Acórdão tcu 757 2011 - se-ms- avaliação de controles de ti

Anterior | Próximo

Pesquisa:

LivreEm Formulário

Quarta-feira, 25 de Maio de 2011.

Pesquisa número: 3Expressão de Pesquisa: "AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO"Bases pesquisadas: Acórdãos; Decisões; Relações; AtasDocumento da base: AcórdãoDocumentos recuperados: 11Documento mostrado: 10Status na Coletânea: Não Selecionado Visualizar este documento no formato: Formato Padrão para Acórdãos

Status do Documento na Coletânea: [Não Selecionado] Coletânea

Voltar à lista de documentos

Identificação

Acórdão 757/2011 - Plenário

Número Interno do Documento

AC-0757-10/11-P

Grupo/Classe/Colegiado

GRUPO I / CLASSE V / Plenário

Processo

013.718/2010-0

Natureza

Relatório de Auditoria

Entidade

Entidade: Secretaria Executiva do Ministério da Saúde - SE/MS

Interessados

Responsável: Márcia Bassit Lameiro da Costa Mazzoli (CPF 059857811-00)

Sumário

RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIADA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADESDE MELHORIA. IRREGULARIDADES TRATADAS EM PROCESSO ESPECÍFICO. DETERMINAÇÕES,RECOMENDAÇÕES E ALERTAS

Assunto

Relatório de Auditoria

Ministro Relator

AROLDO CEDRAZ

Representante do Ministério Público

não atuou

Unidade Técnica

Secretaria de Fiscalização de Tecnologia da Informação - Sefti

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=10...

1 de 27 25/5/2011 13:13

Advogado Constituído nos Autos

não há

Relatório do Ministro Relator

A Secretaria de Fiscalização de Tecnologia da Informação - Sefti realizou auditoriana Secretaria Executiva do Ministério da Saúde - SE/ME, no período de 24/5 a 9/7/2010, com oobjetivo de avaliar controles gerais de tecnologia da informação - TI e verificar se estão deacordo com a legislação pertinente e com as boas práticas de governança de TI.

2. As ocorrências detectadas foram apresentadas pela equipe de auditoria nosseguintes termos (fls. 63/75):

"3 - ACHADOS DE AUDITORIA3.1 - Inexistência do PDTI3.1.1 - Situação encontrada:O órgão declarou que a elaboração do PDTI do órgão foi concluída em abril de

2010. Entretanto, a formalização e publicação do documento no âmbito do Ministério dependemde constituição do comitê que será responsável pela revisão e aprovação do documento.

Neste caso, a ausência de formalização e publicação caracteriza a própriainexistência do PDTI, que só terá validade quando devidamente publicado no âmbito doMinistério, fato que não ocorreu durante a execução desta fiscalização.

3.1.2 - Efeitos/Consequências do achado:Ações de TI não alinhadas ao negócio (efeito potencial).3.1.3 - Critérios:Constituição Federal, art. 37, caput.Decreto Lei 200/1967, art. 6º, inciso I e art. 7ºInstrução Normativa - SLTI/MP 4/2008, art. 2º, inciso X; art. 3º; art. 4º, inciso

III.Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI.3.1.4 - Evidências:Resposta do Ministério da Saúde (Ofício 1.235/2010/MS/SE/GAB) ao

questionamento 2 do Anexo I ao Ofício 396/2010-Sefti (Anexo 1, folha 3).Resposta ao item 2.2 do questionário PerfilGovTI 2010 (fl. 8)3.1.5 - Conclusão da equipe:A instituição não possui um Plano Diretor de Tecnologia da Informação.3.1.6 - Proposta de encaminhamento:Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-Executiva do

Ministério da Saúde que, em atenção ao previsto na Instrução Normativa - SLTI/MPOG 4/2008,art. 3º, elabore e aprove um Plano Diretor de Tecnologia da Informação - PDTI, observando asdiretrizes constantes na Instrução Normativa - SLTI/MPOG 4/2008, art. 4, III, e as práticascontidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI.

3.2 - Papel sensível exercido por não servidor.3.2.1 - Situação encontrada:O representante do auditado enviou, como resposta ao item 3.4 do Ofício de

Comunicação de Auditoria 396/2010-Sefti/TCU, uma planilha com a lista de todas ascoordenações previstas no Datasus que são ocupadas por servidores públicos não pertencentesà carreira do Ministério do Saúde ou por profissionais nomeados exclusivamente em cargos emcomissão. Dessa maneira, entende-se que o representante do auditado considera papelsensível de TI somente aqueles que ocupam cargos da coordenação e da coordenação geral noDatasus.

No âmbito desta auditoria, contudo, consideram-se papéis sensíveis todos aquelesque envolvam o planejamento, coordenação, supervisão e controle (conforme preconiza oDecreto-Lei 200/1967 em seu art. 10, §7º).

Constatou-se que o profissional Rodrigo Hitoshi foi signatário do Contrato0901020.001, da modalidade "por produto", e cujo objeto é (extrato do DOU à fl. 161 do anexo1):

garantir a Cooperação e Assistência Técnica entre MS e a OPAS/OMS paraviabilizar a implantação e qualificação do modelo de atenção condizente com os propósitos do


2 de 27 25/5/2011 13:13

SUS, buscando dar efetividade aos princípios pressupostos pela Lei Orgânica da Saúde e apoiaro desenvolvimento de Tecnologias e instrumentos de fortalecimento da Atenção Básica noBrasil, através da estratégia da Saúde da Família e da Política Nacional de Alimentação eNutrição.

O nome do profissional Rodrigo Hitoshi consta dos artefatos relacionados aoprojeto AMQ e enviados à equipe de auditoria, tais como o "plano de projeto" e "documento deconsenso". Assim, depreende-se que o profissional foi contratado como Consultor OPAS paraprestar serviços associados ao(s) produto(s) previstos no contrato supramencionado aoMinistério da Saúde.

No cabeçalho desses documentos, o profissional consta como responsável peloprojeto AMQ, exercendo, portanto uma atividade típica de planejamento e supervisão típica deservidor público, porém contratado pela OPAS/OMS.

Outro caso envolve as atividades desenvolvidas pelo profissional Rogério SugaiMortoza. Segundo o relatório do TC 027.963/2009-2, que subsidiou o Acórdão 1.617/2010-Plenário, o profissional em questão, embora ocupe o cargo de Assessor de TI, não possuiqualquer vínculo formal com o Ministério da Saúde. Reproduz-se o excerto integral para melhorentendimento:

25. No curso da análise dessa questão, em consulta ao Sistema Integrado deAdministração de Recursos Humanos (Siape), não foi identificado o vínculo existente entre o Sr.Rogério Sugai Mortoza e o MS, se de servidor efetivo ou de cargo comissionado.

26. Questionado sobre isso (fl. 230; principal, vol. 1), o MS apresentoudocumentação no qual consta que o Sr. Rogério Sugai Mortoza é bolsista da Fundação para oDesenvolvimento Científico e Tecnológico em Saúde (Fiotec). Essa fundação é uma entidade dedireito privado que presta apoio técnico e operacional ao desenvolvimento de projetos daFundação Osvaldo Cruz (Fiocruz), sendo esta vinculada ao MS (fls. 272-280; principal, vol. 1).

O fato de o profissional ser assessor de TI da Secretaria-Executiva do Ministério daSaúde comprova o exercício de função que exige a execução de tarefas de planejamento econtrole, mesmo sem pertencer formalmente ao seu quadro de servidores.

Para comprovar a sua atuação, basta verificar que a motivação da contratação(Anexo III, fls. 2-28) bem como o termo de referência (Anexo III, fls. 29-52) que subsidiaram aassinatura do Contrato 72/2010, por meio de adesão a registro de preços, foram elaborados eassinados pelo Sr. Rogério Sugai Mortoza. A elaboração de tais documentos da contrataçãoconstitui tarefa sensível de gestão (conforme art. 2º, IX da IN - SLTI/MP 4/2008), cujaresponsabilidade pela execução é inerente aos servidores formalmente nomeados para oMinistério da Saúde.

Diante das evidências apresentadas, constata-se que há papéis sensíveis doMinistério da Saúde que são exercidos por não servidores do órgão, contrariando o disposto noart. 10, §7º do Decreto-lei 200/1967.

3.2.2 - Efeitos/Consequências do achado:Comprometimento com relação à segurança e efetividade na execução de

atividades sensíveis de TI sob responsabilidade de não servidores do ente (efeito potencial).3.2.3 - Critérios:Instrução Normativa - SLTI/MP 4/2008, art. 2º, inciso IX.Norma Técnica - ITGI - Cobit 4.1, PO4.13 - Pessoal chave de TI.3.2.4 - Evidências:Resposta do Ministério da Saúde (Ofício 1.452/2010/MS/SE/GAB) ao

questionamento 4 do Ofício de Requisição 01-602/2010-Sefti (Anexo 1, fl. 160)Diário Oficial da União, Seção 3, 14/09/2009, fl. 112 (Anexo 1, fl. 161).3.2.5 - Conclusão da equipe:Constatou-se que há papéis sensíveis de TI que são executados por profissionais

que não pertencem ao quadro de servidores do Ministério da Saúde.3.2.6 - Proposta de encaminhamento:Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria Executiva do

Ministério da Saúde que, em atenção às disposições contidas no Decreto-Lei 200/1967, art. 10,§7º, ocupe todos os papéis sensíveis (que executam tarefas de planejamento, coordenação,supervisão e controle) com servidores públicos.

3.3 - Inadequação do quadro de pessoal de TI.


3 de 27 25/5/2011 13:13

3.3.1 - Situação encontrada:O gestor apresentou um documento resultante de um projeto de gestão para

resultados do Ministério da Saúde. Trata-se especificamente do relatório 3, que em seu sumárioexecutivo contém resultados que previam detalhar, formalizar e implantar a nova estruturaorganizacional do Ministério da Saúde e planejar a força de trabalho da Secretaria Executiva edas demais secretarias e unidades da administração indireta.

O item 3.7 do supracitado documento traz o estudo sobre o dimensionamento daforça de trabalho no Datasus, que aborda os objetivos legais do Departamento, a situação daépoca da força de trabalho (abril de 2009), os fatores críticos para o dimensionamento da forçade trabalho, os relatos da oficina de dimensionamento da força de trabalho e, por fim, aproposição de dimensionamento da força de trabalho do Datasus.

Merece destaque o resultado do estudo, que prevê o provimento de 166profissionais até o final de 2011, em virtude da substituição de terceirizados e aposentadorias(fl. 165, arquivo "DIMENSIONAMENTO Datasus.pdf" constante do CD à fl. 3 do Anexo 1),ressaltando ainda que as unidades regionais do Datasus não foram contempladas no estudo.

Impende ressaltar, ainda, que o estudo não se restringiu a avaliação quantitativados profissionais. As principais competências relacionadas aos perfis profissionais tambémforam citadas, o que caracterizou o estudo de adequabilidade qualitativa da estrutura depessoal do Datasus.

Ante a existência de estudo fundamentado, fica evidenciada a inadequação doquadro de pessoal do Datasus.

3.3.2 - Efeitos/Consequências do achado:Comprometimento da execução de atividades da área de TI por falta de quadro

técnico qualificado (efeito potencial).Dependência de empresas terceirizadas (efeito potencial).3.3.3 - Critérios:Decreto 5.707/2006, art. 1º, inciso III; art. 3º, inciso III.Norma Técnica - ITGI - Cobit 4.1, PO4.12 - Pessoal de TI.3.3.4 - Evidências:Resposta do Ministério da Saúde (Ofício 1.235/2010/MS/SE/GAB) ao

questionamento 3.6 do Anexo I ao Ofício 396/2010-Sefti (Anexo 1, fl. 3).3.3.5 - Conclusão da equipe:O quadro de pessoal de TI da instituição é inadequado, tanto sobre o ponto de

vista quantitativo quanto qualitativo.3.3.6 - Proposta de encaminhamento:Recomendar à Secretaria Executiva do Ministério da Saúde que, em atenção ao

disposto na Constituição Federal, art. 37, caput (princípio da eficiência), envide esforços,inclusive junto ao Ministério do Planejamento, para que a área de TI seja dotada de servidoresocupantes de cargos efetivos em quantitativo suficiente, capacitados e treinados para exerceratividades estratégicas e sensíveis, possibilitando o atendimento às necessidades institucionais,atentando para as orientações contidas no Cobit 4.1, PO 4.12 - Pessoal de TI.

3.4 - Falhas no orçamento de TI constante da LOA.3.4.1 - Situação encontrada:Em resposta ao item 4 do Anexo I ao Ofício de Comunicação de Auditoria

396/Sefti-TCU, a instituição enviou cópia da Lei 12.204/2010 (LOA 2010) e alguns de seusexcertos (Volume II, que trata da consolidação dos programas de governo; e o Volume IV, quetraz o detalhamento das ações dos órgãos do Poder Executivo).

