Acórdão tcu 381 2011 - trt-rs - avaliação de controles de ti

1

Pesquisa número: 1 Expressão de Pesquisa: Pesquisa em formulário - documento número: 381, ano do

documento: 2011, colegiado: Plenário Bases pesquisadas: Acórdãos Documento da base: Acórdão Documentos recuperados: 1 Documento mostrado: 1 Status na Coletânea: Não Selecionado

Visualizar este documento no formato:

Formato Padrão para Acórdãos

Status do Documento na Coletânea:

[Não Selecionado]

Identificação

Acórdão 381/2011 - Plenário

Número Interno do Documento

AC-0381-05/11-P

Grupo/Classe/Colegiado

GRUPO I / CLASSE V / Plenário

Processo

017.903/2010-6

Natureza

Relatório de Auditoria

Entidade

Entidade: Tribunal Regional do Trabalho da 4ª Região/RS - TRT-4

Interessados

Responsável: Carlos Alberto Robinson (CPF 063.912.730-49)

Sumário

RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE

TECNOLOGIA DA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES,

PRECARIEDADES E OPORTUNIDADES DE MELHORIA. DETERMINAÇÕES,

RECOMENDAÇÕES E ALERTAS

Assunto

Relatório de Auditoria

2

Ministro Relator

AROLDO CEDRAZ

Representante do Ministério Público

não atuou

Unidade Técnica

Secretaria de Controle Externo no Estado do Rio Grande do Sul -

Secex/RS

Advogado Constituído nos Autos

não há

Relatório do Ministro Relator

A Secretaria de Controle Externo no Estado do Rio Grande do Sul -

Secex/RS realizou auditoria no Tribunal Regional do Trabalho da 4ª Região/RS -

TRT-4, no período de 26/07 a 24/09/2010, com o objetivo de avaliar controles

gerais de tecnologia da informação - TI e verificar se estão de acordo com a

legislação pertinente e com as boas práticas de governança de TI.

2. As ocorrências detectadas foram apresentadas pela equipe de

auditoria nos seguintes termos (fls. 58/83):

"3 - ACHADOS DE AUDITORIA

3.1 - Falhas no Plano Estratégico Institucional

3.1.1 - Situação encontrada:

Na sua resposta ao pedido de informações iniciais (Ofício nº

1183/2010-TCU/Secex/RS), no tocante ao planejamento estratégico institucional,

o órgão enviou cópia do Plano Estratégico Institucional 2010-2015, recentemente

aprovado e publicado (por meio de resolução), informando que ele está em vias

de divulgação pela internet, devendo ser oportunamente avaliado (Ofício TRT GP

nº 92/2010). A metodologia adotada pelo TRT 4ª Região, por indicação do CNJ,

foi o Balanced Scorecard (BSC). Verifica-se que o referido plano não apresenta

propriamente uma análise dos ambientes interno e externo.

3.1.2 - Objetos nos quais o achado foi constatado:

Documentos e informações disponibilizados eletronicamente em

atenção ao Ofício nº 1183/2010-TCU/Secex/RS - Ofício TRT nº GP 92/2010

Plano s/nº/2010 - Plano Estratégico Institucional 2010-2015

3.1.3 - Causas da ocorrência do achado:

Imperícia - A metodologia adotada não contempla a análise dos

ambientes interno e externo.

3

Deficiências de controles

3.1.4 - Efeitos/Conseqüências do achado:

Risco de a instituição não conseguir atuar de forma eficiente

no atingimento dos seus objetivos finalísticos. (efeito potencial)

3.1.5 - Critérios:

Constituição Federal, art. 37, caput

Decreto Lei 200/1967, art. 6º, inciso I; art. 7º

Norma Técnica - MPOG - Gespública - Instrumento para Avaliação da

Gestão Pública - Ciclo 2010 - critério de avaliação 2

Resolução 70/2009, CNJ, art. 2º

3.1.6 - Evidências:

Ofício TRT GP nº 92/2010 com documentos e informações

disponibilizados eletronicamente em atenção ao Ofício nº 1183/2010-

TCU/Secex/RS (resposta à questão 1.2.1 do Anexo I) (Volume Principal - folhas

26/41)

3.1.7 - Conclusão da equipe:

Cabe recomendação ao órgão com vistas à oportuna correção

da inconformidade encontrada.

3.1.8 - Proposta de encaminhamento:

Recomendar ao TRT 4ª Região, com fulcro na Lei nº

8.443/1992, art. 43, inciso I, c/c o Regimento Interno do TCU, art. 250,

inciso III, que, em atenção ao disposto na Constituição Federal, art. 37,

caput (princípio da eficiência) e na Resolução nº 70/2009, do CNJ, art.

2º, considere o disposto na Norma Técnica - MPOG - Gespública -

Instrumento para Avaliação da Gestão Pública - Ciclo 2010 - critério de

avaliação 2, ao revisar o plano estratégico institucional do órgão, com

vistas a incluir nele também a análise dos ambientes interno e externo,

conforme tratado no Achado nº 1 - Falhas no Plano Estratégico

Institucional, do Relatório de Fiscalização.

3.2 - Falhas no processo de Planejamento Estratégico Institucional


O exame do Plano Estratégico Institucional 2010-2015 do TRT

4ª Região evidencia não haver divulgação dos respectivos planos de ação

entre os servidores do órgão (os planos de ação ainda não foram

definidos). Ainda não há desdobramento em planos de ação para as

diversas áreas do órgão. Ainda não ocorre a avaliação do próprio plano

estratégico institucional (não há uma previsão sobre a avaliação do

plano).


4



Plano s/nº/2010 - Plano Estratégico Institucional 2010-2015


Imperícia - É o primeiro plano elaborado pelo órgão.



Risco de a instituição não conseguir atuar de forma eficiente

no atingimento de seus objetivos finalísticos. (efeito potencial)

3.2.5 - Critérios:



Norma Técnica - MPOG - Gespública - Instrumento para Avaliação da

Gestão Pública - Ciclo 2010 - critério de avaliação 2





TCU/Secex/RS (resposta aos itens da questão 1.2 do Anexo I) (Volume Principal -

folhas 26/41)


Cabe determinação ao órgão com vistas ao aperfeiçoamento

de seu processo de planejamento estratégico institucional. A medida

guarda conformidade às orientações contidas no Anexo da Portaria-

Segecex nº 09/2010 (interpretação de matéria para aplicação no caso

concreto - exceção ao requisito 2).


Determinar ao TRT 4ª Região, com fulcro na Lei nº 8.443/1992, art.

43, inciso I, que, em atenção ao previsto na Resolução nº 70/2009, do CNJ, art.

2º, aperfeiçoe seu processo de planejamento estratégico institucional,

considerando o disposto na Norma Técnica - MPOG - Gespública -


avaliação 2, ante as situações pendentes de implementação com relação

ao Plano Estratégico Institucional 2010-2015, conforme tratado no

Achado nº 2 - Falhas do processo de planejamento estratégico

institucional, do Relatório de Fiscalização: (a) definição sobre os

pertinentes planos de ação e sua divulgação entre os servidores do

órgão; (b) desdobramento em planos de ação para as diversas áreas do

órgão; e (c) previsão para avaliação do próprio plano estratégico

5

institucional.

3.3 - Inexistência do PDTI



1183/2010-TCU/Secex/RS), no tocante ao planejamento estratégico de TI, o

órgão enviou cópia da proposta de planejamento estratégico de TI para o período

2010-2015, que ainda está em fase de aprovação (Ofício TRT GP nº

92/2010). A Resolução 90/2009, do CNJ, em seu art. 11, estabeleceu

que fossem elaborados o planejamento estratégico de TIC e, com base

nele, o plano diretor de TIC. A Resolução 99/2009, do CNJ, em seu art.

2º, estabeleceu que os planejamentos estratégicos de TIC fossem

elaborados e aprovados até 31/03/2009.





Imperícia - É o primeiro plano sendo elaborado pelo órgão.

Inexistência de controles


Ações de TI não alinhadas ao negócio. (efeito potencial)

3.3.5 - Critérios:



Instrução Normativa 4/2008, SLTI/MPOG, art. 2º, inciso X; art. 3º;

art. 4º, inciso III

Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de

TI

Resolução 90/2009, CNJ, art. 11





TCU/Secex/RS (resposta aos itens da questão 2 do Anexo I) (Volume Principal -

folhas 26/41)


Cabe determinação ao órgão com vistas à elaboração e

aprovação de seu Planejamento Estratégico de TIC - PETI e, com base

nesse, seu Plano Diretor de Tecnologia da Informação e Comunicação -

PDTI. A medida guarda conformidade às orientações contidas no Anexo

6

da Portaria-Segecex nº 09/2010 (interpretação de matéria para aplicação no

caso concreto - exceção ao requisito 2).



43, inciso I, que, em atenção ao previsto nas Resoluções nos 90/2009, arts. 10 e

11, e 99/2009, art. 2º, ambas do CNJ, elabore e aprove um Planejamento

Estratégico de TIC - PETI e um Plano Diretor de Tecnologia da

Informação e Comunicação - PDTI, considerando as práticas contidas na

Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI,

conforme tratado no Achado nº 3 - Inexistência do PDTI, do Relatório de

Fiscalização.

3.4 - Falhas relativas ao comitê de TI.



1183/2010-TCU/Secex/RS), no tocante à organização de TI, sobre a atuação do

Comitê de TI, o órgão informou que a Comissão de Informática do TRT 4ª Região

consta de seu Regimento Interno, compondo-se de três desembargadores e dois

juízes de primeiro grau, juntando a documentação pertinente à criação da

comissão e definição de sua composição (Ofício TRT GP nº 92/2010). Assim, por

não possuir representantes de todas as áreas relevantes, ela não atende à

recomendação da Resolução nº 90/2009, do CNJ, art. 12, parágrafo único. De

forma paliativa, as atas das reuniões consignam a presença de servidores do

órgão.





Negligência - O CNJ, na Resolução nº 90/2009, recomendou uma

composição mista para o comitê de TI.



Não envolvimento das diversas áreas da instituição no

alinhamento dos investimentos de Tecnologia da Informação com os

objetivos do órgão. (efeito potencial)

Sobreposição de ações de TI por parte das áreas de negócio

que integrariam o comitê de TI. (efeito potencial)

Priorização inadequada das ações de TI devido à ausência da

participação das áreas de negócio da instituição. (efeito potencial)

3.4.5 - Critérios:

7

ACÓRDÃO 2023/2005, item 9.3.1, Tribunal de Contas da União,

Plenário


Instrução Normativa 4/2008, SLTI/MPOG, art. 4º, inciso IV

Norma Técnica - ITGI - Cobit 4.1, PO4.3 - Comitê diretor de TI

Norma Técnica - ITGI - Cobit 4.1, PO4.2 - Comitê estratégico de TI

Resolução 90/2009, CNJ, art. 10; art. 12




TCU/Secex/RS (resposta aos três primeiros da questão 3 do Anexo I) (Volume

Principal - folhas 26/41)


Cabe recomendação ao órgão, alinhada ao disposto na Resolução nº

90/2009, do CNJ, arts. 10 e 12 (em especial, o seu parágrafo único), para que

aperfeiçoe a atuação de sua comissão de informática.


Recomendar ao TRT 4ª Região, com fulcro na Lei nº 8.443/1992, art.

43, inciso I, c/c o Regimento Interno do TCU, art. 250, inciso III, que, em

atenção ao disposto na Constituição Federal, art. 37, caput (princípio da

eficiência) e na Resolução nº 90/2009, do CNJ, arts. 10 e 12, aperfeiçoe a

atuação de sua comissão de informática, considerando as diretrizes da

Norma Técnica - ITGI - Cobit 4.1, PO4.2 - Comitê estratégico de TI e

PO4.3 - Comitê diretor de TI, modificando sua composição para incluir,

além dos magistrados, representantes das áreas relevantes do Tribunal,

conforme tratado no Achado nº 4 - Falhas relativas ao comitê de TI, do

Relatório de Fiscalização.

3.5 - Inexistência de definição formal de papéis e

responsabilidades



1183/2010-TCU/Secex/RS), no tocante à organização de TI, sobre os papéis e

responsabilidades da área de TI, o órgão informou que o TRT 4ª Região utiliza a

definição de papéis e responsabilidades constante do Ato nº 193/2008-

CSJT.GP.SE.ASGP, mas também juntou documento com as atribuições e

responsabilidades da estrutura organizacional da Secretaria de Tecnologia da

Informação - STI, segundo suas subdivisões (serviços, escritórios e

coordenações), recentemente produzido para atender solicitação da Assessoria

Jurídica com vistas à elaboração de regulamento geral para o órgão (Ofício TRT

8

GP nº 92/2010). Observa-se assim que, até então, o setor se valia da descrição

das atribuições dos cargos do quadro de pessoal do órgão, prevista na Lei nº

8.112, art. 13, o que não se traduz em formalização dos papéis e

responsabilidades do setor de TI.





Negligência



Prejuízos na execução de atividades da área de TI e na

responsabilização. (efeito potencial)

3.5.5 - Critérios:

ACÓRDÃO 71/2007, item 9.2.5, Tribunal de Contas da União, Plenário


Lei 8112/1990, art. 13

Norma Técnica - ITGI - Cobit 4.1, PO4.6 - Estabelecimento de

papéis e responsabilidades





TCU/Secex/RS (resposta à questão 3.5 do Anexo I) (Volume Principal - folhas

26/41)


Cabe determinação ao órgão com vistas ao aperfeiçoamento de sua

gestão. A medida guarda conformidade às orientações contidas no Anexo da

Portaria-Segecex nº 09/2010 (interpretação de matéria para aplicação no caso

concreto - exceção ao requisito 2).



43, inciso I, que, em atenção ao disposto na Constituição Federal, art. 37, caput

(princípio da eficiência) e na Resolução nº 90/2009, do CNJ, art. 10, considere o

disposto na Norma Técnica - ITGI - Cobit 4.1, PO4.6 - Estabelecimento de

papéis e responsabilidades e defina formalmente os papéis e as

responsabilidades da área de TI, conforme tratado no Achado nº 5 -

Inexistência de definição formal de papéis e responsabilidades, do


9

3.6 - Inadequação do quadro de pessoal de TI.



1183/2010-TCU/Secex/RS), no tocante à organização de TI, sobre a a

adequabilidade da estrutura de pessoal da área de TI, o órgão informou ter o

setor de TI elaborado uma proposta de ampliação de seu quadro de pessoal, com

base nos requisitos recomendados na Resolução nº 90/2009, do CNJ, concluindo

que aos atuais 77 cargos deveriam somar-se outros 72, perfazendo uma quadro

total de 149 servidores (Ofício TRT GP nº 92/2010). Foi juntada cópia de

solicitação do Diretor da STI para o Diretor-Geral de Coordenação Administrativa.





Inobservância a determinações administrativas superiores - A

Resolução nº 90/2009, do CNJ, traz os padrões a serem observados.



