41º FonaiTec
João Pessoa, 26 e 27 de novembro de 2014
André Luiz Furtado Pacheco, CISA
Auditoria de TI:
4 questões a serem
respondidas
2
Agenda
1. Introdução
2. Estrutura de Governança de TI
3. Processo de Planejamento de TI
4. Processo de Contratação de TI
5. Segurança da Informação
6. Conclusão
1. Introdução
3
Matriz de Planejamento
Instrumento para organizar as informações
relevantes do planejamento de uma auditoria
Homogeneização do entendimento da equipe, e
demais envolvidos, quanto:
ao objetivo do trabalho;
aos passos a serem seguidos;
à estratégia metodológica a ser adotada.
Orienta os integrantes da equipe nas fases de
execução e de elaboração do relatório
4
5
Objetivo: Enunciar de forma clara e resumida o aspecto a ser enfocado pela auditoria, de acordo com o levantamento de auditoria previamente realizado.
Matriz de Planejamento
Questões de
Auditoria
Informações Requeridas
Fontes de
Informação
Detalhamento do
Procedimento
Objetos
Membro
Responsável
Período
Possíveis Achados
Apresentar, em
forma de
perguntas, os
diferentes
aspectos que
compõem o
escopo da
fiscalização e
que devem ser
investigados
com vistas à
satisfação do
objetivo
Identificar as
informações
necessárias
para
responder a
questão de
auditoria
Identificar as
fontes de cada
item de
informação
requerida da
coluna anterior.
Estas fontes
estão
relacionadas
com as técnicas
empregadas
Descrever as
tarefas que serão
realizadas, de
forma clara,
esclarecendo os
aspectos a serem
abordados (itens
de verificação ou
check list)
Indicar o
documento, o
projeto, o
programa, o
processo, ou o
sistema no qual o
procedimento será
aplicado.
Exemplos:
contrato, folha de
pagamento, base
de dados, ata,
edital, ficha
financeira,
processo
licitatório,
orçamento
Pessoa(s) da
equipe
encarregada(s) da
execução de cada
procedimento
Dia(s) em
que o
procedi-
mento
será
executado
Esclarecer
com precisão
que
conclusões
ou
resultados
podem ser
alcançados
Elaboração da Matriz de Planejamento
elaborar o objetivo da auditoria, após o
diagnóstico da situação, e determinar a linha
de investigação, mediante a formulação das
questões de auditoria
determinar, para cada questão de auditoria,
possíveis achados, ou seja, onde se deseja
chegar com a investigação
identificar as informações requeridas e onde
as obter (fontes de informação)
6
Elaboração da Matriz de Planejamento
elaborar os procedimentos, e descrevê-los
passo a passo, para colher as informações,
analisá-las e obter as evidências com objetivo
de responder as questões de auditoria
identificar o membro da equipe responsável
pelo procedimento
especificar o período de realização do
procedimento (cronograma)
identificar os objetos que foram analisados (*)
(*) coluna a ser preenchida na fase de execução da auditoria
7
Questões de Auditoria
8
1. Estruturas de Governança – Cobit 5
(EDM e APO)
2. Processo de Planejamento de TI –
Cobit 5 (APO)
3. Processo de Aquisição – Cobit 5 (BAI)
4. Segurança da Informação – Cobit 5
(APO e DSS) e ISO 27002
2. Estrutura de
Governança
9
Governança de TI – Definição
“Governança de TI é uma estrutura de relacionamentos e processos para dirigir e controlar a TI a fim de alcançar as metas da instituição pela agregação de valor, enquanto se mantém o equilíbrio dos riscos versus retorno sobre esta função e seus processos.”
(ITGI – IT Governance Institute)
“O Sistema pelo qual o uso atual e futuro da TI é dirigido e controlado.” (NBR ISO/IEC 38500, item 1.6.3)
10
11
Governança de TI – Objetivos
assegurar que as ações de TI estejam
alinhadas com o negócio da
organização, agregando-lhe valor;
medir o desempenho da área de TI,
alocar propriamente os recursos e
mitigar os riscos inerentes;