Em entrevista, o gestor afirmou que a solicitação do orçamento de TI é feita combase nos valores históricos alocados em anos anteriores e na estimativa dos custos dascontratações previstas. Ratificou, ainda, a informação de que a alocação dos custos de TI não érealizada por área de negócio.

Além disso, em virtude da ausência do PDTI (conforme relatado no achado"Inexistência do PDTI"), não há vinculação entre os gastos previstos no orçamento com asações previstas nos planos estratégicos ou táticos de TI.

3.4.2 - Efeitos/Consequências do achado:Risco de inexecução de serviços por falta de previsão orçamentária (efeito

potencial).


4 de 27 25/5/2011 13:13

3.4.3 - Critérios:Lei 12.017/2009, art. 9º, inciso II.Norma Técnica - ITGI - Cobit 4.1, PO5.3 - Orçamentação de TI.Norma Técnica - MPOG - Gespública - Instrumento para Avaliação da Gestão

Pública - Ciclo 2010 - critério de avaliação 7.3.3.4.4 - Evidências:Resposta do Ministério da Saúde (Ofício 1.235/2010/MS/SE/GAB) ao

questionamento 4 do Anexo I ao Ofício 396/2010-Sefti. (Anexo 1, fl. 3).Resposta ao item 7.15 do questionário PerfilGovTI 2010 (fl. 12)3.4.5 - Conclusão da equipe:Embora conste do PLOA 2010 a segregação do crédito orçamentário de TI pelos

elementos e subelementos associados a despesas de TI, há falhas no processo de elaboração doorçamento de TI, tendo em vista que a alocação dos custos de TI não se vincula com as açõesestratégicas de TI e não é realizada por área de negócio.

3.4.6 - Proposta de encaminhamento:Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria Executiva do

Ministério da Sáude, que aperfeiçoe o processo de elaboração do orçamento de TI, necessárioao cumprimento das disposições contidas Lei 12.017/2009 (LDO 2009/2010), art. 9º, II c/cAnexo II, XVIII, ou das que vierem a lhe suceder, de maneira que as solicitações de orçamentodas despesas de TI estejam baseadas nas ações que se pretende executar, observando aspráticas contidas no Cobit 4.1, Processo PO5.3 - Orçamentação de TI e no Gespública, critériode avaliação 7.3.

3.5 - Falhas no processo de software.3.5.1 - Situação encontrada:Em atenção ao questionamento 5.1 do Ofício de Requisição 396/2010-Sefti.

(Anexo 1, fl. 3) da equipe de auditoria, a Secretaria-Executiva do Ministério da Saúdeapresentou o PGDS - Processo de Gerenciamento e Desenvolvimento de Sistemas -UAPP/Datasus - Ministério da Saúde (arquivo \Ref._Ofício399_2010Sefti_AnexoI\5 - Processo deDesenvolvimento de Software\5.1\UAPP DATASUS - Metodologia.pdf, constante do CD à fl. 3 doAnexo 1). O documento ilustra o processo de software utilizado pelo Datasus, cujo objetivo é ode "auxiliar o Datasus na iniciação, planejamento, execução, monitoramento e encerramentode seus projetos, por meio das melhores práticas de gerenciamento disponíveis pelo mercado eas já adotadas pelo Datasus" (item 1.2 do documento).

O PGDS é dividido em três seções: 1) Introdução; 2) Papéis e responsabilidades e3) Fases do Ciclo de vida do projeto. Essa fiscalização se restringiu a analisar pontos específicosdo processo de software, como a descrição dos papéis e responsabilidades, das atividades e dealguns artefatos previstos.

Na seção 2 do PGDS, estão presentes os papéis e responsabilidades previstos peloprocesso, a saber: UAPP, Líder de Projetos, Técnicos e Cliente. É de se ressalvar, neste caso,que não há a previsão do papel de usuário. Este não se confunde com o papel de cliente, quetipicamente atua em atividades de gestão das demandas e não necessariamente como usuáriofinal do produto de software. Além disso, pode-se destacar que o papel "Técnicos" previsto noPGDS é muito genérico, podendo abranger profissionais de diversos perfis e competências,como, por exemplo, "analistas de requisitos", "desenvolvedores", "analistas de teste",arquitetos de software etc. Esse generalismo torna difícil o entendimento sobre ascompetências e perfis necessários para executar algumas atividades associadas ao papel"Técnico".

A seção 3 do documento traz as atividades e artefatos previstos no PGDS. O item5.1 ilustra o fluxo de projeto de desenvolvimento (Fase de Execução) que contém, entre outroselementos, as atividades associadas aos perfis "cliente", "UAPP", "Líder de Projetos" e"Técnico", bem como os seus artefatos. Nesse fluxo, é possível notar que estão previstosartefatos relacionados ao aceite formal do produto e às eventuais solicitações de mudança queocorram durante o projeto.

Para verificar o uso do processo apresentado em um projeto real, foi solicitado aoauditado, por meio do questionamento 3 do Ofício de Requisição 1/602-TCU/Sefti, para umprojeto em andamento ou finalizado, o documento de requisitos, composto minimamente deuma lista de requisitos e de especificações de casos de uso; o registro de aceite dos requisitos e


5 de 27 25/5/2011 13:13

registro de histórico das mudanças nos requisitos. Da análise dos artefatos entregues (arquivoscompactados em \Questão 3 e 4\Documentos_anexos_questões 3 e 4\AMQ.zip, constante doCD à folha 160 do Anexo 1), concluiu-se que as "listas de casos de uso" e o "documento deconsenso" equivalem aos documentos de requisitos. Entretanto, não consta de nenhum dessesdocumentos as assinaturas dos responsáveis envolvidos, o que corresponde ao registro deaceite destes. Questionado, o gestor Francisco José Marques afirmou que parte dos requisitosproduzidos pelo processo de software não são assinados pelos clientes, em virtude dadificuldade em obter essas assinaturas devido à cultura do local.

O gestor informou, ainda, à equipe de auditoria que o processo de software doDatasus está sendo continuamente melhorado, mas que ainda não havia sido aprovado epublicado para uso no Ministério da Saúde.

3.5.2 - Efeitos/Consequências do achado:Inexistência de parâmetros de aferição de qualidade para contratação de

desenvolvimento de sistemas (efeito potencial).Deficiência no processo de contratação, decorrente da inexistência de metodologia

que assegure boa contratação de desenvolvimento de sistemas (efeito potencial).3.5.3 - Critérios:Instrução Normativa - SLTI/MP 4/2008, art. 12, inciso II.Lei 8.666/1993, art. 6º, inciso IX.Norma Técnica - ITGI - Cobit 4.1, PO8.3 - Padrões de desenvolvimento e de

aquisições.3.5.4 - Evidências:Resposta do Ministério da Saúde (Ofício 1.235/2010/MS/SE/GAB) ao

questionamento 5.1 do Ofício de Requisição 396/2010-Sefti. (Anexo 1, fl. 3).Resposta do Ministério da Saúde (Ofício 1.452/2010/MS/SE/GAB) ao

questionamento 3 do Ofício de Requisição 01-602/2010-Sefti. (Anexo 1, fl. 160).3.5.5 - Conclusão da equipe:O processo de software do órgão apresenta falhas na definição dos papéis e

responsabilidades, bem como não foi aprovado e publicado oficialmente para uso no Ministérioda Saúde.

3.5.6 - Proposta de encaminhamento:Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-Executiva do

Ministério da Saúde que, em atenção ao disposto na Lei 8.666/1993, art. 6º, inc. IX, e àsdisposições contidas na Instrução Normativa - SLTI/MPOG 4/2008, art. 12, II, aperfeiçoe seuprocesso de software previamente às futuras contratações de serviços de desenvolvimento oumanutenção de software, vinculando o contrato com o processo de software, sem o qual oobjeto não estará precisamente definido.

Recomendar ao Ministério da Saúde que, em atenção ao disposto na ConstituiçãoFederal, art. 37, caput (princípio da eficiência), quando do aperfeiçoamento de seu processo desoftware, considere as normas NBR ISO/IEC 12.207 e 15.504.

3.6 - Falhas no processo de gerenciamento de projetos.3.6.1 - Situação encontrada:Em resposta ao item 7.1 do Ofício de Requisição 396/2010-Sefti, a instituição

apresentou o PGDS - Processo de Gerenciamento e Desenvolvimento de Sistemas -UAPP/Datasus - Ministério da Saúde (arquivo \Ref._Ofício399_2010Sefti_AnexoI\5 - Processo deGerenciamento de Projetos\6.1\UAPP DATASUS - Metodologia.pdf, constante do CD à fl. 3 doAnexo 1) e o Guia de Referência em Projetos do EGPP - Escritório de Gestão de Projetos eProcessos (arquivo \Ref._Ofício399_2010Sefti_AnexoI\5 - Processo de Gerenciamento deProjetos\6.1\Guia de Projetos.pdf, constante do CD à fl. 3 do Anexo 1).

O primeiro documento ilustra o processo de software utilizado pelo Datasus(PGDS), cujo objetivo é o de "auxiliar o Datasus na iniciação, planejamento, execução,monitoramento e encerramento de seus projetos, por meio das melhores práticas degerenciamento disponíveis pelo mercado e as já adotadas pelo Datasus" (item 1.2 dodocumento). O PGDS é dividido em três seções: 1) Introdução; 2) Papéis e responsabilidades e3) Fases do Ciclo de vida do projeto. Por estarem previstas no PGDS, o processo degerenciamento de projetos refere-se exclusivamente aos projetos de software, não sendo,portanto, aplicável ao gerenciamento de quaisquer tipos de projetos de TI.


6 de 27 25/5/2011 13:13

O segundo documento apresentado pela instituição (EGPP), tem como objetivodefinir o processo de planejamento, execução e supervisão dos projetos, descrevendo osrelacionamentos, as atividades e as responsabilidades de cada participante nessas tarefas(seção I, introdução).

Observa-se que o processo de gerenciamento de projetos é abordado em doisdocumentos com objetivos e conteúdos distintos. Para ilustrar as diferenças, basta comparar alista de papéis presentes nas duas metodologias. O PGDS não contempla o papel de"patrocinador do projeto", enquanto o EGPP descreve de maneira explícita e detalhada asresponsabilidades desse papel em cada uma das fases do projeto. Da mesma maneira, não háprevisão no PGDS do papel de gestor de negócio no projeto, conforme descreve o Guia deReferência em Projetos (p. 14 do arquivo "Guia de Projetos.pdf" constante do CD à fl. 3 doAnexo 1). Diante disso, conclui-se que o processo previsto no Guia de Referência em Projetos(EGPP), embora genérico e aplicável a todos os projetos, é diferente do excerto relacionado agerenciamento de projetos de software presente no PGDS.

O item 4 do Ofício de Requisição 1-602/Sefti/TCU solicitou à instituição osseguintes artefatos relacionados ao gerenciamento de projetos: 1) Definição do escopo; 2)Cronograma; 3) Orçamento; 4) Lista de riscos (com seus respectivos tratamentos previstos); 5)Fases do ciclo de vida do projeto; e 6) Plano para execução do projeto homologado por todos osenvolvidos. Em resposta, foram enviados uma série de documentos, entre eles o Documento deConsenso (Escopo), GPD-005-Cronograma, MS_AMQ_MODULO_02_PPF, Plano de Projeto eProposta de Projeto (arquivos compactados em \Questão 3 e 4\Documentos_anexos_questões 3e 4\AMQ.zip, constante do CD à folha 160 do Anexo 1).

Segundo o gestor, os documentos "Plano de Projeto" e "Proposta de Projeto"possuem um levantamento preliminar dos riscos do projeto. Da análise dos artefatos, a equipede auditoria verificou que o levantamento dos riscos foi realizado de maneira parcial,considerando as atividades previstas pelo Guia de Referência em Projetos. Nota-se, portanto,que para o caso dos artefatos enviados, as atividades associadas ao gerenciamento de riscosprevistas no Guia de Referência em Projetos não foram executadas, o que possibilita concluirque o processo previsto no Guia não foi seguido para o projeto em questão.

Além disso, não constam de nenhum dos documentos enviados as assinaturas dosresponsáveis envolvidos, o que corresponde ao registro de homologação destes, conformesolicitado no Ofício de Requisição 1-602/Sefti/TCU. Em entrevista o gestor Francisco JoséMarques afirmou que parte dos requisitos produzidos pelo processo de software não sãoassinados pelos clientes, em virtude da dificuldade em obter essas assinaturas devido à culturado local.

O gestor informou ainda à equipe de auditoria que o processo de gerenciamentode projetos do Datasus está sendo continuamente melhorado, mas que na data da auditoriaainda não havia sido aprovado e publicado para uso no Ministério da Saúde.