Comprometimento da execução de atividades da área de TI por

insuficiência do quadro técnico. (efeito potencial)

Dependência de serviços de empresas terceirizadas. (efeito real)

3.6.5 - Critérios:


Plenário


Decreto 5707/2006, art. 1º, inciso III

Norma Técnica - ITGI - Cobit 4.1, PO4.12 - Pessoal de TI

Resolução 90/2009, CNJ, art. 2º, § 4º





26/41)


Cabe recomendação ao órgão com vistas à implementação do

disposto na Resolução nº 90/2009, do CNJ, art. 2º




10


eficiência) e na Resolução nº 90/2009, do CNJ, art. 2º, envide esforços, inclusive

com o CNJ, para que a área de TI seja dotada de servidores ocupantes de cargos

efetivos em quantitativo suficiente, capacitados e treinados para exercer

atividades estratégicas e sensíveis, possibilitando o atendimento às necessidades

institucionais, atentando para as orientações contidas na Norma Técnica - ITGI -

Cobit 4.1, PO 4.12 - Pessoal de TI, conforme tratado no Achado nº 5 -

Inadequação do quadro de pessoal de TI, do Relatório de Fiscalização.

3.7 - Inexistência de processo de software.



1183/2010-TCU/Secex/RS), no tocante ao processo de software, o

órgão informou ainda não ter estabelecido um processo de software, mas

já praticar ações como aquelas voltadas à implantação do modelo

MPS.BR com a metodologia SCRUM (Ofício TRT GP nº 92/2010). Nesse

sentido, o setor de TI elaborou um termo de referência para a licitação

com vistas à contratação de assessoria na implementação do modelo

MPS.BR com a metodologia SCRUM. Alguns treinamentos foram

efetuados. A iniciativa foi recentemente aprovada pela Administração.





Negligência - A definição do objeto a licitar requer a definição

formal do processo de software.



Deficiência no processo de contratação, decorrente da

inexistência de metodologia que assegure boa contratação de

desenvolvimento de sistemas. (efeito real)

Inexistência de parâmetros de aferição de qualidade para

contratação de desenvolvimento de sistemas. (efeito real)

3.7.5 - Critérios:


Instrução Normativa 4/2008, SLTI/MPOG, art. 12, inciso II

Lei 8666/1993, art. 6º, inciso IX

Norma Técnica - ITGI - Cobit 4.1, PO8.3 - Padrões de

desenvolvimento e de aquisições.

Norma Técnica - NBR ISO/IEC - 12.207 e 15.504

11





TCU/Secex/RS (resposta à questão 5 do Anexo I) (Volume Principal - folhas

26/41)


Cabe determinação ao órgão com vistas a que defina um

processo de software previamente às futuras contratações de serviços de

desenvolvimento ou manutenção de software, vinculando o contrato com

o processo de software, sem o qual o objeto não estará precisamente

definido. A medida guarda conformidade às orientações contidas no

Anexo da Portaria-Segecex nº 09/2010 (interpretação de matéria para

aplicação no caso concreto - exceção ao requisito 2).


Determinar ao TRT 4ª Região, com fulcro na Lei nº

8.443/1992, art. 43, inciso I, que, em atenção ao disposto na Lei nº

8.666/1993, art. 6º, inc. IX, e na Resolução nº 90/2009, do CNJ, art. 10,

considerando o conteúdo da Instrução Normativa nº 04/2008 -

SLTI/MPOG, art. 12, II, e das Normas Técnicas - ITGI - Cobit 4.1, PO8.3 -

Padrões de desenvolvimento e de aquisições e NBR ISO/IEC - 12.207 e

15.504, defina um processo de software previamente às futuras

contratações de serviços de desenvolvimento ou manutenção de

software, vinculando o contrato com o processo de software, sem o qual

o objeto não estará precisamente definido, conforme tratado no Achado

nº 7 - Inexistência de processo de software, do Relatório de Fiscalização.

3.8 - Falhas no processo de gerenciamento de projetos.



1183/2010-TCU/Secex/RS), no tocante ao processo de gerenciamento de

projetos de TI, o órgão documentou haver um processo de gerenciamento de

projetos de TI sem, no entanto, evidenciar o envolvimento da alta Administração

na sua aprovação (Ofício TRT GP nº 92/2010).





Omissão da alta Administração - A gestão de gerenciamento

de projetos, assim como os demais aspectos da governança de TI, é de

12

responsabilidade última da alta Administração.



Risco de insucesso de projetos relevantes, por falhas na estrutura de

gestão de projetos. (efeito potencial)

3.8.5 - Critérios:


Norma Técnica - ITGI - Cobit 4.1, PO10.2 - Estrutura de gestão de

projetos






26/41)


Cabe recomendação ao órgão com vistas ao aperfeiçoamento do

processo de gerenciamento de projetos.





eficiência) e na Resolução nº 90/2009, do CNJ, art. 10, aperfeiçoe seu

processo de gerenciamento de projetos de TI, considerando os termos da

Norma Técnica - ITGI - Cobit 4.1, PO10.2 - Estrutura de gestão de

projetos e do PMBOK, dentre outras boas práticas de mercado,

evidenciando o envolvimento da alta administração com sua aprovação,

conforme tratado no Achado nº 8 - Falhas no processo de gerenciamento

de projetos, do Relatório de Fiscalização.

3.9 - Inexistência do processo de gestão de incidentes.



1183/2010-TCU/Secex/RS), no tocante à gestão de serviços de TI, sobre o

processo de gestão de incidentes, o órgão informou que o setor de TI realiza a

gestão de incidentes utilizando-se da ferramenta BMC Service Desk Express

(Ofício TRT GP nº 92/2010). As evidências apresentadas foram um relatório de

incidentes gerado pela referida ferramenta; o Plano de Continuidade de Negócio,

editado e publicado no sistema Risk Manager; a descrição das atividades dos

coordenadores e dos atendentes; alguns relatórios gerenciais gerados pela

13

ferramenta BMC Service Desk Express e o registro pertinente a um incidente.





Omissão da alta Administração - A gestão de incidentes, assim

como os demais aspectos da governança de TI, é de responsabilidade

última da alta Administração.

Insuficiência de recursos humanos



Ocorrência de incidentes sem o devido gerenciamento. (efeito

potencial)

Paralização dos serviços de TI. (efeito potencial)

Paralização das atividades da organização. (efeito potencial)

3.9.5 - Critérios:


Norma Técnica - NBR - ISO/IEC 27002, item 13 - Gestão de

incidentes de segurança da informação

Norma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar a central de

serviços e os incidentes.

Norma Técnica - NBR - ISO/IEC 20000, item 8.2 - Gerenciamento de

incidentes





TCU/Secex/RS (resposta às questões 7.1 e 7.3 do Anexo I) (Volume Principal -

folhas 26/41)


O órgão apenas demonstrou ter uma ferramenta para a gestão de

incidentes. Cabe recomendação ao TRT 4ª Região com vistas a que implemente

um processo de gestão de incidentes de serviços de TI, à semelhança das

orientações contidas na Norma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar a

central de serviços e incidentes e de outras reconhecidas práticas de mercado

(como as Normas Técnicas - NBR - ISO/IEC 20000, item 8.2 - Gerenciamento de

incidentes e ISO/IEC 27002, item 13 - Gestão de incidentes de segurança da

informação).


14





10, implemente processo de gestão de incidentes de serviços de

tecnologia da informação, à semelhança das orientações contidas na

Norma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar a central de serviços e

incidentes e de outras reconhecidas práticas de mercado (como as

Normas Técnicas - NBR - ISO/IEC 20000, item 8.2 - Gerenciamento de

incidentes e ISO/IEC 27002, item 13 - Gestão de incidentes de segurança

da informação), conforme tratado no Achado nº 9 - Inexistência do

processo de gestão de incidentes, do Relatório de Fiscalização.

3.10 - Inexistência do processo de gestão de configuração




processo de gestão de configuração, o órgão informou não haver um processo de

gestão de configuração estabelecido (Ofício TRT GP nº 92/2010).





Omissão da alta Administração - A gestão de configuração, assim

como os demais aspectos da governança de TI, é de responsabilidade última da

alta Administração.




Desatualização ou deficiência dos controles da configuração de TI.

(efeito real)

3.10.5 - Critérios:


Norma Técnica - ITGI - Cobit 4.1, DS9 - Gerenciar Configurações.


configuração





15


26/41)


Cabe recomendação ao órgão com vistas a que implemente um

processo de gestão de configuração de serviços de TI, à semelhança das

orientações contidas na Norma Técnica - ITGI - Cobit 4.1, DS9 -

Gerenciar configurações e de outras reconhecidas práticas de mercado

(como a Norma Técnica - NBR - ISO/IEC 20000, item 9.1 -

Gerenciamento de configuração).






10, implemente processo de gestão de configuração de serviços de


Norma Técnica - ITGI - Cobit 4.1, DS9 - Gerenciar configurações e de

outras reconhecidas práticas de mercado (como a Norma Técnica - NBR -

ISO/IEC 20000, item 9.1 - Gerenciamento de configuração), conforme

tratado no Achado nº 10 - Inexistência do processo de gestão de

configuração, do Relatório de Fiscalização.

3.11 - Inexistência do processo de gestão de mudanças.




processo de gestão de mudanças, o órgão informou não haver um processo de

gestão de mudanças estabelecido (Ofício TRT GP nº 92/2010).





Omissão da alta Administração - A gestão de mudanças, assim como

os demais aspectos da governança de TI, é de responsabilidade última da alta

Administração.




Não avaliação do impacto de eventuais mudanças. (efeito potencial)

Solicitações de mudanças não controladas. (efeito potencial)

16



Norma Técnica - NBR - ISO/IEC 27002, item 12.5.1 - Procedimentos

para controle de mudanças

Norma Técnica - ITGI - Cobit 4.1, AI6 - Gerenciar mudanças.


mudanças






26/41)


Cabe recomendação ao órgão com vistas a que estabeleça

procedimentos formais de gestão de mudanças, à semelhança das orientações

contidas na Norma Técnica - ITGI - Cobit 4.1, AI6 - Gerenciar mudanças e de

outras reconhecidas práticas de mercado (como as Normas Técnicas - NBR -

ISO/IEC 27002, item 12.5.1 - Procedimentos para controle de mudanças e NBR

ISO/IEC 20000, item 9.2 - Gerenciamento de mudanças).






10, estabeleça procedimentos formais de gestão de mudanças, à

semelhança das orientações contidas na Norma Técnica - ITGI - Cobit

4.1, AI6 - Gerenciar mudanças e de outras reconhecidas práticas de

mercado (como as Normas Técnicas - NBR - ISO/IEC 27002, item 12.5.1

- Procedimentos para controle de mudanças e NBR ISO/IEC 20000, item

9.2 - Gerenciamento de mudanças), conforme tratado no Achado nº 11 -

Inexistência do processo de gestão de mudanças, do Relatório de

Fiscalização.

3.12 - Falhas na Política de Segurança da Informação e

Comunicações (POSIC).



1183/2010-TCU/Secex/RS), no tocante aos processos corporativos de segurança

da informação, sobre a Política de Segurança da Informação e Comunicações

17

(POSIC), o órgão evidenciou ter formalizado (aprovado e publicado) a política

corporativa de segurança da informação, bem como a designação dos integrantes

do Comitê de Segurança da Informação (Ofício TRT GP nº 92/2010). Entretanto

há itens ainda não normatizados, tais como: diretrizes gerais sobre tratamento

da informação, penalidades e Equipe de Tratamento e Resposta a Incidentes em

Redes Computacionais (ETRI).





Omissão da alta Administração - A Política de Segurança da

Informação e Comunicações (POSIC), assim como os demais aspectos da

governança de TI, é de responsabilidade última da alta Administração.



Falhas nos procedimentos de segurança. (efeito potencial)



Instrução Normativa 1/2008, Gabinete de Segurança Institucional -

Presidência da República, art. 5º, inciso VII

Norma Técnica - Gabinete de Segurança Institucional - Presidência da

República - Norma Complementar 03/IN01/DSIC/GSIPR

Norma Técnica - NBR - ISO/IEC 27002, item 5.1 - Política de

segurança da informação

Resolução 90/2009, CNJ, art. 10; art. 13




TCU/Secex/RS (resposta aos três primeiros itens da questão 8 do Anexo I)

(Volume Principal - folhas 26/41)


Cabe recomendação ao órgão com vistas a que promova o

alinhamento da sua Política de Segurança da Informação e

Comunicações às diretrizes nacionais, como a Norma Técnica - Gabinete

de Segurança Institucional - Presidência da República - Norma

Complementar 03/IN01/DSIC/GSIPR, também observando as práticas

contidas na Norma Técnica - NBR - ISO/IEC 27002, item 5.1 - Política de

segurança da informação, de sorte a ela contemplar também os itens

ainda não normatizados.

18





caput (princípio da eficiência) e na Resolução nº 90/2009, do CNJ, arts.

10 e 13, promova o alinhamento da sua Política de Segurança da

Informação e Comunicações às diretrizes nacionais, como a Norma

Técnica - Gabinete de Segurança Institucional - Presidência da República

- Norma Complementar 03/IN01/DSIC/GSIPR, também observando as

práticas contidas na Norma Técnica - NBR - ISO/IEC 27002, item 5.1 -

Política de segurança da informação, de sorte a ela contemplar também

os itens ainda não normatizados, tais como: diretrizes gerais sobre

tratamento da informação, penalidades e Equipe de Tratamento e

Resposta a Incidentes em Redes Computacionais (ETRI), conforme

tratado no Achado nº 12 - Falhas na Política de Segurança da Informação

e Comunicações (POSIC), do Relatório de Fiscalização.

3.13 - Falhas no inventário dos ativos de informação.




da informação, sobre o inventário dos ativos de informação, o órgão informou

não ter inventariado os ativos de informação(Ofício TRT GP nº 92/2010).

Verificou-se, entretanto, que os ativos de informação em geral são inventariados,

porém os inventários estão dispersos, e faltam elementos.





Negligência



Dificuldade de recuperação de informação sobre ativo de informação.

(efeito real)




República - Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1.

Norma Técnica - NBR - ISO/IEC 27002, item 7.1.1 - inventário de

ativos.

19

Resolução 90/2009, CNJ, art. 9º, § 2º; art. 10





26/41)


Cabe recomendação ao órgão com vistas a que aperfeiçoe o

procedimento de inventário de ativos de informação, de maneira que todos os

ativos de informação (dados, hardware, software e instalações) estejam

inventariados e tenham um proprietário responsável, à semelhança das

orientações contidas na Normas Técnicas - NBR - ISO/IEC 27002, item 7.1.1 -

Inventário de ativos e Gabinete de Segurança Institucional - Presidência da

República - Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1.





caput (princípio da eficiência) e na Resolução nº 90/2009, do CNJ, arts.

9º, § 2º, e 10, aperfeiçoe o procedimento de inventário de ativos de

informação, de maneira que todos os ativos de informação (dados,

hardware, software e instalações) estejam inventariados e tenham um

proprietário responsável, à semelhança das orientações contidas nas

Normas Técnicas - NBR - ISO/IEC 27002, item 7.1.1 - Inventário de

ativos e Gabinete de Segurança Institucional - Presidência da República -

Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, conforme

tratado no Achado nº 13 - Falhas no inventário dos ativos de informação,

do Relatório de Fiscalização.

3.14 - Inexistência de classificação da informação.