controlar as iniciativas de TI na
organização para garantir o retorno de
investimentos e a adoção de melhorias
nos processos organizacionais
Governança de TI – Cobit 5
12
Fonte: www.isaca.org
Governança de TI – Cobit 5
13 Fonte: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.
Levantamentos de Governança de TI
14
Levantamento de Governança de TI – Ciclo 2007
• 39 questões
• 255 órgãos/entidades da APF
• Acórdão nº 1.603/2008–TCU–Plenário
Levantamento de Governança de TI – Ciclo 2010
• 30 questões – 152 itens
• 301 órgãos/entidades da APF
• iGovTI
• Acórdão nº 2.308/2010-TCU-Plenário
Levantamento de Governança de TI – Ciclo 2012
• 36 questões – 494 itens
• 350 órgãos/entidades da APF
• Acórdão nº 2.585/2012-TCU-Plenário
Levantamento de Governança de TI – Ciclo 2014
• 355 órgãos/entidades da APF
• Escala de respostas (Não se aplica, Não adota, Iniciou plano para adotá-la, Adota parcialmente, Adota integralmente)
• Acórdão nº 3.117/2014-TCU-Plenário
15
iGovTI 2014
16
Distribuição das Organizações por Estágio do iGovTI
Acórdão 3.117/2014-TCU-Plenário
Evolução do iGovTI 2010-2014
17
Distribuição das Organizações por Estágio do iGovTI
Acórdão 3.117/2014-TCU-Plenário
18
Comitê Executivo de TI
“A existência de um comitê diretivo de TI (IT Steering
Committee), que determine as prioridades de
investimento e alocação de recursos nos diversos
projetos e ações de TI, é de fundamental importância
para o alinhamento entre as atividades de TI e o
negócio da organização, bem como para a otimização
dos recursos disponíveis e a redução do desperdício. O
fato desse comitê ser composto por dirigentes de TI e
de outras áreas da organização possibilita que as
decisões de investimentos sejam obtidas a partir de
uma visão mais abrangente, o que reduz os riscos de
erro” (Acórdão 1.603/2008-TCU-Plenário).
Comitê Executivo de TI
Acórdão 1233/2012-TCU-Plenário
“9.2. recomendar, (...), à Secretaria de Logística e
Tecnologia da Informação (SLTI/MP) que:
9.2.1. normatize a obrigatoriedade de que os
entes sob sua jurisdição estabeleçam comitês de
TI, observando as boas práticas sobre o tema, a
exemplo do Cobit 4.1, PO4.2 – comitê estratégico
de TI e PO4.3 – comitê diretor de TI;”
19
20
Instrução Normativa - SLTI 04/2014
“Art. 4º As contratações de que trata esta IN
deverão ser precedidas de planejamento,
elaborado em harmonia com o Plano Diretor de
Tecnologia da Informação - PDTI.
(...)
§ 7º Inexistindo o Comitê de Tecnologia da
Informação, o órgão ou entidade deverá instituí-
lo e dar-lhe pleno funcionamento, observando,
no que couber, o Guia de Comitê de Tecnologia da
Informação do SISP, acessível no Portal do SISP.”
Comitê Executivo de TI
Comitê Executivo de TI
Cobit 5, processo APO01 Gerenciar a Estrutura de
Gestão de TI, boa prática APO01.01 Definir a
Estrutura Organizacional, atividade 8:
“8. Estabelecer um comitê executivo de TI (ou
equivalente), composto pelas diretorias executiva,
de negócios e de TI para:
determinar prioridades dos programas de
investimentos em TI em linha com as
estratégias e prioridades do negócio;
monitorar o estado atual dos projetos e
resolver conflitos de recursos; e
monitorar níveis de serviço e suas melhorias.”
21
Comitê Executivo de TI Acórdão 3.117/2014-TCU-Plenário
22
2.1 Estrutura de
Governança – Matriz
23
Governança de TI – Questão de
Auditoria
Os mecanismos e estruturas de
Governança de TI foram definidos
e implementados adequadamente
no âmbito da instituição ?
24
3. Processo de
Planejamento de TI
25
26
“O planejamento é uma ferramenta
administrativa que possibilita perceber a
realidade, avaliar os caminhos, construir um
referencial futuro, estruturando o trâmite
adequado, e reavaliar todo o processo a que o
planejamento se destina. (...) o lado racional da
ação. Trata-se de um processo de deliberação
abstrato e explícito que escolhe e organiza
ações, antecipando os resultados esperados.”
(Wikipédia)
Conceito de Planejamento
27
A elaboração de
Planejamento pelo gestor
público seria apenas uma
faculdade?
Planejamento
28
Não, o Planejamento é
obrigatório.
Planejar é dever do gestor
público.