3.6.2 - Efeitos/Consequências do achado:Risco de insucesso de projetos/processos relevantes, por falhas na estrutura de

gestão de projetos (efeito potencial).3.6.3 - Critérios:Norma Técnica - ITGI - Cobit 4.1, PO10.2 - Estrutura de gerência de projetos.3.6.4 - Evidências:Resposta do Ministério da Saúde (Ofício 1.235/2010/MS/SE/GAB) ao

questionamento 6.1 do Ofício de Requisição 396/2010-Sefti. (Anexo 1, fl. 3).Resposta do Ministério da Saúde (Ofício 1.452/2010/MS/SE/GAB) ao

questionamento 4 do Ofício de Requisição 01-602/2010-Sefti. (Anexo 1, fl. 160).3.6.5 - Conclusão da equipe:Embora exista um processo de gerenciamento de projetos de TI em uso na

instituição, este não foi plenamente executado no projeto avaliado, bem como não foi aprovadoe publicado oficialmente para uso no Ministério da Saúde.

3.6.6 - Proposta de encaminhamento:Recomendar à Secretaria-Executiva do Ministério da Saúde que, em atenção ao

disposto na Constituição Federal, art. 37, caput (princípio da eficiência), aperfeiçoe seuprocesso de gerenciamento de projetos, observando as orientações contidas no Cobit 4.1,processo PO10.2 - Estruturas de Gerência de Projetos e do PmBok, dentre outras boas práticas


7 de 27 25/5/2011 13:13

de mercado.3.7 - Inexistência do processo de gestão de incidentes.3.7.1 - Situação encontrada:O responsável declarou que o órgão não implementa processo de gestão de

incidentes relacionados aos serviços de TI.3.7.2 - Efeitos/Consequências do achado:Ocorrência de incidentes sem o devido gerenciamento (efeito potencial).3.7.3 - Critérios:Constituição Federal, art. 37, caput .Norma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar incidentes e service desk.3.7.4 - Evidências:Resposta ao item 7.6 do questionário PerfilGovTI 2010 (fl. 11).Resposta do Ministério da Saúde (Ofício 1235/2010/MS/SE/GAB) ao

questionamento 7 do Anexo I ao Ofício 396/2010-Sefti . (Anexo 1, fl. 3).3.7.5 - Conclusão da equipe:O órgão não implementa processo de gestão de incidentes relacionados aos

serviços de TI.3.7.6 - Proposta de encaminhamento:Recomendar ao Ministério da Saúde que, em atenção ao disposto na Constituição

Federal, art. 37, caput (princípio da eficiência), implemente processo de gestão de incidentes deserviços de Tecnologia da Informação, à semelhança das orientações contidas no Cobit 4.1,processo DS8 - Gerenciar a central de serviços e incidentes e de outras boas práticas demercado (como a NBR ISO/IEC 20.000 e a NBR 27.002).

3.8 - Inexistência do processo de gestão de configuração3.8.1 - Situação encontrada:O responsável declarou que o órgão não implementa processo de gestão de

configuração.3.8.2 - Efeitos/Consequências do achado:Desatualização ou deficiência da configuração dos ativos de TI (efeito potencial).3.8.3 - Critérios:Norma Técnica - ITGI - Cobit 4.1, DS9 - Gerenciar Configurações.3.8.4 - Evidências:Resposta ao item 7.6 do questionário PerfilGovTI 2010 (fl. 11).Resposta do Ministério da Saúde (Ofício 1.235/2010/MS/SE/GAB) ao

questionamento 7 do Anexo I ao Ofício 396/2010-Sefti (Anexo 1, fl. 3).3.8.5 - Conclusão da equipe:O órgão não implementa processo de gestão de configuração.3.8.6 - Proposta de encaminhamento:Recomendar à Secretaria-Executiva do Ministério da Saúde que, em atenção ao

disposto na Constituição Federal, art. 37, caput (princípio da eficiência), implemente processode gestão de configuração de serviços de Tecnologia da Informação, à semelhança dasorientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração e de outras boaspráticas de mercado (como a NBR ISO/IEC 20.000).

3.9 - Inexistência do processo de gestão de mudanças.3.9.1 - Situação encontrada:O responsável declarou que o órgão não implementa processo de gestão de

mudanças.3.9.2 - Efeitos/Consequências do achado:Não avaliação do impacto de eventuais mudanças (efeito potencial).Solicitações de mudanças não controladas (efeito potencial).3.9.3 - Critérios:Norma Técnica - ITGI - Cobit 4.1, AI6 - Gerenciar mudanças.Norma Técnica - NBR - ISO/IEC 27002, 12.5.1 - Procedimentos para controle de

mudanças.3.9.4 - Evidências:Resposta ao item 7.6 do questionário PerfilGovTI 2010 (fl. 11)Resposta do Ministério da Saúde (Ofício 1.235/2010/MS/SE/GAB) ao


8 de 27 25/5/2011 13:13

questionamento 7 do Anexo I ao Ofício 396/2010-Sefti . (Anexo 1, fl. 3)3.9.5 - Conclusão da equipe:O órgão não implementa um processo de gestão de mudanças.3.9.6 - Proposta de encaminhamento:Recomendar ao Ministério da Saúde que, em atenção ao disposto na Constituição

Federal, art. 37, caput (princípio da eficiência), estabeleça procedimentos formais de gestão demudanças, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 17.799:2005, àsemelhança das orientações contidas no Cobit 4.1, processo AI6 - Gerenciar mudanças e deoutras boas práticas de mercado (como a NBR ISO/IEC 20.000).

3.10 - Inexistência de Política de Segurança da Informação e Comunicações(Posic).

3.10.1 - Situação encontrada:O responsável declarou que o órgão não possui Política de Segurança da

Informação e Comunicações (Posic).3.10.2 - Efeitos/Consequências do achado:Falhas nos procedimentos de segurança (efeito potencial).3.10.3 - Critérios:Instrução Normativa - GSI/PR 1/2008, art. 5º, inciso VII.Norma Complementar 3/IN01/DSIC/GSIPR.Norma Técnica - NBR - ISO/IEC 27002, item 5.1 - Política de segurança da

informação.3.10.4 - Evidências:Resposta ao item 7.2 do questionário PerfilGovTI 2010 (fl. 10).Resposta do Ministério da Saúde (Ofício 1235/2010/MS/SE/GAB) ao

questionamento 8 do Anexo I ao Ofício 396/2010-Sefti. (Anexo 1, fl. 3).3.10.5 - Conclusão da equipe:Não existe Política de Segurança da Informação e Comunicações (Posic).3.10.6 - Proposta de encaminhamento:Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-Executiva do

Ministério da Saúde que, em atenção ao disposto na Instrução Normativa - GSI/PR 1/2008, art.5º VII, implante Política de Segurança da Informação e Comunicações, observando as práticascontidas na Norma Complementar 03/IN01/DSIC/GSIPR.

3.11 - Inexistência de classificação da informação.3.11.1 - Situação encontrada:O responsável declarou que o órgão não classifica as informações sob sua

responsabilidade.3.11.2 - Efeitos/Consequências do achado:Risco de divulgação indevida de informação restrita (efeito potencial).3.11.3 - Critérios:Decreto 4.553/2002, art. 6º, § 2º, inciso II; art. 67.Norma Técnica - NBR - ISO/IEC 27002, item 7.2 - Classificação da informação.3.11.4 - Evidências:Resposta do Ministério da Saúde (Ofício 1.235/2010/MS/SE/GAB) ao

questionamento 8 do Anexo I ao Ofício 396/2010-Sefti (Anexo 1, fl. 3).Resposta ao item 7.1 do questionário PerfilGovTI 2010 (fl.10).3.11.5 - Conclusão da equipe:O órgão não classifica as informações sob sua responsabilidade.3.11.6 - Proposta de encaminhamento:Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-Executiva do

Ministério da Saúde que, em atenção ao disposto no Decreto 4553/2002, art. 6º, § 2º, inciso IIe art. 67, crie critérios de classificação das informações a fim de que possam ter tratamentodiferenciado conforme seu grau de importância, criticidade e sensibilidade, observando aspráticas contidas no item 7.2 da NBR ISO/IEC 27.002.

3.12 - Inexistência de inventário dos ativos de informação.3.12.1 - Situação encontrada:O responsável declarou que o órgão realiza o inventário dos ativos de informação.3.12.2 - Efeitos/Consequências do achado:


9 de 27 25/5/2011 13:13

Dificuldade de recuperação de ativo de informação (efeito potencial).3.12.3 - Critérios:Norma Técnica - NBR - ISO/IEC 27002, item 7.1.1 - inventário de ativos.3.12.4 - Evidências:Resposta do Ministério da Saúde (Ofício 1.235/2010/MS/SE/GAB) ao

questionamento 8 do Anexo I ao Ofício 396/2010-Sefti (Anexo 1; fl.3).Resposta ao item 7.1 do questionário PerfilGovTI 2010 (fl. 10).3.12.5 - Conclusão da equipe:O órgão não realiza o inventário dos ativos de informação.3.12.6 - Proposta de encaminhamento:Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-Executiva do

Ministério da Saúde que, em atenção ao disposto na Instrução Normativa GSI/PR 01/2008, art.5º, VII c/c Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimentode inventário de ativos de informação, de maneira que todos os ativos de informação sejaminventariados e tenham um proprietário responsável, observando as práticas contidas no item7.1 da NBR ISO/IEC 27.002.

3.13 - Inexistência de processo de gestão de riscos de segurança da informação(GRSIC).

3.13.1 - Situação encontrada:O responsável declarou que o órgão não instituiu a gestão de risco na organização.

Entretanto, ressaltou que a área de TI do Datasus vem trabalhando no sentido de adotar asmelhores práticas de gestão de risco na área de TI, e teria elaborado uma proposta de modelode gestão aderente às recomendações do GSI/PR. Informou ainda que essa proposta demodelo de gestão refere-se apenas à área de TI.

3.13.2 - Efeitos/Consequências do achado:Desconhecimento das ameaças e respectivos impactos relacionados à segurança

da informação (efeito potencial).3.13.3 - Critérios:Instrução Normativa - GSI/PR 1/2008, art. 5º, inciso VII.Norma Complementar - 4/IN01/DSIC/GSIPR.Norma Técnica - ITGI - Cobit 4.1, PO9.4 - Avaliação de riscos.Norma Técnica - NBR - 27005 - Gestão de riscos de segurança da informação.3.13.4 - Evidências:Resposta do Ministério da Saúde (Ofício 1.452/2010/MS/SE/GAB) ao

questionamento 5 do Ofício de Requisição 01-602/2010-Sefti. (Anexo 1; fl. 160).3.13.5 - Conclusão da equipe:A instituição não possui processo de gestão de riscos de segurança da informação

(GRSIC).3.13.6 - Proposta de encaminhamento:Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-Executiva do

Ministério da Saúde que, em atenção ao disposto na Instrução Normativa - GSI/PR 1/2008, art.5º, VII c/c Norma Complementar - 4/IN01/DSIC/GSIPR, implemente processo de gestão deriscos de segurança da informação.

3.14 - Inexistência de Gestor de Segurança da Informação e Comunicações.3.14.1 - Situação encontrada:O responsável declarou que o órgão não designou formalmente o gestor de

segurança da informação e comunicações.3.14.2 - Efeitos/Consequências do achado:Não otimização das ações de segurança da informação (efeito potencial).3.14.3 - Critérios:Instrução Normativa - GSI/PR 1/2008, art. 5º, inciso IV; art. 7ºNorma Complementar - 3/IN01/DSIC/GSIPR, item 5.3.7.2.Norma Técnica - NBR - ISO/IEC 27002, 6.1.3 - Atribuição de responsabilidade para

segurança da informação.3.14.4 - Evidências:Resposta do Ministério da Saúde (Ofício 1.452/2010/MS/SE/GAB) ao

questionamento 6 do Ofício de Requisição 01-602/2010-Sefti. (Anexo 1; fl.160).


10 de 27 25/5/2011 13:13

3.14.5 - Conclusão da equipe:O órgão não designou formalmente o gestor de segurança da informação e

comunicações.3.14.6 - Proposta de encaminhamento:Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-Executiva do

Ministério da Saúde que, em atenção ao disposto na Instrução Normativa - GSI/PR 1/2008, art.5º, IV e art. 7º, c/c Norma Complementar - 3/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie gestorde segurança da informação e comunicações, observando as práticas contidas na NBR ISO/IEC27.002, item 6.1.3 - Atribuição de responsabilidade para segurança da informação.

3.15 - Inexistência de equipe de tratamento e resposta a incidentes em redescomputacionais (ETRI).