1183/2010-TCU/Secex/RS), no tocante aos processos corporativos de

segurança da informação, sobre a classificação da informação, o órgão

informou não ter classificado as informações para o negócio (Ofício TRT

GP nº 92/2010). Verificou-se que a Política de Segurança da Informação

traz prescrição para que as informações sejam classificadas em termos

de seu valor, requisitos legais, sensibilidade, criticidade e necessidade de

compartilhamento.


20




Imperícia



Risco de divulgação indevida de informação restrita. (efeito potencial)



Plenário

Decreto 4553/2002, art. 6º, § 2º, inciso I; art. 6º, § 2º, inciso II; art.

67

Norma Técnica - NBR - ISO/IEC 27002, item 7.2 - Classificação da

informação.






26/41)


Cabe recomendação ao órgão com vistas a que implemente o

disposto no art. 6º da sua Política de Segurança da Informação, criando critérios

de classificação das informações a fim de que elas possam ter tratamento

diferenciado em termos de seu valor, requisitos legais, grau de sensibilidade,

grau de criticidade e necessidade de compartilhamento, considerando o disposto

no Decreto nº 4553/2002, art. 6º, § 2º, incisos I e II e art. 67, e observando as

práticas contidas no item 7.2 da Norma Técnica - NBR - ISO/IEC 27002, item 7.2

- Classificação da informação.






10, implemente o disposto no art. 6º da sua Política de Segurança da

Informação, criando critérios de classificação das informações, a fim de

que elas possam ter tratamento diferenciado em termos de seu valor,

requisitos legais, grau de sensibilidade, grau de criticidade e necessidade

de compartilhamento, considerando o disposto no Decreto nº

21

4553/2002, art. 6º, § 2º, incisos I e II e art. 67, e observando as

práticas contidas no item 7.2 da Norma Técnica - NBR - ISO/IEC 27002,

item 7.2 - Classificação da informação, conforme tratado no Achado nº

14 - Inexistência de classificação da informação, do Relatório de

Fiscalização.

3.15 - Inexistência de equipe de tratamento e resposta a

incidentes em redes computacionais (ETRI).




da informação, sobre a existência de equipe de tratamento e resposta a

incidentes em redes computacionais (ETRI), o órgão informou não ter a referida

equipe (Ofício TRT GP nº 92/2010).





Negligência




Falhas relativas às notificações e às atividades relacionadas a

incidentes de segurança em redes de computadores. (efeito potencial)



Instrução Normativa 1/2008, Gabinete de Segurança Institucional -

Presidência da República, art. 5º, inciso V


República - Norma Complementar 05/IN01/DSIC/GSIPR






26/41)


Cabe recomendação ao órgão com vistas a que institua equipe de

tratamento e resposta a incidentes em redes computacionais, levando em

consideração o disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, V, e

22

as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR.






10, institua equipe de tratamento e resposta a incidentes em redes

computacionais, levando em consideração o disposto na Instrução

Normativa GSI/PR nº 01/2008, art. 5º, V, e as práticas contidas na

Norma Complementar 05/IN01/DSIC/GSIPR, conforme tratado no

Achado nº 15 - Inexistência de equipe de tratamento e resposta a

incidentes em redes computacionais (ETRI), do Relatório de Fiscalização.

3.16 - Inexistência de plano anual de capacitação.



1183/2010-TCU/Secex/RS), no tocante à capacitação de profissionais de TI,

sobre haver um plano de capacitação de pessoal para a gestão de TI, o órgão

buscou evidenciar haver um plano de capacitação da Secretaria de Tecnologia da

Informação (Ofício TRT GP nº 92/2010). Entretanto o documento apresentado

consiste apenas num detalhamento sobre os cursos contratados e a contratar,

indicando os respectivos participantes e, não obstante considerar significativo

quantitativo de horas (6764 horas para 77 servidores), faltam-lhe elementos

essenciais a um plano de capacitação, comparativamente às melhores práticas, a

exemplo o guia de orientação para elaboração do plano de capacitação, no Portal

SIPEC/MPOG.





Omissão da alta Administração - O plano anual de capacitação, assim





Não otimização do potencial dos recursos humanos. (efeito potencial)

Desatualização do quadro de pessoal em termos de

conhecimento/capacitação. (efeito potencial)


Decreto 5707/2006, art. 5º, § 2º

23

Norma Técnica - ITGI - Cobit 4.1, PO7.4 - Treinamento do Pessoal

Norma Técnica - ITGI - Cobit 4.1, PO7.2 - Competências Pessoais

Portaria 208/2006, Ministério do Planejamento, art. 2º, inciso I; art.

4º

Resolução 90/2009, CNJ, art. 3º; art. 10





26/41)


Cabe determinação ao TRT 4ª Região para que elabore e implante

plano anual de capacitação voltado para a gestão de tecnologia da informação,

observando as práticas contidas nas Normas Técnicas - ITGI - Cobit 4.1, PO7.2 -

Competências pessoais e PO7.4 - Treinamento do pessoal, bem assim no guia de

orientação para elaboração do plano de capacitação, no Portal SIPEC/MPOG. A

medida guarda conformidade às orientações contidas no Anexo da Portaria-

Segecex nº 09/2010 (interpretação de matéria para aplicação no caso concreto -

exceção ao requisito 2).



8.443/1992, art. 43, inciso I, que, em atenção ao previsto na Resolução

nº 90/2009, do CNJ, arts. 3º e 10, elabore e implante plano anual de

capacitação voltado para a gestão de tecnologia da informação,

observando as práticas contidas nas Normas Técnicas - ITGI - Cobit 4.1,

PO7.2 - Competências pessoais e PO7.4 - Treinamento do pessoal, bem

assim no guia de orientação para elaboração do plano de capacitação, no

Portal SIPEC/MPOG, conforme tratado no Achado nº 16 - Inexistência de

plano anual de capcitação, do Relatório de Fiscalização.

3.17 - Falhas na avaliação da gestão de TI.



1183/2010-TCU/Secex/RS), no tocante à avaliação da gestão de TI, se o órgão

realiza monitoração do desempenho da gestão e uso de TI, o órgão informou que

a alta administração recebe e avalia regularmente informações sobre o

desempenho dos projetos da STI, por meio de relatórios de status de projetos

(Ofício TRT GP nº 92/2010). No entanto, as evidências apresentadas servem para

caracterizar a ausência de um processo formal de acompanhamento das ações,

do desempenho, bem assim dos benefícios.

24





Omissão da alta Administração - A avaliação da gestão de TI, assim





Impossiblidade de verificação de possibilidades de melhoria. (efeito

potencial)

Decisões gerenciais baseadas em informações incompletas ou

errôneas. (efeito potencial)

Falha na entrega/priorização de serviços de TI. (efeito potencial)



Norma Técnica - ITGI - Cobit 4.1, ME1.5 - Relatórios gerenciais

Norma Técnica - ITGI - Cobit 4.1, ME1.4 - Avaliar o desempenho

Norma Técnica - ITGI - Cobit 4.1, ME1.6 - Ações corretivas

Norma Técnica - ITGI - Cobit 4.1, ME2 - Monitorar e avaliar os

controles internos






26/41)


Os objetivos, bem assim os indicadores e metas para a gestão de TI,

deveriam estar no PDTI, ainda inexistente. Então os relatórios gerenciais

serviriam para monitorar a gestão, avaliar o desempenho e determinar ações

corretivas. A inexistência do PDTI é tema do Achado nº 3. Para o achado em tela,

cabe recomendação com vistas ao aperfeiçoamento do processo de avaliação da

gestão de TI, observando as orientações contidas nas Normas Técnicas - ITGI -

Cobit 4.1, ME1.5 - Relatórios gerenciais, ME1.4 - Avaliar o desempenho, ME2 -

Monitorar e avaliar os controles internos e ME1.6 - Ações corretivas.




25



10, aperfeiçoe o processo de avaliação da gestão de TI, observando as

orientações contidas nas Normas Técnicas - ITGI - Cobit 4.1, ME1.5 -

Relatórios gerenciais, ME1.4 - Avaliar o desempenho, ME2 - Monitorar e

avaliar os controles internos e ME1.6 - Ações corretivas, conforme

tratado no Achado nº 17 - Falhas na avaliação da gestão de TI, do


3.18 - Auditoria interna não apóia avaliação da TI.



1183/2010-TCU/Secex/RS), no tocante à avaliação da gestão de TI, se a

auditoria interna apoia a avaliação da TI, o órgão apresentou dois relatórios de

análise de risco, da ferramenta Risk Manager, e um relatório de diagnóstico de

maturidade - gerenciamento de serviços de TI - ITIL, elaborado pela Kalendae /

Fox IT (Ofício TRT GP nº 92/2010), ambos sem a participação da auditoria

interna. As evidências apresentadas servem a caracterizar que a auditoria interna

não apóia avaliação da TI.





Imperícia



Deficiências na governança de TI, gestão de riscos e controles

internos. (efeito potencial)



Norma Técnica - ITGI - Cobit 4.1, E2 - Monitorar e avaliar os

controles internos.






26/41)


Cabe recomendação ao órgão com vistas a que promova ações para

26

que a auditoria interna apoie a avaliação da TI, observando as orientações

contidas na Norma Técnica - ITGI - Cobit 4.1, E2 - Monitorar e avaliar os

controles internos.






10, promova ações para que a auditoria interna apoie a avaliação da TI,

observando as orientações contidas na Norma Técnica - ITGI - Cobit 4.1,

E2 - Monitorar e avaliar os controles internos, conforme tratado no

Achado nº 18 - Auditoria interna não apoia avaliação da TI, do Relatório

de Fiscalização.

3.19 - Inexistência de controles que promovam que o Termo

de Referência ou Projeto Básico seja elaborado a partir de estudos

técnicos preliminares



1183/2010-TCU/Secex/RS), no tocante à contratação de bens e serviços de TI,

sobre como realiza o processo de contratação de bens e serviços de TI, o órgão

informou ter capacitado gestores e publicado, na intranet, o Manual de Gestão de

Contratos (Ofício TRT GP nº 92/2010). Verifica-se que os referidos conteúdos não

fazem referência alguma a controles que promovam que o Termo de Referência

ou Projeto Básico seja elaborado a partir de estudos técnicos preliminares. As

informações obtidas na execução da fiscalização confirmam a inexistência de tais

controles.





Negligência



Termo de Referência ou Projeto Básico não baseado em estudos

técnicos preliminares. (efeito real)





27




26/41)


A observância ao disposto na Lei nº 8.666/1993, art. 6º, inciso IX, de

modo a que os Termos de Referência ou Projetos Básicos sejam elaborados a

partir de estudos técnicos preliminares, requer a adoção de controles, sendo uma

oportunidade de melhoria de desempenho, cabendo recomendação ao órgão para

que implemente controles que garantam o atendimento à referida exigência legal.





caput (princípio da eficiência) e na Lei nº 8.666/1993, art. 6º, inciso IX,

implemente controles na contratação de bens e serviços de TI que

garantam que o Termo de Referência ou Projeto Básico seja elaborado a

partir dos estudos técnicos preliminares, conforme tratado no Achado nº

19 - Inexistência de controles que promovam que o Termo de Referência

ou Projeto Básico seja elaborado a partir de estudos técnicos

preliminares, do Relatório de Fiscalização.

3.20 - Inexistência dos estudos técnicos preliminares



1183/2010-TCU/Secex/RS), no tocante à contratação de bens e serviços de TI,

sobre como realiza o processo de contratação de bens e serviços de TI, o TRT 4ª

Região apresentou relação com os dados pertinentes a 78 contratos de bens e

serviços de TI (Ofício TRT GP nº 92/2010). Foi selecionado o Contrato nº 43/08,

firmado em 03/06/2008, com a empresa Advanced Database & IT Sistemas de

Informações, no valor total de R$ 563.808,00, tendo por objeto a contratação de

serviço de apoio técnico especializado em banco de dados Oracle, com vigência

de 24 meses, prorrogada, em 01/06/2010, por seis meses (Proc. nº MA/BS-

00771-2008-000-04-00-0). Foi realizado teste substantivo no processo de

contratação de bens e serviços de TI. Constatou-se que o Termo de Referência ou

Projeto Básico é a peça inicial dos autos, os quais partem da solução escolhida,

sem referência alguma a estudos técnicos preliminares, o que ocorre de modo

geral.


Processo licitatório MA/BS-00771-2008-000-04-00-0/2008 -

28

Contratação de serviço de apoio técnico mensal especializado em banco de dados

Oracle


Negligência



Risco da ocorrência de aquisições ou contratações que não atendam à

necessidade do órgão (efeito potencial)

Falhas no Termo de Referência ou Projeto Básico. (efeito real)



Instrução Normativa 4/2008, SLTI/MPOG, art. 9º; art. 10






26/41)

Memorando nº 031/2008, do Diretor do Serviço de Infra-estrutura e

Planejamento, e Termo de Referência para o Pregão Eletrônico nº 08/2008

(Anexo 2 - Principal - folhas 2/6)


A elaboração do Termo de Referência ou Projeto Básico com base nas

indicações dos estudos técnicos preliminares é uma exigência da Lei nº

8.666/1993, art. 6º, inciso IX. A inexistência dos estudos técnicos preliminares

submete o órgão ao risco da ocorrência de aquisições ou contratações que não

atendam a sua necessidade, bem assim a falhas no Termo de Referência ou

Projeto Básico. Por conseguinte, cabe determinação ao órgão com vistas a que

elabore estudos técnicos preliminares anteriormente à elaboração dos termos de

referência ou projetos básicos. A medida guarda conformidade às orientações

contidas no Anexo da Portaria-Segecex nº 09/2010 (interpretação de matéria

para aplicação no caso concreto - exceção ao requisito 2). Os requisitos para

elaboração dos estudos técnicos preliminares estão na Instrução Normativa nº

04/2008-SLTI/MPOG. Cabe recomendação ao órgão com vistas a que, em

atenção ao princípio da eficiência, na elaboração dos estudos técnicos

preliminares, considere o conteúdo da "Análise da Viabilidade da Contratação",

descrita como uma das etapas da fase de planejamento da contratação, conforme

Instrução Normativa nº 04/2008-SLTI/MPOG, arts. 9º e 10.


29


8.443/1992, art. 43, inciso I, que, em atenção ao disposto na Lei nº

8.666/1993, art. 6º, inc. IX,elabore estudos técnicos preliminares

anteriormente à elaboração dos termos de referência ou projetos

básicos, conforme tratado no Achado nº20 - Inexistência dos estudos

técnicos preliminares, do Relatório de Fiscalização.




caput (princípio da eficiência) e na Lei nº 8.666/1993, art. 6º, inciso IX,

na elaboração dos estudos técnicos preliminares, considere o conteúdo

da "Análise da Viabilidade da Contratação", descrita como uma das

etapas da fase de planejamento da contratação, conforme Instrução

Normativa nº 04/2008-SLTI/MPOG, arts. 9º e 10, conforme tratado no

Achado nº 20 - Inexistência dos estudos técnicos preliminares, do


3.21 - Irregularidades na contratação


Segue selecionado o Contrato nº 43/08, firmado em 03/06/2008,

com a empresa Advanced Database & IT Sistemas de Informações, no valor total

de R$ 563.808,00, tendo por objeto a contratação de serviço de apoio técnico

mensal especializado em banco de dados Oracle, com vigência de 24 meses,

prorrogada, em 01/06/2010, por seis meses (Proc. nº MA/BS-00771-2008-000-

04-00-0). Foi realizado teste substantivo na contratação de bens e serviços de TI,

com o objetivo de avaliar a aderência do procedimento licitatório adotado com a

legislação, sendo constatadas as seguintes faltas ou impropriedades:

a) Falha da análise de mercado.

