· web viewe 432/2011, todos do tcu-plenário. “anÁlise do atendimento das deliberaÇÕes ......

TRIBUNAL DE CONTAS DA UNIÃO TC 009.763/2013-9

GRUPO I – CLASSE V – PlenárioTC 009.763/2013-9Natureza: Relatório de Monitoramento.Órgãos/Entidades: Departamento Nacional de Infraestrutura de Transportes; Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis; Secretaria Executiva do Ministério da Ciência, Tecnologia e Inovação; Secretaria Executiva do Ministério da Saúde; Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão.Interessados/Responsáveis: não há.Advogado constituído nos autos: não há.

SUMÁRIO: MONITORAMENTO DE DIVERSOS ACÓRDÃOS PROLATADOS EM FISCALIZAÇÃO DE TI, COM OBJETIVO DE AVALIAR A GESTÃO E USO EM DIVERSOS ÓRGÃOS À LUZ DA LEGISLAÇÃO VIGENTE E DAS BOAS PRÁTICAS DE GOVERNANÇA. GRANDE QUANTIDADE DE DETERMINAÇÕES E RECOMENDAÇÕES FEITAS AO DIVERSOS ÓRGÃOS. REALIZAÇÃO DE AUDIÊNCIA DE RESPONSÁVEIS QUE NÃO APRESENTARAM JUSTIFICATIVAS PARA O NÃO CUMPRIMENTO DAS DELIBERAÇÕES. REITERAÇÃO DE DETERMINAÇÕES. RECOMENDAÇÕES. NOVO MONITORAMENTO.

RELATÓRIO

Adoto como Relatório a robusta e detalhada instrução da Secretaria de Fiscalização de TI – Sefti, peça 371, que obteve anuência de seus dirigentes, peças 372/373, e traz os achados observados no Monitoramento dos Acórdãos 380/2011, 2.613/2011, 757/2011, 866/2011, 111/2011 e 432/2011, todos do TCU-Plenário.

“ANÁLISE DO ATENDIMENTO DAS DELIBERAÇÕESA. Secretaria Executiva do Ministério da Ciência, Tecnologia e Inovação (SE/MCTI)26. A Secretaria de Controle Externo no Estado de Roraima (Secex/RR) realizou auditoria no Ministério da Ciência, Tecnologia e Inovação (MCTI), no período de 25/5 a 9/7/2010, com o objetivo de avaliar controles gerais de tecnologia da informação (TI) e verificar se estavam de acordo com a legislação pertinente, bem como com as boas práticas de governança de TI (TC 013.761/2010-2, peça 1).27. Considerando o disposto no item 10 do Anexo à Portaria-Segecex 9, de 20/1/2010, que impossibilita a propositura de determinações e recomendações à unidade jurisdicionada que não pertença à clientela da unidade técnica responsável pela fiscalização, a Secex/RR propôs que o processo fosse conduzido pela Secretaria de Fiscalização da Tecnologia da Informação (Sefti), o que foi determinado pelo Relator por meio de despacho (TC 013.761/2010-2, peça 6). Em consequência, a Sefti se pronunciou a respeito e consolidou as propostas de encaminhamento, cujos autos foram submetidos ao Relator (TC 013.761/2010-2, peças 8-9).28. Como resultado dessa auditoria, o Plenário do Tribunal de Contas da União (TCU) decidiu por treze recomendações e treze determinações ao MCTI, as quais constam dos itens 9.1 e 9.2 do Acórdão 380/2011-TCU-Plenário.29. Frisa-se que consta no Anexo A (peça 366) deste relatório a análise quanto ao atendimento de todas as deliberações constantes dos itens 9.1 e 9.2 do Acórdão 380/2011-TCU-Plenário.30. Procede-se, a seguir, ao relato apenas das deliberações constantes nos itens 9.1 e 9.2 do Acórdão 380/2011-TCU-Plenário cuja análise quanto ao atendimento levou à conclusão pela proposição

1


de nova(s) deliberação(ões) ou de reiteração de determinação não cumprida ou de conversão de recomendação não implementada em implementação, iniciando-se pelas determinações.A.1. Deliberação 9.2.19.2. determinar ao MCT que:9.2.1. em atenção ao previsto na Instrução Normativa SLTI/MPOG 4/2010, art. 4º, elabore e aprove plano diretor de tecnologia da informação – PDTI, com observância das diretrizes constantes da Estratégia Geral de Tecnologia da Informação – EGTI em vigor e à semelhança das orientações contidas no Cobit 4.1, processo PO1 – Planejamento Estratégico de TI;A.1.1. Situação que levou à proposição da deliberação31. O Plano Diretor de Tecnologia da Informação (PDTI) analisado pela equipe de auditoria estava expirado e continha falhas, conforme consta do relatório de auditoria (peça 135, p. 2-4).A.1.2. Providências adotadas e comentários dos gestores32. O MCTI informou, em resposta ao Ofício 87/2013-TCU/Sefti (peça 12), que a Portaria Sexec 12/2011 aprovou o PDTI 2011-2012 (peça 138, p. 1). A portaria e o PDTI foram publicados no Boletim de Serviço Suplementar 15/2011 (peça 192).33. A Portaria Sexec 4/2013 aprovou o PDTI 2011-2013, que é uma revisão do plano anterior, com vigor até o primeiro semestre de 2013. A Portaria e o PDTI foram publicados no Boletim de Serviço 3/2013 (peça 193).34. O PDTI 2011-2012 foi aprovado no âmbito do então Comitê Gestor de Segurança e TI (CSTI), composto por representantes de várias áreas que integram a estrutura do Ministério.35. O PDTI 2011-2013 foi aprovado no âmbito do atual Comitê Executivo de TI (Ceti), que também conta com representantes de várias áreas.36. A Portaria Ceti 1/2012 instituiu grupo de trabalho, composto por integrantes de várias áreas do Ministério, para revisar o PDTI 2011-12 (peça 197).37. A Portaria Ceti 1/2013, publicada no Boletim de Serviço 4/2013, instituiu grupo de trabalho, também composto por integrantes de várias áreas do Ministério, para elaborar o PDTI 2013-2015 (peça 194).38. De acordo com o Ministério, a reavaliação do processo de elaboração do planejamento estratégico de TI acontece a cada ciclo do PDTI e faz parte das atribuições desse grupo de trabalho (peça 138, p. 1).39. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização (peça 356, p. 7), o MCTI informou que:39.1. o PDTI 2013-2015 já foi aprovado no âmbito do Comitê Executivo de Tecnologia da Informação (Ceti) e encontra-se aguardando aprovação do Secretário-Executivo;39.2. a elaboração do PDTI 2013-2015 baseou-se principalmente no modelo proposto no Guia de Elaboração de PDTI do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp), porém o Ministério efetuou adaptações para alinhamento à sua realidade organizacional;39.3. o PDTI 2013-20105 prevê a análise periódica de seu conteúdo;39.4. o Ministério planeja contratar serviços relacionados ao planejamento e à gestão estratégica, além da melhoria de processos.A.1.3. Análise40. O MCTI elaborou e aprovou um PDTI para o período 2011-2012, depois aprovou uma revisão desse mesmo plano e estendeu sua vigência até o primeiro semestre de 2013. Um novo PDTI para o período 2013-2015 foi elaborado pelo grupo de trabalho e aprovado pelo Ceti e está aguardando aprovação do Secretário-Executivo.41. Entretanto, considerando que o novo plano não foi enviado para avaliação por parte da equipe de fiscalização, o PDTI vigente à época da execução deste monitoramento continua sendo a referência para esta análise.42. O PDTI 2011-2012 apresenta: princípios e diretrizes que guiaram sua elaboração e revisão; metodologia de elaboração; estrutura organizacional, competências, missão, visão e valores da Coordenação-Geral de Gestão da Tecnologia da Informação (CGTI); objetivos estratégicos de TI; análise

2


SWOT dos ambientes interno e externo; fatores críticos de sucesso; inventário de necessidades; plano de ação com indicadores, prazos e responsáveis; gestão de pessoas; e proposta orçamentária.43. Contudo, em harmonia com a IN SLTI/MP 4/2010, a Estratégia Geral de Tecnologia da Informação (EGTI) – 2013/2015 e o Cobit 4.1, destaca-se que um dos fatores críticos de sucesso da TI apontados no PDTI é o “nível de alinhamento das ações de TI com as necessidades de negócio” (peça 193, p. 28). Desse modo, deveria existir uma vinculação explícita entre cada necessidade/ação de TI declarada nesse plano e algum objetivo de negócio definido pela Estratégia Nacional de Ciência, Tecnologia e Inovação 2012-15 (peça 137), o que não foi evidenciado na análise do PDTI do Ministério.44. Além disso, é importante ressaltar que uma das ações previstas na EGTI 2013-2015, Objetivo 3 – Aperfeiçoar a governança de TI (peça 137, p. 74), cujos responsáveis são os órgãos integrantes do Sisp, é elaborar um PDTI aderente ao modelo de referência do Guia de Elaboração de PDTI do Sisp. Por esse motivo, embora tenha declarado que o novo PDTI para o período 2013-215 foi elaborado com base no modelo proposto nesse guia, o MCTI deveria instituir um processo formal de planejamento estratégico de TI, tomando como referência os papéis, as fases e as atividades, além dos artefatos previstos no processo de elaboração de PDTI definido no guia do Sisp, de modo a assegurar que todos os elementos necessários em um plano de TI sejam construídos segundo um conjunto de procedimentos padrão.45. Desse modo, entende-se que o MCTI cumpriu parcialmente a determinação ora monitorada, por entender que o PDTI e o processo de elaboração do planejamento estratégico de TI do Ministério necessitam ser aperfeiçoados, nos termos descritos nos parágrafos 43 e 44.A.1.4. Evidênciasa) evidências de cumprimento do plano de ação – Determinações (peça 138);b) PDTI 2011-2012 (peça 192);c) PDTI 2011-2013 (peça 193);d) portaria de instituição do grupo de trabalho para elaborar o PDTI 2013-2015 (peça 194);e) portaria de instituição do grupo de trabalho para revisar o PDTI 2011-12 (peça 197);f) Estratégia Nacional de Ciência, Tecnologia e Inovação 2012-2015 (peça 137);g) manifestação sobre a análise exposta no relatório preliminar (peça 356).A.1.5. Conclusão46. A determinação 9.2.1 foi parcialmente cumprida. Nesse caso, propor-se-á a reiteração da determinação, com base no parágrafo 63.1 da Portaria-Segecex 27, de 19 de outubro de 2009 (Padrões de Monitoramento do TCU), para que o MCTI: i) aperfeiçoe o processo de elaboração do planejamento estratégico de TI do Ministério de modo que, em atenção ao previsto no art. 4º da Instrução Normativa – SLTI/MP 4/2010, as ações definidas em seu PDTI sejam explicitamente alinhadas ao seu plano estratégico institucional; e ii) institua um processo formal de planejamento de TI para assegurar que seu PDTI seja aderente ao modelo de referência do Guia de Elaboração de PDTI do Sisp.A.1.6. Proposta de Encaminhamento47. Considerar parcialmente cumprida a determinação 9.2.1 do Acórdão 380/2011-TCU-Plenário.48. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, à Secretaria Executiva do Ministério da Ciência, Tecnologia e Inovação que, no prazo de noventa dias a contar da ciência do decisum, institua um processo formal de planejamento de TI para assegurar que seu PDTI seja aderente ao modelo de referência do Guia de Elaboração de PDTI, do Sistema de Administração dos Recursos de Tecnologia da Informação – Sisp, especialmente ao contemplar ações explicitamente alinhadas ao seu plano estratégico institucional, nos moldes do que estabelecem a Estratégia Geral de Tecnologia da Informação – EGTI 2013-2015 e o art. 4º da Instrução Normativa – SLTI/MP 4/2010, observando ainda as práticas contidas no Cobit 4.1, Processo PO1 – Planejamento Estratégico de TI.A.2. Deliberação 9.2.29.2. determinar ao MCT que:(...)

3


9.2.2. em atenção à Portaria MCT 114/2010, monitore o funcionamento do Comitê Gestor de Segurança e Tecnologia da Informação – CSTI de maneira a que este exerça suas atribuições;A.2.1. Situação que levou à proposição da deliberação49. O Comitê Gestor de Segurança e Tecnologia da Informação (CSTI), à época da auditoria, havia se reunido apenas uma única vez, embora houvesse previsão regimental de periodicidade bimestral para a realização de suas reuniões ordinárias (peça 135, p. 4-6).A.2.2. Providências adotadas e comentários dos gestores50. O MCTI informou (peça 138, p. 1), em resposta ao Ofício 87/2013-TCU/Sefti (peça 12), que o CSTI realizou duas reuniões ordinárias no ano de 2012 (nos meses de janeiro e maio) e foi extinto com a instituição do Comitê Executivo de Tecnologia da Informação (Ceti) e do Comitê de Segurança da Informação e Comunicações (CSIC).51. A Portaria MCTI 383/2012 instituiu o Ceti e a Portaria MCTI 384/2012 (peça 198) instituiu o CSIC. Os representantes de ambos os comitês, segundo os gestores, foram escolhidos entre ocupantes de cargos em comissão. A presidência do Ceti é exercida pelo representante da Secretaria Executiva e a coordenação do CSIC é exercida pelo Gestor de Segurança da Informação e Comunicações (função exercida pelo Secretário-Executivo Substituto).52. Dessa forma, de acordo com o MCTI, o monitoramento do Ceti e do CSIC deve ser exercido pelos dirigentes do Ministério.53. Embora não haja um calendário anual predefinido, o art. 10, inciso I, do Regimento Interno do Ceti (peça 199) prevê a realização de reuniões ordinárias trimestrais.54. O MCTI informou ainda (peça 138, p. 1) que informações sobre reuniões e deliberações do Ceti estão disponíveis no portal de sua intranet. Além disso, encaminhou atas de reuniões do CSTI, do CETI e do CSIC (peça 201).55. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização (peça 356, p. 7), o MCTI informou que:55.1. após a execução desta fiscalização, a Portaria Sexec 22/2013 aprovou o regimento interno do CSIC;55.2. o monitoramento será realizado por meio aprovação de calendário anual de reuniões para os dois comitês (CETI e CSIC), “bem como a inclusão de pauta de reuniões alinhadas com as atribuições de cada um dos colegiados”;55.3. o controle será exercido pelos próprios comitês.A.2.3. Análise56. O MCTI optou adequadamente por separar as competências relacionadas com governança de TI e as relacionadas com segurança da informação e comunicações, que eram ambas atribuições do CSTI, em dois comitês separados e independentes: o Comitê Executivo de TI (Ceti) e o Comitê de Segurança da Informação e Comunicações (CSIC).57. O Ceti, em respeito à portaria que o instituiu, definiu e aprovou seu regimento interno (peça 199). Além disso, as atas de reunião apresentadas permitem evidenciar que esse comitê está atuando.58. O CSIC, por outro lado, nem sequer tinha um regimento interno quando a execução desta fiscalização foi realizada. Além disso, a reunião de instalação desse comitê só aconteceu em 25/4/2013 (peça 201, p.49-50), após quase onze meses da publicação da portaria que o instituiu – a publicação no Diário Oficial da União (DOU) aconteceu em 1/6/2012 (peça 198).59. Desse modo, considerando que a deliberação 9.2.2 foi decorrente de dois achados da auditoria (falhas relativas ao comitê de TI e falhas no comitê de segurança da informação e comunicações), não é possível afirmar que o MCTI, mesmo com as ações já realizadas, cumpriu plenamente a determinação do TCU para monitorar o funcionamento do CSTI, que foi extinto e substituído pelos dois novos comitês.60. Quanto à forma de monitoramento dos comitês informada pelo MCTI em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização (peça 356, p. 7), aprovação de calendário

