item 7.2 da NBR ISO/IEC 27.002; (2.12)

II.4. em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, VII, c/c

Norma Complementar 4/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de



53

ativos de informação, de maneira que todos os ativos de informação sejam inventariados e tenham

um proprietário responsável, observando as práticas contidas no item 7.1 da NBR ISO/IEC 27.002;

(2.13)

II.5. em atenção ao disposto na Instrução Normativa GSI/PR 1/2008, art. 5º, VII, c/c

Norma Complementar 4/IN01/DSIC/GSIPR, implemente processo de gestão de riscos de segurança

da informação; (2.14)

II.6. em atenção às disposições contidas no Decreto 5.707/2006, art. 5º, § 2º, c/c Portaria –

MP 208/2006, art. 2º, I, e art. 4º, elabore plano anual de capacitação; (2.16)

II.7. no prazo de trinta dias, a contar da ciência do acórdão que vier a ser proferido,

encaminhe plano de ação para a implementação das medidas contidas no Decisum, contendo:

i. para cada determinação, o prazo e o responsável (nome, cargo e CPF) pelo

desenvolvimento das ações;

ii. para cada recomendação, cuja implementação seja considerada conveniente e

oportuna, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações;

iii. para cada recomendação cuja implementação não seja considerada conveniente ou

oportuna, justificativa da decisão;

III. dar ciência à Secretaria-executiva do Ministério do Planejamento, Orçamento e

Gestão sobre:

III.1. a ausência de estudos técnicos preliminares à elaboração do projeto básico referente

ao Contrato 45/2005, o que afronta o disposto na Lei 8.666/1993, art. 6º, IX; (2.20);

III.2. as seguintes impropriedades identificadas no processo de contratação do Contrato

45/2005 (2.22):

i. não divisibilidade do objeto, estando presentes a viabilidade técnica e econômica, o

que afronta o disposto no art. 23, §1º, da Lei 8.666/1993;

ii. ausência de elementos básicos na fundamentação do objetivo da contratação, o que



iii. desconformidades nos pareceres jurídicos, o que afronta o disposto no art. 38, VI, e

parágrafo único, c/c o art. 26, III, todos da Lei 8.666/1993, por não ter sido apontada a necessidade

de realização de pesquisa de preços no mercado no que tange às minutas do Contrato 45/2005 e de

seus dois primeiros termos aditivos;

iv. insuficiência de cláusulas contratuais, pela ausência de vinculação a processo de


a um processo de gerenciamento para os projetos executados no contrato, o que afronta o disposto

na


III.3. as seguintes impropriedades identificadas no processo de contratação do Contrato

58/2009 (2.22):

i. ausência de elementos básicos na fundamentação do objetivo da contratação, o que



ii. falhas no método de mensuração dos serviços, tendo em vista que não foi definido no

projeto básico ou no contrato um modelo de ordem de serviço (OS) para mensuração dos serviços

prestados, o que afronta o disposto na Lei 8.666/1993, art. 6º, IX, e está em desconformidade com a

jurisprudência desta Corte, constante dos itens 9.4.3 e 9.4.4 do Acórdão 786/2006-TCU-Plenário;

iii. insuficiência de cláusulas contratuais, no tocante à segurança da informação, à gestão

de projetos, a processo de software e ao valor do contrato, o que afronta o disposto na


iv. não definição objetiva das penalidades e da fórmula de cálculo dos valores

correspondentes a serem aplicados a cada caso de descumprimento contratual, o que afronta o

disposto no art. 55, VII, da Lei 8.666/1993;



54

III.4. as seguintes impropriedades identificadas na execução do Contrato 45/2005 (2.24):

i. não designação formal de um preposto aceito pela Administração para representar a

contratada durante os períodos de vigência da celebração inicial do contrato, de seus dois primeiros

termos aditivos e de parte do terceiro termo aditivo, o que afronta o disposto no art. 68 da Lei

8.666/1993;

ii. falha na designação formal do fiscal do contrato, tendo em vista a intempestividade



iii. ateste de serviços do primeiro termo aditivo por servidor não designado formalmente


iv. adoção de elemento de despesa desconforme com o Plano de Contas Aplicado ao



Manual Siafi Web;

v. ausência de declaração de que as modificações propostas para a celebração do

terceiro termo aditivo encontravam-se dentro do limite de 25%, em face do disposto no item 9.4.21

do Acórdão 1.330/2008-TCU-Plenário, o que afronta o disposto no art. 65, §1º, da Lei 8.666/1993;