3.15.1 - Situação encontrada:O responsável declarou que o órgão não instituiu uma equipe de tratamento e

resposta a incidentes em redes computacionais.3.15.2 - Efeitos/Consequências do achado:Falhas relativas às notificações e às atividades relacionadas a incidentes de

segurança em redes de computadores (efeito potencial).3.15.3 - Critérios:Instrução Normativa - GSI/PR 1/2008, art. 5º, inciso V.Norma Complementar - 5/IN01/DSIC/GSIPR.3.15.4 - Conclusão da equipe:O órgão não instituiu uma equipe de tratamento e resposta a incidentes em redes

computacionais.3.15.5 - Proposta de encaminhamento:Determinar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-Executiva do

Ministério da Saúde que, em atenção ao disposto na Instrução Normativa - GSI/PR 1/2008, art.5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais,observando as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR.

3.16 - Inexistência de plano anual de capacitação.3.16.1 - Situação encontrada:Em resposta ao item 1 do Ofício de Requisição 2-602/2010/TCU/Sefti, a instituição

declarou que não possui um Plano de Capacitação para o ano de 2010.A instituição ressaltou ainda que foi criada no Ministério da Saúde a coordenação

de desenvolvimento institucional por competências, subordinada a coordenação geral deinovação gerencial. Segundo a resposta, dentre as competências da área, está a de elaborar oplano anual de capacitação do Ministério da Saúde e dos hospitais federais.

A responsável afirmou ainda estar envidando esforços, em conjunto com aCodep/CGRH para a elaboração do plano de 2010, estimando estar com a versão final até o dia25/07/2010.

3.16.2 - Efeitos/Consequências do achado:Não otimização do potencial dos recursos humanos (efeito potencial).Desatualização do quadro de pessoal em termos de conhecimento/capacitação

(efeito potencial).3.16.3 - Critérios:Decreto 5707/2006, art. 5º, § 2ºNorma Técnica - ITGI - Cobit 4.1, PO7.2-Competências Pessoais.Norma Técnica - ITGI - Cobit 4.1, PO7.4 - Treinamento do Pessoal.Portaria - MP 208/2006, art. 2º, inciso I; art. 4º3.16.4 - Evidências:Ofício MS/SE/GAB 1.568 (fl. 20).Comunicação eletrônica entre a equipe de auditoria e a coordenadora de

desenvolvimento institucional por competências do Ministério da Saúde (fls. 35-36).3.16.5 - Conclusão da equipe:A instituição não possui um plano anual de capacitação para o ano de 2010.3.16.6 - Proposta de encaminhamento:Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Ministério da Saúde que,

em atenção às disposições contidas no Decreto 5.707/2006, art. 5º, 2º, c/c Portaria - MP


11 de 27 25/5/2011 13:13

208/2006, art. 2º, I e art. 4º, elabore plano anual de capacitação.Recomendar, com fulcro na Lei 8.443/1992, art. 43, I, à Secretaria-Executiva do

Ministério da Saúde que, quando elaborar o próximo Plano Anual de Capacitação, contempleações de capacitação voltadas para a gestão de Tecnologia da Informação, observando aspráticas contidas no Cobit 4.1, processos PO7.2 - Competências Pessoais e PO7.4 - Treinamentodo Pessoal.

3.17 - Inexistência de avaliação da gestão de TI.3.17.1 - Situação encontrada:O responsável declarou, de acordo com a resposta ao item 1.2 do Questionário

PefilGovTI-2010, que não estabeleceu indicadores ou objetivos de desempenho de gestão e deuso corporativos de TI, e também que não recebe ou avalia regularmente informações sobre odesempenho relativo à gestão e uso de TI.

3.17.2 - Efeitos/Consequências do achado:Impossibilidade de verificação de possibilidades de melhoria (efeito potencial).Decisões gerenciais baseadas em informações incompletas ou errôneas (efeito

potencial).Problemas não identificados nos serviços de TI (efeito potencial).3.17.3 - Critérios:Norma Técnica - ITGI - Cobit 4.1, ME1.5 - Relatórios gerenciais.Norma Técnica - ITGI - Cobit 4.1, ME1.4 - Avaliar o desempenho.Norma Técnica - ITGI - Cobit 4.1, ME1.6 - Ações corretivas.3.17.4 - Evidências:Resposta ao item 1.2 do questionário PerfilGovTI 2010 (fl. 7).3.17.5 - Conclusão da equipe:Não é realizada a avaliação regular do desempenho relativo à gestão e uso de TI

no órgão.3.17.6 - Proposta de encaminhamento:Recomendar à Secretaria-Executiva do Ministério da Saúde que, em atenção ao

disposto na Constituição Federal, art. 37, caput (princípio da eficiência), estabeleça umprocesso de avaliação da gestão de TI, observando as orientações contidas no Cobit 4.1, itensME1.4 - Avaliação de desempenho, ME1.5 Relatórios gerenciais, ME1.6 - Ações corretivas e ME2- Monitorar e avaliar os controles internos.

3.18 - Auditoria interna não apoia avaliação da TI.3.18.1 - Situação encontrada:O responsável declarou que não foi realizada auditoria de TI de iniciativa da

própria instituição nos últimos três anos.3.18.2 - Efeitos/Consequências do achado:Deficiências na governança de TI, gestão de riscos e controles internos (efeito

potencial).3.18.3 - Critérios:Norma Técnica - ITGI - Cobit 4.1, E2 - Monitorar e avaliar os controles internos.3.18.4 - Evidências:Resposta ao item 1.4 do questionário PerfilGovTI 2010 (fl. 8).3.18.5 - Conclusão da equipe:Pela informação prestada pelo Ministério da Saúde, de que não foi realizada

auditoria de TI de iniciativa da própria instituição nos últimos três anos, afere-se que aauditoria interna, por não ter realizado auditorias de TI durante o período mencionado, nãoapoia a avaliação da TI do órgão.

3.18.6 - Proposta de encaminhamento:Recomendar à Secretaria-Executiva do Ministério da Saúde que, em atenção ao

disposto na Constituição Federal, art. 37, caput (princípio da eficiência), promova ações paraque a auditoria interna apoie a avaliação da TI, observando as orientações contidas no Cobit4.1, ME2 - Monitorar e avaliar os controles internos.

3.19 - Falhas nos controles que promovam o cumprimento da IN - 43.19.1 - Situação encontrada:Em resposta ao item 10.1 do Anexo 1 do Ofício de Comunicação de Auditoria

396/2010 (fl. 58), que solicitou evidências que comprovassem a resposta ao questionamento do


12 de 27 25/5/2011 13:13

item 7.10 do questionário PerfilGovTI 2010, o responsável anexou os documentos "1 - Análisede Viabilidade_Datasus.doc", "2 - Plano de Sustenção_Datasus.doc", "3 - Estratégia deContratação_Datasus.doc", "4 - Análise_de_risco _Datasus.doc" e "Requisição doContratante.doc" (Anexo 1, fl. 3, pasta Resposta_Ministério daSaúde_Of.417_2010_SEFTI\Ref._Ofício399_2010Sefti_AnexoI\10 - Processo de Contratação deBens e Serviços de TI\10.1\10.1\IN04_modelo\IN04_DATASUS).

Trata-se de documentos que contém os itens exigidos pela IN - SLTI/MP 4/2008(art. 8º a 15) para o planejamento das contratações de TI.

Fato é que a solicitação prevista no item 10.1 supramencionado consiste em quese comprove, por meio de evidências, que há procedimentos internos em vigor no Ministério daSaúde que auxiliam na padronização do processo de planejamento das contratações de TI (fl.11). Os formulários enviados, que visam a dar suporte ao cumprimento da IN - SLTI/MP 4/2008por parte dos envolvidos é um exemplo de controle. Entretanto, não foram enviadas evidênciasde que esse controle foi efetivamente utilizado em uma situação concreta de contratação deserviços de TI.

Além disso, o auditado não apresentou evidências em relação à requisição do item10.2 do Ofício de Comunicação de Auditoria 396/2010, que solicitou os controles utilizados paragarantir que o projeto básico ou termo de referência das contratações de TI contemple todos oselementos necessários e com detalhamento suficiente. Foi solicitado, ainda, que o auditadoapresentasse evidências de que este controle, caso existisse, era efetivamente utilizado emonitorado. A ausência dessa resposta indica que o auditado não possui os controlesnecessários para dar cumprimento ao art. 17 da IN - SLTI/MP 4/2008.

Da situação exposta, depreende-se que parte das exigências previstas naInstrução Normativa podem ser observadas com o uso dos formulários enviados. Não há nosautos, contudo, evidências que comprovem que esses formulários têm sido efetivamenteutilizados pelo órgão. Ademais, não foram apresentadas evidências de que há controles paragarantir o cumprimento dos requisitos de informação mínimos para a construção de um projetobásico ou termo de referência para contratações de serviços de TI.

3.19.2 - Efeitos/Consequências do achado:Descumprimento do processo de contratação previsto na Norma (efeito real, ante

o relatado no achado 3.20).3.19.3 - Critérios:Norma Técnica - ITGI - Cobit 4.1, AI5.4 - Adquirir recursos de TI.Norma Técnica - ITGI - Cobit 4.1, AI5.3 - Selecionar fornecedor.Norma Técnica - ITGI - Cobit 4.1, ME3.3 - Avaliar a conformidade com requisitos

externos.Norma Técnica - ITGI - Cobit 4.1, AI1 - Identificar soluções automatizadas.3.19.4 - Evidências:Resposta do Ministério da Saúde (Ofício 1.235/2010/MS/SE/GAB) ao

questionamento 10 do Anexo I ao Ofício 396/2010-Sefti (Anexo 1, fls. 129-142).3.19.5 - Conclusão da equipe:Embora a instituição possua alguns controles para auxiliar no processo de

planejamento da contratação de serviços de TI, estes são insuficientes por não contemplaremtodos os elementos necessários e para o planejamento da contratação, segundo o quepreconizam os art. 8º a 17 da IN - SLTI/MP 4/2008. Além disso, não há evidências de que oscontroles apresentados foram efetivamente utilizados em um caso prático.

3.19.6 - Proposta de encaminhamento:Recomendar ao Ministério da Saúde que, em atenção ao disposto na Constituição

Federal, art. 37, caput (princípio da eficiência), aperfeiçoe os controles destinados a promover ocumprimento do processo de planejamento previsto na Instrução Normativa - SLTI/MP 4/2008.

3.20 - Descumprimento do processo de planejamento de acordo com a IN - 43.20.1 - Situação encontrada:Constam dos autos (Anexo III, fls. 1-81) informações sobre o processo de

aquisição 25000.669584/2009-18 cujo objeto é "Solução Integrada de Apoio à Administração deSoftware, Serviço de Implantação e Treinamento". O contrato decorreu da adesão à ata deregistro de preços 5/2009, decorrente do pregão eletrônico para registro de preços 8/2009 doMinistério do Turismo. Do presente processo resultou o Contrato 72/2010.


13 de 27 25/5/2011 13:13

O termo de referência que justifica a contratação (Anexo III, fls. 29-52), datadode 17/12/2009, traz, entre outras informações, o objeto e a justificativa da contratação. Caberessaltar que se trata de contratação de serviços de TI, conforme se observa pelas soluçõesprevistas para o objeto a ser contratado: i) fornecimento de licenças; ii) instalação e iii)treinamento; e pela análise do seguinte excerto do termo de referência (Anexo III, fl. 29):

A presente necessidade de solução tecnológica não busca apenas a simplescompra de licenças de software, mas principalmente a contratação de empresa especializada naespecificidade de customização da solução para a realidade deste Ministério, efetivando aintegração de todos os processos institucionais e finalísticos de gestão estratégica, de forma aoperar como uma solução única, integrada e sincronizada, garantindo a homogeneidadetecnológica.

Dadas as características da contratação e o fato de o órgão auditado ser parteintegrante do Sistema de Administração dos Recursos de Informação e Informática (SISP), sãointegralmente aplicáveis a esse caso os mandamentos da IN - SLTI/MP 4/2008.

O item 5.2 do termo de referência em questão (Anexo III, fl. 52) traz ainformação de que o documento fora elaborado em conformidade com as exigências constantesdas fases de planejamento da contratação previstas nos termos da Instrução Normativasupramencionada.

Entretanto, em análise do teor do termo de referência, não foram identificadosnos autos quaisquer referências diretas aos artefatos previstos no art. 9º da IN - SLTI/MP4/2008, a saber: "I - Análise de Viabilidade da Contratação; II - Plano de Sustentação; III -Estratégia de Contratação; e IV - Análise de Riscos".

Quando não há controles que permitam avaliar o cumprimento da norma, comouma distinção explícita entre os artefatos previstos no processo de contratação, os gestores searriscam a incorrerem em falhas que poderiam ter sido evitadas caso o planejamento dacontratação previsto na norma fosse cumprido em sua plenitude.

Os efeitos do descumprimento do processo de planejamento da contratação, bemcomo a análise da regularidade da adesão ao registro de preços, estão sendo tratados no TC030.133/2010-6.