4


anual de reuniões e inclusão de pautas alinhadas com as atribuições de cada colegiado, ressalva-se que somente essa ação não é suficiente para atender ao comando do Tribunal.61. Mais do que isso, é necessário estabelecer procedimento formal para acompanhar o funcionamento dos comitês, de modo a assegurar que as reuniões aconteçam conforme o calendário aprovado e que os assuntos tratados sejam condizentes com a pauta previamente definida.A.2.4. Evidênciasa) evidências de cumprimento do plano de ação – Determinações (peça 138);b) portarias de instituição do Ceti e do CSIC (peça 198);c) portaria de aprovação do regimento interno do CEI (peça 199);d) e-mail de convocação de reunião do CSIC (peça 200);e) atas de reuniões dos comitês CSTI, Ceti e CSIC (peça 201);f) manifestação sobre a análise exposta no relatório preliminar (peça 356).A.2.5. Conclusão62. A determinação 9.2.2 foi parcialmente cumprida (parágrafo 59). Nesse caso, propor-se-á a reiteração da determinação, com base no parágrafo 63.1 da Portaria-Segecex nº 27, de 19 de outubro de 2009 (Padrões de Monitoramento do TCU), para que o MCTI monitore o funcionamento dos novos comitês, nos moldes das Portarias MCTI 383/2012 e MCTI 384/2012, de modo a assegurar que exerçam de fato suas atribuições, com prazo definido para cumprimento de noventa dias a contar da ciência da decisão.A.2.6. Proposta de Encaminhamento63. Considerar parcialmente cumprida a determinação 9.2.2 do Acórdão 380/2011-TCU-Plenário.64. Deteminar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, à Secretaria Executiva do Ministério da Ciência, Tecnologia e Inovação que, em atenção às Portarias MCTI 383/2012 e MCTI 384/2012, no prazo de noventa dias a contar da ciência do decisum, institua formalmente procedimento de monitoramento do Comitê Executivo de Tecnologia da Informação – Ceti – e do Comitê de Segurança da Informação e Comunicações – CSIC, de modo a assegurar que esses comitês exerçam de fato suas atribuições.A.3. Deliberação 9.2.69.2. determinar ao MCT que:(...)9.2.6. em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, IV, e art. 7º, c/c a Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie gestor de segurança da informação e comunicações, com observância das práticas contidas na NBR ISO/IEC 27.002, item 6.1.3 – Atribuição de responsabilidade para segurança da informação;A.3.1. Situação que levou à proposição da deliberação65. À época da auditoria, não existia um gestor de segurança da informação e comunicações nomeado no MCTI (peça 135, p. 17-18).A.3.2. Providências adotadas e comentários dos gestores66. O MCTI informou (peça 138, p. 2) que, no DOU de 25/10/2011, Seção 2, foi publicada a Portaria Sexec 14/2011, que designou o Secretário-Executivo Substituto como Gestor de Segurança da Informação e Comunicações do Ministério (peça 207).67. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização (peça 356, p. 8), o MCTI informou que, no período após a realização desta fiscalização, o Gestor de Segurança da Informação e Comunicações efetuou as seguintes ações:67.1. elaboração do regimento do CSIC;67.2. elaboração da Política de Segurança da Informação e Comunicações (Posic);67.3. divulgação por e-mail da Posic;67.4. elaboração de minuta norma de tratamento de informações institucionais sob restrição de acesso.A.3.3. Análise

5


68. O art. 1º da Portaria Sexec 14/2011 designou o Secretário-Executivo Substituto como Gestor de Segurança da Informação e Comunicações do Ministério e o art. 2º designou o Assessor da Spoa como seu substituto.69. O art. 3º atribuiu as seguintes competências ao Gestor de Segurança da Informação e Comunicações:I – promover cultura de segurança da informação e comunicações;II – acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;III – propor recursos necessários às ações de segurança da informação e comunicações;IV – coordenar o Comitê de Segurança da Informação e Comunicações e a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais;V – realizar e acompanhar estudos de novas tecnologias quanto aos possíveis impactos na segurança da informação e comunicações;VI – manter contato direto com o Departamento de Segurança da Informação e Comunicações (DSIC) para o trato de assuntos relativos à segurança da informação e comunicações; eVII – propor normas e procedimentos relativos à segurança da informação e comunicações.70. Desse modo, o MCTI cumpriu a determinação 9.2.6.71. Contudo, ressalva-se que, embora o gestor tenha sido nomeado em 21/10/2011 (peça 207), a primeira evidência de sua atuação foi realizar a reunião de instalação do CSIC, que só aconteceu em 25/4/2013 (peça 200 e peça 201, p.49-50), após mais de um ano e seis meses da sua nomeação e após quase onze meses da publicação da portaria que instituiu o comitê (a publicação no DOU aconteceu em 1/6/2012; peça 198). Além disso, as ações realizadas após a realização desta fiscalização ficaram restritas apenas às propostas de normas e procedimentos relativos à segurança da informação e comunicações (item VII do art. 3º da Portaria Sexec 14/2011).72. Desse modo, não é possível afirmar que a atuação do Gestor de Segurança da Informação e Comunicações tem sido condizente com as suas competências definidas na Portaria Sexec 14/2011.A.3.4. Evidênciasa) evidências de cumprimento do plano de ação – Determinações (peça 138);b) portaria de designação do Gestor de Segurança da Informação e Comunicações (peça 207);c) portarias de instituição do Ceti e do CSIC (peça 198);d) e-mail de convocação de reunião do CSIC (peça 200);e) atas de reuniões dos comitês CSTI, Ceti e CSIC (peça 201);f) manifestação sobre a análise exposta no relatório preliminar (peça 356).A.3.5. Conclusão73. A determinação 9.2.6 foi cumprida, porém não há evidência de que o gestor esteja atuando plenamente conforme as suas competências atribuídas no art. 3º da Portaria Sexec 14/2011, situação que ensejará proposta de ciência ao Ministério.A.3.6. Proposta de Encaminhamento74. Considerar cumprida a determinação 9.2.6 do Acórdão 380/2011-TCU-Plenário.75. Dar ciência à Secretaria Executiva do Ministério da Ciência, Tecnologia e Inovação sobre a seguinte impropriedade: ausência de atuação do Gestor de Segurança da Informação e Comunicações, identificada no período que sucedeu a sua nomeação, o que afronta o estabelecido no art. 3º da Portaria Sexec 14/2011.A.4. Deliberação 9.2.89.2. determinar ao MCT que:(...)9.2.8. em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais, com observância das práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR;A.4.1. Situação que levou à proposição da deliberação76. À época da auditoria, o MCTI não possuía uma equipe de tratamento e resposta a incidentes em redes computacionais (peça 135, p. 18).

6


A.4.2. Providências adotadas e comentários dos gestores77. O MCTI informou (peça 138, p. 3), em resposta ao Ofício 87/2013-TCU/Sefti (peça 12), que optou por aguardar a instituição do novo Comitê de Segurança da Informação e Comunicações (CSIC) “para a aprovação da minuta da portaria que aprova a Política de Segurança da Informação e Comunicações (Posic) do Ministério”.78. De acordo com o Ministério, a instituição da equipe de tratamento e resposta a incidentes em redes computacionais (Etir) é uma das obrigações que integram a Posic e, sendo assim, depende de sua aprovação e publicação.79. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização (peça 356, p. 9), o Ministério informou que a Portaria MCTI 853/2013, publicada no Diário Oficial da União (DOU) de 6/9/2013, aprovou a sua Posic (peça 356, p. 23-26).A.4.3. Análise80. De fato, o art. 43 da minuta da Posic (peça 209, p. 12) estabelece que o CSIC deverá instituir a Etir, “em conformidade com a Norma Complementar nº 05/IN01/DSIC/GSIPR”.81. Entretanto, o prazo estabelecido no plano de ação expirou em dezembro de 2011 (peça 138, p. 3) e o MCTI ainda não tinha conseguido, até a data de término da execução deste monitoramento, aprovar e publicar sua Posic (conforme relatado no item 1.7.3 deste relatório), muito menos instituir uma Etir.82. Além disso, apesar de a Posic já ter sido aprovada, ainda não há evidência de alguma ação em andamento, como algum estudo ou minuta de portaria, com objetivo de instituir a Etir.83. Portanto, entende-se que a determinação 9.2.8 não foi cumprida. Desse modo, nos termos do item 63.1 dos Padrões de Monitoramento do TCU aprovados pela Portaria-Segecex 27/2009, propor-se-á a reiteração da determinação ora monitorada, com prazo para cumprimento.84. É de se ressaltar ainda que, de acordo com o item 63.1 da Portaria Segecex 27/2009 (Padrões de Monitoramento), nas situações que envolvam determinações não cumpridas sem justificativa pertinente, deve ser incluída proposta de aplicação de multa fundamentada no inciso VII do art. 268 do Regimento Interno do TCU.85. O § 3º do art. 268 do Regimento Interno estabelece que prescinde de audiência prévia a aplicação de multa por descumprimento de determinação do Tribunal, desde que a possibilidade de sua aplicação conste da comunicação do despacho ou da decisão descumprida ou do ofício de apresentação da equipe de fiscalização.86. Entretanto, embora a possibilidade de multa já tenha sido comunicada no relatório preliminar de fiscalização, a possibilidade de aplicação de multa por descumprimento de determinação não constou no ofício de apresentação deste monitoramento. Por esse motivo, será proposta a audiência dos responsáveis, para possibilitar a apresentação das razões de justificativa pela conduta de omissão no dever de adotar as medidas necessárias ao cumprimento da determinação deste Tribunal.87. Os responsáveis foram apontados no plano de ação do Ministério (peça 138, p. 3) e no documento de identificação de responsáveis (peça 202, p. 4), ambos enviados em resposta ao Ofício 87/2013-TCU/Sefti (peça 12).A.4.4. Evidênciasa) plano de ação e evidências de cumprimento do plano de ação – Determinações (peça 138);b) minuta da Posic (peça 209);c) documento de identificação dos responsáveis (peça 202);d) manifestação sobre a análise exposta no relatório preliminar (peça 356).A.4.5. Conclusão88. A determinação 9.2.8 não foi cumprida.A.4.6. Proposta de Encaminhamento89. Considerar não cumprida a determinação 9.2.8 do Acórdão 380/2011-TCU-Plenário.90. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, à Secretaria Executiva do Ministério da Ciência, Tecnologia e Inovação que, em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, V, no prazo de noventa dias a

7


contar da ciência do decisum, institua equipe de tratamento e resposta a incidentes em redes computacionais, com observância das práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR.91. Promover, com fulcro no art. 58 § 1º da Lei 8.443/1992 c/c o art. 268, inciso VII, do Regimento Interno e nos termos do art. 43, inciso II, da Lei 8.443/1992 c/c o art. 250, inciso IV, do Regimento Interno do TCU, a audiência dos responsáveis a seguir, para que, no prazo de quinze dias a contar da ciência da notificação, apresentem suas razões de justificativa sobre a omissão no dever de atuar no sentido de dar cumprimento à determinação 9.2.8 exarada por este Tribunal no Acórdão 380/2011-TCU-Plenário:91.1. Sr. Antonio Ibañes Ruiz, CPF 182.329.491-04, Gestor de Segurança da Informação e Comunicações (25/10/2011 a 1/7/2012) e Coordenador do Comitê de Segurança da Informação e Comunicações (1/6/2012 a 1/7/2012);91.2. Sr. Guilherme Euclides Brandão, CPF 225.345.201-72, Gestor de Segurança da Informação e Comunicações Substituto e Coordenador do Comitê de Segurança da Informação e Comunicações (1/7/2012 a 27/5/2013);91.3. Srª Ana Lúcia Delgado Assad, CPF 185.188.181-68, Gestora de Segurança da Informação e Comunicações e Coordenadora do Comitê de Segurança da Informação e Comunicações (a partir de 27/5/2013).A.5. Deliberação 9.2.99.2. determinar ao MCT que:(...)9.2.9. em atenção ao disposto no Decreto 4.553/2002, art. 6º, § 2º, inciso II, e art. 67, crie critérios de classificação das informações, a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, com observância das práticas contidas no item 7.2 da NBR ISO/IEC 27.002;A.5.1. Situação que levou à proposição da deliberação92. À época da auditoria, o MCTI não possuía nenhum documento ou norma aprovada e publicada acerca da classificação da informação (peça 135, p. 18-19).A.5.2. Providências adotadas e comentários dos gestores93. O MCTI informou (peça 138, p. 3), em resposta ao Ofício 87/2013-TCU/Sefti (peça 12), que optou por aguardar a instituição do novo Comitê de Segurança da Informação e Comunicações (CSIC) “para a aprovação da minuta da portaria que aprova a Política de Segurança da Informação e Comunicações (Posic) do Ministério”.94. De acordo com o Ministério, a definição de critérios de classificação de informações integra a Posic e, sendo assim, depende de sua aprovação e publicação.95. Além disso, destacou que:(...) o Diário Oficial da União nº 221-A, edição extra, de 18 de novembro de 2011, publicou a Lei nº 12.527, de 18 de novembro de 2011, que regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3ºdo art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei no 8.112, de 11 de dezembro de 1990; revoga a Lei no 11.111, de 5 de maio de 2005, e dispositivos da Lei no 8.159, de 8 de janeiro de 1991; e dá outras providências e o Diário Oficial da União nº 221, de 16 de novembro de 2012, publicou o Decreto nº 7.845, de 14 de novembro de 2012, que regulamenta procedimentos para credenciamento de segurança e tratamento de informação classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento.96. Nesse sentido, o Gestor de Segurança da Informação e Comunicações do Ministério agendou a 1ª reunião ordinária do CSIC para o dia 25/4/2013, com a seguinte pauta: instalação do CSIC, apreciação da minuta da Posic e da minuta de norma interna de controle e classificação da informação do MCTI.97. Adicionalmente, no decorrer da execução deste monitoramento, a CGTI informou (peça 129, p. 2) que a minuta da norma interna de controle e classificação de informação restrita (peça 211) já foi apresentada na 1ª reunião do CSIC (peça 201, p. 49-50) e avaliada na 2ª reunião desse comitê (peça 210).