III.5. as seguintes impropriedades identificadas na execução do Contrato 58/2009 (2.24):

i. não designação formal de um preposto aceito pela Administração para representar a

contratada na execução do contrato, o que afronta o disposto no art. 68 da Lei 8.666/1993;

ii. falhas na mensuração dos serviços constantes das ordens de serviço, por ausência da

estimativa prévia do volume de serviços demandados e por especificação genérica e idêntica dos

serviços contínuos com produtos e quantitativos de homens-hora também idênticos para diversos

meses, o que afronta o disposto no art. 20, II, b, da IN – SLTI/MP 4/2008 e está em

desconformidade com a jurisprudência do TCU constante dos itens 9.4.3 e 9.4.4 do Acórdão


iii. adoção de elemento de despesa desconforme com o Plano de Contas Aplicado ao



Manual Siafi Web;

iv. não realização de pesquisa de preços na prorrogação do contrato, o que afronta o

disposto no art. 6º, IX, alínea f; art. 7º, §2º, II; art. 26, parágrafo único, III, todos da Lei 8.666/1993;

IV. Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria de Fiscalização de


que vier a ser proferido, avalie a conformidade:

IV.1. da atuação do gestor de segurança da informação e comunicações do MP com o

disposto na Instrução Normativa – GSI/PR 1/2008, art. 7º; (2.10)

IV.2. da atuação da equipe de tratamento e resposta a incidentes em redes computacionais

do MP com o disposto na Norma Complementar 05/IN01/DSIC/GSIPR; (2.15)

V. apor chancela de sigilo aos Volumes 4 e 5 do Anexo 1 dos presentes autos; (2.1)

VI. Encaminhar cópia do Acórdão que vier a ser proferido, bem como do Relatório e

Voto que o fundamentarem à Secretaria-executiva do Ministério do Planejamento, Orçamento e

Gestão;

VII. Encaminhar cópia do Acórdão que vier a ser proferido, bem como do Relatório e

Voto que o fundamentarem à Controladoria Geral da União;

VIII. arquivar o presente processo.‖

É o Relatório.



1

VOTO

Na sessão de 8/9/2010 (acórdão 2.308/2010 – Plenário), apresentei a este colegiado o

resultado consolidado do levantamento efetuado pela Secretaria de Fiscalização de Tecnologia da

Informação – Sefti, em 2010, para avaliar a governança de tecnologia da informação em 315 órgãos e

entidades das administrações direta e indireta dos três poderes da União.

2. Destaquei, naquela oportunidade, a importância da atuação desta Corte com relação à

matéria, eis que, a partir da identificação de pontos vulneráveis, será possível ao Tribunal, em primeiro

lugar, atuar como indutor do aperfeiçoamento da governança de TI no setor público e, em segundo lugar,

identificar e disseminar entre as unidades jurisdicionadas os bons exemplos e modelos identificados.

3. Apontei, ainda, as conclusões mais significativas do levantamento, que permitiu constatar,

em síntese, que:

a) mais de 60% das organizações não possuem planejamento estratégico de TI;

b) algumas organizações continuam a ter sua TI totalmente controlada por pessoas

estranhas a seus quadros de pessoal;

c) são graves os problemas de segurança da informação, já que informações críticas não

são protegidas adequadamente;

d) metade das organizações não possui método ou processo para desenvolvimento de

softwares e para aquisição de bens e serviços de informática, o que gera riscos de irregularidades em

contratações;

e) a atuação sistemática da alta administração com respeito à TI ainda é incipiente;

f) mais da metade das organizações está no estágio inicial de governança de TI, e apenas

5% encontram-se em estágio aprimorado.

4. Neste momento, trago à consideração deste Plenário mais um trabalho concernente à

matéria: a auditoria realizada pela Sefti no Ministério do Planejamento, Orçamento e Gestão – MPOG,

com o intuito de avaliar controles gerais de governança de TI naquela entidade.