3.20.2 - Efeitos/Consequências do achado:Risco da ocorrência de aquisições ou contratações que não atendam à necessidade

do órgão (efeito potencial).Falhas no Termo de Referência ou Projeto Básico (efeito real, de acordo com o

achado 3.21).3.20.3 - Critérios:Instrução Normativa - SLTI/MP 4/2008, art. 9º e 11ª 16.3.20.4 - Evidências:Processo de aquisição de "Solução Integrada de Apoio à Administração de

Software, Serviço de Implantação e Treinamento" 25000.669584/2009-18. (Anexo 3, fls. 1-81).3.20.5 - Conclusão da equipe:Diante dos autos depreende-se que, para o caso do Contrato 72/2010, o processo

de planejamento da contratação não foi efetuado de acordo com o que prevê a IN - SLTI/MP4/2008, devido à ausência explícita dos artefatos previstos no art. 9º da Norma.

3.20.6 - Proposta de encaminhamento:Determinar, com fulcro na Lei 8.443/1992, art. 43, I, ao Ministério da Saúde, que

planeje as contratações de serviços de Tecnologia da Informação executando o processoprevisto na IN - SLTI/MP 4/2008, observando a sequência lógico-temporal entre as tarefas e osritos de aprovação dos artefatos produzidos ao longo do processo.

3.21 - Irregularidades na contratação3.21.1 - Situação encontrada:Foram realizados testes substantivos no Contrato 2/2008, com o objetivo de

avaliar a aderência do procedimento licitatório adotado com a legislação em vigor.Trata-se de contrato celebrado entre a União, por intermédio do Datasus, e a

empresa CTIS Tecnologia S/A, cujo objeto é a prestação de serviços técnicos na área de TI(Anexo III, fls. 80-89). O contrato em questão decorreu da adjudicação dos lotes I e III àcontratada, por intermédio da concorrência 2/2007 (Anexo III, fl. 79).

O contrato em questão teve alguns aspectos analisados no âmbito do


14 de 27 25/5/2011 13:13

levantamento de auditoria 026.832/2009-6, em atendimento a despacho exarado no âmbito doprocesso TC 025.471/2009-8, com o seguinte objetivo:

capacitar o TCU para realização de trabalhos futuros sobre os principais sistemasde informática utilizados pelo Sistema Único de Saúde - SUS, no tocante a aspectos comoadequação às normas, governança em Tecnologia da informação, segurança da informação,eficiência, disponibilidade, entre outros.

O trabalho resultou na publicação do Acórdão 1.274/2010-TCU-Plenário que traz osseguintes achados relacionados ao contrato ora analisado:

1. Escolha inadequada de modalidade licitatóriaEm suma, o Acórdão corrobora a posição da unidade técnica de que, seria

obrigatório o uso da modalidade pregão em detrimento da concorrência, em virtude do fato deque o objeto do Contrato 2/2008 são enquadrados no conceito de bens e serviços comuns.

O item 9.1.1 do Acórdão 1.274/2010-TCU-Plenário determinou ao Datasus que:9.1.1. em suas futuras licitações de bens e serviços de Tecnologia da Informação

comuns - ou seja, que possam ser especificados em termos usuais de mercado -, adote amodalidade Pregão, preferencialmente na forma eletrônica, utilizando o entendimento doAcórdão 2.471/2008-TCU - Plenário, itens 9.2.1 a 9.2.6 .

2. Falhas nas cláusulas de penalidadesO levantamento de auditoria identificou haver falhas referentes às cláusulas de

sanções administrativas do Contrato 2/2008. Concluiu-se, em suma, que as sanções, emboraprevistas na cláusula décima terceira do contrato, não possuem uma relação clara e objetivaentre o evento e a sanção a ele aplicável (item 365 do Relatório do Ministro Relator).

Mediante essa situação, determinou-se ao Datasus que:em atenção ao art. 55, incisos VII, VIII e IX, da Lei 8.666, de 1993, e aos

princípios da proporcionalidade e razoabilidade, estabeleça em seus contratos administrativos,de forma objetiva, sanções específicas aos serviços executados em desconformidade, de formaproporcional ao descumprimento (item 9.1.3, Acórdão 1.274/2008-TCU - Plenário).

3. Interposição indevida de mão de obraA unidade técnica detectou alguns indícios que, em conjunto, caracterizam o

objeto do contrato como um modelo de terceirização de serviços em desacordo com alegislação e a jurisprudência do TCU. Dentre eles, destacam-se a grande quantidade de horasde execução dos serviços nas dependências do Datasus, a remuneração do trabalho por meiode homem-hora, a ingerência do Datasus no quadro de pessoal da contratada em virtude daadmissão de funcionários estar condicionada à pré-aprovação do gestor e a execução dotrabalho predominantemente alocativa de mão de obra. (Relatório do Ministro Relator, item 389e subitens).

Dadas as irregularidades descritas acima e a elevada materialidade do Contrato2/2008 (valor anual aproximado de R$ 45 milhões de reais), foram realizadas outrasverificações no escopo deste trabalho, de modo a identificar outras impropriedades ouirregularidades porventura existentes no instrumento contratual e no seu processo de gestão.

Após análise dos autos, foram constatadas as seguintes impropriedades:a) ausência de elementos básicos para o objetivo da contratação.As seções 2 e 3 do termo de referência abordam, respectivamente, a justificativa

para a contratação em análise e os resultados esperados (Anexo II, fls. 5-8). Relevanteressaltar de maneira resumida os três fatores preponderantes que justificavam a licitaçãosegundo o gestor (Anexo II, fl. 7):

i. a execução de serviços por intermédio de emissão de ordens de serviço - OS, éimportante tendo em vista a insuficiência da estrutura orgânica do Ministério da Saúde;

ii. o ritmo de mudanças do Sistema Único de Saúde (SUS) é mais veloz do que acapacidade do Datasus se adequar as novas demandas;

iii. a forma da contratação proposta é essencial para manter as açõesinstitucionais sem prejuízos ao funcionamento do SUS.

Embora exista uma justificativa da contratação, não há no seu conteúdo quaisquerreferências suficientes que permitam estabelecer a conexão entre os objetivos estratégicos doMinistério da Saúde de médio e longo prazo com os resultados esperados da contratação.Situação similar foi tratada por esta Corte de Contas por meio do item 9.3.11 do Acórdão1.558/2003-TCU-Plenário, que determinou que, ao proceder à licitação de bens e serviços de


15 de 27 25/5/2011 13:13

informática, fosse elaborado minucioso planejamento em harmonia com o planejamentoestratégico da instituição e com o plano diretor de informática.

É possível notar, analisando o excerto acima, que a contratação em questãovisava dotar o Datasus de força de trabalho para dar vazão as suas novas demandas. Oresultado das demandas, por certo, não podia ser previsto antecipadamente, fazendo com queo modelo escolhido pelo gestor fosse a alocação de postos de trabalho executando serviçosmedidos por homem-hora. Isso fica evidente ao analisar o volume estimado dos serviços paracada um dos lotes previstos no projeto básico e constatar que todos eles estão medidos emhoras (Anexo II, fls. 13, 23 e 34).

Ressalta-se ainda que os resultados esperados, constantes do item 3 do Termo deReferência (Anexo II, fl. 8), são genéricos e abrangentes a ponto de não ser possívelestabelecer uma medida objetiva que permita ao gestor avaliar se o resultado foi de fatoatendido com a contratação. Para citar apenas um exemplo destacamos o resultado previsto de"garantir níveis satisfatórios de qualidade e disponibilidade de serviços de missão crítica para asatividades finalísticas do SUS, bem como na automação de rotinas das atividades-meio doSUS". O ponto central que permitiria aferir o cumprimento desse resultado esperado é adefinição do que seriam qualidade e disponibilidade satisfatórias para os serviços. Essainformação, contudo, não consta dos autos analisados.

Nessa situação, torna-se impossível estabelecer a ligação entre os resultados aserem alcançados pela contratação (Anexo II, fl. 8) e a demanda prevista de serviços a seremcontratados (Anexo II, fls. 13, 23 e 34), já que esta é medida por horas alocadas a perfisprofissionais e os resultados esperados são excessivamente genéricos.

Os fatos de: i) a justificativa da contratação não estar alinhada aos objetivos doplanejamento estratégico da organização; ii) os resultados esperados não estarem descritos emtermos de economicidade e melhor aproveitamento de recursos e iii) a demanda de serviçosprevista não poder ser claramente justificada por meio da análise dos resultados esperadosconfiguram a ausência de elementos básicos para a contratação, em descumprimento aoexposto pelos art. 6º, inciso I, e art. 10, parágrafo 7º do Decreto-lei 200/1967 além dos incisosI, II e III do art. 2º do Decreto 2.271/1997.

b) falhas na estimativa de preçosConstam do item 8.2 do termo de referência, as três pesquisas de mercado que

subsidiaram a estimativa de preços da contratação (Anexo II, fls. 39-43). A primeira pesquisafoi realizada no site da IDGNOW e traz uma tabela contendo os valores médio, mínimo emáximo de remuneração de alguns perfis profissionais de TI. A segunda pesquisa foi realizadano site www.rhinfo.com.br/sal-ti.htm e traz, para uma série de perfis profissionais, osrespectivos valores de salários mensais e por hora. A última pesquisa foi realizada pelo próprioMinistério da Saúde, em consulta a empresas de TI em junho de 2007, e traz uma tabela comos perfis de TI e o salário mensal sugerido por cada empresa consultada.

O primeiro aspecto a ser observado ao analisar o processo de estimativa depreços é o fato de que nas três pesquisas os perfis profissionais foram descritos de maneiradistinta. O perfil "Analista de Suporte a Banco de Dados Sênior", por exemplo, só consta daúltima pesquisa citada. Para esse perfil, a estimativa de preços foi realizada apenas uma vez,mesmo tendo sido consideradas três pesquisas. Similares a esse caso, vários outros exemplospodem ser observados ao analisar as diferenças entre os perfis profissionais pesquisados emcada instrumento.

Além disso, a abrangência das atividades executadas por profissionais de TI tornadifícil a tarefa de categorizá-los por perfis profissionais. Um analista de sistemas, por exemplo,poderá executar tarefas muito distintas em diferentes empresas e, ainda assim, serconsiderado como tal por ambas. A maneira mais apropriada para estimar o custo doprofissional, neste caso, seria detalhar as suas atribuições e submeter essa descrição àsempresas ou instituições de pesquisa para que elas pudessem encontrar a equivalência entre operfil desejado e a nomenclatura por ela utilizada que mais se aproximaria das funções.

Quanto à pesquisa efetuada diretamente pelo Ministério da Saúde, observa-se queas empresas as quais a solicitação de estimativa foi submetida não estão identificadas. Nessecaso, estão indisponíveis informações relevantes ao processo de estimativa, tais como alocalização e o porte das empresas pesquisadas.

Além disso, não constam dos autos quaisquer evidências que comprovem que a


16 de 27 25/5/2011 13:13

descrição detalhada dos perfis a serem contratados (item 8.4 do Termo de Referência, AnexoII, fls. 44-53) foi enviada às empresas pesquisadas, de modo que não é possível concluir que aestimativa dos valores fornecidos é acurada às atividades que efetivamente seriam executadaspelos profissionais. Identificou-se ainda que o perfil "Líder de Projetos", embora seja previstopelo termo de referência, não teve seu custo orçado, o que configura lacuna no processo deestimativa.

Portanto, evidencia-se que os orçamentos utilizados para a estimativa de preçossão presumivelmente incompatíveis entre si, por compararem perfis profissionais nãonecessariamente similares e não considerar todos os perfis necessários para a contratação.Além disso, o processo de estimativa não considerou as diferenças de mercado e o porte dasempresas consultadas individualmente.

A situação descrita acima configura falha no processo de estimativa de preços, emdescumprimento ao art. 7º, parágrafo 2º, II da Lei 8.666/1993.

Outros indícios de irregularidades referentes ao Contrato 72/2010, tais como aausência do parecer jurídico no processo da contratação, falhas no termo de referência, falhasna estimativa de preços e falhas na adesão ao registro de preços, serão tratados no âmbito derepresentação da Unidade Técnica (TC 030.133/2010-6).

3.21.2 - Efeitos/Consequências do achado:Risco da ocorrência de aquisições ou contratações que não atendam à necessidade

do órgão (efeito potencial).3.21.3 - Critérios:ACÓRDÃO 2471/2008, item 9.1, Tribunal de Contas da União, Plenário.ACÓRDÃO 2471/2008, item 9.2, Tribunal de Contas da União, Plenário.Instrução Normativa - SLTI/MP 4/2008, art. 9º e 17.São também considerados critérios para este achado, de maneira geral, a Lei

8.666/1993 e a IN - SLTI/MP 4/2008.3.21.4 - Conclusão da equipe:Foram constatadas as seguintes impropriedades no processo de contratação

referente ao Contrato 2/2008:a) ausência de elementos básicos na fundamentação do objetivo da contratação,

em descumprimento aos art. 6º, inciso I, e art. 10, parágrafo 7º do Decreto-lei 200/1967 alémdos incisos I, II e III do art. 2º do Decreto 2.271/1997;

b) falhas na estimativa de preços, em descumprimento ao art. 7º, parágrafo 2º,inciso II da Lei 8.666/1993.