A peça inicial do processo selecionado é o Termo de

Referência ou Projeto Básico, o qual parte da solução escolhida e sem

fazer registro algum sobre outras soluções existentes para atender à

demanda. Não há uma justificativa da escolha feita. Não foram

elaborados os estudos técnicos preliminares. O fabricante forneceu a

estimativa das horas técnicas necessárias e dos custos decorrentes.

A lei estabelece que as indicações dos estudos técnicos

preliminares sejam base para a elaboração do Termo de Referência ou

Projeto Básico (Lei nº 8.666/1993, art. 6º, inciso IX), assim as

considerações sobre as soluções existentes e a justificativa da escolha de

uma delas. No caso em exame, a inexistência dos estudos técnicos

preliminares impõe alguma dúvida sobre a solução escolhida.

30

b) A contratação não considerou solução de TI completa.

A demanda de pessoal especializado para atender às

"atividades de manutenções, revisões de infra-estrutura, tunning,

atualizações e migrações na infra-estrutura de banco de dados do TRT 4ª

Região baseada na plataforma de bancos de dados Oracle Database

Enterprise Edition e Oracle Real Applications Clusters, de modo a

assegurar a melhor performance, estabilidade e disponibilidade dos seus

serviços e sistemas informatizados" (texto do edital e do contrato),

levou o órgão à contratação de serviços de apoio técnico com empresa

especializada. Entretanto, em atenção ao disposto na Lei nº 8.666/1993,

art. 8º, e considerando os termos da IN 04/2008 - SLTI/MPOG, as

soluções de TI devem alcançar todos os serviços, produtos e outros

elementos necessários que se integram para o alcance dos

resultados pretendidos com a contratação, faltando, no caso

em tela, por exemplo, um plano de transferência de tecnologia.

c) Ausência da área de negócio e da área administrativa na

gestão do contrato.

A gestão do contrato denota apenas o papel desempenhado

pela área de TI, predominantemente técnico. Na resposta ao ofício de

requisição formulado durante a execução da fiscalização, entre as

informações e documentos apresentados, consta que, sendo o objeto

contratado a prestação de serviços de apoio técnico especializado em

banco de dados Oracle, os procedimentos de gestão, fiscalização e

controle da execução do contrato ficam a cargo da área técnica

competente, no caso a STI (Ofício DGCA nº 591/2010).

Em face do disposto na Lei nº 8.666/1993, art. 67, e

considerando os termos da IN 04/2008-SLTI, arts. 20, item III, e 23,

afora a figura do gestor do contrato, a ser indicado pela área de TI, os

papéis envolvidos na gestão de um contrato de TI, em apoio ao gestor do

contrato, devem contemplar tanto a área de TI, quanto a área de negócio

(requisitante do serviço) e a área administrativa (compras, licitações e

contratos), com vistas a que todas as atividades necessárias ao

acompanhamento e fiscalização do contrato sejam implementadas.

d) Falhas no método para mensuração dos serviços.

O Termo de Referência ou Projeto Básico discriminou, em

cinco níveis de capacitação e habilidades, os atributos com relação aos

técnicos a serem alocados na prestação dos serviços. Também as

principais atividades a serem desenvolvidas foram relacionadas,

remetendo-se a defiinição do escopo de cada atividade para um

31

momento futuro. O fabricante forneceu a estimativa das horas técnicas

necessárias e dos custos decorrentes. Foram estimadas 80 horas

mensais, distribuídas entre os cinco níveis profissionais discriminados.

Não há critérios sobre as horas, como se chegou nas horas mensais

estimadas. A vigência inicial do contrato foi de dois anos. O valor

contratado foi R$ 563.808,00. O valor realizado foi R$ 223.762,84 (cerca

de 40%).

Em face do disposto na Lei nº 8.666/1993, art. 6º, inciso IX,

alínea e, e considerando os termos da IN 04/2008-SLTI, art. 14, item II,

alíneas a e c, verifica-se oportunidade de melhoria de desempenho no

tocante à fixação de procedimentos e de critérios de mensuração dos

serviços prestados, abrangendo métricas, indicadores e valores, bem

assim com relação à quantificação ou estimativa prévia do volume de

serviços demandados, para comparação e controle.

e) Ausência de outros elementos de gestão.

O modelo de gestão do contrato não definiu outros elementos

de gestão contratual como o modelo da ordem de serviço; os

procedimentos de comunicação com a contratada; os procedimentos de

verificação se todas as condições de habilitação e qualificação exigidas

na licitação foram mantidas pelo contratado; os critérios de aceitação

dos serviços; a cláusula de confidencialidade; a cláusula de

responsabilidade; a cláusula de garantia.

Em face do disposto na Lei nº 8.666/1993, art. 55, incisos VII

e XIII, e considerando os termos da IN 04/2008-SLTI, arts. 14, item II,

alíneas b e j, e 20, item II, cabe o aperfeiçoamento do modelo de gestão

adotado, quando da elaboração de novos termos de referência ou

projetos básicos, com vistas a que sejam definidos outros elementos de

gestão contratual.

f) Falhas na estimativa dos custos unitários.

A pesquisa de preços foi realizada com apenas uma empresa

(a Oracle do Brasil Ltda.).

A utilização de um única fonte para a estimativa não permite a

constatação de eventual viés em relação ao contexto do mercado,

submetendo o gestor ao riscos de encaminhar a licitação dentro de uma

espectativa equivocada sobre os preços, que poderão estar fora de uma

faixa de preços aceitável para o serviço. Assim, em atenção ao disposto

na Constituição Federal, art. 37, caput (princípio da eficiência), deve-se

obter preços em mais de uma fonte, como pesquisas com os

fornecedores, valores adjudicados em licitações de órgãos públicos,

32

valores registrados em atas de SRP, entre outras fontes disponíveis.

g) DFP do orçamento-base - ausência.

Não há uma planilha de formação de preços.

A ausência de um demonstrativo de formação de preços

desatende ao disposto na Lei nº 8.666/1993, art. 7º, § 2º, inciso II,

inviabilizando eventuais pleitos objetivando a manutenção do equilíbrio

econômico-financeiro inicial do contrato, ao não evidenciar a relação que

as partes pactuaram inicialmente entre os encargos do contratado e a

retribuição da administração para a justa remuneração do serviço.

h) Impertinência nos critérios de habilitação.

O edital do Pregão Eletrônico nº 08/08 exigiu dos licitantes,

como condição à habilitação, a apresentação de documento técnico

emitido pelo fabricante Oracle que comprove a condição da empresa

como integrante de seu programa de parcerias denominado "Oracle

Partner Network - OPN", com nível de associação "Certified Partner

(CP)" ou "Certified Advantage Partner (CAP)" (item 30, e, do edital).

Verifica-se que os membros do OPN recebem os produtos da

Oracle, formação, serviços técnicos e acesso privilegiado a oportunidades

de mercado (http://www.oracle.com/global/pt/

corporate/news/news_fy06/fy06030301.html).

A exigência do referido documento, embora possa significar

que a empresa tenha os conhecimentos requeridos, desconsidera o fato

de que outras empresas, não certificadas, também possam ter condições

de atender ao objeto licitado, exorbitando ao permitido na Lei nº

8.666/1993, art. 30, sendo impertinente para o específico objeto do

contrato, prática vedada pela referida lei, no seu art.3º, § 1º, inciso I.

i) Desconformidades no parecer jurídico.

Os pareceres jurídicos concernentes às minutas do edital do

Pregão Eletrônico nº 08/08 e dos Termos Aditivos Primeiro e Segundo ao

Contrato nº 43/08, os quais dizem respeito à exigência legal sobre tais

documentos serem previamente examinados e aprovados pela Assessoria

Jurídica do órgão, limitam-se a declarar que as respectivas minutas

foram elaboradas em conformidade com a legislação aplicável à espécie.

Em sentido contrário, as faltas ou impropriedades apontadas nesta

fiscalização sinalizam diversas falhas na aderência do procedimento

licitatório adotado com a legislação que deveria ter sido observada,

sugerindo superficialidade no exame levado a cabo pela Assessoria

Jurídica.


33

Edital 08/2008 - Pregão eletrônico para contratação de

serviço de apoio técnico mensal especializado em banco de dados Oracle

Documentos e informações disponibilizados eletronicamente

em atenção ao Ofício nº 1183/2010-TCU/Secex/RS - Ofício TRT nº GP

92/2010


Contratação de serviço de apoio técnico mensal especializado em banco

de dados Oracle


Imperícia

Negligência



Risco da ocorrência de aquisições ou contratações que não

atendam à necessidade do órgão (efeito potencial)


ACÓRDÃO 2471/2008, item 9.1, Tribunal de Contas da União,

Plenário


Plenário


Plenário

São também considerados critérios para este achado, de maneira

geral, a Constituição Federal, art. 37, caput, a Lei nº 8.666/1993, a Resolução nº

90/2009, do CNJ, e a IN 04/2008 - SLTI/MPOG.




Oracle (Anexo 2 - Principal - folhas 1/217)


A equipe conclui que (em correspondência às mesmas letras

indicadas na situação encontrada):

a) cabe alertar o órgão quanto à impropriedade constatada e

decorrente do descumprimento da Lei nº 8.666/1993, art. 6º, inciso IX;

b) cabe alertar o órgão quanto à impropriedade constatada e

decorrente do descumprimento da Lei nº 8.666/1993, art. 8º;

c) cabe recomendação ao órgão com vistas a que institua

mecanismos de participação de gestores do negócio nas fases do

desenvolvimento de soluções de TI afetas à sua área, inclusive na aceitação dos

34

bens e serviços eventualmente contratados, bem assim da área administrativa

nas atividades administrativas da gestão contratual de TI, levando em

consideração o disposto na IN 04/2008-SLTI;

d) cabe recomendação ao órgão com vistas à adoção de providências

para correção das falhas no método para mensuração dos serviços;

e) cabe determinação ao órgão, em atenção ao disposto na Lei nº

8.666/1993, art. 55, incisos VII e XIII, para que aperfeiçoe o modelo de gestão

do contrato, quando da elaboração de novos termos de referência ou projetos

básicos para contratação de serviços de tecnologia da informação, com vistas a

que sejam definidos outros elementos de gestão contratual, considerando os

termos da IN 04/2008-SLTI, arts. 14, item II, alíneas b e j, e 20, item II. A

medida guarda conformidade às orientações contidas no Anexo da Portaria-

Segecex nº 09/2010 (interpretação de matéria para aplicação no caso concreto -

exceção ao requisito 2);

f) cabe alertar o órgão para aos riscos inerentes à impropriedade

constatada e decorrentes de desatenção ao disposto na Constituição Federal, art.

37, caput (princípio da eficiência);

g) cabe alertar o órgão quanto à impropriedade constatada e

decorrente do descumprimento da Lei nº 8.666/1993, art. 7º, § 2º, inciso II;

h) cabe alertar o órgão quanto à impropriedade constatada e

decorrente do descumprimento da Lei nº 8.666/1993, art. 30;

i) cabe alertar o órgão quanto à impropriedade constatada e

decorrente de desatenção ao disposto no parágrafo único do art. 38 da Lei nº

8.666/1993;

j) cabe determinação ao órgão, em atenção às disposições da Lei nº

8.666/1993, para que restrinja a prorrogação do contrato firmado ao prazo

estritamente necessário para a realização de nova contratação, com o

saneamento das faltas ou impropriedades abordadas neste relatório, limitado ao

prazo máximo de 180 (cento e oitenta dias), a partir da ciência do acórdão que

vier a ser proferido. A medida guarda conformidade às orientações contidas no

Anexo da Portaria-Segecex nº 09/2010 (interpretação de matéria para aplicação

no caso concreto - exceção ao requisito 2).



8.443/1992, art. 43, inciso I, conforme tratado no Achado nº 21 -

Irregularidades na contratação, do Relatório de Fiscalização, que:

a) em face do disposto na Lei nº 8.666/1993, art. 55, incisos

VII e XIII, em atenção ao previsto na Resolução nº 90/2009, do CNJ, art.

10, e considerando os termos da IN 04/2008-SLTI, arts. 14, item II,

35

alíneas b e j, e 20, item II, aperfeiçoe o modelo de gestão do contrato,

quando da elaboração de novos termos de referência ou projetos básicos

para contratação de serviços de tecnologia da informação, com vistas a

que sejam definidos outros elementos de gestão contratual (como o

modelo da ordem de serviço; os procedimentos de comunicação com a

contratada; os procedimentos de verificação se todas as condições de

habilitação e qualificação exigidas na licitação foram mantidas pelo

contratado; os critérios de aceitação dos serviços; a cláusula de

confidencialidade; a cláusula de responsabilidade; a cláusula de

garantia);

b) em atenção às disposições da Lei nº 8.666/1993, restrinja

a prorrogação do Contrato nº 43/08 ao prazo estritamente necessário

para a realização de nova contratação, com o saneamento das faltas ou

impropriedades abordadas neste relatório, limitado ao prazo máximo de

180 (cento e oitenta dias), a partir da ciência do acórdão que vier a ser

proferido.



inciso III, conforme tratado no Achado nº 21 - Irregularidades na

contratação, do Relatório de Fiscalização, que, em atenção ao disposto

na Constituição Federal, art. 37, caput (princípio da eficiência) e na

Resolução nº 90/2009, do CNJ, art. 10:

a) institua mecanismos de participação de gestores do negócio

nas fases do desenvolvimento de soluções de TI afetas à sua área,

inclusive na aceitação dos bens e serviços eventualmente contratados,

bem assim da área administrativa nas atividades administrativas da

gestão contratual de TI, levando em consideração o disposto na IN

04/2008-SLTI;

b) tendo em vista a correção das falhas no método para

mensuração dos serviços no Pregão Eletrônico nº 08/08, em face do

estabelecido na Lei nº 8.666/1993, art. 6º, inciso IX, alínea e, adote

providências, quando da elaboração de Termo de Referência ou Projeto

Básico, na indicação dos termos contratuais, visando à fixação de

procedimentos e de critérios de mensuração dos serviços prestados,

abrangendo métricas, indicadores e valores, bem assim com relação à

quantificação ou estimativa prévia do volume de serviços demandados,

para comparação e controle, levando em consideração o disposto na IN

04/2008-SLTI, art. 14, item II, alíneas a e c.