5. As principais ocorrências detectadas no presente trabalho assemelham-se às verificadas no

levantamento consolidado e confirmam a precisão daquele estudo. Basicamente, constatou-se no MPOG:

a) inexistência de Plano Estratégico Institucional;

b) falhas no Plano Diretor de Tecnologia da Informação;

c) falhas relativas ao Comitê de TI;

d) inexistência de avaliação do quadro de pessoal de TI;

e) inexistência de processo de desenvolvimento de software;

f) inexistência de processo de gerenciamento de projetos;

g) inexistência de processo de gestão de mudanças;

h) inexistência de processo de gestão de incidentes;

i) inexistência de processo de gestão de configuração de serviços de TI;

j) inexistência de gestor de segurança de informação e comunicações;

k) falhas na política de segurança de informação e comunicações;

l) inexistência de classificação de informação;

m) inexistência de inventário de ativos de informação;

n) inexistência de processo de gestão de riscos de segurança da informação;

o) falhas na equipe de tratamento e resposta a incidentes em redes computacionais;

p) inexistência de plano anual de capacitação;

q) inexistência de apoio da auditoria interna à avaliação da TI;

r) falhas na avaliação da gestão de TI;

s) falhas nos controles destinados a promover o cumprimento da IN SLTI/MPOG

4/2010;

t) inexistência de estudos técnicos preliminares;

u) falhas no cumprimento do processo de planejamento definido na IN SLTI/MPOG

4/2010;



2

v) impropriedades em contratações;

w) falhas em controles destinados a promover regular gestão contratual;

x) impropriedades na gestão contratual;

y) falhas no controle da execução do orçamento de TI;

z) TI descentralizada e sem coordenação.

6. Em razão das ocorrências acima apontadas, a unidade técnica apresentou uma série de

determinações, recomendações e notificações que contribuirão para saneamento das ocorrências e para

aperfeiçoamento da governança de TI do MPOG.

7. Assim, por considerar papel deste Tribunal a constante indução de melhoria da gestão

estatal e por estar integralmente de acordo com as medidas aventadas pela Sefti – especialmente no

tocante ao crucial tema da segurança da informação, que reputo essencial para adequado funcionamento

das organizações públicas e para defesa da intimidade dos cidadãos que com elas interagem – acolho as

manifestações daquela Secretaria e voto pela adoção da minuta de acórdão que trago ao escrutínio deste

colegiado.

Sala das Sessões, em 28 de setembro de 2011.

AROLDO CEDRAZ

Relator



1

ACÓRDÃO Nº 2613/2011 – TCU – Plenário

1. Processo TC 024.956/2010-4

2. Grupo I – Classe V – Relatório de Auditoria.

3. Responsável: João Bernardo de Azevedo Bringel, secretário executivo.

4. Unidade: Ministério do Planejamento, Orçamento e Gestão – MPOG.

5. Relator: Ministro Aroldo Cedraz.

6. Representante do Ministério Público: não atuou.

7. Unidade Técnica: Secretaria de Fiscalização de Desestatização – Sefti.

8. Advogado constituído nos autos: não há.

9. Acórdão:

VISTOS, relatados e discutidos estes autos de relatório de auditoria realizada para avaliar

controles gerais de tecnologia da informação no Ministério do Planejamento, Orçamento e Gestão –

MPOG.

ACORDAM os Ministros do Tribunal de Contas da União, reunidos em sessão do

Plenário, ante as razões expostas pelo relator e com base nos arts. 42, §1º, e 43, I, da Lei 8.443/1992, e

nos arts. 245, §1º, e 250, inciso III, do Regimento Interno, em:

9.1. recomendar à Secretaria Executiva do Ministério do Planejamento, Orçamento e

Gestão que:

9.1.1 em atenção ao Decreto-Lei 200/1967, art. 6º, I, e art. 7º, elabore plano estratégico

institucional, considerando o critério de avaliação 2 do Gespública;

9.1.2. em atenção ao Decreto-Lei 200/1967, art. 6º, I, e à Instrução Normativa – SLTI/MP

4/2010, art. 4º, aperfeiçoe o processo de planejamento estratégico de TI, observando as diretrizes da

Estratégia Geral de Tecnologia da Informação em vigor e à semelhança das orientações do Cobit 4.1,

processo PO1 – Planejamento Estratégico de TI;

9.1.3. aperfeiçoe a atuação do comitê de tecnologia da informação, à semelhança das

diretrizes do Cobit 4.1, PO4.2 – Comitê estratégico de TI e PO4.3 – Comitê diretor de TI, prevendo as

seguintes atribuições para aquele comitê: a) acompanhar o estado dos projetos; b) resolver conflitos por

recursos; e c) monitorar os níveis de serviço e as melhorias implantadas;