3.21.5 - Proposta de encaminhamento:Alertar ao Ministério da Saúde quanto às seguintes impropriedades constatadas no

processo de contratação referente ao Contrato 2/2008:a) ausência de elementos básicos na fundamentação do objetivo da contratação,

decorrente do descumprimento dos arts. 6º, inciso I e art. 10, parágrafo 7º do Decreto-lei200/1967 e art. 2º, I, II e III do Decreto 2.271/1997;

b) falhas na estimativa de preços, decorrente do descumprimento do art. 7º,parágrafo 2º, II da Lei 8.666/1993.

3.22 - Irregularidades na gestão contratual3.22.1 - Situação encontrada:Ainda no mesmo Contrato 2/2008 identificamos as impropriedades a seguir:a) falhas na prorrogação do contratoO Contrato 2/2008 tem vigência de 1/1/2010 até 31/12/2010, em função do

estabelecido na Cláusula Segunda do Quarto Termo Aditivo (Anexo II, fls. 116-117).Contudo, em análise do processo de contratação, não foram encontradas nos

autos evidências suficientes que justificam que a prorrogação do Contrato 2/2008 se configuraem solução vantajosa para a Administração.

Para tal, a base normativa vigente condiciona a prorrogação dos contratos àrealização prévia de pesquisas de preços de

mercado ou de preços contratados por outros órgãos da Administração Pública,visando a assegurar a manutenção da contratação mais vantajosa para a Administração. Éimportante ressaltar que a prestação de serviços a serem executados de modo contínuo, comoé o caso do objeto em análise, poderão ter sua duração prorrogada em até sessenta meses


17 de 27 25/5/2011 13:13

com o objetivo de obter preços e condições mais vantajosas. Para subsidiar a prorrogação,portanto, é obrigação do gestor comprovar que os preços e condições do contrato vigente sejustificam, sob pena de claro descumprimento da lei.

Devido à ausência de elementos que comprovem a manutenção da vantajosidadeeconômica da avença, a prorrogação referente ao quarto termo aditivo do Contrato 2/2008descumpre o estabelecido pelos art. 57, inciso II, da Lei 8.666/1993 e art. 30, parágrafo 2º, daIN - SLTI/MP 2/2008.

b) ausência de designação formal do prepostoEm análise do processo de contratação, não foram identificados os documentos de

designação formal do preposto da contratada. Por meio do Ofício 3-602-Sefti/TCU, a equipe deauditoria solicitou a cópia dos documentos de designação formal dos prepostos das contratadasreferentes ao Contrato 2/2008.

Em resposta, a instituição enviou um documento datado de 12/2/2008, em quedefine o proposto como sendo a Srª Aline Cristina Soares da Silva (fl. 32).

Entretanto, há indícios de que o documento enviado não foi anexado a qualquerprocesso interno do Ministério da Saúde, por não conter a numeração sequencial do processo.Ao ser questionado sobre isso, o gestor Francisco José Marques não soube informar a razão pelaqual essa identificação não foi realizada, sequer a que processo o documento estaria anexado.

Diante disso, embora o documento tenha sido enviado pelo gestor, não háevidências de que o termo de designação formal do preposto constava do processo físico decontratação referente ao Contrato 2/2008 no momento do início dos trabalhos, o que configuradescumprimento do disposto no art. 68 da Lei 8.666/1993.

Outras irregularidades referentes à gestão do Contrato 2/2008, tais como adesconformidade na aplicação dos critérios de medição e o descumprimento dos termoscontratuais, foram encontradas e serão relatadas no âmbito de representação da UnidadeTécnica (TC 030.134/2010-2).

3.22.2 - Efeitos/Consequências do achado:Manutenção de contrato que não necessariamente é vantajosa para a

Administração (efeito potencial).Riscos trabalhistas decorrentes da ausência de preposto (efeito potencial).3.22.3 - Critérios:Lei 8.666/1993, art. 57, inciso II,IN - SLTI/MP 2/2008, art. 30, parágrafo 2ºLei 8.666/1993, art. 68.3.22.4 - Conclusão da equipe:Foram constatadas falhas na prorrogação do Contrato 2/2008, em

descumprimento ao art. 57, II da Lei 8.666/1993 e ao art. 30, parágrafo 2º da IN - SLTI/MPOG2/2008 e ausência de designação formal do preposto, em descumprimento ao art. 68 da Lei8.666/1993.

3.22.5 - Proposta de encaminhamento:Alertar ao Ministério da Saúde quanto às seguintes falhas na gestão do Contrato

2/2008:a) prorrogação irregular, decorrente do descumprimento do art. 57, II da Lei

8.666/1993 e art. 30, parágrafo 2º da IN - SLTI/MP 2/2008;b) ausência de designação formal do preposto, incorrendo no descumprimento do

art. 68 da Lei 8.666/1993.4 - CONCLUSÃONão foram constatadas impropriedades ou irregularidades para a questão de

auditoria 1 formulada para esta fiscalização.As seguintes constatações foram identificadas neste trabalho:Questão 2 Inexistência do PDTI (item 3.1).Questão 3 Papel sensível exercido por não servidor (item 3.2).Inadequação do quadro de pessoal de TI (item 3.3).Questão 4 Falhas no orçamento de TI constante da LOA (item 3.4).Questão 5 Falhas no processo de software (item 3.5).Questão 6 Falhas no processo de gerenciamento de projetos (item 3.6).Questão 7 Inexistência do processo de gestão de incidentes (item 3.7).


18 de 27 25/5/2011 13:13

Inexistência do processo de gestão de configuração (item 3.8).Inexistência do processo de gestão de mudanças (item 3.9).Questão 8 Inexistência de Política de Segurança da Informação e Comunicações

(Posic) (item 3.10).Inexistência de classificação da informação (item 3.11).Inexistência de inventário dos ativos de informação (item 3.12).Inexistência de processo de gestão de riscos de segurança da informação (GRSIC)

(item 3.13).Inexistência de Gestor de Segurança da Informação e Comunicações (item 3.14)Inexistência de equipe de tratamento e resposta a incidentes em redes

computacionais (ETRI) (item 3.15).Questão 9 Inexistência de plano anual de capacitação (item 3.16).Questão 10 Inexistência de avaliação da gestão de TI (item 3.17).Auditoria interna não apóia avaliação da TI (item 3.18).Questão 11 Falhas nos controles que promovam o cumprimento da IN - 4 (item

3.19).Descumprimento do processo de planejamento de acordo com a IN - 4 (item

3.20).Irregularidades na contratação (item 3.21).Questão 12 Irregularidades na gestão contratual (item 3.22).Entre os benefícios estimados desta fiscalização pode-se mencionar,

principalmente, a indução à melhoria nos controles internos e da governança de TI do Ministérioda Saúde, cujas deficiências foram evidenciadas pelas falhas e impropriedades identificadas erelatadas neste processo.

A presente fiscalização constituiu uma das cinco auditorias previstas para aprimeira etapa da Fiscalização de Orientação Centralizada (FOC) - Gestão e Uso de Tecnologiada Informação (TI), e teve como objetivo avaliar os controles gerais de TI no Ministério daSaúde.

Constatou-se que não há um Plano Diretor de Tecnologia da Informação publicadono âmbito do Ministério da Saúde. Sem este artefato, as diretrizes e os objetivos prioritários daárea de TI não são formalmente estabelecidos, o que impede uma gestão baseada emresultados e, em consequência disso, uma boa governança de TI.

Outro aspecto relevante da governança de TI no Ministério da Saúde diz respeitoaos problemas da organização de TI do órgão. Constatou-se nesse trabalho a insuficiência dosservidores de quadro próprio para executar as tarefas do Datasus. Esse déficit, conformeexposto por um estudo apresentado pelo próprio órgão auditado, é de ordem quantitativa equalitativa. Há déficit de pessoal com perfil necessário para executar as atividades próprias deTI demandadas pela instituição.

Em decorrência dessa situação, comprovou-se que papéis considerados sensíveis àoperação do Datasus são preenchidos por profissionais que não são servidores públicosformalmente vinculados ao órgão. Isso pode acarretar riscos em projetos e serviços de TI econfigura, quando não associado a controles compensatórios, falha na governança de TI dainstituição.

Sobre o aspecto qualitativo e de formação de profissionais de TI, constatou-se ainexistência de um plano de capacitação dos servidores do órgão para o ano de 2010 e, emdecorrência disso, a inexistência de um plano de capacitação específico para os profissionais deTI. Isso demonstra outra falha na governança de TI, que não formulou antecipadamente umaestratégia que visava o aumento da qualificação dos profissionais de TI, mesmo tendoconstatado antecipadamente essa necessidade.

Quanto aos aspectos mais técnicos da governança de TI avaliados nessafiscalização, foram identificadas diversas lacunas.

Tanto o processo de software quanto o de gerenciamento de projetos de TIapresentados pela Secretaria Executiva do Ministério da Saúde não foram aprovados epublicados oficialmente. Ambos os processos configuram peças essenciais para a administraçãoda TI, especialmente quanto à gestão e ao acompanhamento dos contratos relacionados adesenvolvimento de software. Embora tenham sido apresentados documentos que descrevemambos os processos, estes não foram executados de maneira plena nos projetos avaliados pela


19 de 27 25/5/2011 13:13

equipe de auditoria, o que levanta a possibilidade de que outros projetos em andamento nãoestejam sendo realizados segundo o que preconizam os processos. De qualquer forma, aausência de processos de software e de gerenciamento de projetos, adaptados às necessidadesda instituição e aplicados aos projetos de construção de software, configura fator de risco para adefinição, a gestão e o acompanhamento dos resultados obtidos.

Outra lacuna na governança de TI foi observada ao analisar a gestão de serviçosde TI, que não é realizada segundo o que preconizam as melhores práticas existentes nomercado. Não há no Ministério da Saúde processos de gestão de incidentes, configuração emudança. Esses processos configuram passos obrigatórios para a administração de um conjuntode ativos de informação que dão suporte aos serviços de TI, prestados tanto para o públicointerno como externo do Ministério da Saúde. Com o alto nível de informatização do Ministérioe com a ausência de gestão dos serviços de TI, o risco de interrupção ou mau funcionamento deum serviço dependente da TI é alto. Situação como essa pode configurar considerável prejuízoà eficácia e eficiência na execução das políticas públicas do Ministério.

Da mesma maneira, a gestão da segurança da informação é ausente em todos ositens avaliados no Ministério. Esse fato é comprovado quando se constata a inexistência de: i)política de segurança da informação; ii) procedimentos de classificação da informação; iii)inventário de ativos de informação; iv) nomeação de gestor de segurança da informação ecomunicações; v) equipe de tratamento e resposta a incidentes em redes computacionais (Etri)e vi) processo de gestão de riscos de segurança da informação. As lacunas supramencionadasconfiguram exigências previstas em normas técnicas elaboradas pelo Gabinete de SegurançaInstitucional da Presidência da República, que fornece diretrizes sobre segurança da informaçãoa órgãos e entidades da Administração Pública Federal do Poder Executivo. Dada a relevânciado tema, a ausência de elementos que permitam a boa gestão de segurança da informaçãoconfigura situação incompatível com uma razoável governança de TI.

Tendo sido parte do escopo do trabalho, foram fiscalizados dois contratos de TI doMinistério da Saúde, sob os aspectos da conformidade do processo de contratação e da gestãocontratual. Dessa análise, constataram-se várias impropriedades, algumas consideradasestruturais (falhas nos processos em si) e outras pontuais (falhas na execução dos contratos).Parte dessas impropriedades está relatada neste trabalho e outras, em virtude da gravidadedos indícios e da potencialidade dos efeitos negativos, serão tratadas por meio derepresentações da Unidade Técnica.

A irregularidade estrutural foram as falhas nos controles que promovem ocumprimento da IN - 4, enquanto que contribuíram para a não mitigação do risco(materializado) de descumprimento do processo de planejamento de acordo com o processoprevisto na IN - 4, que por sua vez conduziu a ocorrência de irregularidades nas contrataçõesanalisadas. Ambas estão relacionadas ao processo de contratação e, além das duas últimasconfigurarem desconformidade com as normas vigentes, todas aumentam o risco de acontratação pretendida não atender da melhor maneira os objetivos que se deseja alcançar,configurando um impacto negativo nas atividades de gestão contratual.