8


98. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização (peça 356, p. 9), o MCTI informou que a minuta foi aprovada na 3ª reunião do CSIC com o título de Norma de Tratamento de Informações Institucionais sob Restrição de Acesso e que o documento encontra-se em tramitação interna para apreciação e aprovação da Alta Administração do Ministério. Além disso, destacou que foram observados os seguintes normativos: Lei 8.159/1991, Lei 12.527/2011, Decreto 3.505/2000, Decreto 7.724/2012 e Decreto 7.845/2012.A.5.3. Análise99. O art. 36 da minuta da Posic (peça 209, p. 11) estabelece algumas diretrizes para a classificação e tratamento da informação no âmbito do MCTI.100. Além disso, a minuta da Norma Interna de Controle e Classificação de Informação Restrita (peça 211), que estava sendo apreciada pelo CSIC, à época da execução deste monitoramento, estabelece diretrizes, normas e procedimentos para o tratamento das informações institucionais do MCTI, observando-se as disposições da Lei de Acesso a Informação (LAI; Lei 12.527/2011) e em conformidade com a Posic do Ministério (peça 211, p. 1).101. Destaca-se que, em seu item 4, a minuta da norma difere as informações institucionais em públicas e não públicas, e estabelece critérios e procedimentos para marcar, classificar e acessar informações institucionais de acesso restrito (peça 211, p. 3-7).102. Contudo, o prazo estabelecido no plano de ação expirou em dezembro de 2011 (peça 138, p. 3), e o MCTI ainda não tinha conseguido, até a data de término da execução deste monitoramento, aprovar e publicar sua Posic (conforme relatado no item A.7.3 deste relatório), nem a sua norma de classificação e tratamento da informação.103. Por outro lado, verifica-se que, após a execução deste monitoramento, o Ministério continuou realizando ações no sentido de apreciar e aprovar as minutas dessas duas normas.104. De fato, essas ações já produziram resultados, tanto que agora a Posic já foi aprovada e publicada (conforme também relatado no item A.7.3 deste relatório) e a norma de classificação e tratamento da informação encontra-se aguardando aprovação da Alta Administração do Ministério.105. Destaca-se que a versão aprovada pelo CSIC recebeu o novo título de Norma de Tratamento de Informações Institucionais sob Restrição de Acesso. Também se verifica que essa última versão (peça 356, p. 39-81) possui várias diferenças em relação à versão analisada durante a execução deste monitoramento (peça 211), as quais caracterizam que houve aperfeiçoamento em relação ao conteúdo inicialmente proposto.106. Desse modo, entende-se que a determinação 9.2.9 está em cumprimento, com prazo expirado.107. Por esse motivo, nos termos do item 63.1 dos Padrões de Monitoramento do TCU aprovados pela Portaria-Segecex 27/2009, propor-se-á a reiteração da determinação ora monitorada, com prazo para cumprimento.108. Por outro lado, destaca-se também que, posteriormente ao acórdão monitorado, foi publicada a Lei 12.527/2011, Lei de Acesso a Informação (LAI), que regula o acesso a informações previsto no art. 5º, inciso XXXIII, no art. 37, § 3º, inciso II, e no art. 216, § 2º, da Constituição Federal, estabelecendo a obrigação de classificar as informações em todos os entes públicos da União, Estados, Distrito Federal e Municípios, da administração direta e indireta (Lei 12.527/2011, art. 1º c/c o arts. 27 a 29). Além disso, o Decreto 7.724/2012, que a regulamenta, estabelece, em seus artigos 31 a 34, procedimentos a serem observados para essa atividade.109. Desse modo, em face dessa nova legislação (LAI e decreto que a regulamenta), será proposta a reiteração desta deliberação, com fulcro no item 63.1 dos Padrões de Monitoramento do TCU aprovados pela Portaria-Segecex 27/2009.A.5.4. Evidênciasa) evidências de cumprimento do plano de ação – Determinações (peça 138);b) minuta da Posic (peça 209);c) minuta da norma interna de controle e classificação de informação restrita (peça 211);d) manifestação sobre a análise exposta no relatório preliminar (peça 356).

9


A.5.5. Conclusão110. A determinação 9.2.9 está em cumprimento com prazo expirado.A.5.6. Proposta de Encaminhamento111. Considerar em cumprimento, com prazo expirado, a determinação 9.2.9 do Acórdão 380/2011-TCU-Plenário.112. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, à Secretaria Executiva do Ministério da Ciência, Tecnologia e Inovação que, em atenção aos arts. 27 a 29 da Lei 12.527/2011 e aos arts. 31 a 34 do Decreto 7.724/2012, no prazo de noventa dias a contar da ciência do decisum, elabore e publique formalmente processo para classificação e tratamento das informações no âmbito do Ministério, considerando as recomendações do item 7.2 da Norma Técnica ABNT NBR ISO/IEC 27002:2005.A.6. Deliberação 9.2.109.2. determinar ao MCT que:(...)9.2.10. em atenção à Instrução Normativa – GSI/PR 1/2008, art. 5º, VII, c/c Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira a que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando o item 7.1 da NBR ISO/IEC 27.002;A.6.1. Situação que levou à proposição da deliberação113. À época da auditoria, a equipe relatou a inexistência de inventário de ativos de informação (peça 135, p. 19-20).A.6.2. Providências adotadas e comentários dos gestores114. O MCTI realizou o Pregão Eletrônico 25/2012, cujo objeto é a aquisição de solução de gerenciamento de serviços de TI (peça 149), incluindo licenças de software e serviços de implantação, capacitação operacional e suporte técnico. Dentre os serviços contratados, está incluída a implantação de processos previstos nas melhores práticas da Information Insfraestruture Libray (Itil), como as gestões de ativos, de configuração, de incidentes e de mudanças de serviços de TI.115. De acordo com o Ministério (peça 138, p. 3), o software adquirido já se encontra instalado e a empresa está executando os serviços de implantação dos processos Itil. A reunião de início dos serviços foi realizada em 10/4/2013 e o cronograma de execução já foi definido (peça 150).116. O Ministério também informou que a ferramenta adquirida possui a funcionalidade de inventário de ativos de informação e já está realizando coleta de informações. Informou ainda que os demais detalhes referentes ao Configuration Management Database (CMDB), ou seja, ao Banco de Dados de Gerenciamento de Configuração (BDGC), e à vinculação de proprietários responsáveis pelos ativos serão tratados durante a implantação dos processos de gerenciamento de serviços de TI prevista na contratação (peça 138, p. 3).117. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização (peça 356, p. 10), o MCTI informou que o cronograma está em andamento juntamente com o povoamento do CMDB.A.6.3. Análise118. O prazo definido para cumprimento da deliberação estabelecido no plano de ação expirou em setembro de 2011 (peças 138, p. 3). Contudo, o MCTI ainda não conseguiu estabelecer um procedimento de inventário de ativos de informação.119. Por outro lado, é possível evidenciar que as ações estão em andamento, pois o Ministério adquiriu um software para implantação dos processos de gerenciamento de serviços de TI, o qual contém funcionalidade de inventário de ativos de informação.120. O novo cronograma apresentado pelo MCTI (peça 356, p. 92-95) pode ser considerado uma atualização de status em relação ao cronograma apresentado durante a execução deste monitoramento (peça 150), sendo que agora a previsão de término do projeto é 24/12/2013.

10


121. Destaca-se que as melhores práticas da Itil para gerenciamento de serviços de TI são aderentes às recomendações do Cobit 4.1 e também das normas técnicas ABNT NBR ISO/IEC 20000-1:2008, 20.0002:2008 e 27002:2005.122. O BDGC é o repositório de informações previsto na Itil, que deve conter detalhes de configuração dos componentes de TI. É uma ferramenta que pode viabilizar o inventário de ativos de informação.123. Portanto, diante da situação atual, entende-se que determinação 9.2.10 está em cumprimento, com prazo expirado. Por esse motivo, nos termos do item 63.1 dos Padrões de Monitoramento do TCU aprovados pela Portaria-Segecex 27/2009, propor-se-á a reiteração da determinação ora monitorada, com prazo para cumprimento.124. A reiteração da deliberação deverá compatibilizá-la a mudanças normativas realizadas, após a prolação do acórdão ora monitorado, pelo Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional (GSI) da Presidência da República. Isso é necessário, pois a Norma Complementar 04/IN01/DSIC/GSIPR foi revisada e agora seu item 6.2.1 estabelece que um inventário e mapeamento dos ativos de informação seja realizado conforme as diretrizes da Norma Complementar 10/IN01/DSIC/GSIPR.A.6.4. Evidênciasa) evidências de cumprimento do plano de ação – Determinações (peça 138);b) termo de referência do Pregão 25/2012 – Gerenciamento de serviços de TI (peça 149);c) cronograma de implantação dos serviços Itil (peça 150);d) manifestação sobre a análise exposta no relatório preliminar (peça 356).A.6.5. Conclusão125. A determinação 9.2.10 está em cumprimento com prazo expirado.A.6.6. Proposta de Encaminhamento126. Considerar em cumprimento, com prazo expirado, a determinação 9.2.10 do Acórdão 380/2011-TCU-Plenário.127. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, à Secretaria Executiva do Ministério da Ciência, Tecnologia e Inovação que, em atenção à Instrução Normativa – GSI/PR 1/2008, art. 5º, inciso VII, c/c Norma Complementar 10/IN01/DSIC/GSIPR, no prazo de noventa dias, a contar da ciência do decisum, estabeleça procedimento de inventário de ativos de informação, de maneira que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando as recomendações do item 7.1 da Norma Técnica ABNT NBR ISO/IEC 27002:2005.A.7. Deliberação 9.2.119.2. determinar ao MCT que:(...)9.2.11. em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, VII, implemente processo de gestão de riscos de segurança da informação, com observância das práticas contidas na Norma Complementar 04/IN01/DSIC/GSIPR;A.7.1. Situação que levou à proposição da deliberação128. O MCTI não possuía um processo formal de gestão de riscos de segurança da informação e comunicações (GRSIC; peça 135, p. 20-21).A.7.2. Providências adotadas e comentários dos gestores129. O MCTI informou (peça 138, p. 4) que optou por aguardar a instituição do novo Comitê de Segurança da Informação e Comunicações (CSIC) “para a aprovação da minuta da portaria que aprova a Política de Segurança da Informação e Comunicações (Posic) do Ministério”.130. De acordo com o Ministério, a implementação do processo de gestão de riscos faz parte da Posic e, sendo assim, depende de sua aprovação e publicação.131. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização (peça 356, p. 10), o MCTI informou que a publicação da Posic (peça 356, p. 23-26) irá direcionar suas ações no tocante à gestão de riscos. Também informou que o PDTI 2013-2015 prevê

11


capítulo que estabelece um modelo de gestão de risco, incluindo metodologia de análise e tratamento de riscos e definição de responsáveis.A.7.3. Análise132. De fato, o art. 41 da minuta da Posic (peça 209, p. 12) estabelece que “as áreas responsáveis por ativos de informação devem implantar processos contínuos de gestão de riscos, os quais serão aplicados na implementação e operação da gestão da segurança da informação e comunicações”.133. Entretanto, o prazo estabelecido no plano de ação expirou em março de 2012 (peça 138, p. 4), e o MCTI ainda não tinha conseguido, até a data de término da execução deste monitoramento, aprovar e publicar sua Posic (conforme relatado no item 1.7.3 deste relatório), muito menos implementar um processo de gestão de riscos de segurança da informação.134. Além disso, apesar de a Posic já ter sido aprovada, ainda não há evidência de existência de alguma ação em andamento, como algum estudo ou minuta de portaria, com objetivo de implementar o processo de GRISC.135. Embora o Ministério tenha informado que o PDTI 2013-2015 possui capítulo que estabelece um modelo de gestão de riscos, não é possível considerar esse novo plano como evidência de que há ação em andamento, porque seu texto não foi enviado para avaliação por parte da equipe de fiscalização.136. Portanto, entende-se que a determinação 9.2.11 não foi cumprida. Desse modo, nos termos do item 63.1 dos Padrões de Monitoramento do TCU aprovados pela Portaria-Segecex 27/2009, propor-se-á a reiteração da determinação ora monitorada, com prazo para cumprimento.137. É de se ressaltar ainda que, de acordo com o item 63.1 da Portaria Segecex 27/2009 (Padrões de Monitoramento), nas situações que envolvam determinações não cumpridas sem justificativa pertinente, deve ser incluída proposta de aplicação de multa fundamentada no inciso VII do art. 268 do Regimento Interno do TCU.138. O § 3º do art. 268 do Regimento Interno estabelece que prescinde de audiência prévia a aplicação de multa por descumprimento de determinação do Tribunal, desde que a possibilidade de sua aplicação conste da comunicação do despacho ou da decisão descumprida ou do ofício de apresentação da equipe de fiscalização.139. Entretanto, embora a possibilidade de multa já tenha sido comunicada no relatório preliminar de fiscalização, a possibilidade de aplicação de multa por descumprimento de determinação não constou no ofício de apresentação deste monitoramento. Por esse motivo, será proposta a audiência dos responsáveis, para possibilitar a apresentação das razões de justificativa pela conduta de omissão no dever de adotar as medidas necessárias ao cumprimento da determinação deste Tribunal.140. Os responsáveis foram apontados no plano de ação do Ministério (peça 138, p. 3) e no documento de identificação de responsáveis (peça 202, p. 4), ambos enviados em resposta ao Ofício 87/2013-TCU/Sefti (peça 12).A.7.4. Evidênciasa) plano de ação e evidências de cumprimento do plano de ação – Determinações (peça 138);b) minuta da Posic (peça 209);c) documento de identificação dos responsáveis (peça 202);d) manifestação sobre a análise exposta no relatório preliminar (peça 356).A.7.5. Conclusão141. A determinação 9.2.11 não foi cumprida.A.7.6. Proposta de Encaminhamento142. Considerar não cumprida a determinação 9.2.11 do Acórdão 380/2011-TCU-Plenário.143. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, à Secretaria Executiva do Ministério da Ciência, Tecnologia e Inovação que, em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, VII, no prazo de 180 dias a contar da ciência do decisum, implemente processo de gestão de riscos de segurança da informação e comunicações, com observância das práticas contidas na Norma Complementar 04/IN01/DSIC/GSIPR.