Alertar o TRT 4ª Região em relação a impropriedades

36

constatadas ou a riscos e situações pendentes de implementação,

conforme tratado no Achado nº 21 - Irregularidades na contratação, do

Relatório de Fiscalização:

a) falha na análise de mercado do Termo de Referência do

Pregão Eletrônico nº 08/08, em razão de não terem sido elaborados os

estudos técnicos preliminares, em descumprimento ao disposto da Lei nº

8.666/1993, art. 6º, inciso IX;

b) não ter sido considerada solução de TI completa, na

contratação resultante do Termo de Referência do Pregão Eletrônico nº

08/08, em descumprimento ao disposto da Lei nº 8.666/1993, art. 8º,

faltando-lhe, por exemplo, um plano de transferência de tecnologia;

c) com relação ao disposto na Lei nº 8.666/1993, art. 7º, § 2º,

inciso II, para os riscos de encaminhar a licitação dentro de uma

espectativa equivocada sobre os preços, em razão da utilização de uma

única fonte para a sua estimativa, o que não permite a constatação de

eventual viés dos preços em relação ao contexto do mercado, os quais

poderão estar fora de uma faixa de preços aceitável para o serviço, em

desatenção ao disposto na Constituição Federal, art. 37, caput (princípio

da eficiência), cabendo a obtenção de preços em mais de uma fonte,

como pesquisas com os fornecedores, valores adjudicados em licitações

de órgãos públicos, valores registrados em atas de SRP, entre outras

fontes disponíveis;

d) com relação ao Contrato nº 43/08, com a empresa

Advanced Database & IT Sistemas de Informações, para a ausência de

um demonstrativo de formação de preços, desatendendo ao disposto na

Lei nº 8.666/1993, art. 7º, § 2º, inciso II, e inviabilizando eventuais

pleitos objetivando a manutenção do equilíbrio econômico-financeiro

inicial do contrato, ao não evidenciar a relação que as partes pactuaram

inicialmente entre os encargos do contratado e a retribuição da

administração para a justa remuneração do serviço.

e) impertinência nos critérios de habilitação do Pregão

Eletrônico nº 08/08 (item 30, e, do respectivo edital), o qual exigiu dos

licitantes, como condição à habilitação, a apresentação de documento

técnico emitido pelo fabricante Oracle comprovando a condição da

empresa como integrante de seu programa de parcerias denominado

"Oracle Partner Network - OPN", com nível de associação "Certified

Partner (CP)" ou "Certified Advantage Partner (CAP)", sendo

impertinente para o específico objeto do contrato, porquanto embora

possa significar que a empresa tenha os conhecimentos requeridos,

37

desconsidera o fato de que outras empresas, não certificadas, também

possam ter condições de atender ao objeto licitado, exorbitando ao

permitido na Lei nº 8.666/1993, art. 30;

i) desconformidade nos pareceres jurídicos sobre as minutas

do edital do Pregão Eletrônico nº 08/08 e dos Termos Aditivos Primeiro e

Segundo ao Contrato nº 43/08, os quais limitam-se a declarar que as

respectivas minutas foram elaboradas em conformidade com a legislação

aplicável à espécie, quando, em sentido contrário, as impropriedades

constatadas sinalizam diversas falhas na aderência do procedimento

licitatório adotado com a legislação que deveria ter sido observada,

sugerindo superficialidade no exame levado a cabo pela Assessoria

Jurídica, em desatenção ao disposto no parágrafo único do art. 38 da Lei

nº 8.666/1993.

3.22 - Inexistência de controles que promovam a regular

gestão contratual



1183/2010-TCU/Secex/RS), no tocante à gestão de contratos de bens e serviços

de TI, sobre como realiza o processo de gestão de contratos de bens e serviços

de TI, o TRT 4ª Região não apresentou controles que promovam a regular gestão

contratual (Ofício TRT GP nº 92/2010).


Aditivo de Contrato 02/2010 - Termo aditivo segundo ao Contrato

TRT nº 043/2008 de serviço de apoio técnico mensal especializado em banco de

dados Oracle

Contrato TRT nº 043/2008 - Serviço de apoio técnico especializado

em banco de dados Oracle




Negligência



Risco de ineficiência no acompanhamento da execução contratual,

podendo resultar na qualidade/prazo insatisfatórios de serviços e produtos

entregues. (efeito real)

Risco de aquisição ou contratação de equipamentos por preços

maiores que o de mercado (efeito potencial)

Risco de prorrogação de contrato de prestação de serviços com

38

preços e condições desvantajosas para a administração quando, em razão da

adoção intempestiva das ações necessárias, restar inviável a realização de

pesquisa de preços. (efeito potencial)



Plenário


Instrução Normativa 4/2008, SLTI/MPOG, art. 20

Norma Técnica - ITGI - Cobit 4.1, ME3.3 - Avaliar a conformidade

com requisitos externos

Norma Técnica - ITGI - Cobit 4.1, DS2.4 - Monitorar o desempenho

do fornecedor

Norma Técnica - ITGI - Cobit 4.1, AI5.2 - Gerir contratos com

fornecedores





26/41)


Cabe recomendação ao órgão com vistas a que, em atenção ao

princípio da eficiência, implemente controles que promovam a regular gestão

contratual e que permitam identificar se todas as obrigações do contratado foram

cumpridas antes da atestação do serviço.





caput (princípio da eficiência), implemente controles que promovam a

regular gestão contratual e que permitam identificar se todas as

obrigações do contratado foram cumpridas antes da atestação do

serviço, tendo em consideração o teor da Instrução Normativa nº

4/2008, SLTI/MPOG, art. 20, e da Norma Técnica - ITGI - Cobit 4.1,

ME3.3 - Avaliar a conformidade com requisitos externos, AI5.2 - Gerir

contratos com fornecedores e DS2.4 - Monitorar o desempenho do

fornecedor, conforme tratado no Achado nº 22 - Inexistência de

controles que promovam a regular gestão contratual, do Relatório de

Fiscalização.

3.23 - Irregularidades na gestão contratual

39


Segue selecionado o Contrato nº 43/08, firmado em

03/06/2008, com a empresa Advanced Database & IT Sistemas de

Informações, no valor total de R$ 563.808,00, tendo por objeto a

contratação de serviço de apoio técnico mensal especializado em banco

de dados Oracle, com vigência de 24 meses, prorrogada, em

01/06/2010, por seis meses (Proc. nº MA/BS-00771-2008-000-04-00-

0). Foi realizado teste substantivo na gestão contratual de bens e

serviços de TI, sendo constatadas as seguintes impropriedades:

a) Impossibilidade de rastrear serviços executados.

Segundo os termos do edital, os serviços serão requisitados

pela STI mediante a definição do escopo para cada atividade (Anexo I,

item 4). O respectivo pagamento será realizado de acordo com o número

de horas técnicas efetivamente executadas, após a contratada

apresentar o relatório de atividades e o documento fiscal correspondente

(item 37 do edital e cláusula quarta do contrato). Ocorre não ter sido

formalizado um modelo de ordem de serviço. Também não há um

registro próprio das anotações das ocorrências relacionadas com a

execução do contrato. Nos documentos fiscais emitidos pela contratada a

descrição dos serviços indica apenas a quantidade de horas em cada

nível (1 a 5). Há um relatório de atividades, formalizado pela contratada,

no modelo intitulado "F-67 Comunicado a Cliente", o qual apresenta uma

descrição sucinta das atividades e horas trabalhadas. Por exemplo, para

o mês de novembro/2009, consta "Identificação de características

relacionadas com o Storage - Jean Rodrigo Feistler (N4) - 08:00" e

"Gerenciamento do projeto - Fabio Giordani (N5) - 02:00", seguindo-se o

desdobramento das horas indicadas pelos dias correspondentes.

A lei exige que a execução do contrato seja acompanhada e

fiscalizada, com anotação em registro próprio de todas as ocorrências

relacionadas (Lei nº 8.666/1993, arts. 66 e 67, § 1º).

A impossibilidade de rastrear os serviços executados impõe

riscos à monitoração técnica do contrato, em detrimento da fiscalização

do contrato e da regular liquidação da despesa, como prescreve a Lei nº

4.320, art. 63, § 1º, inciso I, e § 2º, inciso III. A IN 04/2008, da

SLTI/MPOG, arts. 20 e 21, apresenta um detalhamento das tarefas

necessárias à regular gestão contratual.

b) Ausência de designação formal de fiscal.

A designação do representante da Administração não foi

formalizada, o que deixa dúvidas quanto à eficácia da monitoração

40

administrativa.

A lei exige que seja especialmente designado um

representante da Administração para acompanhar e fiscalizar a execução

do contrato (Lei nº 8.666/1993, art. 67).

c) Falhas na prorrogação.

O contrato teve vigência por 24 meses, a contar da data de

sua assinatura, em 03/06/2008. Em 01/06/2010, a vigência do contrato

foi prorrogada por seis meses, com fundamento na Lei nº 8.666/1993,

art. 57, inciso II. O Serviço de Planejamento e Projetos (da STI) ao

solicitar, ao Serviço de Licitações e Contratos, providências com vistas à

prorrogação do contrato, expôs que a área técnica não logrou obter no

mercado preços de serviços equivalentes para verificação da

conveniência dos valores então praticados, sendo necessários pelo

menos quatro meses para a realização de nova licitação.

A lei estabelece, com relação aos contratos de prestação de

serviços a serem executados de forma contínua, que poderão ter a sua

duração prorrogada por iguais e sucessivos períodos com vistas à

obtenção de preços e condições mais vantajosas para a Administração,

limitada a sessenta meses (Lei nº 8.666/1993, art. 57, inciso II). Com

mais detalhes, a IN 02/2008, da SLTI/MPOG, no art. 30, § 2º, disciplina,

no âmbito do Sistema de Serviços Gerais - SISG, que toda prorrogação de

contratos seja precedida da realização de pesquisas de preços de

mercado ou de preços contratados por outros órgãos e entidades da

Administração Pública, visando a assegurar a manutenção da

contratação mais vantajosa para a Administração. O contrato em tela foi

prorrogado por período diferente do original e sem que se verificasse se

os preços e condições praticados eram vantajosos para a Administração.

d) Liquidação da despesa em conta contábil indevida

O contrato remete as despesas para o elemento 3.3.9.0.39.00

(Outros serviços de terceiros - pessoa jurídica). As notas de empenho

foram emitidas no elemento 3.3.9.0.35.00 (Serviços de consultoria),

sendo a despesa liquidada no subelemento 3.3.9.0.35.01 (Assessoria e

consultoria técnica ou jurídica), que é um subelemento genérico.

O Plano de Contas da União vigente

(http://www.tesouro.fazenda.gov.br/ contabilidade_governamental/

plano_contas.asp) contempla subelementos específicos para a área de

TI, no caso o subelemento 3.3.3.9.0.35.04 (Consultoria em tecnologia da

informação).


41

Aditivo de Contrato 02/2010 - Termo aditivo segundo ao

Contrato TRT nº 043/2008 de serviço de apoio técnico mensal

especializado em banco de dados Oracle

Contrato TRT nº 043/2008 - Serviço de apoio técnico

especializado em banco de dados Oracle

Documentos e informações disponibilizados eletronicamente

em atenção ao Ofício nº 1183/2010-TCU/Secex/RS - Ofício TRT nº GP

92/2010


Imperícia

Negligência



Serviços em desacordo com o contratado (efeito potencial)

Pagamentos sem que tenham sido produzidos os resultados

esperados (efeito potencial)


Lei 8666/1993, art. 66; art. 67

São também considerados critérios para este achado, de maneira

geral, a Constituição Federal, art. 37, caput (princípio da eficiência), a Lei nº

8666/1993 e a Instrução Normativa 4/2008, SLTI/MPOG, art. 20.




Oracle (Anexo 2 - Principal - folhas 1/217)

Ofício DGCA nº 591/2010 com documentos e informações em atenção

ao Ofício nº 01-751/2010-Secex/RS (segundo ofício de requisição) (Anexo 3 -

Principal - folhas 1/90)


A equipe conclui que:

a) cabe alertar o órgão para aos riscos inerentes à impossibilidade de

rastrear os serviços executados, em razão do descumprimento da Lei nº

8.666/1993, arts. 66 e 67, § 1º;

b) cabe alertar o órgão sobre a ausência de designação formal de

fiscal, decorrente do descumprimento da Lei nº 8.666/1993, art.67;

c) cabe alertar o órgão sobre as falhas na prorrogação do contrato,

decorrentes do descumprimento da Lei nº 8.666/1993, art.57, inciso II;

d) cabe alertar o órgão sobre a liquidação da despesa em

subelemento genérico, quando o Plano de Contas da União vigente contempla

42

subelementos específicos para TI.


Alertar o TRT 4ª Região em relação às seguintes

impropriedades ou riscos e situações pendentes de implementação na

gestão do Contrato nº 43/08, com a empresa Advanced Database & IT

Sistemas de Informações, conforme tratado no Achado nº 23 -

Irregularidades na gestão contratual, do Relatório de Fiscalização:

a) em face do disposto na Lei nº 8.666/1993, arts. 66 e 67, §

1º, e com atenção ao detalhamento das tarefas necessárias à regular

gestão contratual apresentado na IN 04/2008, da SLTI/MPOG, para os

riscos decorrentes da impossibilidade de rastrear os serviços executados,

em detrimento da fiscalização do contrato e da regular liquidação da

despesa, como prescreve a Lei nº 4.320, art. 63, § 1º, inciso I, e § 2º,

inciso III;

b) ausência de designação formal do representante da

Administração, decorrente do descumprimento da Lei nº 8.666/1993, art

67;

c) falhas na prorrogação do contrato por período diferente do

original e sem que se verificasse se os preços e condições praticados

eram vantajosos para a Administração, decorrentes de descumprimento

da Lei nº 8.666/1993, art 57, inciso II;

d) liquidação da despesa no subelemento genérico

3.3.9.0.35.01 (Assessoria e consultoria técnica ou jurídica), quando o

Plano de Contas da União vigente contempla subelementos específicos

para a área de TI, no caso o subelemento 3.3.3.9.0.35.04 (Consultoria

em tecnologia da informação)."

3. Por tais motivos, a Secex/9, em pareceres uniformes (fls.

133/141), sugeriu a esta Corte formular à Susep/MF as seguintes

determinações, recomendações e alertas:

"1 - Recomendar ao TRT 4ª Região, com fulcro na Lei nº


inciso III, que, em atenção ao princípio da eficiência - Constituição

Federal, art. 37, caput:

a) em face do disposto na Resolução nº 90/2009, do CNJ, arts.

10 e 13, promova o alinhamento da sua Política de Segurança da

Informação e Comunicações às diretrizes nacionais, como a Norma

Técnica - Gabinete de Segurança Institucional - Presidência da República

- Norma Complementar 03/IN01/DSIC/GSIPR, também observando as

práticas contidas na Norma Técnica - NBR - ISO/IEC 27002, item 5.1 -

43

Política de segurança da informação, de sorte a ela contemplar também

os itens ainda não normatizados, tais como: diretrizes gerais sobre

tratamento da informação, penalidades e Equipe de Tratamento e

Resposta a Incidentes em Redes Computacionais (ETRI), conforme

tratado no Achado nº 12 - Falhas na Política de Segurança da Informação

e Comunicações (POSIC), do Relatório de Fiscalização;

b) em face do disposto na Resolução nº 90/2009, do CNJ, art.