Ressalta-se ainda o fato de que a equipe de auditoria, conforme estabelecido nosprocedimentos de fiscalização, preencheu e encaminhou à Sefti uma versão do questionárioPerfilGovTI com as respostas consideradas mais apropriadas à situação real do Ministério daSaúde. Constatou-se que houve divergências nas questões 2.2, 2.3, 2.4, em que a opinião daequipe sobre a resposta é diferente da do auditado, e reflete uma situação de governança piordo que a declarada pelo gestor no âmbito do TC 000.390/2010-0, que subsidiou o Acórdão2.308/2010-TCU-Plenário.

É papel vital da governança de TI atuar de modo a atingir os resultados esperadosda área de TI por parte da alta organização do órgão. Isso se dá a partir da criação eacompanhamento de processos e controles que têm como objetivo, entre outros, diminuir osriscos das operações, visando fazer com que a área de TI cumpra tempestiva e eficientementesua missão. Quanto menos instrumentos de controle houver para a administração da TI,maiores são as chances do surgimento de situações que afetem negativamente ofuncionamento da TI e, por consequência, do próprio órgão ao qual ela dá suporte,acarretando, em última análise, riscos de o órgão prestar um serviço não adequado àsnecessidades do cidadão.

Sob essa premissa e considerando os achados relatados na fiscalização, a equipe


20 de 27 25/5/2011 13:13

de auditoria entende que há forte relação entre as falhas associadas à Governança de TI e asirregularidades específicas encontradas nos contratos analisados.

Quando se analisam as impropriedades nos contratos, o que se identifica são osefeitos de um processo estrutural mal executado. Uma das causas dos problemas nos contratosreside, por certo, na ausência ou falhas em controles do processo de contratação. Essa relaçãode causa efeito pode ser expandida, no sentido de que é difícil estabelecer controles emprocessos de contratação sem que:

1) haja justificativa para a contratação do objeto pretendido, alinhado com osobjetivos estratégicos do ente - impossível em virtude da inexistência de PDTI;

2) haja pessoal qualificado e suficiente para produzir os documentos necessáriosao planejamento da contratação - impossível com a insuficiência de pessoal e inexistência deplanos de capacitação;

3) haja entendimento prévio e pleno das características do novo produto ouserviço de TI adquirido - impossível sem um processo de software estabelecido;

4) haja conhecimento das características de segurança de informaçãoestabelecidas pelo órgão - impossível sem um processo de gestão da segurança da informaçãoque contemple controles gerais associados;

5) haja entendimento prévio e pleno do impacto que o novo serviço de TIadquirido causará sobre a base instalada de serviços já existentes - impossível sem umprocesso de gestão de serviços de TI.

Portanto, a melhoria dos processos de governança de TI no Ministério da Saúde éessencial para que os riscos de ocorrências específicas na operação da TI que possam ocasionarfalhas (inclusive as relacionadas aos processos de contratação e gestão contratual) sejamtratados antecipadamente. Isso é possível por meio do apoio da alta administração doMinistério, da criação e revisão periódica de um PDTI, da definição formal de processos detrabalho, da implantação de controles internos e do aumento quantitativo e qualitativo derecursos humanos.

Registre-se por fim que o presente trabalho fez parte de um diagnóstico da gestãoe uso de TI nos entes públicos e que os fatos aqui relatados serão considerados, em conjuntocom as conclusões das demais fiscalizações de controle geral de TI, no âmbito do processoreferente à fiscalização consolidadora desta FOC - Gestão e Uso de TI (TC 011.772/2010-7).

Por fim, considerando que a Instrução Normativa - SLTI/MP 4/2008 foi utilizadacomo critério de auditoria e que no dia 15/11/2010, data posterior à elaboração da primeiraversão do relatório e anterior à saída do mesmo da Sefti, foi publicada nova versão da norma,entrando em vigor em 2/1/2011, fazem-se necessários ajustes na redação das propostas deencaminhamento feitas ao longo deste relatório, o que faremos na seção a seguir."

3. Por tais motivos, a Sefit em pareceres uniformes (fls. 75/78), sugeriu a estaCorte formular à Secretaria Executiva do Ministério da Saúde as seguintes determinações,recomendações e alertas:

"1. Recomendar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c o RegimentoInterno do TCU, art. 250, inciso III, à Secretaria-Executiva do Ministério da Saúde que:

1.1. aperfeiçoe o processo de planejamento estratégico de TI, observando aspráticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI (Achado "Falhasno processo de planejamento de TI");

1.2. envide esforços, junto ao Ministério do Planejamento, para que a área de TIseja dotada de servidores ocupantes de cargos efetivos em quantitativo suficiente, capacitadose treinados para exercer atividades estratégicas e sensíveis, possibilitando o atendimento àsnecessidades institucionais, atentando para as orientações contidas no Cobit 4.1, PO 4.12 -Pessoal de TI (Achado "Inadequação do quadro de pessoal de TI").

1.3. quando do aperfeiçoamento de seu processo de software, considere asNormas NBR ISO/IEC 12.207 e 15.504 (Achado "Falhas no processo de software");

1.4. aperfeiçoe seu processo de gerenciamento de projetos, observando àsemelhança das orientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência deProjetos e no PMBOK, dentre outras boas práticas de mercado (Achado "Falhas no processo degerenciamento de projetos");

1.5. implemente processo de gestão de incidentes de serviços de Tecnologia daInformação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a


21 de 27 25/5/2011 13:13

central de serviços e incidentes e de outras boas práticas de mercado (como a NBR ISO/IEC20.000 e a NBR 27.002) (Achado "Inexistência do processo de gestão de incidentes");

1.6. implemente processo de gestão de configuração de serviços de Tecnologia daInformação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciarconfiguração e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000) (Achado"Inexistência do processo de gestão de configuração");

1.7. estabeleça procedimentos formais de gestão de mudanças, de acordo com oprevisto no item 12.5.1 da NBR ISO/IEC 27.002, à semelhança das orientações contidas noCobit 4.1, processo AI6 - Gerenciar mudanças e de outras boas práticas de mercado (como aNBR ISO/IEC 20.000) (Achado "Inexistência do processo de gestão de mudanças");

1.8. quando elaborar o Plano Anual de Capacitação, contemple ações decapacitação voltadas para a gestão de Tecnologia da Informação, à semelhança das orientaçõescontidas no Cobit 4.1, processos PO7.2 - Competências Pessoais e PO7.4 - Treinamento doPessoal (Achado "Inexistência de plano anual de capacitação");

1.9. estabeleça um processo de avaliação da gestão de TI, à semelhança dasorientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 - Relatóriosgerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controles internos (Achado"Inexistência de avaliação da gestão de TI");

1.10. promova ações para que a auditoria interna apoie a avaliação da TI, àsemelhança das orientações contidas no Cobit 4.1, ME2 - Monitorar e avaliar os controlesinternos (Achado "Auditoria interna não apoia avaliação da TI");

1.11. aperfeiçoe os controles que promovam o cumprimento do processo deplanejamento previsto na IN - SLTI/MP 4/2010 (Achado "Inexistência dos estudos técnicospreliminares").

2. Determinar, com fulcro na Lei 8.443/1992, art. 43, inciso I, c/c o RegimentoInterno do TCU, art. 250, inciso II, à Secretaria-Executiva do Ministério da Saúde que:

2.1. em atenção ao previsto na Instrução Normativa - SLTI/MP 4/2010, art. 4º,elabore e aprove um Plano Diretor de Tecnologia da Informação (PDTI), observando asdiretrizes constantes da Estratégia Geral de Tecnologia da Informação (EGTI) em vigor, e àsemelhança das orientações contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico deTI (Achado "Inexistência do PDTI");

2.2. em atenção às disposições contidas no Decreto-Lei 200/1967, art. 10, §7º,ocupe todos os papéis sensíveis (que executam tarefas de planejamento, coordenação,supervisão e controle) com servidores públicos (Achado "Papel sensível exercido por nãoservidor");

2.3. aperfeiçoe o processo de elaboração do orçamento de TI, necessário aocumprimento das disposições contidas na Lei 12.017/2009 (LDO 2009/2010), art. 9º, II c/cAnexo II, XVIII, ou das que vierem a lhe suceder, de maneira que as solicitações de orçamentodas despesas de TI estejam baseadas nas ações que se pretende executar, à semelhança dasorientações contidas no Cobit 4.1, processo PO5.3 - Orçamentação de TI e no Gespública,critério de avaliação 7.3 (Achado "Falhas no orçamento de TI constante da LOA");

2.4. em atenção ao disposto na Lei 8.666/1993, art. 6º, inc. IX, e às disposiçõescontidas na IN - SLTI/MP 4/2010, art. 13, II, aperfeiçoe seu processo de software previamenteàs futuras contratações de serviços de desenvolvimento ou manutenção de software,vinculando o contrato com o processo de software, sem o qual o objeto não estaráprecisamente definido (Achado "Falhas no processo de software");

2.5. em atenção ao disposto na Instrução Normativa - GSI/PR 1/2008, art. 5º, IVe art. 7º, c/c Norma Complementar - IN01/DSIC/GSIPR 3, item 5.3.7.2, nomeie gestor deSegurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC27.002, item 6.1.3 - Atribuição de responsabilidade para segurança da informação (Achado"Inexistência de Gestor de Segurança da Informação e Comunicações");

2.6. em atenção ao disposto na Instrução Normativa - GSI/PR 1/2008, art. 5º, V,institua equipe de tratamento e resposta a incidentes em redes computacionais, observando aspráticas contidas na Norma Complementar - IN01/DSIC/GSIPR 5 (Achado "Inexistência deequipe de tratamento e resposta a incidentes em redes computacionais - ETRI");

2.7. em atenção ao disposto no Decreto 4.553/2002, art. 6º, § 2º, inciso II e art.67, crie critérios de classificação das informações a fim de que possam ter tratamento


22 de 27 25/5/2011 13:13

diferenciado conforme seu grau de importância, criticidade e sensibilidade, observando aspráticas contidas no item 7.2 da NBR ISO/IEC 27.002 (Achado "Inexistência de classificação dainformação");

2.8. em atenção ao disposto na Instrução Normativa - GSI/PR 1/2008, art. 5º,VII, c/c Norma Complementar - IN01/DSIC/GSIPR 4, item 5.2.1, estabeleça procedimento deinventário de ativos de informação, de maneira que todos os ativos de informação sejaminventariados e tenham um proprietário responsável, observando as práticas contidas no item7.1 da NBR ISO/IEC 27.002 (Achado "Inexistência de inventário dos ativos de informação");

2.9. em atenção ao disposto na Instrução Normativa - GSI/PR 1/2008, art. 5º,VII, implemente processo de gestão de riscos de segurança da informação, observando aspráticas contidas na Norma Complementar - IN01/DSIC/GSIPR 4 (Achado "Inexistência deprocesso de gestão de riscos de segurança da informação - GRSIC");

2.10. em atenção às disposições contidas no Decreto 5.707/2006, art. 5º, 2º, c/cPortaria - MP 208/2006, art. 2º, I e art. 4º, elabore Plano Anual de Capacitação (Achado"Inexistência de plano anual de capacitação");

2.11. planeje as contratações de serviços de Tecnologia da Informação executandoo processo previsto na IN - SLTI/MP 4/2010, observando a sequência lógico-temporal entre astarefas e os ritos de aprovação dos artefatos produzidos ao longo do processo. (Achado"Descumprimento do processo de planejamento de acordo com a IN - 4");

2.12. no prazo de trinta dias a contar da ciência do acórdão que vier a serproferido, encaminhe plano de ação para a implementação das medidas contidas no Decisum,contendo:

2.12.1. para cada determinação, o prazo e o responsável (nome, cargo e CPF)pelo desenvolvimento das ações;

2.12.2. para cada recomendação cuja implementação seja consideradaconveniente e oportuna, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimentodas ações;

2.12.3. para cada recomendação cuja implementação não seja consideradaconveniente ou oportuna, justificativa da decisão.

3. Alertar à Secretaria-Executiva do Ministério da Saúde quanto às impropriedadesa seguir, conforme tratado nos itens 3.21 e 3.22 do relatório:

3.1. ausência de elementos básicos na fundamentação do objetivo da contratação,decorrente do descumprimento dos art. 6º, inciso I e art. 10, parágrafo 7º do Decreto-lei200/1967 e art. 2º, I, II e III do Decreto 2.271/1997;

3.2. falhas na estimativa de preços, decorrente do descumprimento do art. 7º,parágrafo 2º, II da Lei 8.666/1993;

3.3. prorrogação irregular, decorrente do descumprimento do art. 57, II da Lei8.666/1993 e art. 30, parágrafo 2º da IN - SLTI/MP 2/2008;

3.4. ausência de designação formal do preposto, incorrendo no descumprimentodo art. 68 da Lei 8.666/1993.