9.1.4. em atenção ao Decreto 5.707/2006, art. 1º, III, elabore estudo técnico de avaliação

qualitativa e quantitativa do quadro da área de TI de todo o Ministério, com vistas a fundamentar futuros

pleitos de ampliação e preenchimento de vagas de servidores efetivos qualificados, objetivando melhor

atendimento de necessidades institucionais, à semelhança das práticas do Cobit 4.1, PO4.12 – Pessoal de

TI;

9.1.5. ao estabelecer seu processo de software, considere as Normas NBR ISO/IEC 12.207

e 15.504;

9.1.6. implante estrutura formal de gerência de projetos, à semelhança das orientações do

Cobit 4.1, processo PO10.2 – Estruturas de Gerência de Projetos e no PMBOK, entre outras boas práticas

de mercado;

9.1.7. estabeleça procedimentos formais de gestão de mudanças, de acordo com o item

12.5.1 da NBR ISO/IEC 27002, à semelhança das orientações do Cobit 4.1, processo AI6 – Gerenciar

mudanças, e de outras boas práticas de mercado, como ITIL e NBR ISO/IEC 20000;

9.1.8. implemente processo de gestão de incidentes de serviços de tecnologia da

informação, à semelhança do Cobit 4.1, processo DS8 – Gerenciar a central de serviços e incidentes, e de

outras boas práticas de mercado, como NBR ISO/IEC 20000, ITIL e NBR 27002;

9.1.9. implemente processo de gestão de configuração de serviços de tecnologia da

informação, à semelhança do Cobit 4.1, processo DS9 – Gerenciar configuração, e de outras boas práticas

de mercado, como ITIL e NBR ISO/IEC 20000;



2

9.1.10. ao elaborar o plano anual de capacitação, contemple ações de capacitação para

gestão de tecnologia da informação, à semelhança do Cobit 4.1, processos PO7.2 – Competências

Pessoais e PO7.4 – Treinamento do Pessoal;

9.1.11. promova ações para que a auditoria interna apoie a avaliação da TI, à semelhança

do Cobit 4.1, ME2 – Monitorar e avaliar os controles internos;

9.1.12. aperfeiçoe o processo de avaliação da gestão de TI, à semelhança do Cobit 4.1,

itens ME1.4 – Avaliação de desempenho, ME1.5 – Relatórios gerenciais, ME1.6 – Ações corretivas e

ME2 – Monitorar e avaliar os controles internos;

9.1.13. aperfeiçoe controles destinados a promover o cumprimento do processo de

planejamento previsto na Instrução Normativa SLTI/MPOG 4/2010;

9.1.14. planeje contratações de serviços de TI com uso do processo previsto na IN

SLTI/MPOG 4/2010, observando a sequência lógico-temporal entre tarefas e ritos de aprovação dos

artefatos produzidos ao longo do processo;

9.1.15. aperfeiçoe controles que promovam regular gestão contratual e que permitam

identificar se todas as obrigações do contratado foram cumpridas antes da atestação do serviço;

9.1.16. em atenção à Lei 4.320/1964, art. 75, III, aperfeiçoe procedimentos de controle da

execução orçamentária, a fim de obter prontamente informações acerca de gastos e disponibilidade de

recursos de TI do Ministério como um todo;

9.1.17. em atenção ao Decreto 7.063/2010, art. 33, adote medidas para que o

DSTI/SLTI/MPOG exerça efetivamente suas atribuições de coordenação e supervisão das atividades de

TI de todo Ministério;

9.2. determinar à Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão

que:

9.2.1. em atenção à Lei 8.666/1993, art. 6º, IX, e à IN SLTI/MPOG 4/2010, art. 13, II,

defina processo de software previamente a futuras contratações de serviços de desenvolvimento ou

manutenção de software, vinculando o contrato com o processo de software, sem o qual o objeto não

estará precisamente definido;

9.2.2. em atenção à IN GSI/PR 1/2008, art. 5º, VII, ajuste a política de segurança da

informação e comunicações à Norma Complementar 3/IN01/DSIC/GSIPR;

9.2.3. em atenção ao Decreto 4.553/2002, art. 6º, §2º, II, e art. 67, estabeleça critérios de

classificação de informações, a fim de que possam ter tratamento diferenciado conforme seu grau de

importância, criticidade e sensibilidade, observando o item 7.2 da NBR ISO/IEC 27.002;