Planejamento
29
O Planejamento é dever político do
administrador público.
O gestor público tem o dever manejar os
recursos públicos da forma mais eficaz e
eficiente possível, de modo a gerar o maior
benefício possível à sociedade;
Esse dever só pode ser cumprido com
planejamento efetivo do quê, para quê e
como fazer com os recursos públicos
disponíveis.
O Dever de Planejar
30
Planejar é também dever jurídico:
Quem não planeja incorre em inobservância
jurídica do disposto no caput do art. 37 da
CF/1988, pois age contra o princípio da
eficiência:
“Art. 37. A administração pública direta e
indireta de qualquer dos Poderes da União,
dos Estados, do Distrito Federal e dos
Municípios obedecerá aos princípios de
legalidade, impessoalidade, moralidade,
publicidade e eficiência e, (...)”
O Dever de Planejar
31
Planejar é também dever jurídico:
Quem não planeja também incorre em
inobservância jurídica do disposto no artigo 6º,
inciso I do Decreto-Lei 200/1967, e ofende,
portanto, o princípio da legalidade:
“Art. 6º As atividades da Administração Federal
obedecerão aos seguintes princípios
fundamentais:
I - Planejamento.
(...)”
O Dever de Planejar
32
Acórdão 669/2008-TCU-Plenário
“9.1. recomendar (...) que: 9.1.1. em atenção ao princípio constitucional da eficiência e às disposições contidas no art. 6º, I, do Decreto-Lei nº 200/1967, aperfeiçoe o processo de planejamento institucional no Ministério, de forma a organizar estratégias, ações, prazos e recursos financeiros, humanos e materiais, a fim de minimizar a possibilidade de desperdício de recursos públicos e de prejuízo ao cumprimento dos objetivos institucionais do órgão, observando as práticas contidas no critério 2 - Estratégias e Planos do Gespública (Programa Nacional de Gestão Pública e Desburocratização);”
O Dever de Planejar
Níveis de Planejamento
33
Fonte: Guia para Elaboração de PDTI do SISP
Níveis de Planejamento
Segundo o Guia para Elaboração de PDTI do SISP:
“As organizações adotam usualmente três níveis de
planejamento, conforme a hierarquia:
Planejamento Estratégico: o nível estratégico
compreende a alta administração da
organização, responsável pela definição dos
objetivos e planos da instituição e pela tomada
de decisões relativas às questões de longo
prazo, tais como sobrevivência, crescimento e
efetividade geral. É o processo administrativo
que proporciona sustentação para se estabelecer
a melhor direção a ser seguida pela organização.”
34
Níveis de Planejamento
“Planejamento Tático: o planejamento, no
nível tático, traduz os objetivos gerais e as
estratégias da alta administração em
objetivos e atividades mais específicos. O
principal desafio nesse nível e promover um
contato eficiente e eficaz entre o nível
estratégico e o nível operacional.
Portanto, trabalha com decomposição dos
objetivos, estratégias e políticas
estabelecidas no planejamento estratégico.”
35
Níveis de Planejamento “Planejamento Operacional: nesse planejamento, o
processo é de menor amplitude, no qual o foco é trabalhar
junto aos funcionários envolvidos nas operações da
organização, implementando os planos específicos
definidos no planejamento tático. Pode ser considerado
como a formalização, principalmente através de documentos
escritos, das metodologias de desenvolvimento e
implantação estabelecidas. Portanto, nessa situação tem-se,
basicamente, os planos de ação ou planos operacionais,
os quais descrevem em detalhes os recursos necessários
para seu desenvolvimento e implantação, os
procedimentos básicos a serem adotados; os resultados
finais esperados; os prazos estabelecidos; os
responsáveis por sua execução e implantação, etc.”