10, estabeleça procedimentos formais de gestão de mudanças, à

semelhança das orientações contidas na Norma Técnica - ITGI - Cobit

4.1, AI6 - Gerenciar mudanças e de outras reconhecidas práticas de

mercado (como as Normas Técnicas - NBR - ISO/IEC 27002, item 12.5.1

- Procedimentos para controle de mudanças e NBR ISO/IEC 20000, item

9.2 - Gerenciamento de mudanças), conforme tratado no Achado nº 11 -

Inexistência do processo de gestão de mudanças, do Relatório de

Fiscalização;

c) em face do disposto na Resolução nº 90/2009, do CNJ, art.

10, levando em consideração o estabelecido na IN 04/2008-SLTI,

conforme tratado no Achado nº 21 - Irregularidades na contratação, do

Relatório de Fiscalização:

c.1) institua mecanismos de participação de gestores do

negócio nas fases do desenvolvimento de soluções de TI afetas à sua

área, inclusive na aceitação dos bens e serviços eventualmente

contratados, bem assim da área administrativa nas atividades

administrativas da gestão contratual de TI;

c.2) tendo em vista a correção das falhas no método para

mensuração dos serviços no Pregão Eletrônico nº 08/08, em face do

prescrito na Lei nº 8.666/1993, art. 6º, inciso IX, alínea e, adote

providências, quando da elaboração de Termo de Referência ou Projeto

Básico, na indicação dos termos contratuais, visando à fixação de

procedimentos e de critérios de mensuração dos serviços prestados,

abrangendo métricas, indicadores e valores, bem assim com relação à

quantificação ou estimativa prévia do volume de serviços demandados,

para comparação e controle;

d) em face do disposto na Resolução nº 90/2009, do CNJ, arts.

10 e 12, aperfeiçoe a atuação de sua comissão de informática,

considerando as diretrizes da Norma Técnica - ITGI - Cobit 4.1, PO4.2 -

Comitê estratégico de TI e PO4.3 - Comitê diretor de TI, modificando sua

composição para incluir, além dos magistrados, representantes das áreas

relevantes do Tribunal, conforme tratado no Achado nº 4 - Falhas

44

relativas ao comitê de TI, do Relatório de Fiscalização;

e) em face do disposto na Resolução nº 90/2009, do CNJ, art.

2º, envide esforços, inclusive com o CNJ, para que a área de TI seja

dotada de servidores ocupantes de cargos efetivos em quantitativo

suficiente, capacitados e treinados para exercer atividades estratégicas e

sensíveis, possibilitando o atendimento às necessidades institucionais,

atentando para as orientações contidas na Norma Técnica - ITGI - Cobit

4.1, PO 4.12 - Pessoal de TI, conforme tratado no Achado nº 5 -

Inadequação do quadro de pessoal de TI, do Relatório de Fiscalização;

f) em face do disposto na Resolução nº 90/2009, do CNJ, art.

10, implemente processo de gestão de incidentes de serviços de


Norma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar a central de serviços e

incidentes e de outras reconhecidas práticas de mercado (como as

Normas Técnicas - NBR - ISO/IEC 20000, item 8.2 - Gerenciamento de

incidentes e ISO/IEC 27002, item 13 - Gestão de incidentes de segurança

da informação), conforme tratado no Achado nº 9 - Inexistência do

processo de gestão de incidentes, do Relatório de Fiscalização;

g) em face do disposto na Resolução nº 90/2009, do CNJ, art.

10, aperfeiçoe seu processo de gerenciamento de projetos de TI,

considerando os termos da Norma Técnica - ITGI - Cobit 4.1, PO10.2 -

Estrutura de gestão de projetos e do PMBOK, dentre outras boas práticas

de mercado, evidenciando o envolvimento da alta administração com sua

aprovação, conforme tratado no Achado nº 8 - Falhas no processo de

gerenciamento de projetos, do Relatório de Fiscalização;

h) em face do disposto na Resolução nº 70/2009, do CNJ, art.

2º, considere o teor da Norma Técnica - MPOG - Gespública -


avaliação 2, ao revisar o plano estratégico institucional do órgão, com

vistas a incluir nele também a análise dos ambientes interno e externo,

conforme tratado no Achado nº 1 - Falhas no Plano Estratégico

Institucional, do Relatório de Fiscalização;

i) em face do disposto na Lei nº 8.666/1993, art. 6º, inciso IX,

na elaboração dos estudos técnicos preliminares, considere o conteúdo

da "Análise da Viabilidade da Contratação", descrita como uma das

etapas da fase de planejamento da contratação, conforme Instrução

Normativa nº 04/2008-SLTI/MPOG, arts. 9º e 10, e conforme tratado no

Achado nº 20 - Inexistência dos estudos técnicos preliminares, do

Relatório de Fiscalização;

45

j) implemente controles que promovam a regular gestão

contratual e que permitam identificar se todas as obrigações do

contratado foram cumpridas antes da atestação do serviço, tendo em

consideração o teor da Instrução Normativa nº 4/2008, SLTI/MPOG, art.

20, e da Norma Técnica - ITGI - Cobit 4.1, ME3.3 - Avaliar a conformidade

com requisitos externos, AI5.2 - Gerir contratos com fornecedores e

DS2.4 - Monitorar o desempenho do fornecedor, conforme tratado no

Achado nº 22 - Inexistência de controles que promovam a regular gestão

contratual, do Relatório de Fiscalização;

k) em face do disposto na Resolução nº 90/2009, do CNJ, art.

10, promova ações para que a auditoria interna apoie a avaliação da TI,

observando as orientações contidas na Norma Técnica - ITGI - Cobit 4.1,

E2 - Monitorar e avaliar os controles internos, conforme tratado no

Achado nº 18 - Auditoria interna não apoia avaliação da TI, do Relatório

de Fiscalização;

l) em face do disposto na Lei nº 8.666/1993, art. 6º, inciso IX,



partir dos estudos técnicos preliminares, conforme tratado no Achado nº

19 - Inexistência de controles que promovam que o Termo de Referência

ou Projeto Básico seja elaborado a partir de estudos técnicos

preliminares, do Relatório de Fiscalização;

m) em face do disposto na Resolução nº 90/2009, do CNJ, art.

10, institua equipe de tratamento e resposta a incidentes em redes

computacionais, levando em consideração o disposto na Instrução

Normativa GSI/PR nº 01/2008, art. 5º, V, e as práticas contidas na

Norma Complementar 05/IN01/DSIC/GSIPR, conforme tratado no

Achado nº 15 - Inexistência de equipe de tratamento e resposta a

incidentes em redes computacionais (ETRI), do Relatório de Fiscalização;

n) em face do disposto na Resolução nº 90/2009, do CNJ, art.

10, implemente o prescrito no art. 6º da sua Política de Segurança da




de compartilhamento, considerando o teor do Decreto nº 4553/2002, art.

6º, § 2º, incisos I e II e art. 67, e observando as práticas contidas no

item 7.2 da Norma Técnica - NBR - ISO/IEC 27002, item 7.2 -

Classificação da informação, conforme tratado no Achado nº 14 -

Inexistência de classificação da informação, do Relatório de Fiscalização;

46

o) em face do disposto na Resolução nº 90/2009, do CNJ, arts.

9º, § 2º, e 10, aperfeiçoe o procedimento de inventário de ativos de

informação, de maneira que todos os ativos de informação (dados,

hardware, software e instalações) estejam inventariados e tenham um

proprietário responsável, à semelhança das orientações contidas nas

Normas Técnicas - NBR - ISO/IEC 27002, item 7.1.1 - Inventário de

ativos e Gabinete de Segurança Institucional - Presidência da República -

Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, conforme

tratado no Achado nº 13 - Falhas no inventário dos ativos de informação,

do Relatório de Fiscalização;

p) em face do disposto na Resolução nº 90/2009, do CNJ, art.

10, implemente processo de gestão de configuração de serviços de





tratado no Achado nº 10 - Inexistência do processo de gestão de

configuração, do Relatório de Fiscalização;

q) em face do disposto na Resolução nº 90/2009, do CNJ, art.

10, aperfeiçoe o processo de avaliação da gestão de TI, observando as

orientações contidas nas Normas Técnicas - ITGI - Cobit 4.1, ME1.5 -

Relatórios gerenciais, ME1.4 - Avaliar o desempenho, ME2 - Monitorar e

avaliar os controles internos e ME1.6 - Ações corretivas, conforme

tratado no Achado nº 17 - Falhas na avaliação da gestão de TI, do


2 - Determinar ao TRT 4ª Região, com fulcro na Lei nº

8.443/1992, art. 43, inciso I, que:

a) em atenção ao previsto na Resolução nº 70/2009, do CNJ,

art. 2º, aperfeiçoe seu processo de planejamento estratégico

institucional, considerando o disposto na Norma Técnica - MPOG -

Gespública - Instrumento para Avaliação da Gestão Pública - Ciclo 2010 -

critério de avaliação 2, ante as situações pendentes de implementação

com relação ao Plano Estratégico Institucional 2010-2015, conforme

tratado no Achado nº 2 - Falhas do processo de planejamento estratégico

institucional, do Relatório de Fiscalização: (a) definição sobre os

pertinentes planos de ação e sua divulgação entre os servidores do

órgão; (b) desdobramento em planos de ação para as diversas áreas do

órgão; e (c) previsão para avaliação do próprio plano estratégico

institucional;

47

b) em face do disposto na Lei nº 8.666/1993, art. 55, incisos

VII e XIII, em atenção ao previsto na Resolução nº 90/2009, do CNJ, art.

10, e considerando os termos da IN 04/2008-SLTI, arts. 14, item II,

alíneas b e j, e 20, item II, aperfeiçoe o modelo de gestão do contrato,

quando da elaboração de novos termos de referência ou projetos básicos

para contratação de serviços de tecnologia da informação, com vistas a

que sejam definidos outros elementos de gestão contratual (como o

modelo da ordem de serviço; os procedimentos de comunicação com a

contratada; os procedimentos de verificação se todas as condições de

habilitação e qualificação exigidas na licitação foram mantidas pelo

contratado; os critérios de aceitação dos serviços; a cláusula de

confidencialidade; a cláusula de responsabilidade; a cláusula de

garantia), conforme tratado no Achado nº 21 - Irregularidades na

contratação, do Relatório de Fiscalização;

c) em atenção às disposições da Lei nº 8.666/1993, abstenha-

se de prorrogar o contrato firmado, promovendo a adoção das medidas

necessárias à realização de nova licitação, em face das faltas e

impropriedades constatadas, sendo algumas insanáveis (falha da análise

de mercado; a contratação não considerou solução de TI completa;

ausência da área de negócio e da área administrativa na gestão do

contrato; falhas no método para mensuração dos serviços; ausência de

outros elementos de gestão; falhas na estimativa dos custos unitários;

DFP do orçamento-base - ausência; impertinência nos critérios de

habilitação), conforme tratado no Achado nº 21 - Irregularidades na

contratação, do Relatório de Fiscalização;

d) em atenção ao previsto nas Resoluções nos 90/2009, arts.

10 e 11, e 99/2009, art. 2º, ambas do CNJ, elabore e aprove um

Planejamento Estratégico de TIC - PETI e um Plano Diretor de Tecnologia

da Informação e Comunicação - PDTI, considerando as práticas contidas

na Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de

TI, conforme tratado no Achado nº 3 - Inexistência do PDTI, do Relatório

de Fiscalização;

e) em atenção ao disposto na Constituição Federal, art. 37,


10, considere o disposto na Norma Técnica - ITGI - Cobit 4.1, PO4.6 -

Estabelecimento de papéis e responsabilidades e defina formalmente os

papéis e as responsabilidades da área de TI, conforme tratado no Achado

nº 5 - Inexistência de definição formal de papéis e responsabilidades, do


48

f) em atenção ao disposto na Lei nº 8.666/1993, art. 6º, inc.

IX, e na Resolução nº 90/2009, do CNJ, art. 10, considerando o conteúdo

da Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 12, II, e das

Normas Técnicas - ITGI - Cobit 4.1, PO8.3 - Padrões de desenvolvimento

e de aquisições e NBR ISO/IEC - 12.207 e 15.504, defina um processo de

software previamente às futuras contratações de serviços de

desenvolvimento ou manutenção de software, vinculando o contrato com

o processo de software, sem o qual o objeto não estará precisamente

definido, conforme tratado no Achado nº 7 - Inexistência de processo de

software, do Relatório de Fiscalização;

g) em atenção ao disposto na Lei nº 8.666/1993, art. 6º, inc.

IX,elabore estudos técnicos preliminares anteriormente à elaboração dos

termos de referência ou projetos básicos, conforme tratado no Achado

nº20 - Inexistência dos estudos técnicos preliminares, do Relatório de

Fiscalização;

h) em atenção ao previsto na Resolução nº 90/2009, do CNJ,

arts. 3º e 10, elabore e implante plano anual de capacitação voltado para

a gestão de tecnologia da informação, observando as práticas contidas

nas Normas Técnicas - ITGI - Cobit 4.1, PO7.2 - Competências pessoais e

PO7.4 - Treinamento do pessoal, bem assim no guia de orientação para

elaboração do plano de capacitação, no Portal SIPEC/MPOG, conforme

tratado no Achado nº 16 - Inexistência de plano anual de capcitação, do


i) no prazo de 30 (trinta) dias a contar da ciência do acórdão

que vier a ser proferido, para fins de monitoramento das determinações

pela unidade técnica local, apresente informações sobre as providências

tomadas com vistas a sanear os problemas verificados ou encaminhe

plano de ação para a implementação das medidas pertinentes.

3 - Alertar o TRT 4ª Região sobre as impropriedades

constatadas ou riscos e situações pendentes de implementação com

relação ao Pregão Eletrônico nº 08/08 e ao Contrato nº 43/08, com a

empresa Advanced Database & IT Sistemas de Informações, conforme

tratado no Achado nº 21 - Irregularidades na contratação, do Relatório

de Fiscalização:

a) falha na análise de mercado constante do Termo de

Referência do certame, em razão de não terem sido elaborados os

estudos técnicos preliminares, em descumprimento ao disposto da Lei nº

8.666/1993, art. 6º, inciso IX;

b) não foi considerada solução de TI completa na contratação

49

resultante do Termo de Referência, em descumprimento ao disposto da

Lei nº 8.666/1993, art. 8º, faltando-lhe, por exemplo, um plano de

transferência de tecnologia;

c) em atenção ao disposto na Lei nº 8.666/1993, art. 7º, § 2º,

inciso II, para os riscos de encaminhar a licitação dentro de uma

espectativa equivocada sobre os preços, em razão da utilização de uma

única fonte para a sua estimativa, o que não permite a constatação de

eventual viés dos preços em relação ao contexto do mercado, os quais

poderão estar fora de uma faixa de preços aceitável para o serviço, em

desatenção ao disposto na Constituição Federal, art. 37, caput (princípio

da eficiência), cabendo a obtenção de preços em mais de uma fonte,

como pesquisas com os fornecedores, valores adjudicados em licitações

de órgãos públicos, valores registrados em atas de SRP, entre outras

fontes disponíveis;

d) ausência de um demonstrativo de formação de preços a

suportar o contrato firmado, desatendendo ao disposto na Lei nº

8.666/1993, art. 7º, § 2º, inciso II, e inviabilizando eventuais pleitos

objetivando a manutenção do equilíbrio econômico-financeiro inicial do

contrato, ao não evidenciar a relação que as partes pactuaram

inicialmente entre os encargos do contratado e a retribuição da

administração para a justa remuneração do serviço;

e) impertinência nos critérios de habilitação (item 30, e, do

respectivo edital), tendo sido exigido dos licitantes, como condição à

habilitação, a apresentação de documento técnico emitido pelo

fabricante Oracle comprovando a condição da empresa como integrante

de seu programa de parcerias denominado "Oracle Partner Network -

OPN", com nível de associação "Certified Partner (CP)" ou "Certified

Advantage Partner (CAP)", circunstância impertinente para o específico

objeto do contrato, porquanto embora possa significar que a empresa

tenha os conhecimentos requeridos, desconsidera o fato de que outras

empresas, não certificadas, também possam ter condições de atender ao

objeto licitado, exorbitando ao permitido na Lei nº 8.666/1993, art. 30.