4. Arquivar os presentes autos."É o Relatório

Voto do Ministro Relator

VOTONa sessão de 8/9/2010 (acórdão 2.308/2010 - Plenário), apresentei a este

colegiado o resultado consolidado do levantamento efetuado pela Secretaria de Fiscalização deTecnologia da Informação - Sefti, em 2010, para avaliar a governança de tecnologia dainformação em 315 órgãos e entidades das administrações direta e indireta dos três poderes daUnião.

2. Destaquei, naquela oportunidade, a importância da atuação desta Corte comrelação à matéria, eis que, a partir da identificação de pontos vulneráveis, será possível aoTribunal, em primeiro lugar, atuar como indutor do aperfeiçoamento da governança de TI nosetor público e, em segundo lugar, identificar e disseminar entre as unidades jurisdicionadas osbons exemplos e modelos identificados.

3. Apontei, ainda, as conclusões mais significativas do levantamento, que permitiuconstatar, em síntese, que:


23 de 27 25/5/2011 13:13

a) mais de 60% das organizações não possui planejamento estratégico de TI;b) algumas organizações continuam a ter sua TI totalmente controlada por

pessoas estranhas a seus quadros de pessoal;c) são graves os problemas de segurança da informação, já que informações

críticas não são protegidas adequadamente;d) metade das organizações não possui método ou processo para desenvolvimento

de softwares e para aquisição de bens e serviços de informática, o que gera riscos deirregularidades em contratações;

e) a atuação sistemática da alta administração com respeito à TI ainda éincipiente;

f) mais da metade das organizações está no estágio inicial de governança de TI, eapenas 5% encontram-se em estágio aprimorado.

4. Neste momento, trago à consideração deste Plenário mais um trabalhoconcernente à matéria: a auditoria realizada pela Sefti na Secretaria Executiva do Ministério daSaúde com o intuito de avaliar controles gerais de governança de TI naquela unidade.

5. As principais ocorrências detectadas no presente trabalho assemelham-se àsverificadas no levantamento consolidada e confirmam a precisão daquele estudo. Basicamente,constatou-se na SE/MS:

a) inexistência de plano diretor de TI;b) inadequação do quadro de pessoal de TI;c) papel sensível exercido por não servidor;d) falhas no orçamento de TI constante da Lei Orçamentária Anual;e) falhas no processo de desenvolvimento de software;f) falhas no processo de gerenciamento de projetos;g) inexistência do processo de gestão de incidentes;h) inexistência do processo de gestão de configuração de serviços;i) inexistência do processo de gestão de mudanças;j) inexistência de política de segurança da informação e comunicações;k) inexistência de classificação da informação;l) inexistência de inventário dos ativos de informação;m) inexistência de gestor de segurança da informação e comunicações;n) inexistência de processo de gestão de riscos de segurança da informação

(GRSIC);o) inexistência de equipe de tratamento e resposta a incidentes em redes

computacionais;p) inexistência de plano anual de capacitação;q) inexistência de avaliação da gestão de TI;r) auditoria interna não apoia avaliação da TI;s) falhas nos controles que promovam o cumprimento da IN - 4;t) descumprimento do processo de planejamento de acordo com a IN - 4;u) irregularidades na contratação;v) irregularidades na gestão contratual.6. As irregularidades detectadas serão tratadas em representação específica. Com

respeito às demais falhas acima apontadas, a unidade técnica apresentou uma série dedeterminações, recomendações e alertas que contribuirão para o saneamento das ocorrências epara o aperfeiçoamento da governança de TI da SE/MS.

7. Assim, por considerar papel deste Tribunal a constante indução de melhoria dagestão estatal e por estar integralmente de acordo com as medidas aventadas pela Sefti -especialmente no tocante ao crucial tema da segurança da informação, que reputo essencialpara adequado funcionamento das organizações públicas e para defesa da intimidade doscidadãos que com elas interagem - acolho as manifestações daquela Secretaria e voto pelaadoção da minuta de acórdão que trago ao escrutínio deste colegiado.

Sala das Sessões, em 30 de março de 2011.AROLDO CEDRAZRelator

Acórdão


24 de 27 25/5/2011 13:13

VISTOS, relatados e discutidos estes autos de relatório de auditoria realizada paraavaliar controles gerais de tecnologia da informação na Secretaria Executiva do Ministério daSaúde.

ACORDAM os Ministros do Tribunal de Contas da União, reunidos em sessão doPlenário, ante as razões expostas pelo relator e com base nos arts. 42, §1º, e 43, I, da Lei8.443/1992, e nos arts. 245, §1º, e 250, inciso III, do Regimento Interno, em:

9.1. recomendar à Secretaria Executiva do Ministério da Saúde que:9.1.1. aperfeiçoe o processo de planejamento estratégico de TI, com observância

das práticas do Cobit 4.1, processo PO1 - Planejamento Estratégico de TI;9.1.2. envide esforços junto ao Ministério do Planejamento, Orçamento e Gestão

para que a área de TI seja dotada de servidores ocupantes de cargos efetivos em quantitativosuficiente, capacitados e treinados para exercer atividades estratégicas e sensíveis, de forma apossibilitar o atendimento às necessidades institucionais, com atenção para as orientações doCobit 4.1, PO 4.12 - Pessoal de TI;

9.1.3. por ocasião do aperfeiçoamento de seu processo de software, considere asNormas NBR ISO/IEC 12.207 e 15.504;

9.1.4. aperfeiçoe seu processo de gerenciamento de projetos, com observânciadas orientações do Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos e noPMBOK, entre outras boas práticas de mercado;

9.1.5. implemente processo de gestão de incidentes de serviços de Tecnologia daInformação, à semelhança das orientações do Cobit 4.1, processo DS8 - Gerenciar a central deserviços e incidentes e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000 e aNBR 27.002);

9.1.6. implemente processo de gestão de configuração de serviços de TI, àsemelhança das orientações do Cobit 4.1, processo DS9 - Gerenciar configuração e de outrasboas práticas de mercado (como a NBR ISO/IEC 20.000);

9.1.7.estabeleça procedimentos formais de gestão de mudanças, de acordo com oitem 12.5.1 da NBR ISO/IEC 27.002, à semelhança das orientações do Cobit 4.1, processo AI6 -Gerenciar mudanças e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000);

9.1.8. quando elaborar Plano Anual de Capacitação, contemple ações decapacitação voltadas para gestão de TI, à semelhança das orientações do Cobit 4.1, processosPO7.2 - Competências Pessoais e PO7.4 - Treinamento do Pessoal;

9.1.9. estabeleça processo de avaliação da gestão de TI, à semelhança do Cobit4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 - Relatórios gerenciais, ME1.6 - Açõescorretivas e ME2 - Monitorar e avaliar os controles internos;

9.1.10. promova ações para que a auditoria interna apoie a avaliação da TI, àsemelhança das orientações do Cobit 4.1, ME2 - Monitorar e avaliar os controles internos;

9.1.11. aperfeiçoe controles que promovam cumprimento do processo deplanejamento previsto na IN SLTI/MPOG 4/2010;

9.2. determinar à Secretaria-Executiva do Ministério da Saúde que:9.2.1. em atenção à Instrução Normativa SLTI/MPOG 4/2010, art. 4º, elabore e

aprove Plano Diretor de Tecnologia da Informação - PDTI, com observância das diretrizesconstantes da Estratégia Geral de Tecnologia da Informação - EGTI em vigor e à semelhançadas orientações do Cobit 4.1, processo PO1 - Planejamento Estratégico de TI;

9.2.2. em atenção ao Decreto-Lei 200/1967, art. 10, §7º, ocupe todos os papéissensíveis (que executam tarefas de planejamento, coordenação, supervisão e controle) comservidores públicos;

9.2.3. aperfeiçoe o processo de elaboração do orçamento de TI, necessário aocumprimento da Lei 12.017/2009 (LDO 2009/2010), art. 9º, II c/c Anexo II, XVIII, ou das quevierem a lhe suceder, de maneira a que solicitações de orçamento das despesas de TI estejambaseadas nas ações que se pretende executar, à semelhança das orientações do Cobit 4.1,processo PO5.3 - Orçamentação de TI e no Gespública, critério de avaliação 7.3;

9.2.4. em atenção à Lei 8.666/1993, art. 6º, IX, e à IN SLTI/MPOG 4/2010, art.13, II, aperfeiçoe seu processo de software previamente às futuras contratações de serviços dedesenvolvimento ou manutenção de software, vinculando o contrato com o processo desoftware, sem o qual o objeto não estará precisamente definido;

9.2.5. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, IV e art. 7º, c/c


25 de 27 25/5/2011 13:13

Norma Complementar - IN01/DSIC/GSIPR 3, item 5.3.7.2, nomeie Gestor de Segurança daInformação e Comunicações, com observância das práticas contidas da NBR ISO/IEC 27.002,item 6.1.3 - Atribuição de responsabilidade para segurança da informação;

9.2.6. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, V, instituaequipe de tratamento e resposta a incidentes em redes computacionais, com observância daspráticas da Norma Complementar - IN01/DSIC/GSIPR 5;

9.2.7. em atenção ao Decreto 4.553/2002, art. 6º, § 2º, II, e art. 67, crie critériosde classificação das informações, a fim de que possam ter tratamento diferenciado conformeseu grau de importância, criticidade e sensibilidade, com observância das práticas do item 7.2da NBR ISO/IEC 27.002;

9.2.8. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII, c/c NormaComplementar IN01/DSIC/GSIPR 4, item 5.2.1, estabeleça procedimento de inventário deativos de informação, de maneira a que todos os ativos de informação sejam inventariados etenham um proprietário responsável, com observância das práticas do item 7.1 da NBRISO/IEC 27.002;

9.2.9. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII,implemente processo de gestão de riscos de segurança da informação, com observância daspráticas da Norma Complementar IN01/DSIC/GSIPR 4;

9.2.10. em atenção ao Decreto 5.707/2006, art. 5º, 2º, c/c Portaria MPOG208/2006, art. 2º, I, e art. 4º, elabore Plano Anual de Capacitação;

9.2.11. planeje contratações de serviços de Tecnologia da Informação mediante oprocesso previsto na IN SLTI/MPOG 4/2010, observando a sequência lógico-temporal entre astarefas e os ritos de aprovação dos artefatos produzidos ao longo do processo;

9.2.12. no prazo de 30 (trinta) dias a contar da ciência deste acórdão, encaminheao Tribunal plano de ação para implementação das medidas aqui arroladas, contendo:

9.2.12.1. para cada determinação, o prazo e o responsável (nome, cargo e CPF)pelo desenvolvimento das ações;

9.2.12.2. para cada recomendação cuja implementação seja consideradaconveniente e oportuna, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimentodas ações;

9.2.12.3. para cada recomendação cuja implementação não seja consideradaconveniente ou oportuna, justificativa da decisão;

9.3. alertar a Secretaria Executiva do Ministério da Saúde quanto àsimpropriedades a seguir:

9.3.1. ausência de elementos básicos na fundamentação do objetivo dacontratação, decorrente do descumprimento dos arts. 6º, I, e 10, § 7º, do Decreto-Lei200/1967 e do art. 2º, I, II e III do Decreto 2.271/1997;

9.3.2. falhas na estimativa de preços, decorrentes do descumprimento do art. 7º,§ 2º, II, da Lei 8.666/1993;

9.3.3. prorrogação irregular de contrato, decorrente do descumprimento do art.57, II, da Lei 8.666/1993 e do art. 30, § 2º, da IN SLTI/MPOG 2/2008;

9.3.4. ausência de designação formal do preposto, em descumprimento do art. 68da Lei 8.666/1993;

9.4. arquivar os autos

Quorum

13.1. Ministros presentes: Benjamin Zymler (Presidente), Walton AlencarRodrigues, Ubiratan Aguiar, Augusto Nardes, Aroldo Cedraz (Relator), Raimundo Carreiro, JoséJorge e José Múcio Monteiro.

13.2. Ministro-Substituto convocado: Marcos Bemquerer Costa.13.3. Ministros-Substitutos presentes: André Luís de Carvalho e Weder de Oliveira

Publicação

Ata 10/2011 - PlenárioSessão 30/03/2011Dou 04/04/2011


26 de 27 25/5/2011 13:13

Anterior | Próximo

Referências (HTML)

Documento(s):judoc/Acord/20110405/AC_0757_10_11_P.doc

Status do Documento na Coletânea: [Não Selecionado] Coletânea

Voltar à lista de documentos

Em caso de dúvidas, críticas e sugestões, favor entrar em contato: Jurisprudência Requisição atendida em 0.505 segundo(s).


27 de 27 25/5/2011 13:13

Acórdão tcu 757 2011 - se-ms- avaliação de controles de ti

Technology

Transcript of Acórdão tcu 757 2011 - se-ms- avaliação de controles de ti