36
Acórdão 1.603/2008-Plenário
“9.4. recomendar ao Ministério do Planejamento,
Orçamento e Gestão – MPOG que, nos
órgãos/entidades da Administração Pública Federal:
9.4.1. promovam ações com o objetivo de disseminar
a importância do planejamento estratégico,
procedendo, inclusive mediante orientação
normativa, ações voltadas à implantação e/ou
aperfeiçoamento de planejamento estratégico
institucional, planejamento estratégico de TI e
comitê diretivo de TI, com vistas a propiciar a
alocação dos recursos públicos conforme as
necessidades e prioridades da organização;”
37
Planejamento Estratégico Institucional
Acórdão 1233/2012-TCU-Plenário
“9.1. recomendar, (...), à Câmara de Políticas de
Gestão, Desempenho e Competitividade
(CGDC) do Conselho de Governo que:
9.1.1 em atenção Decreto-Lei 200/1967, art. 6º,
inciso I, e art. 7º, normatize a obrigatoriedade de
que todos os entes sob sua jurisdição
estabeleçam processo de planejamento
estratégico institucional, observando as boas
práticas sobre o tema, a exemplo do critério de
avaliação 2 do Gespública, contemplando, pelo
menos (subitem II.1):”
38
Planejamento Estratégico Institucional
Acórdão 1233/2012-TCU-Plenário
“9.1.1.1. elaboração, com participação de
representantes dos diversos setores da organização,
de um documento que materialize o plano
estratégico institucional de longo prazo,
contemplando, pelo menos, objetivos, indicadores
e metas para a organização;
9.1.1.2. aprovação, pela mais alta autoridade da
organização, do plano estratégico institucional;
9.1.1.3. desdobramento do plano estratégico pelas
unidades executoras;”
39
Planejamento Estratégico Institucional
Acórdão 1233/2012-TCU-Plenário
“9.1.1.4. divulgação do plano estratégico
institucional para conhecimento dos cidadãos
brasileiros, exceto nos aspectos formalmente
declarados sigilosos ou restritos;
9.1.1.5. acompanhamento periódico do alcance
das metas estabelecidas, para correção de
desvios;
9.1.1.6. divulgação interna e externa do alcance
das metas, ou dos motivos de não as ter
alcançado;”
40
Planejamento Estratégico Institucional
Acórdão 1233/2012-TCU-Plenário
“9.1.3. em atenção ao Decreto-Lei 200/1967, art.
6º, V, estabeleça, normativamente para todos os
entes sob sua jurisdição, a obrigatoriedade de a
alta administração implantar uma estrutura de
controles internos, mediante a definição de
atividades de controle em todos os níveis da
organização para mitigar os riscos de suas
atividades no processo de planejamento
estratégico institucional (subitem II.11);”
41
Planejamento Estratégico Institucional Acórdão 3.117/2014-TCU-Plenário
42
Planejamento Estratégico de TI
Acórdão 1233/2012-TCU-Plenário
“9.1.2. em atenção Decreto-Lei 200/1967, art. 6º,
inciso I, e art. 7º, normatize a obrigatoriedade de
que todos os entes sob sua jurisdição estabeleçam
processo de planejamento estratégico de TI,
observando as boas práticas sobre o tema, a
exemplo do processo “PO1 – Planejamento
Estratégico de TI” do Cobit 4.1, contemplando, pelo
menos (subitem II.2):”
43
Planejamento Estratégico de TI
Acórdão 1233/2012-TCU-Plenário
“9.1.2.1. elaboração, com participação de
representantes dos diversos setores da organização,
de um documento que materialize o plano estratégico
de TI, contemplando, pelo menos:
9.1.2.1.1. objetivos, indicadores e metas para a TI
organizacional, sendo que os objetivos devem estar
explicitamente alinhados aos objetivos de negócio
constantes do plano estratégico institucional;
9.1.2.1.2. alocação de recursos (financeiros, humanos,
materiais etc);
9.1.2.1.3. estratégia de terceirização;”
44
Planejamento Estratégico de TI
Acórdão 1233/2012-TCU-Plenário
“9.1.2.2. aprovação, pela mais alta autoridade da
organização, do plano estratégico de TI;
9.1.2.3. desdobramento do plano estratégico de TI
pelas unidades executoras;
9.1.2.4. divulgação do plano estratégico de TI para
conhecimento dos cidadãos brasileiros, exceto nos
aspectos formalmente declarados sigilosos ou restritos;
9.1.2.5. acompanhamento periódico do alcance das
metas estabelecidas, para correção de desvios;
9.1.2.6. divulgação interna e externa do alcance das
metas, ou os motivos de não as ter alcançado;”
45
Planejamento Estratégico de TI
Definir missão
Objetivos, indicadores, metas da TI
Alinhamento com o negócio
Iniciativas, estratégias
Estratégia de terceirização
Desdobramento
Divulgação
Alocação de recursos (financeiros,
humanos, materiais)
Acompanhamento periódico
46
Planejamento Estratégico de TI (PETI) Acórdão 3.117/2014-TCU-Plenário
47
Planejamento Estratégico de TI
48
Fonte: Guia de Elaboração de PDTI do SISP
Estratégico Estratégia de PEI Negócio
Estratégia Estratégia Estratégia PETI de TI de RH de ...