9.2.4. em atenção à IN GSI/PR 1/2008, art. 5º, VII, c/c a Norma Complementar

4/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de

maneira a que todos os ativos de informação sejam inventariados e tenham proprietário responsável,

observando o item 7.1 da NBR ISO/IEC 27.002;

9.2.5. em atenção à IN GSI/PR 1/2008, art. 5º, VII, c/c a Norma Complementar

4/IN01/DSIC/ GSIPR, implemente processo de gestão de riscos de segurança da informação;

9.2.6. em atenção ao Decreto 5.707/2006, art. 5º, § 2º, c/c a Portaria MPOG 208/2006, art.

2º, I, e art. 4º, elabore plano anual de capacitação;

9.2.7. no prazo de 30 (trinta) dias a contar da ciência deste acórdão, encaminhe à Sefti

plano de ação para implementação das medidas contidas nesta decisão, com indicação:

9.2.7.1. para cada determinação, do prazo e do responsável (nome, cargo e CPF) pelo

desenvolvimento das ações;

9.2.7.2. para cada recomendação cuja implementação seja considerada conveniente e

oportuna, do prazo e do responsável (nome, cargo e CPF) pelo desenvolvimento das ações;

9.2.7.3. para cada recomendação cuja implementação não seja considerada conveniente ou

oportuna, da justificativa da decisão;

9.3. dar ciência à Secretaria Executiva do Ministério do Planejamento, Orçamento e

Gestão:



3

9.3.1. da ausência de estudos técnicos preliminares à elaboração do projeto básico referente

ao contrato 45/2005, o que afronta a Lei 8.666/1993, art. 6º, IX;

9.3.2. das seguintes impropriedades no processo de celebração do contrato 45/2005:

9.3.2.1. não divisão do objeto, apesar da viabilidade técnica e econômica, o que afronta o

art. 23, §1º, da Lei 8.666/1993;

9.3.2.2. ausência de elementos básicos na fundamentação do objetivo da contratação, o que

afronta o Decreto-Lei 200/1967, art. 6º, I, c/c os itens 9.3.11 do acórdão 1.558/2003, 9.1.1 do acórdão

2.094/2004 e 9.1.9 do acórdão 2.023/2005, todos do Plenário;

9.3.2.3. desconformidades nos pareceres jurídicos, o que afronta os arts. 38, VI, e

parágrafo único, e 26, III, da Lei 8.666/1993, por não ter sido apontada a necessidade de realização de

pesquisa de preços no mercado no que tange às minutas do contrato 45/2005 e de seus dois primeiros

termos aditivos;

9.3.2.4. insuficiência de cláusulas contratuais, pela ausência de vinculação a processo de

software para serviços de desenvolvimento e manutenção de sistemas e pela ausência de vinculação a um

processo de gerenciamento para os projetos executados no contrato, o que afronta a Lei 8.666/1993, art.

6º, IX, letra d;

9.3.3. das seguintes impropriedades no processo de celebração do contrato 58/2009:

9.3.3.1. ausência de elementos básicos na fundamentação do objetivo da contratação, o que

afronta o Decreto-Lei 200/1967, art. 6º, I, c/c os itens 9.3.11 do acórdão 1.558/2003, 9.1.1 do acórdão

2.094/2004 e 9.1.9 do acórdão 2.023/2005, todos do Plenário;

9.3.3.2. falhas no método de mensuração dos serviços, tendo em vista que não foi definido,

no projeto básico ou no contrato, um modelo de ordem de serviço para mensuração dos serviços

prestados, o que afronta a Lei 8.666/1993, art. 6º, IX, e está em desconformidade com a jurisprudência

desta Corte, nos termos dos itens 9.4.3 e 9.4.4 do acórdão 786/2006 – Plenário;

9.3.3.3. insuficiência de cláusulas contratuais no tocante à segurança da informação, à

gestão de projetos, a processo de software e ao valor do contrato, o que afronta a Lei 8.666/1993, art. 6º,

IX, letra d;

9.3.3.4. ausência de definição objetiva das penalidades e da fórmula de cálculo dos valores

correspondentes a serem aplicados a cada caso de descumprimento contratual, o que afronta o art. 55, VII,

da Lei 8.666/1993;

9.3.4. das seguintes impropriedades na execução do contrato 45/2005:

9.3.4.1. ausência de designação formal de preposto, aceito pela Administração, para

representar a contratada durante os períodos de vigência da celebração inicial do contrato, de seus dois

primeiros termos aditivos e de parte do terceiro termo aditivo, o que afronta o art. 68 da Lei 8.666/1993;

9.3.4.2. falha na designação formal do fiscal do contrato, tendo em vista a intempestividade

dos atos de designação para os períodos de vigência da celebração inicial do contrato e dos três primeiros

termos aditivos, o que afronta os arts. 58, III, e art. 67 da Lei 8.666/1993;

9.3.4.3. atestação de serviços do primeiro termo aditivo por servidor não designado

formalmente como fiscal do contrato, o que afronta o art. 67 da Lei 8.666/1993;

9.3.4.4. adoção de elemento de despesa desconforme com o Plano de Contas Aplicado ao

Setor Público – Administração Pública Federal, o que afronta a Seção 021100 – Outros Procedimentos da

Macrofunção 021130 — DESPESAS COM TI, do Manual Siafi Web;

9.3.4.5. ausência de declaração de que as modificações propostas para a celebração do

terceiro termo aditivo encontravam-se dentro do limite de 25%, em face do item 9.4.21 do acórdão

1.330/2008 – Plenário, o que afronta o art. 65, §1º, da Lei 8.666/1993;

9.3.5. das seguintes impropriedades na execução do contrato 58/2009:

9.3.5.1. ausência de designação formal de preposto, aceito pela Administração, para

representar a contratada na execução do contrato, o que afronta o art. 68 da Lei 8.666/1993;

9.3.5.2. falhas na mensuração dos serviços constantes das ordens de serviço, por ausência

da estimativa prévia do volume de serviços demandados e por especificação genérica e idêntica dos

serviços contínuos com produtos e quantitativos de homens-hora também idênticos para diversos meses, o



4

que afronta o art. 20, II, b, da IN SLTI/MPOP 4/2008 e está em desconformidade com a jurisprudência do

TCU, nos termos dos itens 9.4.3 e 9.4.4 do acórdão 786/2006 – Plenário;

9.3.5.3. adoção de elemento de despesa desconforme com o Plano de Contas Aplicado ao

Setor Público – Administração Pública Federal, o que afronta a Seção 021100 – Outros Procedimentos da

Macrofunção 021130 — DESPESAS COM TI, do Manual Siafi Web;

9.3.5.4. ausência de realização de pesquisa de preços na prorrogação do contrato, o que

afronta o art. 6º, IX, f, o art. 7º, §2º, II, e o art. 26, parágrafo único, III, da Lei 8.666/1993;

9.4. determinar à Secretaria de Fiscalização de Tecnologia da Informação que, por ocasião

do monitoramento das deliberações contidas neste acórdão, avalie a conformidade:

9.4.1. da atuação do gestor de segurança da informação e comunicações do MPOG com a

IN GSI/PR 1/2008, art. 7º;

9.4.2. da atuação da equipe de tratamento e resposta a incidentes em redes computacionais

do MPOG com a Norma Complementar 05/IN01/DSIC/GSIPR;

9.5. apor chancela de sigilo aos volumes 4 e 5 do anexo 1 destes autos;

9.6. encaminhar cópia deste acórdão e do relatório e do voto que o fundamentaram à

Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão e à Controladoria Geral da

União;

9.7. arquivar o presente processo.

10. Ata n° 40/2011 – Plenário.

11. Data da Sessão: 28/9/2011 – Ordinária.

12. Código eletrônico para localização na página do TCU na Internet: AC-2613-40/11-P.

13. Especificação do quorum:

13.1. Ministros presentes: Augusto Nardes (na Presidência), Valmir Campelo, Walton Alencar Rodrigues,

Aroldo Cedraz (Relator), Raimundo Carreiro, José Jorge e José Múcio Monteiro.

13.2. Ministro-Substituto convocado: Augusto Sherman Cavalcanti.

13.3. Ministro-Substituto presente: André Luís de Carvalho.

(Assinado Eletronicamente)

AUGUSTO NARDES (Assinado Eletronicamente)

AROLDO CEDRAZ

Vice-Presidente, no exercício da Presidência Relator

Fui presente:

(Assinado Eletronicamente)

LUCAS ROCHA FURTADO

Procurador-Geral


Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti

Technology

Transcript of Acórdão tcu 2613 2011 - mpog - avaliação de controles de ti