12


144. Promover, com fulcro no art. 58 § 1º da Lei 8.443/1992 c/c o art. 268, inciso VII, do Regimento Interno e nos termos do art. 43, inciso II, da Lei 8.443/1992 c/c o art. 250, inciso IV, do Regimento Interno do TCU, a audiência dos responsáveis a seguir, para que, no prazo de quinze dias a contar da ciência da notificação, apresentem suas razões de justificativa sobre a omissão no dever de atuar no sentido de dar cumprimento à determinação 9.2.11 exarada por este Tribunal no Acórdão 380/2011-TCU-Plenário:144.1. Sr. Antonio Ibañes Ruiz, CPF 182.329.491-04, Gestor de Segurança da Informação e Comunicações (25/10/2011 a 1/7/2012) e Coordenador do Comitê de Segurança da Informação e Comunicações (1/6/2012 a 1/7/2012);144.2. Sr. Guilherme Euclides Brandão, CPF 225.345.201-72, Gestor de Segurança da Informação e Comunicações Substituto e Coordenador do Comitê de Segurança da Informação e Comunicações (1/7/2012 a 27/5/2013);144.3. Srª Ana Lúcia Delgado Assad, CPF 185.188.181-68, Gestora de Segurança da Informação e Comunicações e Coordenadora do Comitê de Segurança da Informação e Comunicações (a partir de 27/5/2013).A.8. Deliberação 9.2.139.2. determinar ao MCT que:(...)9.2.13. planeje contratações de soluções de tecnologia da informação com uso do processo previsto na IN SLTI/MPOG 4/2010, com observância da sequência lógico-temporal entre as tarefas e os ritos de aprovação dos artefatos produzidos ao longo do processo;A.8.1. Situação que levou à proposição da deliberação145. Apesar de possuir planilhas de check-list para controle do cumprimento da Instrução Normativa – SLTI/MP 4/2010, o MCTI não as utilizou em nenhum dos processos de contratação verificados na auditoria realizada em 2010 (peça 135, p. 25).146. Como consequência, entendeu-se que o órgão realizara contratações sem seguir as etapas de planejamento previstas nessa instrução normativa e sem gerar os artefatos previstos em cada etapa: análise de viabilidade da contratação, estratégia da contratação, análise de riscos e plano de sustentação (peça 135, p. 24).A.8.2. Providências adotadas e comentários dos gestores147. A equipe de auditoria solicitou, por meio do Ofício 87/2013-TCU/Sefti (peça 12), normativos internos a respeito do planejamento de contratações de TI e evidências de implantação dos controles que promovam o cumprimento do processo de planejamento previsto na Instrução Normativa SLTI/MP 4/2010, bem como documentos que evidenciassem que houve o processo de planejamento para as contratações a seguir, nos moldes dispostos na referida norma: Contrato 17/2012, decorrente do Pregão Eletrônico 12/2012, cujo objeto é a contratação de fábrica de software; Contrato 32/2012, decorrente do Pregão Eletrônico 25/2012, cujo objeto é a contratação de solução de gerenciamento de serviços de TI.148. Em resposta, o MCTI informou (peça 138, p. 4) que a Portaria Spoa 98/2012 (peça 167), publicada no DOU de 12/7/2012, Seção 1, estabeleceu que o seu processo de contratação de bens e serviços de TI está descrito no Guia Prático para Contratação de Soluções de TI da SLTI/MP (peça 179).149. Informou também que os novos contratos de TI são por natureza de serviço e estão totalmente aderentes ao processo previsto na IN SLTI/MP 4/2010 e que essa aderência é assegurada por meio de check-list para cada uma das fases que compõem o planejamento da contratação (peça 138, p. 4).150. Encaminhou os seguintes documentos: modelo de check-list (peça 172), check-list preenchido para a contratação de solução de gerenciamento de serviços de TI (peça 173), modelo de documento de oficialização de demanda (peça 174), modelo de planejamento de contratação (peça 175) e modelo de termo de referência (peça 176).151. Para evidenciar que os controles estão sendo utilizados, o MCTI encaminhou documentação do planejamento da contratação dos contratos solicitados (peças 177-178).152. A CGTI, no decorrer deste monitoramento, apresentou ainda as seguintes considerações (peça 129, p. 3):

13


Para o planejamento da contratação são utilizados basicamente três artefatos: o documento de planejamento (template), o Termo de Referência (template) e o check list (template), que permitem controlar o processo de planejamento. Realizam-se diversas reuniões da equipe de planejamento, nas quais os documentos são criados e refinados. Ao longo término de cada reunião são produzidas versões refinadas dos documentos. Finalizada a etapa de planejamento, formalizam-se as versões finais dos documentos, as quais são assinadas pela equipe de planejamento, instrui-se o processo administrativo e envia-se à área responsável.153. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização (peça 356, p. 11), o MCTI informou que a CGTI “irá aprimorar a lista de verificação (check-list) utilizada para assegurar maior aderência dos artefatos produzidos na fase de planejamento da contratação evitando, assim, as impropriedades identificadas pela Corte nas futuras contratações de soluções de TI”.A.8.3. Análise154. O Guia Prático para Contratação de Soluções de TI da SLTI/MP, que descreve o processo de contratação de bens e serviços de TI adotado oficialmente pelo MCTI, detalha processos, atividades, atores e artefatos, com objetivo de apoiar a realização de contratações de soluções de TI, em conformidade com a IN SLTI/MP 4/2010.155. Além de ter esse processo de contratação formalizado, o Ministério também elaborou modelos para os seguintes artefatos previstos nessa instrução normativa: oficialização da demanda, planejamento da contratação (incluindo análise de viabilidade, plano de sustentação, estratégia e análise de risco) e termo de referência.156. E para assegurar que esses documentos sejam produzidos em conformidade com a instrução normativa, elaborou modelo de lista de verificação (check-list), que deve ser preenchida na fase de planejamento da contratação, contendo todas as etapas e o conteúdo mínimo dos artefatos.157. Para verificar se esses controles estavam sendo realmente utilizados, os planejamentos de duas contratações foram analisados: fábrica de software (que deu origem ao Contrato 17/2012) e solução de gerenciamento de serviços de TI (que deu origem ao Contrato 32/2012).158. Constatou-se que todos os artefatos previstos foram de fato produzidos. Entretanto, somente existem assinaturas de aprovação ao final do último documento do planejamento, que reuniu todos esses artefatos.159. A CGTI esclareceu que são realizadas diversas reuniões da equipe de planejamento, nas quais os documentos são criados e refinados. Somente ao final da etapa de planejamento, as versões finais são formalizadas e assinadas. Em reuniões realizadas no Ministério, os gestores da CGTI esclareceram que essa sistemática foi adotada para melhor eficiência do processo.160. Contudo, desse modo, não foi possível evidenciar que os dois planejamentos realmente observaram a sequência lógico-temporal entre as tarefas e os ritos de aprovação dos artefatos produzidos ao longo do processo.161. Além disso, verificou-se que, mesmo com a previsão de preenchimento do check-list, algumas falhas formais foram encontradas nos artefatos produzidos, conforme se segue.Contrato 17/2012 (fábrica de software)162. Não existe a data em que o documento do planejamento foi aprovado e assinado pelos integrantes da equipe de planejamento. Além disso, não há assinatura do integrante administrativo (peça 177, p.200).163. Na análise de viabilidade (peça 177, p. 6-13), não há referência à análise de projetos similares realizados por outros órgãos ou entidades da Administração Pública (IN SLTI/MP 4/2010, art. 11, inciso I) e à definição de requisitos de segurança (IN SLTI/MP 4/2010, art. 12, inciso VI).164. Na estratégia da contratação (peça 177, p. 19-87), não foram encontrados modelos de termos de compromisso de manutenção de sigilo e respeito às normas de segurança vigentes, a serem assinados pelos empregados da contratada (IN SLTI/MP 4/2010, art. 15, inciso VI).165. Na análise de risco (peça 177, p. 88-95), não há definição dos responsáveis pelas ações de prevenção e de contingência relacionadas (IN SLTI/MP 4/2010, art. 16, inciso VI).

14


Contrato 32/2012 (solução de gerenciamento de serviços de TI)166. Na análise de viabilidade (peça 181), não há referência à análise de projetos similares realizados por outros órgãos ou entidades da Administração Pública (IN SLTI/MP 4/2010, art. 11, inciso I), à identificação de solução similar em outro órgão ou entidade da Administração Pública (IN SLTI/MP 4/2010, art. 11, inciso II) e à definição de requisitos de segurança (IN SLTI/MP 4/2010, art. 12, inciso VI).167. Na estratégia da contratação (peça 178, p. 8-62), não foram encontrados modelos de termos de compromisso de manutenção de sigilo e respeito às normas de segurança vigentes, a serem assinados pelo representante legal e pelos empregados da contratada (IN SLTI/MP 4/2010, art. 15, inciso VI).168. Na análise de risco (peça 178, p. 63-67), não há definição dos responsáveis pelas ações de prevenção e de contingência relacionadas (IN SLTI/MP 4/2010, art. 16, inciso VI).169. Desse modo, considerando os contratos analisados, entende-se que o MCTI cumpriu apenas parcialmente a determinação, tendo em vista que não foi evidenciada a observância da sequência lógico-temporal entre as tarefas e os ritos de aprovação dos artefatos, conforme previsto na IN SLTI/MP 4/2010.170. Em decorrência das falhas observadas nos documentos produzidos nos planejamentos das contratações referentes aos Contratos 17/2012 e 32/2012 (parágrafo 161), será proposto dar ciência das impropriedades ao Ministério.A.8.4. Evidênciasa) evidências de cumprimento do plano de ação – Determinações (peça 138);b) Portaria Spoa 98/2012 – Publicação do processo de contratação de bens e serviços de TI (peça 167);c) modelo de check-list para controle do planejamento de contratação de solução de TI (peça 172);d) check-list preenchido para planejamento de contratação de solução de gerenciamento de serviços de TI (peça 173);e) modelo de documento de oficialização de demanda (peça 174);f) modelo de planejamento de contratação (peça 175);g) modelo de termo de referência (peça 176);h) documentação do planejamento de contratação de fábrica de software (peça 177);i) documentação do planejamento de contratação de solução de gerenciamento de serviços de TI (peça 178);j) Guia Prático para Contratação de Soluções de TI da SLTI/MP (peça 179);k) documentação da análise de viabilidade do planejamento de contratação de solução de gerenciamento de serviços de TI (peça 181);l) manifestação sobre a análise exposta no relatório preliminar (peça 356).A.8.5. Conclusão171. A determinação 9.2.13 foi parcialmente cumprida.A.8.6. Proposta de Encaminhamento172. Considerar parcialmente cumprida a determinação 9.2.13 do Acórdão 380/2011-TCU-Plenário.173. Dar ciência à Secretaria Executiva do Ministério da Ciência, Tecnologia e Inovação sobre as seguintes impropriedades identificadas nos artefatos produzidos na fase de planejamento da contratação que deu origem ao Contrato 17/2012:173.1. o documento do planejamento, que reuniu os artefatos Análise de Viabilidade, Plano de Sustentação, Estratégia e Análise de riscos, não possui data de aprovação e não foi assinado pelo integrante administrativo da equipe de planejamento da contratação, o que afronta o estabelecido no parágrafo único do art. 11, no parágrafo único do art. 14, no § 6º do art. 15 e no § 2º do art. 16, todos da IN SLTI/MP 4/2010 (parágrafo 162);173.2. no conteúdo do documento Análise de Viabilidade, não há referência à análise de projetos similares realizados por outros órgãos ou entidades da Administração Pública, o que afronta o

15


estabelecido no inciso I da art. 11 da IN SLTI/MP 4/2010, e à definição de requisitos de segurança, o que afronta o estabelecido no inciso VI do art. 12 da IN SLTI/MP 4/2010 (parágrafo 163);173.3. no conteúdo do documento Estratégia da Contratação, não foram encontrados modelos de termos de compromisso de manutenção de sigilo e respeito às normas de segurança vigentes, a serem assinados pelos empregados da contratada, o que afronta o estabelecido no inciso VI do art. 15 da IN SLTI/MP 4/2010 (parágrafo 164);173.4. no conteúdo do documento Análise de Risco, não há definição dos responsáveis pelas ações de prevenção e de contingência relacionadas, o que afronta o estabelecido no inciso VI do art. 16 da IN SLTI/MP 4/2010 (parágrafo 165).174. Dar ciência à Secretaria Executiva do Ministério da Ciência, Tecnologia e Inovação sobre as seguintes impropriedades identificadas nos documentos produzidos na fase de planejamento da contratação que deu origem ao Contrato 32/2012:174.1. no conteúdo do documento Análise de Viabilidade, não há referência à análise de projetos similares realizados por outros órgãos ou entidades da Administração Pública, o que afronta o estabelecido no inciso I da art. 11 da IN SLTI/MP 4/2010, à identificação de solução similar em outro órgão ou entidade da Administração Pública, o que afronta o estabelecido no inciso II dão art. 11 da IN SLTI/MP 4/2010, e à definição de requisitos de segurança, o que afronta o estabelecido no inciso VI do art. 12 da IN SLTI/MP 4/2010 (parágrafo 166);174.2. no conteúdo do documento Estratégia da Contratação, não foram encontrados modelos de termos de compromisso de manutenção de sigilo e respeito às normas de segurança vigentes, a serem assinados pelo representante legal e pelos empregados da contratada, o que afronta o estabelecido no inciso VI do art. 15 da IN SLTI/MP 4/2010 (parágrafo 167);174.3. no conteúdo do documento Análise de Risco, não há definição dos responsáveis pelas ações de prevenção e de contingência relacionadas, o que afronta o estabelecido no inciso VI do art. 16 da IN SLTI/MP 4/2010 (parágrafo 168).A.9. Deliberação 9.1.19.1. recomendar ao MCT que:9.1.1. em atenção ao Decreto-Lei 200/1967, arts. 6º, inciso I, e 7º, elabore plano estratégico institucional, considerando o previsto no critério de avaliação 2 do Gespública;A.9.1. Situação que levou à proposição da deliberação175. À época da auditoria, a equipe relatou a inexistência de plano estratégico institucional (peça 135, p. 1-2).A.9.2. Providências adotadas e comentários dos gestores176. Em resposta ao Ofício 87/2013-TCU/Sefti (peça 12), o MCTI apresentou como plano estratégico institucional o documento Estratégia Nacional de Ciência, Tecnologia e Inovação 2012-2015 (peça 137), que foi aprovado pelo Conselho Nacional de Ciência, Tecnologia e Inovação, em 15/12/2011 (peça 140).177. De acordo com o Ministério, o planejamento atendeu parcialmente os requisitos estabelecidos no critério de avaliação 2 do Programa Nacional de Gestão Pública e Desburocratização (Gespública). No que se refere ao ambiente interno, o Ministério informou que “foram realizadas reuniões com os Secretários do MCTI, conduzidas pelo Senhor Ministro e reuniões técnicas com os Coordenadores-Gerais, sob a coordenação da Assessoria Técnica da Secretaria-Executiva”. Quanto ao ambiente externo, “levaram-se em consideração as recomendações do Livro Azul, que consubstanciou as sugestões dos vários atores do sistema nacional de ciência, tecnologia e inovação, por ocasião da IV CNCTI, em 2010, precedida por conferências regionais e estaduais” (peça 139, p. 1).178. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização (peça 356, p. 4), o MCTI informou que planeja contratar serviços relacionados ao planejamento e à gestão estratégica, além da melhoria de processos.A.9.3. Análise179. O MCTI aprovou e publicou um documento de planejamento estratégico institucional para o período de 2012 a 2015, que descreve desafios, eixos de sustentação, programas prioritários e fontes de