Tático Planejamento Planejamento Planejamento PDTI Tático de TI Tático de RH Tático de ...
Operacional
P l a n o s de A ç ã o
49
Plano Diretor de TI – PDTI
A IN-4/2014 da SLTI/MP define no art. 2º:
“XXVII – Plano Diretor de Tecnologia da
Informação (PDTI): instrumento de
diagnóstico, planejamento e gestão dos
recursos e processos de Tecnologia da
Informação que visa atender às
necessidades tecnológicas e de
informação de um órgão ou entidade para
um determinado período.”
Plano Diretor de TI – PDTI
Fases do Processo de Elaboração do PDTI:
Preparação
Diagnóstico
Planejamento
Fonte: Guia de Elaboração de PDTI do SISP
50
Plano Diretor de TI – PDTI – Atores
“Autoridade Máxima, o membro da alta
administração no nível hierárquico mais alto da
organização. Nos ministérios, são os Ministros. Nas
autarquias e fundações, correspondem aos
Presidentes. A autoridade máxima é o principal
patrocinador do projeto de elaboração de PDTI.
Nesse papel, ele deverá prover recursos, aprovar o
Plano de Trabalho, tomar as decisões mais
importantes, definir premissas e diretrizes gerais,
aprovar e publicar o PDTI, formalizando-o. O papel
do patrocinador é crucial no projeto, e pode fazer
toda a diferença em seu sucesso ou fracasso.”
51
Plano Diretor de TI – PDTI – Atores
“Comitê de TI, um mecanismo importante de
Governança de TI, recomendado por modelos de
mercado e indicado na EGTI 2011-2012. O Comitê é
formado por representantes das áreas finalísticas e
da TI e tem a função e o poder de priorizar as ações
e dirigir o alinhamento dessas e dos investimentos
com os objetivos estratégicos da organização, além
de monitorar os resultados do desempenho da TI.
Sobre o Comitê de TI, o SISP disponibiliza o “Guia para
criação e funcionamento do Comitê de TI” , o qual visa
orientar a instituição do Comitê e seu pleno
funcionamento nos órgãos integrantes do SISP, além de
esclarecer responsabilidades e funções.”
52
Plano Diretor de TI – PDTI – Atores “Equipe de Elaboração do PDTI. Responsável por executar
boa parte da elaboração do PDTI, ou seja, é o grupo que
realmente efetua as atividades. Recomenda-se que a
elaboração do PDTI seja trabalhada como um projeto. É a
equipe de elaboração do PDTI quem operacionaliza o projeto
de elaboração do PDTI. Os membros da equipe são
designados pelo Comitê de TI, que deve indicar servidores
tanto das áreas finalísticas quanto da área de TI. Ou seja,
reforça-se a orientação de que os profissionais que vão
participar da elaboração do PDTI não sejam exclusivamente
servidores da área de TI. Outra recomendação é que a equipe
não seja técnica, mas primordialmente negocial, com
conhecimento multidisciplinar, perfil colaborativo e integrador,
domínio da cultura organizacional e do negócio da sua área.”
53
3.1 Processo de
Planejamento de TI – Matriz
54
Processo de Planejamento de TI –
Questão de Auditoria
Existe processo de
Planejamento de TI ?
55
4. Processo de
Contratação de TI
56
57
Cobit 5, MEA 03.01, Atender aos Requisitos legais e regulatórios aplicáveis
Modelo de Contratação
de TI
LC 123/2006
Lei 8.666/1993
Lei 10.520/2002
Decreto 7.174/2010
Decreto 2.271/1997
E outras fontes
Decisões STJ e STF
Enunciado 331 (TST)
Acórdãos TCU
IN-4 e IN-2 – SLTI/MP
Decreto 7.892/2013
58
BAI 03.04 Adquirir componentes da
Solução: “adquirir os componentes da
solução com base no plano de aquisições em
conformidade com os requisitos detalhados,
padrões de arquitetura, procedimentos,
requisitos de controle de qualidade e normas
de homologação. Assegurar que todos os
requisitos legais e contratuais são
identificados e seguidos pelo fornecedor.”
www.isaca.org
Cobit 5
“Na contratação de bens e serviços de TI é essencial a
adoção de processo de trabalho formalizado,
padronizado e judicioso quanto ao custo, à
oportunidade e aos benefícios advindos para a
organização. Esse processo melhora o relacionamento
com os fornecedores e prestadores de serviços,
maximiza a utilização dos recursos financeiros alocados
à área de TI e contribui decisivamente para que os
serviços de TI dêem o necessário suporte às ações da
organização no alcance de seus objetivos e suas
metas.”