4 - Alertar o TRT 4ª Região sobre as impropriedades

constatadas ou riscos e situações pendentes de implementação na

gestão do Contrato nº 43/08, com a empresa Advanced Database & IT

Sistemas de Informações, conforme tratado no Achado nº 23 -

Irregularidades na gestão contratual, do Relatório de Fiscalização:

a) em face do disposto na Lei nº 8.666/1993, arts. 66 e 67, §

1º, e com atenção ao detalhamento das tarefas necessárias à regular

50

gestão contratual apresentado na IN 04/2008, da SLTI/MPOG, para os

riscos decorrentes da impossibilidade de rastrear os serviços executados,

em detrimento da fiscalização do contrato e da regular liquidação da

despesa, como prescreve a Lei nº 4.320, art. 63, § 1º, inciso I, e § 2º,

inciso III;

b) ausência de designação formal do representante da

Administração, decorrente do descumprimento da Lei nº 8.666/1993,

art. 67;

c) falhas decorrentes de descumprimento da Lei nº

8.666/1993, art 57, inciso II, na prorrogação do contrato por período

diferente do original e sem que se verificasse se os preços e condições

praticados eram vantajosos para a Administração;

d) liquidação da despesa no subelemento genérico

3.3.9.0.35.01 (Assessoria e consultoria técnica ou jurídica) quando o


para a área de TI, no caso o subelemento 3.3.3.9.0.35.04 (Consultoria

em tecnologia da informação).

5 - Determinar o encaminhamento de cópia do relatório, voto e

decisão que vier a ser proferida ao CNJ."

É o Relatório

Voto do Ministro Relator

VOTO

Na sessão de 8/9/2010 (acórdão 2.308/2010 - Plenário), apresentei a

este colegiado o resultado consolidado do levantamento efetuado pela Secretaria

de Fiscalização de Tecnologia da Informação - Sefti, em 2010, para avaliar a

governança de tecnologia da informação em 315 órgãos e entidades das

administrações direta e indireta dos três poderes da União.

2. Destaquei, naquela oportunidade, a importância da atuação desta

Corte com relação à matéria, que, a partir da identificação de pontos vulneráveis,

será possível ao Tribunal, em primeiro lugar, atuar como indutor do

aperfeiçoamento da governança de TI no setor público e, em segundo lugar,

identificar e disseminar entre as unidades jurisdicionadas os bons exemplos e

modelos encontrados.

3. Apontei, ainda, as conclusões mais significativas do

levantamento, que permitiu constatar, em síntese, que:

a) mais de 60% das organizações não possui planejamento

estratégico de TI;

b) algumas organizações continuam a ter sua TI totalmente

51

controlada por pessoas estranhas a seus quadros de pessoal;

c) são graves os problemas de segurança da informação, já

que informações críticas não são protegidas adequadamente;

d) metade das organizações não possui método ou processo

para desenvolvimento de softwares e para aquisição de bens e serviços

de informática, o que gera riscos de irregularidades em contratações;

e) a atuação sistemática da alta administração com respeito à

TI ainda é incipiente;

f) mais da metade das organizações está no estágio inicial de

governança de TI, e apenas 5% encontram-se em estágio aprimorado.

4. Neste momento, trago à consideração deste Plenário mais um

trabalho concernente à matéria: a auditoria realizada pela Secex/RS no TRT-4/RS

com o intuito de avaliar controles gerais de governança de TI naquele órgão.

5. As principais ocorrências detectadas no presente trabalho

assemelham-se às verificadas no levantamento consolidado e confirmam

a precisão daquele estudo. Basicamente, constatou-se no TRT-4:

a) falhas no plano estratégico institucional;

b) falhas no processo de planejamento estratégico

institucional;

c) inexistência de plano diretor de TI;

d) falhas na composição do comitê gestor de TI;

e) inexistência de definição formal de papéis e

responsabilidades;

f) inadequação do quadro de pessoal de TI;

g) inexistência de processo adequado de desenvolvimento de

software;

h) falhas no processo de gerenciamento de projetos de TI;

i) inexistência de processo de gestão de incidentes de TI;

j) inexistência de processo de gestão de configuração de

serviços de TI;

k) inexistência de processo de gestão de mudanças;

l) falhas na política de segurança da informação;

m) falhas no inventário de ativos de informação;

n) inexistência de classificação da informação;

o) inexistência de equipe de tratamento e resposta a

incidentes em redes computacionais;

p) inexistência de plano anual de capacitação;

q) inexistência de avaliação de gestão de TI;

r) ausência de apoio da auditoria interna na avaliação de TI;

52

s) inexistência de controles que promovam elaboração de

termos de referência e de projetos básicos a partir de estudos técnicos

preliminares;

t) inexistência de estudos técnicos preliminares;

u) irregularidades em contratações;

v) inexistência de controles que promovam regular gestão

contratual;

x) irregularidades na gestão contratual.

6. A fim de permitir melhor compreensão das falhas acima

apontadas, transcrevo breve excerto das principais conclusões do relatório de

auditoria a respeito do tema (fl. 85):

"A despeito do desenvolvimento da área de TI observado no TRT 4ª

Região, a avaliação dos controles gerais de TI evidenciou a inexistência de

produtos, falhas em produtos, falhas em processos, inexistência de controles e

falhas em controles, resultando em recomendações, determinações e alertas. Tais

deficiências verificadas nos controles gerais de TI podem trazer prejuízos à

própria atividade-fim do órgão, o qual se sujeita a conviver com os riscos que

lhes são inerentes. Também a ausência de planejamento pode refletir

negativamente nas suas atividades e, particularmente, nas suas contratações.

Em geral as faltas ou impropriedades detectadas nos testes substantivos (a

análise do contrato selecionado), apontadas nos achados "Irregularidades na

contratação" e "Irregularidades na gestão contratual", decorreram da falta de

planejamento ou das deficiências verificadas nos controles gerais de TI .

Assim, embora o órgão tenha executado o processo de planejamento

institucional de acordo com as boas práticas, há falhas no Plano Estratégico

Institucional produzido, bem assim no processo em questão.

Por sua vez, o Planejamento Estratégico de TIC - PETI e o

Plano Diretor de Tecnologia da Informação e Comunicação - PDTI,

produtos exigidos por força da Resolução nº 90/2009, do CNJ, são ainda

inexistentes.

No tocante à organização de TI, a Comissão de Informática é

instituída regimentalmente, o que parece ser uma boa prática, mas não

inclui representantes de todas as áreas relevantes, apenas magistrados,

a despeito da recomendação contida na Resolução nº 90/2009, do CNJ.

Não há definição formal dos papéis e responsabilidades da área de TI. O

quadro de pessoal de TI está aquém do necessário.

Não há um processo de software.

Há falhas no processo de gerenciamento de projetos de TI.

Sobre a gestão de serviços de TI, enquanto o processo de

53

gestão de incidentes se traduz no uso de uma ferramenta (BMC Service

Desk Express), não existem os processos de gestão de configuração e de

gestão de mudanças.

Quanto aos processos corporativos de segurança da

informação, a avaliação dos produtos gerados aponta que o órgão

formalizou a política corporativa de segurança da informação (POSIC),

também a designação dos integrantes do Comitê de Segurança da

Informação, faltando normatizar as diretrizes gerais sobre tratamento da

informação, penalidades e Equipe de Tratamento e Resposta a Incidentes

em Redes Computacionais (ETRI). Os ativos de informação em geral são

inventariados, mas há falhas. A classificação das informações ainda não

foi implementada. Não existe a equipe de tratamento e resposta a

incidentes em redes computacionais (ETRI).

Não há um produto chamado plano de capacitação de

profissionais de TI que auxilie no desenvolvimento das competências

necessárias para a boa execução dos trabalhos.

Não há uma avaliação da gestão de TI (um processo formal). A

auditoria interna ainda não apoia a avaliação da TI.

Sobre a contratação de bens e serviços de TI, tendo por base o

contrato selecionado (serviço de apoio técnico especializado em banco

de dados Oracle), a avaliação de controles nada constatou que a

assegurasse a elaboração dos estudos técnicos preliminares. Já os testes

substantivos seguiram a lista de verificação sugerida pela coordenação

do TMS (declaração do objeto, fundamentação da contratação, definição

de requisitos, modelos de prestação do serviço, modelo de gestão do

contrato, estimativa de preço, modelo de seleção do fornecedor, critérios

de seleção do fornecedor, adequação orçamentária) e apontaram

irregularidades na contratação (faltas ou impropriedades).

Na gestão de contratos de bens e serviços de TI, sobre o

mesmo contrato selecionado, a avaliação de controles nada constatou a

promover a regular gestão contratual. Já os testes substantivos

apontaram irregularidades na gestão contratual (faltas ou

impropriedades)."

7. Dessa forma, a unidade técnica apresentou uma série de

determinações, recomendações e alertas que contribuirão para saneamento das

ocorrências detectadas e para o aperfeiçoamento da governança de TI do TRT-4.

8. Assim, por considerar papel deste Tribunal a constante indução de

melhoria da gestão estatal e por estar integralmente de acordo com as medidas

aventadas pela Secex/RS - especialmente no tocante ao crucial tema da

54

segurança da informação, que reputo essencial para adequado funcionamento

das organizações públicas e para defesa da intimidade dos cidadãos que com elas

interagem - acolho as manifestações daquela Secretaria e voto pela adoção da

minuta de acórdão que trago ao escrutínio deste colegiado.

Sala das Sessões, em 16 de fevereiro de 2011.

AROLDO CEDRAZ

Relator

Acórdão

VISTOS, relatados e discutidos estes autos de relatório de auditoria

realizada para avaliar controles gerais de tecnologia da informação no Tribunal

Regional do Trabalho da 4ª Região/RS - TRT-4;

ACORDAM os Ministros do Tribunal de Contas da União, reunidos em

sessão do Plenário, ante as razões expostas pelo relator e com base nos arts. 42,

§1º, e 43, I, da Lei 8.443/1992, e nos arts. 245, §1º, e 250, inciso III, do

Regimento Interno, em:

9.1. recomendar ao TRT-4 que, em atenção ao princípio da

eficiência consagrado na Constituição Federal, art. 37, caput:

9.1.1. em face da Resolução CNJ 90/2009, arts. 10 e 13,

promova o alinhamento da sua Política de Segurança da Informação e

Comunicações às diretrizes nacionais, como a Norma Técnica - Gabinete

de Segurança Institucional - Presidência da República - Norma

Complementar 03/IN01/DSIC/GSIPR, também observando as práticas

contidas na Norma Técnica - NBR - ISO/IEC 27002, item 5.1 - Política de

segurança da informação, de sorte a contemplar também itens ainda não

normatizados, tais como: diretrizes gerais sobre tratamento da

informação, penalidades e Equipe de Tratamento e Resposta a Incidentes

em Redes Computacionais (ETRI), conforme tratado no Achado nº 12 -

Falhas na Política de Segurança da Informação e Comunicações (POSIC),

do Relatório de Fiscalização;

9.1.2. em face da Resolução CNJ 90/2009, art. 10, estabeleça

procedimentos formais de gestão de mudanças, à semelhança das

orientações contidas na Norma Técnica - ITGI - Cobit 4.1, AI6 - Gerenciar

mudanças e de outras reconhecidas práticas de mercado (como as

Normas Técnicas - NBR - ISO/IEC 27002, item 12.5.1 - Procedimentos

para controle de mudanças e NBR ISO/IEC 20000, item 9.2 -

Gerenciamento de mudanças), conforme tratado no achado 11 -

Inexistência do processo de gestão de mudanças - do relatório de

fiscalização;

55

9.1.3. em face da Resolução CNJ 90/2009, art. 10, levando em

consideração a IN SLTI/MPOG 4/2008, conforme tratado no achado 21 -

Irregularidades na contratação - do relatório de fiscalização:

9.1.3.1 institua mecanismos de participação de gestores do

negócio nas fases do desenvolvimento de soluções de TI afetas à sua

área, inclusive na aceitação dos bens e serviços eventualmente

contratados, bem assim da área administrativa nas atividades

administrativas da gestão contratual de TI;

9.1.3.2. tendo em vista a correção das falhas no método para

mensuração dos serviços no pregão eletrônico 08/2008, em face da Lei

8.666/1993, art. 6º, inciso IX, alínea e, adote providências, por ocasião

da elaboração de termo de referência ou projeto básico, na indicação dos

termos contratuais, visando à fixação de procedimentos e de critérios de

mensuração dos serviços prestados, abrangendo métricas, indicadores e

valores, bem assim com relação à quantificação ou estimativa prévia do

volume de serviços demandados, para comparação e controle;

9.1.4. em face da Resolução CNJ 90/2009, arts. 10 e 12,

aperfeiçoe a atuação de sua comissão de informática, considerando as

diretrizes da Norma Técnica - ITGI - Cobit 4.1, PO4.2 - Comitê

estratégico de TI e PO4.3 - Comitê diretor de TI, modificando sua

composição para incluir, além dos magistrados, representantes das áreas

relevantes do Tribunal, conforme tratado no achado 4 - Falhas relativas

ao comitê de TI - do relatório de fiscalização;

9.1.5. em face da Resolução CNJ 90/2009, art. 2º, envide

esforços, inclusive com o CNJ, para que a área de TI seja dotada de

servidores ocupantes de cargos efetivos em quantitativo suficiente,

capacitados e treinados para exercer atividades estratégicas e sensíveis,

possibilitando o atendimento das necessidades institucionais, atentando

para as orientações contidas na Norma Técnica - ITGI - Cobit 4.1, PO

4.12 - Pessoal de TI, conforme tratado no achado 5 - Inadequação do

quadro de pessoal de T - do Relatório de fiscalização;

9.1.6. em face da Resolução CNJ 90/2009, art. 10, implemente

processo de gestão de incidentes de serviços de tecnologia da

informação, à semelhança das orientações contidas na Norma Técnica -

ITGI - Cobit 4.1, DS8 - Gerenciar a central de serviços e incidentes e de

outras reconhecidas práticas de mercado (como as Normas Técnicas -

NBR - ISO/IEC 20000, item 8.2 - Gerenciamento de incidentes e ISO/IEC

27002, item 13 - Gestão de incidentes de segurança da informação),

conforme tratado no achado 9 - Inexistência do processo de gestão de

56

incidentes - do relatório de fiscalização;