16


recursos (peça 137). Além disso, alguns indicadores foram identificados para permitir o acompanhamento de metas específicas a serem alcançadas em 2014 (peça 137, p. 93).180. Destaca-se também que, para os eixos de sustentação apontados e programas prioritários elegidos, o documento de planejamento define objetivos e principais estratégias associadas.181. Desse modo, entende-se que o Ministério implementou a recomendação do TCU no sentido de elaborar um plano estratégico institucional.182. Contudo, também se entende que o processo de planejamento estratégico pode ser aperfeiçoado, de forma a abordar todos os requisitos previstos no critério de avaliação 2 do Gespública, como a definição de um referencial estratégico (negócio, missão, visão de futuro e valores), a análise dos ambientes interno (pontos fortes e fracos) e externo (oportunidades e ameaças) e a apresentação da metodologia de trabalho, das principais etapas do processo e das áreas envolvidas.183. Diante disso, propor-se-á recomendação para que o órgão aperfeiçoe o seu processo de planejamento estratégico institucional, considerando o previsto no critério de avaliação 2 do Gespública.A.9.4. Evidênciasa) Estratégia Nacional de Ciência, Tecnologia e Inovação 2012-2015 (peça 137);b) evidências de cumprimento do plano de ação – Recomendações (peça 139);c) evidência de aprovação da estratégia nacional pelo Conselho Nacional de Ciência, Tecnologia e Inovação (peça 140);d) manifestação sobre a análise exposta no relatório preliminar (peça 356).A.9.5. Conclusão184. A recomendação 9.1.1 foi implementada. Contudo, entende-se que o processo de planejamento estratégico pode ser aperfeiçoado, de forma a abordar todos os requisitos previstos no critério de avaliação 2 do Gespública.A.9.6. Propostas de Encaminhamento185. Considerar implementada a recomendação 9.1.1 do Acórdão 380/2011-TCU-Plenário.186. Recomendar à Secretaria Executiva do Ministério da Ciência, Tecnologia e Inovação que aperfeiçoe seu processo de planejamento estratégico institucional, considerando o previsto no critério de avaliação 2 do Gespública, considerando, por exemplo, a definição de referencial estratégico e a análise dos ambientes interno e externo.A.10. Deliberação 9.1.109.1. recomendar ao MCT que:(...)9.1.10. estabeleça processo de avaliação da gestão de TI, à semelhança das orientações contidas no Cobit 4.1, itens ME1.4 – Avaliação de desempenho, ME1.5 – Relatórios gerenciais, ME1.6 – Ações corretivas e ME2 – Monitorar e avaliar os controles internos;A.10.1. Situação que levou à proposição da deliberação187. À época da auditoria, a equipe relatou que o Comitê Gestor de Segurança e Tecnologia da Informação (CSTI) não monitorava a gestão de TI do Ministério (peça 135, p. 23-24).A.10.2. Providências adotadas e comentários dos gestores188. Em resposta ao Ofício 87/2013-TCU/Sefti (peça 12), o Ministério informou que a CGTI vem implementando, desde a publicação do Acórdão 380/2011-TCU-Plenário, uma série de processos e controles, como o processo de software, o processo de contratação de bens e serviços de TI, o processo de gerenciamento de contratos de TI, a política de aquisição e distribuição dos equipamentos de informática e a metodologia de gerenciamento de projetos. Para 2013, uma vez que esses controles encontrarem-se disponíveis, estarão estabelecidas as condições para a definição de processo de avaliação da gestão de TI (peça 139, p. 3).189. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização (peça 356, p. 5), o MCTI informou que:189.1. em harmonia com a análise realizada pela Corte de Contas, “tem buscado a formalização e a implementação de processos considerados relevantes para a TI e que poderão subsidiar a elaboração de um processo formalizado para a avaliação da gestão de TI, a ser realizado em nível estratégico”;

17


189.2. “o PDTI 2013-2015 consigna como um dos seus objetivos estratégicos o aperfeiçoamento dos processos de TI, bem como prevê seção que estabelece os indicadores de desempenho da TI, elementos que auxiliarão na concepção de critérios de avaliação da gestão de TI”.A.10.3. Análise190. De fato, devido à situação em que se encontrava o Ministério, não havia condições para implementar um processo de avaliação da gestão de TI no prazo estabelecido no plano de ação.191. Entretanto, como ainda não há evidência de ação específica sendo executada, nem mesmo alguma iniciativa de definição do próprio processo de avaliação da gestão de TI, entende-se que a recomendação 9.1.10 não foi implementada.192. Embora o Ministério tenha informado que um dos objetivos estratégicos definidos no PDTI 2013-2015 é o aperfeiçoamento dos processos de TI e que nesse novo plano foram estabelecidos indicadores de desempenho da TI, não possível considerá-lo como evidência de que há ação em andamento, porque seu texto não foi enviado para avaliação por parte da equipe de fiscalização.193. Destaca-se que o cerne desta deliberação destina-se a estabelecer um processo de avaliação da gestão de TI pelo MCTI, em consonância com as práticas e diretrizes consolidadas no Cobit 4.1. O controle almejado situa-se em nível estratégico, pois tem como objetivo avaliar a qualidade da gestão de TI como um todo.194. O processo ME1 do Cobit 4.1 (monitorar e avaliar o desempenho de TI), pressupõe a definição de indicadores de desempenho relevantes, a avaliação do desempenho em face dos indicadores estabelecidos e a atuação tempestiva em relação aos desvios encontrados. O processo deve satisfazer aos seguintes requisitos de negócio para a TI: transparência e entendimento de custos, benefícios, estratégia, políticas e níveis de serviços de TI, em conformidade com os requisitos de governança.195. O alcance do objetivo desse processo configura-se no agrupamento e tradução dos relatórios de desempenho dos processos monitorados para relatórios de gestão, bem como na análise crítica de desempenho frente a metas acordadas e a tomada de ações corretivas necessárias.196. Por fim, a qualidade desse processo é medida pela satisfação da Alta Direção e das entidades de governança com os relatórios de desempenho, com a quantidade de ações de melhoria resultantes das atividades de monitoramento, e com o percentual de processos críticos monitorados.197. De forma análoga, o processo ME2 do Cobit 4.1 (monitorar e avaliar os controles internos) ocupa-se do monitoramento dos controles internos de TI, do reporte das exceções de controle e dos resultados de autoavaliação e de avaliação de terceiros, bem como da identificação de ações de melhoria.198. O objetivo da monitoração e avaliação dos controles internos é assegurar que os objetivos de TI sejam atingidos e assegurar a conformidade com as leis e os regulamentos relacionados à TI.199. A qualidade desse processo é medida pela quantidade de falhas críticas identificadas nos controles internos, pela quantidade de ações de melhoria deles, e pela quantidade e abrangência das avaliações realizadas pelo órgão.200. Em síntese, o processo de avaliação da gestão de TI a que se refere a recomendação deve recair sobre todos os processos considerados relevantes para a TI dar suporte à missão institucional do Ministério, tais como os processos estruturantes abordados no acórdão ora monitorado, a exemplo dos processos de planejamento estratégico de TI, de elaboração do orçamento de TI, de gestão de riscos de segurança da informação, de desenvolvimento de software, de gerenciamento de projetos e de planejamento das contratações de TI, abrangendo a avaliação da qualidade desses processos e dos controles internos a eles relacionados.201. Considerando-se, por um lado, que a existência de um processo formalizado para a avaliação da gestão de TI é extremamente importante para que se possa atingir uma efetiva governança institucional, e, por outro lado, levando-se em conta a melhoria nas estruturas de governança e gestão de TI no MCTI, conforme evidenciado neste monitoramento, conclui-se que, atualmente, é possível e necessário que o Ministério estabeleça tal processo. Desse modo, propor-se-á que a deliberação aqui tratada seja convertida de recomendação para determinação, conforme procedimento previsto no item 63.2 dos Padrões de Monitoramento aprovados pela Portaria-Segecex 27/2009.

18


202. Cabe ressaltar que o benefício buscado com esta determinação encontra-se em perfeita sintonia com a Estratégia Geral de Tecnologia da Informação (EGTI) do Sistema de Administração de Recursos de Tecnologia da Informação (Sisp), para o triênio 2013/2015, uma vez que dois dos objetivos que norteiam a citada estratégia são “Aperfeiçoar a governança de TI” e “Alcançar a efetividade na Gestão de TI”.A.10.4. Evidênciasa) evidências de cumprimento do plano de ação – Recomendações (peça 139);a) manifestação sobre a análise exposta no relatório preliminar (peça 356).A.10.5. Conclusão203. A recomendação 9.1.10 não foi implementada.A.10.6. Proposta de Encaminhamento204. Considerar não implementada a recomendação 9.1.10 do Acórdão 380/2011-TCU-Plenário.205. Determinar à Secretaria Executiva do Ministério da Ciência, Tecnologia e Inovação que, em consonância com o princípio constitucional da eficiência e com a Estratégia Geral de Tecnologia da Informação 2013-2015, no prazo de 180 dias a contar da ciência do decisum, estabeleça processo de avaliação da gestão de TI, à semelhança do Cobit 4.1, itens ME1.4 – Avaliação de desempenho, ME1.5 – Relatórios gerenciais, ME1.6 – Ações corretivas e ME2 – Monitorar e avaliar os controles internos.A.11. Deliberação 9.1.129.1. recomendar ao MCT que:(...)9.1.12. Implemente controles que promovam cumprimento do processo de planejamento previsto na Instrução Normativa SLTI/MPOG 4/2010;A.11.1. Situação que levou à proposição da deliberação206. Na fiscalização realizada em 2010, constatou-se que, apesar de possuir planilhas de check-list para controle do cumprimento da Instrução Normativa – SLTI/MP 4/2010, o MCTI não as utilizou em nenhum dos processos de contratação verificados (peça 135, p. 25).207. Como consequência, realizou contratações sem seguir as etapas de planejamento previstas nessa instrução normativa e sem gerar os artefatos previstos em cada etapa: análise de viabilidade da contratação, estratégia da contratação, análise de riscos e plano de sustentação (peça 135, p. 24).A.11.2. Providências adotadas e comentários dos gestores208. O MCTI informou (peça 139, p. 3), em resposta ao Ofício 87/2013-TCU/Sefti (peça 12), que a Portaria MCTI/Spoa 98/2012 (peça 167), publicada no DOU de 12/7/2012, Seção 1, estabeleceu que o seu processo de contratação de bens e serviços de TI está descrito no Guia Prático para Contratação de Soluções de TI da SLTI/MP (peça 179).209. Informou também que os novos contratos de TI são por natureza de serviço e estão totalmente aderentes ao processo previsto na IN SLTI/MP 4/2010 e que essa aderência é assegurada por meio de check-list para cada uma das fases que compõem o planejamento da contratação (peça 139, p. 3).210. Encaminhou também os seguintes documentos: modelo de check-list (peça 172), check-list preenchido para a contratação de solução de gerenciamento de serviços de TI (peça 173), modelo de documento de oficialização de demanda (peça 174), modelo de planejamento de contratação (peça 175) e modelo de termo de referência (peça 176).211. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização (peça 356, p. 5), o MCTI informou que: “Ao longo das contratações de soluções de TI, a CGTI necessitou realizar adaptações nos modelos de artefatos utilizados no planejamento da contratação. Em conformidade com o art. 2º da Portaria MCTI/Spoa 98/2012, a CGTI irá reavaliar a adoção desse processo”.A.11.3. Análise212. O Guia Prático para Contratação de Soluções de TI da SLTI/MP (peça 179), que descreve o processo de contratação de bens e serviços de TI adotado oficialmente pelo MCTI (peça 167), detalha

19


processos, atividades, atores e artefatos, com objetivo de apoiar a realização de contratações de soluções de TI, em conformidade com a IN SLTI/MP 4/2010.213. Além de ter esse processo de contratação formalizado, o Ministério também elaborou modelos para os seguintes artefatos previstos nessa instrução normativa: documento de oficialização da demanda (peça 174), planejamento da contratação (incluindo análise de viabilidade, plano de sustentação, estratégia e análise de risco; peça 175) e termo de referência (peça 176).214. E para assegurar que esses documentos sejam produzidos em conformidade com a instrução normativa, elaborou modelo de lista de verificação (check-list), que deve ser preenchida na fase de planejamento da contratação, contendo todas as etapas e o conteúdo mínimo dos artefatos.215. Desse modo, entende-se que o MCTI implementou a recomendação 9.1.12.216. Entretanto, ressalva-se que os conteúdos dos modelos de artefatos produzidos pelo Ministério são diferentes dos detalhados no guia da SLTI e, do mesmo modo, o conteúdo do modelo de check-list não corresponde aos conteúdos dos modelos de artefatos desse guia, em desconformidade com a Portaria MCTI/Spoa 98/2012, falha que ensejará a proposição de ciência ao Ministério.A.11.4. Evidênciasa) evidências de cumprimento do plano de ação – Recomendações (peça 139);b) Portaria Spoa 98/2012 – Publicação do processo de contratação de bens e serviços de TI (peça 167);c) modelo de check-list para controle do planejamento de contratação de solução de TI (peça 172);d) check-list preenchido para planejamento de contratação de solução de gerenciamento de serviços de TI (peça 173);e) modelo de documento de oficialização de demanda (peça 174);f) modelo de planejamento de contratação (peça 175);g) modelo de termo de referência (peça 176);h) Guia Prático para Contratação de Soluções de TI da SLTI/MP (peça 179);i) manifestação sobre a análise exposta no relatório preliminar (peça 356).A.11.5. Conclusão217. A recomendação 9.1.12 foi implementada, contudo os modelos de artefatos produzidos pelo Ministério são diferentes dos detalhados no guia da SLTI, em desconformidade com a Portaria Spoa MCTI/98/2012, falha que ensejará proposta de ciência ao Ministério.A.11.6. Proposta de Encaminhamento218. Considerar implementada a recomendação 9.1.12 do Acórdão 380/2011-TCU-Plenário.219. Dar ciência à Secretaria Executiva do Ministério da Ciência, Tecnologia e Inovação sobre a seguinte impropriedade detectada nos controles destinados a promover o cumprimento do processo de planejamento previsto na Instrução Normativa SLTI/MP 4/2010: utilização de modelos de artefatos diferentes dos detalhados no Guia Prático para Contratação de Soluções de TI da Secretaria de Logística de Tecnologia da Informação do Ministerio do Planejamento, Orçamento e Gestão – SLTI/MP, o que afronta o estabelecido na Portaria MCTI/Spoa 98/2012.A.12. Deliberação 9.1.139.1. recomendar ao MCT que:(...)9.1.13. aperfeiçoe controles que promovam a regular gestão contratual e que permitam identificar se todas as obrigações do contratado foram cumpridas antes da atestação do serviço;A.12.1. Situação que levou à proposição da deliberação220. Na fiscalização realizada em 2010, a equipe relatou que, apesar de possuir planilhas de check-list de controle, o MCTI não as utilizou em nenhum dos contratos vigentes à época (peça 135, p. 28-29).A.12.2. Providências adotadas e comentários dos gestores221. O MCTI informou (peça 139, p. 4), em resposta ao Ofício 87/2013-TCU/Sefti (peça 12), que a Portaria MCTI/Spoa 100/2012 (peça 186), publicada no DOU de 12/7/2012, Seção 1, estabeleceu