(Relatório do Acórdão 1.603/2008-TCU-Plenário)
Processo de Contratação de TI
59
60
Antecedentes da IN 04/2014 - SLTI
Estudo desenvolvido pela Segecex/TCU
• item 9.7 do Acórdão 1.558/2003-TCU- Plenário,
QRN – Quadro Referencial Normativo
(http://portal2.tcu.gov.br/portal/page/portal/ticontrole/leg
islacao/repositorio_contratacao_ti/ManualOnLine.html)
Série de Acórdãos relativos ao MDIC:
• 1.094/2004, 667/2005, 2.103/2005, 2.171/2005,
2.172/2005, 786/2006, todos do Plenário.
61
Histórico da IN 04/2014 - SLTI
Recomendação à Secretaria de Logística e Tecnologia da Informação – SLTI:
• item 9.4 do Acórdão 786/2006-TCU-Plenário:
“(...) a partir das diretrizes expostas na seção III do voto antecedente e nos Acórdãos deste Tribunal, sobretudo os de número 667/2005, 2.103/2005, 2.171/2005 e 2.172/2005, todos do Plenário, elabore um modelo de licitação e contratação de serviços de informática para a Administração Pública Federal e promova a implementação dele nos diversos órgãos e entidades sob sua coordenação mediante orientação normativa (...)”
Monitoramentos no TC 006.030/2007-4
• Acórdão 1.480/2007-TCU-Plenário
• Acórdão 1.999/2007-TCU-Plenário
62
Histórico da IN 04/2014 - SLTI
Audiência pública em abril de 2008;
IN 04/2008 SLTI, de 19 de maio de 2008;
Entrou em vigor em 02.01.2009;
Acórdão 1.915/2010-Plenário: “...subsídios à
evolução das normas que regem as contratações
de bens e serviços de tecnologia de informação...”
Audiência pública em agosto de 2010;
IN 04/2010 SLTI, de 12 de novembro de 2010;
Entrou em vigor em 02.01.2011;
Audiência pública em maio de 2014;
IN 04/2014 SLTI, de 11 de setembro de 2014;
Entrará em vigor em 02.01.2015
63
A Secretaria de Logística e Tecnologia da Informação – SLTI do Ministério do Planejamento editou as Instruções Normativas 02/2008 e 04/2008, as quais contemplaram a maior parte das recomendações do TCU quanto à implementação do modelo de contratação de soluções de TI (Acórdãos 786/2006-TCU-Plenário, item 9.4, 1480/2007-TCU-Plenário, item 9.1.2.6 e 1999/2007-TCU-Plenário, item 9.4.1.1).
Acórdão 1.915/2010-Plenário: “9.1. considerar que a Instrução Normativa 04/2008, da Secretaria de Logística e Tecnologia da Informação - SLTI/MP, implementa, ainda que parcialmente, mas em sua maior parte, as recomendações monitoradas;”
Instruções Normativas
64
A IN/SLTI 04/2014 dispõe sobre o processo de
contratação de Soluções de Tecnologia da
Informação pelos órgãos integrantes do
Sistema de Administração dos Recursos de
Tecnologia da Informação (SISP) do Poder
Executivo Federal.
A IN/SLTI 02/2008, que substitui a IN/MARE
18/1997, dispõe sobre regras e diretrizes para a
contratação de serviços, continuados ou
não. Essa norma aplica-se subsidiariamente à
IN/SLTI 04/2014 (IN-04/2014, art. 38).