9.1.7. em face da Resolução CNJ 90/2009, art. 10, aperfeiçoe

o processo de gerenciamento de projetos de TI, considerando os termos

da Norma Técnica - ITGI - Cobit 4.1, PO10.2 - Estrutura de gestão de

projetos e do PMBOK, entre outras boas práticas de mercado,

evidenciando o envolvimento da alta administração com sua aprovação,

conforme tratado no achado 8 - Falhas no processo de gerenciamento de

projetos, do relatório de fiscalização;

9.1.8. em face da Resolução CNJ 90/2009, art. 2º, considere o

teor da Norma Técnica - MPOG - Gespública - Instrumento para Avaliação

da Gestão Pública - Ciclo 2010 - critério de avaliação 2, ao revisar o plano

estratégico institucional do órgão, com vistas a incluir nele também a

análise dos ambientes interno e externo, conforme tratado no achado 1 -

Falhas no Plano Estratégico Institucional - do relatório de fiscalização;

9.1.9. em face da Lei 8.666/1993, art. 6º, inciso IX, na

elaboração dos estudos técnicos preliminares, considere o conteúdo da

"Análise da Viabilidade da Contratação", descrita como uma das etapas

da fase de planejamento da contratação, conforme Instrução Normativa

SLTI/MPOG 4/2008, arts. 9º e 10, e conforme tratado no achado 20 -

Inexistência dos estudos técnicos preliminares - do relatório de

fiscalização;

9.1.10. implemente controles que promovam a regular gestão

contratual e que permitam identificar se todas as obrigações do

contratado foram cumpridas antes da atestação do serviço, tendo em

consideração o teor da Instrução Normativa SLTI/MPOG 4/2008, art. 20,

e da Norma Técnica - ITGI - Cobit 4.1, ME3.3 - Avaliar a conformidade

com requisitos externos, AI5.2 - Gerir contratos com fornecedores e

DS2.4 - Monitorar o desempenho do fornecedor, conforme tratado no

achado 22 - Inexistência de controles que promovam a regular gestão

contratual - do relatório de fiscalização;

9.1.11. em face da Resolução CNJ 90/2009, art. 10, promova

ações para que a auditoria interna apoie a avaliação da TI, observando

as orientações contidas na Norma Técnica - ITGI - Cobit 4.1, E2 -

Monitorar e avaliar os controles internos, conforme tratado no achado 18

- Auditoria interna não apoia avaliação da TI - do relatório de

fiscalização;

9.1.12. em face da Lei 8.666/1993, art. 6º, inciso IX,



57

partir dos estudos técnicos preliminares, conforme tratado no achado 19

- Inexistência de controles que promovam que o Termo de Referência ou

Projeto Básico seja elaborado a partir de estudos técnicos preliminares -

do relatório de fiscalização;

9.1.13. em face da Resolução CNJ 90/2009, art. 10, institua

equipe de tratamento e resposta a incidentes em redes computacionais,

levando em consideração o disposto na IN GSI/PR 1/2008, art. 5º, V, e

as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR,

conforme tratado no achado 15 - Inexistência de equipe de tratamento e

resposta a incidentes em redes computacionais (ETRI) - do relatório de

fiscalização;

9.1.14. em face da Resolução CNJ 90/2009, art. 10,

implemente o prescrito no art. 6º da sua Política de Segurança da




de compartilhamento, considerando o teor do Decreto 4.553/2002, art.

6º, § 2º, I e II, e art. 67, e observando as práticas contidas no item 7.2

da Norma Técnica - NBR - ISO/IEC 27002, item 7.2 - Classificação da

informação, conforme tratado no achado 14 - Inexistência de

classificação da informação - do relatório de fiscalização;

9.1.15. em face da Resolução CNJ 90/2009, arts. 9º, § 2º, e

10, aperfeiçoe o procedimento de inventário de ativos de informação, de

maneira a que todos os ativos de informação (dados, hardware, software

e instalações) estejam inventariados e tenham um proprietário

responsável, à semelhança das orientações contidas nas Normas

Técnicas - NBR - ISO/IEC 27002, item 7.1.1 - Inventário de ativos e

Gabinete de Segurança Institucional - Presidência da República - Norma

Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, conforme tratado no

achado 13 - Falhas no inventário dos ativos de informação - do relatório

de fiscalização;

9.1.16. em face da Resolução CNJ 90/2009, art. 10,

implemente processo de gestão de configuração de serviços de





tratado no achado 10 - Inexistência do processo de gestão de

configuração - do relatório de fiscalização;

58

9.1.17. em face da Resolução CNJ 90/2009, art. 10, aperfeiçoe

o processo de avaliação da gestão de TI, observando as orientações

contidas nas Normas Técnicas - ITGI - Cobit 4.1, ME1.5 - Relatórios

gerenciais, ME1.4 - Avaliar o desempenho, ME2 - Monitorar e avaliar os

controles internos e ME1.6 - Ações corretivas, conforme tratado no

achado 17 - Falhas na avaliação da gestão de TI - do relatório de

fiscalização.

9.2. determinar ao TRT-4 que:

9.2.1. em atenção à Resolução CNJ 70/2009, art. 2º,

aperfeiçoe seu processo de planejamento estratégico institucional,

considerando o disposto na Norma Técnica - MPOG - Gespública -


avaliação 2, ante as situações pendentes de implementação com relação

ao Plano Estratégico Institucional 2010-2015, conforme tratado no

achado 2 - Falhas do processo de planejamento estratégico institucional

- do relatório de fiscalização: (a) definição sobre os pertinentes planos

de ação e sua divulgação entre os servidores do órgão; (b)

desdobramento em planos de ação para as diversas áreas do órgão; e (c)

previsão para avaliação do próprio plano estratégico institucional;

9.2.2. em face da Lei 8.666/1993, art. 55, incisos VII e XIII,

em atenção à Resolução CNJ 90/2009, art. 10, e considerando os termos

da IN SLTI/MPOG 4/2008, arts. 14, item II, alíneas b e j, e 20, II,

aperfeiçoe o modelo de gestão de contratos, por ocasião da elaboração

de novos termos de referência ou projetos básicos para contratação de

serviços de tecnologia da informação, com vistas a que sejam definidos

outros elementos de gestão contratual (como o modelo da ordem de

serviço; os procedimentos de comunicação com a contratada; os

procedimentos de verificação se todas as condições de habilitação e

qualificação exigidas na licitação foram mantidas pelo contratado; os

critérios de aceitação dos serviços; a cláusula de confidencialidade; a

cláusula de responsabilidade; a cláusula de garantia), conforme tratado

no achado 21 - Irregularidades na contratação - do relatório de

fiscalização;

9.2.3. em atenção à Lei 8.666/1993, abstenha-se de prorrogar

o contrato firmado, promovendo a adoção das medidas necessárias à

realização de nova licitação, em face das faltas e impropriedades

constatadas, sendo algumas insanáveis (falha da análise de mercado; a

contratação não considerou solução de TI completa; ausência da área de

negócio e da área administrativa na gestão do contrato; falhas no

59

método para mensuração dos serviços; ausência de outros elementos de

gestão; falhas na estimativa dos custos unitários; DFP do orçamento-

base - ausência; impertinência nos critérios de habilitação), conforme

tratado no achado 21 - Irregularidades na contratação - do relatório de

fiscalização;

9.2.4. em atenção às Resoluções CNJ 90/2009, arts. 10 e 11, e

99/2009, art. 2º, elabore e aprove um Planejamento Estratégico de TIC -

PETI e um Plano Diretor de Tecnologia da Informação e Comunicação -

PDTI, considerando as práticas contidas na Norma Técnica - ITGI - Cobit

4.1, PO1 - Planejamento Estratégico de TI, conforme tratado no achado 3

- Inexistência do PDTI - do relatório de fiscalização;

9.2.5. em atenção ao princípio da eficiência consagrado na

Constituição Federal, art. 37, caput, e na Resolução CNJ 90/2009, art.

10, considere o disposto na Norma Técnica - ITGI - Cobit 4.1, PO4.6 -

Estabelecimento de papéis e responsabilidades e defina formalmente os

papéis e as responsabilidades da área de TI, conforme tratado no achado

5 - Inexistência de definição formal de papéis e responsabilidades - do

relatório de fiscalização;

9.2.6. em atenção à Lei 8.666/1993, art. 6º, inc. IX, e à

Resolução CNJ 90/2009, art. 10, considerando o conteúdo da IN

SLTI/MPOG 4/2008, art. 12, II, e das Normas Técnicas - ITGI - Cobit 4.1,

PO8.3 - Padrões de desenvolvimento e de aquisições e NBR ISO/IEC -

12.207 e 15.504, defina um processo de software previamente às futuras

contratações de serviços de desenvolvimento ou manutenção de

software, vinculando o contrato com o processo de software, sem o qual

o objeto não estará precisamente definido, conforme tratado no achado 7

- Inexistência de processo de software - do relatório de fiscalização;

9.2.7. em atenção à Lei 8.666/1993, art. 6º, inc. IX, elabore

estudos técnicos preliminares anteriormente à elaboração dos termos de

referência ou projetos básicos, conforme tratado no achado 20 -

Inexistência dos estudos técnicos preliminares - do relatório de

fiscalização;

9.2.8. em atenção à Resolução CNJ 90/2009, arts. 3º e 10,

elabore e implante plano anual de capacitação voltado para a gestão de

tecnologia da informação, observando as práticas contidas nas Normas

Técnicas - ITGI - Cobit 4.1, PO7.2 - Competências pessoais e PO7.4 -

Treinamento do pessoal, bem assim no guia de orientação para

elaboração do plano de capacitação, no Portal SIPEC/MPOG, conforme

tratado no achado 16 - Inexistência de plano anual de capacitação - do

60

relatório de fiscalização;

9.2.9. no prazo de 30 (trinta) dias a contar da ciência deste

acórdão, para fins de monitoramento das determinações pela unidade

técnica local, apresente informações sobre as providências tomadas com

vistas a sanear os problemas verificados ou encaminhe plano de ação

para a implementação das medidas pertinentes;

9.3. alertar o TRT-4 sobre as impropriedades constatadas ou

riscos e situações pendentes de implementação com relação ao pregão

eletrônico 8/2008 e ao contrato 43/2008, firmado com a empresa

Advanced Database & IT Sistemas de Informações, conforme tratado no

achado 21 - Irregularidades na contratação - do relatório de fiscalização:

9.3.1. falha na análise de mercado constante do Termo de

Referência do certame, em razão de não terem sido elaborados estudos

técnicos preliminares, em descumprimento da Lei 8.666/1993, art. 6º,

IX;

9.3.2. não foi considerada solução de TI completa na

contratação resultante do Termo de Referência, em descumprimento à

Lei 8.666/1993, art. 8º, faltando-lhe, por exemplo, plano de

transferência de tecnologia;

9.3.3. em atenção à Lei 8.666/1993, art. 7º, § 2º, II, para os

riscos de encaminhar a licitação dentro de uma expectativa equivocada

sobre os preços, em razão da utilização de uma única fonte para sua

estimativa, o que não permite constatação de eventual viés dos preços

em relação ao contexto do mercado, os quais poderão estar fora de uma

faixa de preços aceitável para o serviço, em desatenção ao princípio da

eficiência, cabendo a obtenção de preços em mais de uma fonte, como

pesquisas com os fornecedores, valores adjudicados em licitações de

órgãos públicos, valores registrados em atas de SRP, entre outras fontes

disponíveis;

9.3.4. ausência de demonstrativo de formação de preços a

embasar o contrato firmado, desatendendo à Lei 8.666/1993, art. 7º, §

2º, II, e inviabilizando eventuais pleitos objetivando a manutenção do

equilíbrio econômico-financeiro inicial do contrato, ao não evidenciar a

relação que as partes pactuaram inicialmente entre os encargos do

contratado e a retribuição da administração para a justa remuneração do

serviço;

9.3.5. impertinência nos critérios de habilitação (item 30, e,

do respectivo edital), tendo sido exigida dos licitantes, como condição de

habilitação, a apresentação de documento técnico emitido pelo

61

fabricante Oracle comprovando a condição da empresa como integrante

de seu programa de parcerias denominado "Oracle Partner Network -

OPN", com nível de associação "Certified Partner (CP)" ou "Certified

Advantage Partner (CAP)", circunstância impertinente para o específico

objeto do contrato, porquanto, embora possa significar que a empresa

tenha os conhecimentos requeridos, desconsidera o fato de que outras

empresas, não certificadas, também podem ter condições de atender ao

objeto licitado, exorbitando o permitido na Lei 8.666/1993, art. 30;

9.4. alertar o TRT-4 sobre as impropriedades constatadas ou

riscos e situações pendentes de implementação na gestão do contrato

43/2008, firmado com a empresa Advanced Database & IT Sistemas de

Informações, conforme tratado no achado 23 - Irregularidades na gestão

contratual - do relatório de fiscalização:

9.4.1. em face da Lei 8.666/1993, arts. 66 e 67, § 1º, e com

atenção ao detalhamento das tarefas necessárias à regular gestão

contratual apresentado na IN SLTI/MPOG 4/2008, para os riscos

decorrentes da impossibilidade de rastrear os serviços executados, em

detrimento da fiscalização do contrato e da regular liquidação da

despesa, como prescreve a Lei 4.320/1964, art. 63, § 1º, I, e § 2º, III;

9.4.2. ausência de designação formal do representante da

Administração, decorrente do descumprimento da Lei 8.666/1993, art.

67;

9.4.3. falhas decorrentes de descumprimento da Lei

8.666/1993, art. 57, inciso II, na prorrogação do contrato por período

diferente do original e sem que se verificasse se os preços e condições

praticados eram vantajosos para a Administração;

9.4.4. liquidação de despesa no subelemento genérico

3.3.9.0.35.01 (Assessoria e consultoria técnica ou jurídica) quando o


para a área de TI, no caso, o subelemento 3.3.3.9.0.35.04 (Consultoria

em tecnologia da informação).

9.5. encaminhar cópia deste acórdão, do relatório e do voto

que o fundamentam e do relatório de fiscalização ao CNJ

Quorum

13.1. Ministros presentes: Benjamin Zymler (Presidente), Valmir

Campelo, Walton Alencar Rodrigues, Ubiratan Aguiar, Augusto Nardes, Aroldo

Cedraz (Relator), Raimundo Carreiro, José Jorge e José Múcio Monteiro.

13.2. Ministros-Substitutos presentes: Augusto Sherman Cavalcanti,

62

Marcos Bemquerer Costa, André Luís de Carvalho e Weder de Oliveira

Publicação

Ata 05/2011 - Plenário

Sessão 16/02/2011

Dou 23/02/2011

Referências (HTML)

Documento(s):AC_0381_05_11_P.doc

Anterior | Próximo

Status do Documento na Coletânea:

[Não Selecionado]

Coletânea

Voltar à lista de documentos

Em caso de dúvidas, críticas e sugestões, favor entrar em contato: Jurisprudência

Requisição atendida em 0.495 segundo(s) .

Acórdão tcu 381 2011 - trt-rs - avaliação de controles de ti

Technology

Transcript of Acórdão tcu 381 2011 - trt-rs - avaliação de controles de ti