20


que o seu processo de gerenciamento de contratos de soluções de TI está descrito no Guia Prático para Contratação de Soluções de TI da SLTI/MP (peça 179).222. Informou também que os contratos vigentes de serviços de TI possuem comissão de acompanhamento e fiscalização, composta exclusivamente por servidores e instituída mediante publicação de portaria em boletim de serviço do Ministério, na qual há definição de papéis e responsabilidades de cada um dos atores (peça 139, p. 4).223. Para exemplificar, encaminhou uma portaria de designação de comissão de acompanhamento e fiscalização (peça 187).224. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização (peça 356, p. 6), o MCTI informou que:224.1. a Portaria CGRL 151/2013, publicada no Boletim de Serviço 17/2013, aprovou o modelo de portaria de acompanhamento e fiscalização da execução dos seus contratos de soluções de TI;224.2. o modelo foi iniciativa da CGTI e contou com apoio da Coordenação-Geral de Recursos Logísticos (CGRL) e da Consultoria Jurídica (Conjur);224.3. seu objetivo foi alinhar a portaria de instituição de comissão de acompanhamento e fiscalização de contratos de TI ao disposto na IN SLTI/MP 4/2010;224.4. a elaboração desse novo instrumento, envolvendo várias de suas unidades, possibilitou a adequação do documento à realidade do Ministério.A.12.3. Análise225. O Guia Prático para Contratação de Soluções de TI da SLTI/MP (peça 179), que descreve o processo de gerenciamento de contratos de soluções de TI adotado oficialmente pelo MCTI, detalha processos (iniciação, encaminhar ordem de serviço, monitoramento da execução, transição contratual e encerramento do contrato) e suas atividades, atores (área administrativa, gestor do contrato, fiscal técnico, fiscal requisitante e fiscal administrativo) e artefatos (plano de inserção, termo de ciência, termo de compromisso, ordem de serviço, termo de recebimento provisório, termo de recebimento definitivo e termo de encerramento do contrato) para a fase de gerenciamento de contrato.226. Destaca-se que o processo de monitoramento da execução prevê quinze atividades (peça 179, p. 86): receber objeto; elaborar termo de recebimento provisório; avaliar qualidade; analisar desvios de qualidade; encaminhar demandas de correção; efetuar correções; verificar aderência aos termos contratuais; indicar termos não aderentes; encaminhar sanções para área administrativa; elaborar termo de recebimento definitivo; autorizar emissão de nota fiscal; emitir nota fiscal; verificar irregularidades fiscais, trabalhistas e previdenciárias; verificar manutenção da necessidade, economicidade e oportunidade; e encaminhar pedido de alteração contratual.227. Na portaria encaminhada como exemplo de designação de comissão de acompanhamento e fiscalização, verifica-se que estão definidas as atribuições de três atores: gestor do contrato, fiscal operacional do contrato e fiscal da liquidação do contrato (peça 187).228. Nas contratações analisadas, fábrica de software (Contrato 17/2012; peças 188 e 189) e solução de gerenciamento de serviços de TI (Contrato 32/2012; peças 190 e 191), verifica-se que estão previstos controles que possibilitam identificar se todas as obrigações do contratado foram cumpridas antes da atestação do serviço, tais como: descrição clara e suficiente dos serviços, níveis mínimos de serviço, mecanismos de avaliação da qualidade, critérios de aceitação, rotinas de procedimentos de ateste, designação formal dos fiscais do contrato e do preposto da contratada, procedimentos de fiscalização da execução contratual, direitos, obrigações e responsabilidades das partes, cláusulas de penalidades e rotinas de procedimentos de pagamento.229. Desse modo, entende-se que o MCTI implementou a recomendação para aperfeiçoar controles que promovam a regular gestão contratual.230. Contudo, na portaria encaminhada como exemplo de designação de comissão de acompanhamento e fiscalização de contrato (peça 187), foi encontrada uma falha, pois os atores definidos (gestor do contrato, fiscal operacional e fiscal da liquidação) não correspondem aos estabelecidos no Guia Prático para Contratação de Soluções de TI da SLTI (gestor do contrato, fiscal técnico do contrato, fiscal requisitante do contrato e fiscal administrativo do contrato; peça 179, p. 86).

21


231. Por outro lado, após a etapa de execução deste monitoramento, o MCTI aprovou um modelo de portaria de acompanhamento e fiscalização da execução dos seus contratos de soluções de TI (Portaria CGRL 151/2013; peça 356, p. 82-86). No caput de art. 2º, o modelo estabelece que, para cada contrato de solução de TI, deverá ser instituída uma comissão de acompanhamento e fiscalização, composta pelo gestor do contrato e pelos fiscais técnico, administrativo, requisitante e de liquidação; nos incisos de I a V, o modelo define as atribuições de cada um desses papeis.232. Verifica-se que os papeis e atribuições previstos na IN SLTI/MP 4/2010 para a fase de gerenciamento do contrato, e também no Guia Prático para Contratação de Soluções de TI da SLTI/MP, estão presentes nesse modelo. Ressalva-se, entretanto, que foram estabelecidas algumas atribuições adicionais, especialmente as relacionadas com o papel de fiscal de liquidação, as quais não foram analisadas por esta equipe de fiscalização.233. Contudo, em que pese o fato de o Ministério ter adotado agora esse novo controle, será proposta ciência da falha encontrada durante a execução da fiscalização, uma vez que já havia um outro normativo interno que disciplina adequadamente o assunto com base no Guia Prático para Contratação de Soluções de TI da SLTI/MP (Portaria Spoa 100/2012; peça 186), conforme analisado nos parágrafos 225 e 226 acima.234. Além disso, ainda existe oportunidade de melhoria nos controles, pois poderiam ser utilizadas listas de verificação (check-lists) para auxiliar os fiscais de contrato na avaliação de conformidade da prestação dos serviços, razão que ensejará proposta de recomendação ao Ministério.A.12.4. Evidênciasa) evidências de cumprimento do plano de ação – Recomendações (peça 139);b) Portaria Spoa 100/2012 – Publicação do processo de gerenciamento de contratos de soluções de TI (peça 186);c) Guia Prático para Contratação de Soluções de TI da SLTI/MP (peça 179);d) exemplo de portaria de designação de comissão acompanhamento e fiscalização de contrato (peça 187);e) edital da fábrica de software (peça 188);f) termo de referência da fábrica de software (peça 189);g) edital da solução de gerenciamento de serviços de TI (peça 190);h) termo de referência da solução de gerenciamento de serviços de TI (peça 191);i) manifestação sobre a análise exposta no relatório preliminar (peça 356).A.12.5. Conclusão235. A recomendação 9.1.13 foi implementada. Contudo, na portaria encaminhada como exemplo de designação de comissão de acompanhamento e fiscalização de contrato, os atores definidos não correspondem aos estabelecidos no Guia da SLTI, falha que ensejará proposta de ciência ao Ministério. Além disso, ainda existe oportunidade de melhoria nos controles, pois poderiam ser utilizadas listas de verificação (check-lists) para auxiliar os fiscais de contrato na avaliação de conformidade da prestação dos serviços, razão que ensejará proposta de recomendação ao Ministério.A.12.6. Proposta de Encaminhamento236. Considerar implementada a recomendação 9.1.13 do Acórdão 380/2011-TCU-Plenário.237. Recomendar à Secretaria Executiva do Ministério da Ciência, Tecnologia e Inovação que, em atenção à Portaria MCTI/Spoa 100/2012, elabore listas de verificação para auxiliar os fiscais de contrato na verificação de conformidade da prestação dos serviços contratatos, considerando as atividades previstas em seu processo de gerenciamento de contratos de soluções de TI.238. Dar ciência à Secretaria Executiva do Ministério da Ciência, Tecnologia e Inovação sobre a seguinte impropriedade detectada nos controles destinados a promover a regular gestão contratual: instituição de comissões de acompanhamento e fiscalização de contrato compostas por atores diferentes dos estabelecidos no Guia Prático para Contratação de Soluções de TI da Secretaria de Logística de Tecnologia da Informação do Ministerio do Planejamento, Orçamento e Gestão – SLTI/MP, o que afronta o estabelecido na Portaria MCTI/Spoa 100/2012.B. Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão (SE/MP)

22


239. Esta secretaria realizou auditoria na Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão (SE/MP), no período de 30/8 a 15/10/2010, com o objetivo de avaliar controles gerais de Tecnologia da Informação (TI) e verificar se estavam de acordo com a legislação pertinente e com as boas práticas de governança de TI (TC 024.956/2010-4).240. Como resultado dessa auditoria, este Tribunal decidiu por dezessete recomendações e sete determinações à SE/MP, as quais constam dos itens 9.1 e 9.2 do Acórdão 2.613/2011-TCU-Plenário (peça 319).241. Salienta-se que consta no Anexo B (peça 367) deste relatório a análise quanto ao atendimento de todas as deliberações constantes dos itens 9.1 e 9.2 do Acórdão 2.613/2011-TCU-Plenário.242. Procede-se, a seguir, ao relato apenas das deliberações constantes nos itens 9.1 e 9.2 do Acórdão 2.613/2011-TCU-Plenário cuja análise quanto ao atendimento levou à conclusão pela proposição de nova(s) deliberação(ões) ou de reiteração de determinação não cumprida.B.1. Deliberação 9.2.39.2. determinar à Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão que:(...)9.2.3. em atenção ao Decreto 4.553/2002, art. 6º, §2º, II, e art. 67, estabeleça critérios de classificação de informações, a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observando o item 7.2 da NBR ISO/IEC 27.002.B.1.1. Situação que levou à proposição da deliberação243. À época da fiscalização ora monitorada, concluiu-se que o MP não possuía um processo de classificação da informação que considerasse, de maneira diferenciada, atributos como a importância, sensibilidade e criticidade das informações por ele produzidas ou custodiadas, em afronta aos comandos do Decreto 4.553/2002 (vigente à época) e as boas práticas de segurança da informação constantes da NBR ISO/IEC 27.002 (peça 228, p. 18).244. Os gestores, em seus comentários ao relatório preliminar, reafirmaram a necessidade de implementar uma política de segurança da informação corporativa para o MP (peça 228, p. 18).B.1.2. Providências adotadas e comentários dos gestores245. Os itens 2.29 e 2.30, do Anexo I, do Ofício 89/2013-TCU/Sefti (peça 14, p. 4) solicitaram aos gestores o documento que normatiza a classificação das informações no MP e evidências de que as informações estão sendo efetivamente classificadas de acordo com a norma aplicável.246. Em resposta, o MP alertou que o Decreto 4.553/2002, utilizado como critério para a determinação ora monitorada, foi revogado pelo Decreto 7.845/2012. Os gestores afirmaram, ainda, que a classificação da informação no âmbito do Poder Executivo está orientada pelo Decreto 7.724/2012, que regulamenta a Lei 12.527/2011, comumente conhecida como Lei de Acesso à Informação (peça 270).247. Além disso, os gestores declararam que, desde a publicação do Decreto 7.724/2012, não houve processos classificados no Sistema de Controle de Processos (CPROD). Relatam, ainda, que existem 148 processos classificados no CPROD anteriores à vigência do decreto, os quais estão sendo reavaliados para definir a manutenção da classificação, reclassificação ou desclassificação das informações (peça 270).248. O trabalho de reavaliação dos processos, segundo o gestor, está sendo realizado pela Comissão de Assessoramento à Classificação de Informações Sigilosas, regulado pela Portaria/SE 363, de abril de 2012, alterada pela Portaria/SE 115, de maio de 2013 (peça 271). Por fim, os gestores afirmaram que o resultado do trabalho relativo à reavaliação da classificação dos processos deveria estar disponível para o público a partir de 1º/6/2013, por meio do Serviço de Informação ao Cidadão (peça 270).B.1.3. Análise249. Diante das evidências remetidas à equipe de auditoria, não foi possível identificar elementos que comprovem que as informações no âmbito do MP têm sido efetivamente classificadas.250. A inexistência de processos classificados após a vigência do Decreto 7.724/2012 (parágrafo 247) evidencia que, na prática, não tem ocorrido a devida classificação das informações corporativas do órgão.

23


251. Além disso, o plano de ação apresentado ao TCU pelo órgão considera que os critérios de classificação da informação seriam definidos após a publicação do decreto de regulamentação da Lei 12.527/2011, por meio de cinco etapas que, pela importância, estão transcritas a seguir (peça 226, p. 15):

CódigoDa Etapa

Etapas Prazo de conclusão

1 Criar grupo de trabalho composto por representantes de cada secretaria, com nivel de decisão gerencial, com dedicação de 4h semanais, para levantamento das informações passiveis de classificação em grau de sigilo.

15/02/2012

2 Designar autoridade competente para definição de procedimento de acesso à informação, em conformidade com o art. 40 da Lei 12.527/2011.

15/6/2012

3 Elaborar orientações sobre procedimentos afetos a classificação de informações.

sessenta dias após publicação do decreto de regulamentação da lei.

4 Divulgar e capacitar os servidores quanto aos procedimentos afetos à classificação das informações no âmbito do MP.

120 dias após publicação do decreto de regulamentação da lei.

5 Adaptar o sistema de controle de processos e documentos para atender os procedimentos definidos.

Definir após publicação do decreto de regulamentação da lei.