Instruções Normativas
Processo de Contratação de TI 2007/2014
65
Acórdão 3.117/2014-TCU-Plenário
Guia de Boas Práticas em
Contratação de Soluções de TI
66
Importância do planejamento das
contratações de soluções de TI
Contexto do planejamento das
contratações de soluções de TI
Processo de planejamento da
contratação de soluções de TI
Guia de Boas Práticas em
Contratação de Soluções de TI
67
Artefatos gerados no processo de
planejamento da contratação de soluções
de TI
• Estudos técnicos preliminares
• Plano de trabalho
• Termo de referência ou projeto básico
Guia de Boas Práticas em
Contratação de Soluções de TI
68
Riscos e sugestões de controles
internos relativos ao processo de
planejamento das contratações como um
todo
Controles internos de caráter
estruturante
Principais falhas encontradas pelo TCU
Guia de Boas Práticas em
Contratação de Soluções de TI
69
Planejamento Institucional
Planejamento de TI
Modelo de Contratação de Soluções de TI
Atores do MCTI
Planejamento da Contratação
Seleção do Fornecedor
Gestão do Contrato
Artefatos
Guia de Boas Práticas em
Contratação de Soluções de TI
70
Fases Processos Atividades Artefatos Atores
Planejamento 4 45 7 8
Seleção 18 - 1 5
Gestão 5 21 8 5
71
“Art. 2º A aquisição de bens e serviços de
tecnologia da informação e automação
deverá ser precedida da elaboração de
planejamento da contratação, incluindo
projeto básico ou termo de referência
contendo as especificações do objeto a ser
contratado...”
Decreto nº 7.174/2010
72
Instrução Normativa - SLTI 04/2014
“Art. 4º As contratações de que trata esta IN
deverão ser precedidas de planejamento,
elaborado em harmonia com o Plano Diretor de
Tecnologia da Informação - PDTI.
§ 1º O PDTI deverá estar alinhado à EGTI e ao
plano estratégico institucional e aprovado pelo
Comitê de Tecnologia da Informação do órgão
ou entidade.”
Planejamento da Contratação
73
Instrução Normativa - SLTI 04/2014
“Art. 4º (...)
§ 2º Inexistindo o PDTI, o órgão ou entidade
deverá proceder à sua elaboração, observando,
no que couber, o Guia de Elaboração de PDTI do
SISP, acessível no Portal do SISP.
§ 3º Inexistindo o plano estratégico
institucional, sua ausência deverá ser registrada
no PDTI e deverá ser utilizado um documento
equivalente, como o Plano Plurianual - PPA.”
Planejamento da Contratação
74
Instrução Normativa - SLTI 04/2014
“Art. 8º As contratações de Soluções de
Tecnologia da Informação deverão seguir três
fases:
I - Planejamento da Contratação;
II - Seleção do Fornecedor; e
III - Gestão do Contrato.”
Planejamento da Contratação
75
Instrução Normativa - SLTI 04/2014
“Art. 9º. (...)
§ 2º É obrigatória a execução da fase de Planejamento
da Contratação, independentemente do tipo de
contratação, inclusive nos casos de:
I - inexigibilidade;
II - dispensa de licitação ou licitação dispensada;
III - criação e adesão à Ata de Registro de Preços; e
IV - contratações com uso de verbas de organismos
internacionais, como Banco Mundial, Banco Internacional
para Reconstrução e Desenvolvimento, e outros.”
Planejamento da Contratação
76
“Art. 1º As contratações de Soluções de
Tecnologia da Informação pelos órgãos e
entidades integrantes do Sistema de
Administração dos Recursos de Tecnologia da
Informação (SISP) serão disciplinadas por esta
Instrução Normativa (IN).
§ 1º Esta IN não se aplica:
I - às contratações cuja estimativa de preços
seja inferior ao disposto no art. 23, inciso II,
alínea "a" da Lei nº 8.666, de 21 de junho de
1993;”
Aplicação da IN - SLTI 04/2014
77
“Art. 1º (...) § 1º Esta IN não se aplica: II - às contratações dos Serviços Estratégicos de Tecnologia da Informação, que deverão observar o Plano de Capacidade, conforme disposto no inciso XIV do art. 2º desta IN, para confecção do Planejamento da Contratação nos termos da Lei, não se aplicando a estes casos os demais dispositivos desta IN, a exceção do disposto no § 2º deste artigo e do disposto no art. 4º desta IN, em que a contratada seja: a) órgão ou entidade, nos termos do art. 24, inciso XVI da Lei nº 8.666, de 1993; b) Empresa Pública, nos termos do art. 2º da Lei nº 5.615, de 13 de outubro de 1970, modificada pela Lei nº 12.249, de 11 de junho de 2010; e c) Empresa Pública, nos termos da Lei nº 6.125, de 4 de novembro de 1974.”