Tabela 3 – Etapas segundo a SE/MP para atendimento à deliberação 9.2.3 do Acórdão 2.613/2011-TCU-Plerário.252. Com um olhar mais atento sobre a Etapa 3, esperava-se que fossem construídas orientações do MP sobre os procedimentos específicos daquele órgão relacionados à classificação da informação, alinhados ao texto do Decreto 7.724/2012. O prazo estabelecido pelos gestores era de sessenta dias após a publicação do referido normativo, a qual ocorreu em 16/5/2012. Desse modo, 16/7/2012 constituiria a data final estabelecida pelo MP para a elaboração dessas orientações, detalhando os termos do decreto para o contexto do órgão.253. Contudo, não foram apresentadas evidências acerca do cumprimento dessa etapa, bem como da etapa subsequente, que tratava da divulgação e capacitação dos servidores quanto aos procedimentos de classificação da informação do MP.B.1.4. Evidênciasa) resposta aos itens 2.29 e 2.30, do Anexo I, do Ofício 89/2013-TCU/Sefti (peça 270);b) Portaria SE 115 (peça 271);c) plano de ação para dar cumprimento aos encaminhamentos do Acórdão 2.613/2011-TCU-Plenário (peça 226).B.1.5. Conclusão254. Em virtude da publicação do Decreto 7.724/2012 e sua aplicação no âmbito do MP (parágrafo 249), da inexistência de processos classificados após a vigência do referido decreto (parágrafo 250) e da não realização das etapas previstas no plano de ação (parágrafos 251 a 253), conclui-se que a determinação está em cumprimento, fora do prazo estipulado no plano de ação. Diante disso, propor-se-á a reiteração da determinação utilizando os novos critérios, com base no parágrafo 63.1 da Portaria-Segecex nº 27, de 19 de outubro de 2009 (Padrões de Monitoramento do TCU), com prazo definido para cumprimento de noventa dias a contar da ciência da decisão.B.1.6. Proposta de Encaminhamento255. Considerar a determinação 9.2.3 do Acórdão 2.613/2011-TCU-Plenário em cumprimento, fora do prazo definido no plano de ação.256. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, à Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão

24


que, em atenção aos arts. 27 a 29 da Lei 12.527/2011 e aos arts. 31 a 34 do Decreto 7.724/2012, no prazo de noventa dias a contar da ciência do decisum, elabore e publique formalmente processo para a classificação e tratamento das informações no âmbito do órgão, considerando as recomendações da NBR ISO/IEC 27.002, item 7.2.B.2. Deliberação 9.2.59.2. determinar à Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão que:(...)9.2.5. atenção à IN GSI/PR 1/2008, art. 5º, VII, c/c a Norma Complementar 4/IN01/DSIC/ GSIPR, implemente processo de gestão de riscos de segurança da informação;B.2.1. Situação que levou à proposição da deliberação257. À época da auditoria, a equipe concluiu não terem sido apresentadas evidências de quaisquer dos elementos essenciais a um processo de gestão relativa a riscos de segurança da informação, quais sejam, a descrição dos papeis envolvidos, as atividades e os artefatos, tais como plano de análise e avaliação de risco ou plano de tratamento de riscos (peça 228. p. 21).B.2.2. Providências adotadas e comentários dos gestores258. Os itens 2.26 a 2.29, do Anexo I, do Ofício 89/2013-TCU/Sefti (peça 14, p. 4) solicitaram aos gestores evidências referentes à institucionalização do processo de gestão relativa a riscos de segurança da informação e de análise de riscos, realizadas segundo o processo institucionalizado.259. Em resposta, os gestores afirmaram que a data para a conclusão da ação relativa à implementação do processo de gestão de riscos referentes à segurança da informação é 1º/8/2013, além de enviar anexa a minuta de norma geral de riscos corporativos do MP (peça 273).B.2.3. Análise260. Conforme consta do plano de ação enviado ao TCU (peça 226, p. 18), a data estabelecida para instituir o processo de gestão de riscos no âmbito do MP é 1º/8/2013.261. A definição do processo está estruturada em dez etapas, com início previsto para 31/1/2012. Como evidência, o gestor enviou somente uma minuta de norma geral de riscos corporativos do MP (peça 274). Trata de norma geral para gestão de riscos corporativos no âmbito do Ministério do Planejamento, declarando explicitamente que, para efeito da gestão de riscos de segurança da informação, aplica-se norma específica (peça 274, p. 1). A minuta apresenta, ainda, um plano de ação para a implantação do processo de gestão relativa a riscos corporativos, apontando ações, responsáveis, prazos e prioridades (peça 274, p. 5-6).262. O fato de existir uma minuta de gestão de riscos corporativos do MP evidencia preocupação com o tema, embora não esteja diretamente relacionada com os termos da determinação ora monitorada. Contudo, não foram apresentadas outras evidências de cumprimento da deliberação, especialmente aquelas cuja previsão de término datava de 2012, no plano de ação enviado pelo MP, tais como: i) a designação formal de um grupo de trabalho (conclusão prevista para janeiro de 2012); ii) treinamento em gestão de riscos com os integrantes do grupo de trabalho (conclusão prevista para março de 2012), proposição de um modelo de gestão de riscos (conclusão prevista para junho de 2012); iv) planejamento do processo de gestão de riscos (conclusão prevista para agosto de 2012); e v) realização de uma iniciativa piloto em contexto a ser definido (conclusão prevista para outubro de 2012; peça 226, p. 18).263. Mesmo considerando que o envio das informações pelos gestores ocorreu no transcurso desse monitoramento (maio de 2013), a ausência de evidências, bem como o transcurso do tempo previsto para a implementação das etapas previstas configuram indícios suficientes para concluir que a implementação do processo de gestão de riscos de segurança da informação não ocorreu no prazo estabelecido.B.2.4. Evidênciasa) resposta aos itens 2.26 a 2.29, do Anexo I, do Ofício 89/2013-TCU/Sefti (peça 273);b) minuta de norma geral dos riscos corporativos do MP (peça 274);c) plano de ação para dar cumprimento aos encaminhamentos do Acórdão 2.613/2011-TCU-Plenário (peça 226).

25


B.2.5. Conclusão264. Em virtude da ausência de evidências que comprovem as etapas previstas pelo plano de ação, com o intuito de implementar o processo de gestão relativa a riscos de segurança da informação, e do envio da minuta referente à gestão de riscos corporativos do MP, conclui-se que a determinação ora monitorada está em cumprimento, fora do prazo estabelecido no plano de ação. Diante disso, propor-se-á reiterar a determinação ora monitorada, com base no parágrafo 63.1 da Portaria-Segecex nº 27, de 19 de outubro de 2009 (Padrões de Monitoramento do TCU), com prazo de cumprimento de 180 dias a contar da ciência da decisão.B.2.6. Proposta de Encaminhamento265. Considerar a determinação 9.2.5 do Acórdão 2.613/2011-TCU-Plenário em cumprimento, fora do prazo definido no plano de ação.266. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, à Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão que, em atenção à IN GSI/PR 1/2008, art. 5º, VII, c/c a Norma Complementar 4/IN01/DSIC/GSIPR, no prazo de 180 dias a contar da ciência do decisum, implemente processo de gestão de riscos de segurança da informação e comunicações.B.3. Deliberação 9.2.69.2. determinar à Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão que:(...)9.2.6 em atenção ao Decreto 5.707/2006, art. 5º, § 2º, c/c a Portaria MPOG 208/2006, art. 2º, I, e art. 4º, elabore plano anual de capacitação;B.3.1. Situação que levou à proposição da deliberação267. Durante a execução da fiscalização, a equipe de auditoria solicitou o plano de capacitação para o ano de 2010. Em resposta, recebeu relatórios de várias áreas, em que constavam ações de capacitação realizadas em 2010. Dois dos setores que encaminharam evidências (SPU e Seges) afirmaram que não existia um plano formal de capacitação para seus funcionários de TI (peça 228, p. 24).268. No momento em que os responsáveis apontavam esclarecimentos sobre o relatório preliminar, o gestor da Secretaria Executiva do MP anexou um relatório que continha todas as capacitações realizadas, com ou sem ônus, agrupados por unidades administrativas (peça 228, p. 24).269. A equipe concluiu que as evidências apresentadas não consistiam em um plano anual de capacitação do MP como um todo, nos moldes preconizados pelo Decreto 5.707/2006, arts. 5º, § 2º c/c Portaria MP 208/2006, art. 2º, inciso I, e art. 4ºB.3.2. Providências adotadas e comentários dos gestores270. Por meio dos itens 2.14 a 2.18, do Anexo I, do Ofício 89/2013-TCU/Sefti (peça 14, p. 5), solicitou-se aos gestores do MP o envio dos planos anuais de capacitação do Ministério do Planejamento para os anos de 2012 e 2013, bem como evidências de suas publicações.271. Em resposta, os gestores enviaram o Plano de Capacitação 2012-2015 do Ministério do Planejamento, como sendo o principal instrumento de planejamento das ações relativas à capacitação do órgão, usando como parâmetro o PPA 2012/2015 e alicerçado na gestão de competências para possibilitar o alcance da missão institucional do Ministério (peça 240, p. 6).B.3.3. Análise272. Ao analisar o Plano de Capacitação do MP 2012/2015, verificou-se que ele contempla os elementos básicos que descrevem o plano anual de capacitação, segundo estabelece o art. 2º, inciso I da Portaria – MP 208/2006. Ele apresenta os fundamentos dos planos de capacitação, enumera as trilhas de aprendizagem detalhada das unidades administrativas do Ministério e ilustra a consolidação das prioridades de atendimento quanto a ações de capacitação, bem como o público estimado (peça 240, p. 5).273. Contudo, o plano de capacitação apresentado não é de periodicidade anual, e sim quadrienal, tendo sido baseado nas iniciativas estabelecidas no PPA 2012/2015. Até por isso, as trilhas de capacitação, agrupadas por eixos temáticos e competências, não apresenta a data prevista de realização do treinamento, se limitando a estabelecer graus de prioridade para cada ação. De certo modo, isso se coaduna com uma diretriz estratégica do próprio plano, que tem a intenção de “orientar, como ferramenta

26


de gestão, o mapeamento das competências a serem desenvolvidas no quadriênio 2012/2015, a prospecção e o planejamento de ações de capacitação em consonância com a Política Nacional de Desenvolvimento de Pessoal” (peça 240, p. 10).274. Desse modo, é importante ressaltar que a descrição das ações de capacitação propriamente ditas não constam do plano, mas devem ser planejadas e executadas segundo os eixos temáticos e as competências previstas no instrumento.275. Além disso, e por conter diretrizes e informações quantitativas e qualitativas a respeito das ações de capacitação, o plano deve ser constantemente monitorado e reavaliado. Essa necessidade, de algum modo, está prevista em uma das diretrizes estratégicas, que prevê, quando for o caso, o monitoramento, reavaliação e redirecionamento das competências previstas no plano (peça 240, p. 10).276. Apesar do estabelecimento da periodicidade anual do plano de capacitação estabelecida pelo art. 5º, inciso I do Decreto 5707/2006, e considerando a essência e o conteúdo do plano de capacitação quadrienal apresentado pelo MP, é de se considerar que a determinação do TCU foi cumprida.277. Propor-se-á, contudo, recomendação para que o Ministério do Planejamento realize revisões periódicas anuais no plano, visando reavaliar o conteúdo e, se for o caso, construir versões anualizadas do plano quadrienal de capacitação. Essas revisões periódicas, em dezembro de cada ano, segundo o que estabelece o art. 4º da Portaria MP 208/2006, dariam cumprimento ao mandamento infralegal constante da deliberação ora analisada.B.3.4. Evidênciasa) Plano de Capacitação 2012/2015 (peça 240).B.3.5. Conclusão278. Considerando a essência e o conteúdo do plano de capacitação quadrienal apresentado pelo MP, a determinação foi cumprida. Contudo, propõe-se recomendação de que sejam realizadas revisões periódicas anuais do plano quadrienal de capacitação, na intenção de promover aderência com o que estabelece o art. 4º da Portaria MP 208/2006.B.3.6. Proposta de Encaminhamento279. Considerar a determinação 9.2.6 do Acórdão 2.613-TCU-Plenário cumprida.280. Recomendar à Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão que, em atenção ao art. 5º, inciso I do Decreto 5707/2006 e ao art. 4º da Portaria MP 208/2006, realize revisões periódicas anuais no plano visando reavaliar o seu conteúdo e, se for o caso, construa versões anualizadas do plano quadrienal de capacitação.B.4. Deliberação 9.1.149.1. recomendar à Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão que:(...)9.1.14. planeje contratações de serviços de TI com uso do processo previsto na IN SLTI/MPOG 4/2010, observando a sequência lógico-temporal entre tarefas e ritos de aprovação dos artefatos produzidos ao longo do processo;B.4.1. Situação que levou à proposição da deliberação281. Durante a realização da auditoria que originou o acórdão ora monitorado, a equipe realizou testes substantivos no Contrato 58/2009 e registrou que não foram evidenciadas as atividades de planejamento previstas pela IN SLTI/MP 4/2008 (peça 228, p. 32), quais sejam:a) a análise de riscos não levou em consideração as informações obtidas durante a etapa de elaboração da estratégia da contratação;b) houve falhas no conteúdo do documento sobre estratégia da contratação;c) o documento versando sobre análise de riscos não foi assinado pelo gestor do contrato, o qual teve sua indicação como gestor realizada no mesmo dia da data do documento.282. De acordo com a equipe de auditoria, essas impropriedades podem ocasionar aquisições ou contratações que não atendam à necessidade do órgão, bem como falhas no termo de referência ou projeto básico em aquisições de bens e serviços de TI (peça 228, p. 32).B.4.2. Providências adotadas e comentários dos gestores

27


283. Por meio do item 5, do Anexo I, do Ofício 89/2013-TCU/Sefti (peça 14, p. 6), a equipe solicitou documentos que evidenciassem o cumprimento do processo de planejamento das contratações segundo o que preconiza a IN SLTI/MP 4/2010, para os Contratos 62/2012 e 85/2012.284. Além desses, a equipe de monitoramento solicitou, ainda, por meio do Ofício 1-539/Sefti/TCU, evidências da execução do processo de planejamento da contratação para os Processos 03120.000118/2012-10 e 04300.005708/2012-75 (peça 216). O primeiro refere-se à adesão à Ata de Registro de Preços do Instituto Nacional de Tecnologia da Informação (ITI), autarquia federal vinculada à Casa Civil da Presidência da República, oriunda do Pregão Eletrônico 49/2012, visando à aquisição de licenças de uso do software de virtualização de servidores de rede VMware e serviços correlatos, o que resultou no Contrato 99/2012. O segundo trata da contratação de empresa para fornecimento de ativos de rede de computadores, mediante licitação promovida pela SLTI/MP, no âmbito do Sistema de Registro de Preços.B.4.3. Análise285. Conforme prevê o art. 9º da IN SLTI/MP 4/2010, a fase de planejamento da contratação tem início com o recebimento pela área de TI do Documento de Oficialização da Demanda (DOD), feito pela área requisitante da solução.286. Ainda, de acordo com o art. 10º dessa norma, a fase de planejamento da contratação consiste nas seguintes etapas:a) análise de viabilidade da contratação;b) plano de sustentação;c) estratégia da contratação;d) análise de riscos; ee) termo de referência.287. Segundo a norma, cada fase elencada acima resultará em um documento, sendo que o art. 10 § único faculta que os resultantes das quatro primeiras etapas possam ser consolidados em um único.288. Em suma, com base nos critérios acima, foram avaliados substantivamente procedimentos da fase de planejamento da contratação em quatro casos, que serão descritos individualmente.Contrato 62/2012289. Para o processo de contratação que resultou no Contrato 62/2012, o MP evidenciou o recebimento do Documento de Oficialização da Demanda (DOD) pela área de TI, de acordo com o previsto no art. 9º da IN SLTI/MP 4/2010 (peça 275).290. Apesar de terem sido construídos todos os artefatos previstos no art. 10º da norma, o órgão não seguiu corretamente o que ela dispõe, sobre o que se passa a discorrer.291. Na elaboração da análise de viabilidade da contratação (peça 276, p. 1-4), o MP não incluiu no documento todas as informações requeridas de acordo com o que prevê o artigo 11, incisos II, III e V da IN SLTI/MP 4/2010, como por exemplo:a) identificação das diferentes soluções que atendam aos requisitos;b) análise e comparação entre os custos totais de propriedade das soluções identificadas, levando-se em conta os valores de aquisição de ativos, insumos, garantia e manutenção;c) avaliação das necessidades de adequação do ambiente do órgão para viabilizar a execução contratual.292. Além disso, as informações constantes do documento (peça 276, p. 1-4) não demonstram a essência do papel da análise de viabilidade da contratação, ou seja, explicitar a viabilidade técnica e econômica da contratação.293. Em relação ao plano de sustentação (peça 276, p. 4-5), dos quatro itens obrigatórios constantes do art. 14 da IN SLTI/MP 4/2010, em três deles foi informado que não se aplica.294. Já o item referente à estratégia de independência do órgão em relação à contratada, que consta do art. 14, inciso IV da referida instrução, foi informado erroneamente no documento estratégia da contratação, e limitando-se a dizer que a forma de transferência de tecnologia e os direitos de propriedade intelectual e direitos autorais seguem as regras da IN 1, de 17/1/2011.