Aplicação da IN - SLTI 04/2014
78
“Art. 1º (...) § 1º Esta IN não se aplica: III - às contratações de Soluções de Tecnologia da Informação que possam comprometer a segurança nacional, em que deverá ser observado o disposto no Decreto nº 8.135, de 4 de novembro de 2013, e suas regulamentações específicas. § 2º O art. 4º desta IN deverá ser sempre observado, mesmo nos casos enquadrados nos parágrafos anteriores deste artigo. § 3º Os órgãos e entidades integrantes do SISP deverão observar, no que couber, os dispositivos introduzidos por esta IN, sendo-lhes permitida harmonização para melhor adequação à sua estrutura funcional, conforme disposto no art. 115 da Lei nº 8.666, de 1993.”
Aplicação da IN - SLTI 04/2014
79
Questionamentos:
Neste caso, o que realmente significa não se
aplica?
A IN-04/2014 trouxe novidades ou
simplesmente consolidou o que já existia?
Quais são os dispositivos da IN-04/2014 que
estão previstos na Constituição, na Lei ou em
Decretos? E a jurisprudência?
Como é feita a fiscalização do TCU e dos
outros órgãos de controle?
Aplicação da IN - SLTI 04/2014
80
Conclusões
Deve-se utilizar o princípio da precaução;
Se há necessidade de “simplificar” o
processo de contratação devem ser buscados
outros meios;
A contratação de empresas públicas de TI
por dispensa de licitação não permite aos
órgãos e entidades deixar de seguir o restante
da legislação.
Aplicação da IN - SLTI 04/2014
81
Planejamento da Contratação A IN-04/2014 da SLTI/MP estabelece:
“Art. 9º A fase de Planejamento da Contratação
consiste nas seguintes etapas:
I - Instituição da Equipe de Planejamento da
Contratação;
II - Estudo Técnico Preliminar da Contratação;
III - Análise de Riscos; e
IV - Termo de Referência ou Projeto Básico.
§ 1º Os documentos resultantes das etapas
elencadas nos incisos II e III deste artigo poderão
ser consolidados em um único documento, a
critério da Equipe de Planejamento da Contratação.”
4.1 Processo de
Contratação de TI – Matriz
82
Processo de Contratação de TI –
Questão de Auditoria
Existe processo para
aquisição de soluções de TI ?
83
5. Segurança da
Informação
84
85
Segurança da Informação
NBR ISO/IEC 27002
(Código de prática de segurança da informação)
Especial atenção para:
Área com competência definida para gestão da Segurança da Informação (GSI);
Política de Segurança da Informação (PSI);
Norma de Classificação da Informação (NCI);
Política de Controle de Acesso (PCA);
Gestão de Continuidade de Negócios (GCN).
86
Segurança da Informação
Legislação e Normas
Lei nº 12.527/2011 (Transparência e acesso a informações de interesse público);
Decreto nº 3.505/2000 (PSI);
Decreto nº 7.845/2012 (Classificação das Informações)
IN-01 GSI/PR de 13.06.2008 (PSI e GSI);
20 Notas Complementares à IN-01 GSI/PR de 2008 a 2014 e mais duas INs.
87
Segurança da Informação
Jurisprudência e Boas Práticas
Acórdão nº 1.603/2008-TCU-Plenário;
Acórdão nº 1.092/2007-TCU-Plenário (PSI, PCA, Classificação da Informação, GSI e PCN);
Acórdão nº 2.023/2005-TCU-Plenário (PSI, PCA, Classificação da Informação e GSI);
Acórdão nº 71/2007-TCU-Plenário (PSI, PCA e GSI);
Cobit 5, APO13.02 Definir e Gerir um Plano de Tratamento aos Riscos de Segurança da Informação.
Segurança da Informação
Acórdão 3.117/2014-TCU-Plenário
88
5.1 Segurança da
Informação – Matriz
89
Segurança da Informação –
Questão de Auditoria
É realizada a Gestão da
Segurança da Informação ?
90
6. Conclusão
91
Alta Dependência de TI
92
Preocupações e Riscos
93
94
10.000,00
100.000,00
1.000.000,00
10.000.000,00
100.000.000,00
1.000.000.000,00
10.000.000.000,00
0,00 0,10 0,20 0,30 0,40 0,50 0,60 0,70 0,80 0,90 1,00
Orç
amen
to d
e TI
20
14
iGovTI2014
iGovTI-2014 x Orçamento de TI 2014
Indução
Do que?
Para onde?
95
Papel do Controle
Top Related