28


295. No que diz respeito à estratégia da contratação (peça 276, p. 5-8), o Ministério deixou de informar alguns itens do inciso III do art. 15 da IN SLTI/MP 4/2010, tais como:a) fixação de procedimentos e critérios de aceitação dos serviços prestados, abrangendo métricas, indicadores e valores mínimos aceitáveis;b) quantificação ou estimativa prévia do volume de serviços demandados, para comparação e controle;c) definição de metodologia de avaliação da qualidade e da adequação da solução de TI às especificações funcionais e tecnológicas.d) cronograma de execução física e financeira.296. Ademais, o orçamento informado no documento não foi detalhado conforme determina o inciso IV do art. 15 da IN SLTI/MP 4/2010 e os critérios técnicos de julgamento das propostas para a fase de seleção do fornecedor não seguiram as orientações contidas no inciso VII do mesmo artigo.297. Já no que tange o documento análise de risco (peça 276, p. 9), não foi feita uma análise completa dos principais riscos nos termos em que dispõe o art. 16 da IN SLTI/MP 4/2010. A análise de risco feita pelo órgão foi muito superficial e deixou de mensurar, por exemplo, a probabilidade de ocorrência de cada risco identificado.298. Finalmente, no que diz respeito ao termo de referência (peça 277) do processo de contratação que resultou no Contrato 62/2012, apesar de estar mais completo que os demais documentos da fase de planejamento, não foram definidos claramente alguns itens obrigatórios de acordo com o parágrafo 1º do art. 17 da IN SLTI/MP 4/2010, tais como:a) modelo de prestação de serviços;b) elementos para gestão do contrato;c) estimativo de preços; ed) critérios de seleção do fornecedor.299. Dessa forma, os artefatos previstos na IN SLTI/MP 4/2010 foram elaborados com algumas impropriedades no conteúdo, quais sejam: i) viabilidade da contratação (parágrafos 291 e 292); ii) plano de sustentação (parágrafos 293 e 294); iii) estratégia da contratação (parágrafos 295 e 296); iv) análise de riscos (parágrafo 297); e v) termo de referência (parágrafo 298).Contrato 85/2012300. Em relação ao processo de contratação que resultou no Contrato 85/2012, a equipe de planejamento produziu os seguintes artefatos, conforme previsto no art. 10º da IN SLTI/MP 4/2010:a) análise de viabilidade da contratação (peça 278, p. 1-34);b) plano de sustentação (peça 278, p. 35-44);c) estratégia da contratação (peça 279);d) análise de riscos (peça 280); ee) termo de referência (peça 281).301. Quase todos os artefatos produzidos contêm as informações previstas na IN SLTI/MP 4/2010, tendo sido identificada uma única impropriedade em relação ao documento de análise de riscos, no qual não foram definidos os responsáveis pelas ações de prevenção dos riscos e dos procedimentos de contingência, conforme prevê o inciso VI do art. 16 da mesma norma.302. Entretanto, da mesma forma que ocorreu na auditoria realizada em 2010, não foi observada a sequência lógico-temporal entre as tarefas e os ritos de aprovação dos artefatos produzidos ao longo do processo.303. O documento estratégia da contratação foi aprovado em 11/9/2012 (peça 279, p. 41), enquanto os documentos análise de viabilidade da contratação e plano de sustentação, que deveriam ter sido os insumos de sua elaboração, de acordo com o que determina o art. 15 da IN SLTI/MP 4/2010, foram aprovados posteriormente, em 28/9/2012 (peça 278, p. 34-43). Ou seja, a intenção da norma de que a estratégia da contratação leve em consideração as informações obtidas durante as etapas de análise da viabilidade da contratação e do plano de sustentação não pode ser evidenciada no caso em questão.304. Além disso, os documentos análise de risco (peça 280, p. 13) e o termo de referência (peça 281, p. 34) foram aprovados no mesmo dia, 28/9/2012.

29


305. As datas de aprovação dos mencionados documentos admitem inferir que não foi observada a sequência lógico-temporal entre as tarefas e os ritos de aprovação nos artefatos produzidos ao longo do processo de planejamento da contratação.Contrato 99/2012306. Em outubro de 2012, o MP manifestou o desejo de adquirir solução de virtualização, por meio de adesão à ata de registro de preços realizado pelo Instituto Nacional de Tecnologia da Informação – ITI (peça 282, p. 1). O valor total da ata de registro de preços, no que diz respeito às demandas do MP, é de R$ 6.593.746,37 (peça 282, p. 3) e de R$ 3.741.786,37 para serem gastos em 2012 (peça 282, p. 4).307. Os gestores declaram explicitamente, ainda, por meio do item 12 da NT 5/DTI/SE-MP, que, entre outros elementos, estão presentes nos autos os artefatos previstos na IN SLTI/MP 4/2010 (peça 282, p. 6). Contudo, os artefatos aos quais os gestores se referem foram produzidos durante a fase de planejamento da contratação do ITI, órgão gerenciador da ata, e que não serão objeto de análise neste trabalho (peça 283, p. 5-54 e peça 284).308. Cumpre ressaltar que os artefatos da IN SLTI/MP 4/2010 materializam as evidências que tornam objetivo e documentado o devido processo de planejamento da contratação de serviços de TI, e que deveriam, portanto, ser elaborados pelo próprio MP, no âmbito dessa contratação. Esse entendimento consta do caput do art. 1º da IN SLTI/MP 4/2010, além de não se manifestar como uma das exceções de inaplicabilidade da norma, previstas no art. 1º, parágrafo único, incisos I e II.309. Diante dos autos, constata-se que o único artefato previsto pela IN SLTI/MP 4/2010 e elaborado pelo MP no caso em questão foi o Documento de Oficialização da Demanda (DOD), assinado em 21/12/2012. Ainda assim, o documento não contempla elementos essenciais, como a fonte dos recursos para a contratação, e tampouco a indicação do integrante requisitante para a equipe de planejamento da contratação, conforme reza o art. 9º, incisos III e IV da referida norma (peça 283, p. 1-2).310. Portanto, conclui-se que os artefatos de planejamento da contratação previstos pela IN SLTI/MP 4/2010, com exceção do DOD, não foram elaborados no processo de contratação analisado, o que infringe o art. 1º, caput da referida Instrução Normativa.Processo 04300.005708/2012-75311. Trata-se de contratação conjunta de ativos de rede de computadores realizada pelo Departamento de Serviços de Rede da SLTI/MP. Tal contratação visa à aquisição de um conjunto de equipamentos de rede para comunicação local, a fim de atender aos órgãos do Sisp. Por meio de instrumentos como consultas e audiências públicas, o Ministério do Planejamento recebeu contribuições do mercado que permitiram que as especificações técnicas dos equipamentos a serem adquiridos fossem descritas, segundo consta do texto da Nota Técnica 44/DSR/SLTI/MP (peça 285, p. 22).312. Uma vez finalizada a parte relacionada à análise e levantamento do mercado, um grupo de trabalho, instituído em 2012, foi criado com a finalidade revisar as especificações técnicas e redigir o termo de referência para a aquisição a ser realizada pelo Sistema de Registro de Preços (SRP). E, com o intuito de fomentar a participação dos órgãos da Administração Pública Federal (APF) nesse processo de contratação, o MP enviou ofício circular solicitando aos interessados em aderir ao planejamento da contratação que formalizassem a intenção até setembro de 2012. Essa iniciativa resultou na adesão de 34 instituições ao processo de contratação conjunta e a contabilização de aproximadamente 6.000 ativos de rede a serem contratados (peça 285, p. 22).313. Segundo consta dos autos, o Documento de Oficialização da Demanda (DOD) foi encaminhado pelo Departamento de Serviço de Rede (unidade demandante) ao DSTI em oito de agosto de 2012, conforme consta no Memorando 402/DSR/SLTI-MP (peça 285, p. 1). Da análise do conteúdo do DOD, verificou-se que ele possui os elementos exigidos pela IN SLTI/MP 4/2010, mais especificamente os constantes do art. 9º, incisos I, II e IV (peça 285, p. 3-5). No caso em questão, por se tratar de uma contratação conjunta, consta no DOD que a fonte de recursos a ser utilizada na contratação, exigida pelo art. 9º, inciso III da referida instrução normativa, seria indicada por cada órgão participante no momento da contratação. De fato, configurou-se situação diferenciada, em que não havia, no momento da elaboração do DOD (8/8/2012), informações sobre a intenção dos órgãos públicos de aderir àquela contratação, pois eles se manifestaram somente a partir de setembro do mesmo ano (parágrafo 312).

30


314. Os trâmites previstos na IN SLTI/MP 4/2010, que sucedem a elaboração do DOD, relacionados à indicação do integrante administrativo para composição da equipe de planejamento da contratação e a própria instituição da equipe, foram evidenciados nos autos (peça 285, p. 6-19).315. Em relação à análise de viabilidade da contratação, cabem algumas observações. Na seção que aborda os requisitos de negócio da área requisitante, o gestor afirma que se trata da análise de viabilidade dos diversos órgãos participantes do registro de preços para a contratação de ativos de rede. Afirma, ainda, que as necessidades de negócio estão descritas no DOD anexado ao processo, no qual é possível encontrar a descrição da quantidade requisitada (peça 285, p. 30). Contudo, em análise do conteúdo do DOD, não foi possível encontrar informações detalhadas sobre as quantidades requisitadas nem a justificativa para a contratação, o que evidencia inconsistência nesse excerto da análise de viabilidade da contratação.316. Na seção que trata sobre os requisitos técnicos (item 2.2.5, peça 285, p. 31), causou estranheza a ausência de requisitos técnicos de capacitação, a serem previstos na análise de viabilidade, quando aplicável, nos termos do art. 11, inciso I c/c o art. 12, inciso I da IN SLTI/MP 4/2010. Parece ser o caso para essa contratação considerar obrigatoriamente esse tipo de requisito técnico, dada o fato de constar do objeto contratado uma série de serviços de treinamento para cada lote de equipamentos (peça 285, p. 33-37). Isso insinua uma necessidade de capacitação dos usuários técnicos, não substanciada na seção de requisitos técnicos da análise de viabilidade.317. Quanto à estratégia da contratação, foi possível identificar que alguns dos seus elementos básicos, como o cronograma de execução físico-financeira e os mecanismos formais de comunicação, deverão ser definidos individualmente por cada órgão que aderir ao registro de preços (peça 286, p. 62). Por se tratar de contratação conjunta, de fato é razoável pensar que os parâmetros de tempo de entrega dos itens adquiridos e dos serviços contratados, bem como o protocolo de comunicação entre contratante e contratada, fossem definidos a posteriori, em cada caso.318. Entretanto, a mesma argumentação não se sustenta quando se analisa o conteúdo da seção orçamento detalhado, item obrigatório da estratégia da contratação previsto no art. 15, inciso IV da IN SLTI/MP 4/2010 e que serve de insumo para a elaboração do termo de referência, nos termos do art. 17, parágrafo 1º da instrução supra. Segundo consta da estratégia da contratação elaborada pelo gestor, o referido orçamento deverá ser definido com a pesquisa de preços, a ser realizada posteriormente, e cujos resultados constarão de um documento futuro denominado pesquisa de mercado (peça 289, p. 1-6).319. O termo de referência, assinado em 8/4/2013, traz, em seu Anexo A, lista de itens a serem contratados e suas quantidades e preços máximos, cujos valores foram obtidos pela média aritmética dos valores conseguidos por intermédio de pesquisa de mercado junto a fornecedores (peça 289, p. 1-6). O total previsto da contratação é de R$ 119.181.917,42, obtido pela multiplicação da quantidade estimada de cada item pelo valor unitário máximo estimado (peça 287, p. 47). Segundo os termos da IN SLTI/MP 4/2010, o orçamento detalhado deve constar da estratégia da contratação e ser utilizado como insumo para a elaboração do termo de referência. No caso analisado, isso não ocorreu. Portanto, o orçamento detalhado, um trecho essencial da estratégia da contratação e exigido pela instrução normativa, não consta da estratégia da contratação, tendo sido evidenciado no termo de referência e, segundo os autos, produzido no intervalo entre a aprovação da estratégia da contratação (12/3/2013; peça 287, p. 5) e do termo de referência (8/4/2013; peça 287, p. 41).320. Cabe ressaltar, ainda, a possibilidade, segundo consta do art. 10º, parágrafo único da IN SLTI/MP 4/2010, dos documentos relativos à análise de viabilidade da contratação, plano de sustentação, estratégia da contratação e análise de riscos serem consolidados em um único documento, a critério da equipe de planejamento da contratação. No caso em questão, constatou-se versões diferentes dos quatro documentos assinados na mesma data (12/3/2013), o que indica que foram formalizados em conjunto (peça 285, p. 38; peça 286, p. 46; peça 287, p. 5-11). Embora seja necessário cumprir a sequência lógico-temporal das tarefas, definida pela própria ordem de construção dos artefatos da IN SLTI/MP 4/2010, é permitido materializar os seus resultados em um único documento.321. Com isso, conclui-se que os artefatos previstos na IN SLTI/MP 4/2010 foram elaborados, com algumas impropriedades no conteúdo de parte deles, quais sejam: i) viabilidade da contratação

31


(parágrafos 315 e 316); e ii) estratégia da contratação (parágrafos 318 e 319). Além disso, os documentos análise de viabilidade da contratação, plano de sustentação, estratégia da contratação e análise de riscos foram formalizados na mesma data (parágrafo 320).B.4.4. Evidênciasa) análise de viabilidade da contratação do Pregão SRP 21/2011, que resultou no Contrato 62/2012 (peça 276);b) plano de sustentação do Pregão SRP 21/2011, que resultou no Contrato 62/2012 (peça 276, p. 4-5);c) estratégia da contratação do Pregão SRP 21/2011, que resultou no Contrato 62/2012 (peça 276, fls. 5-8);d) análise de riscos do Pregão SRP 21/2011, que resultou no Contrato 62/2012 (peça 276, p. 9);e) termo de referência do Pregão SRP 21/2011, que resultou no Contrato 62/2012 (peça 277);f) análise de viabilidade da contratação do Pregão Sisp 56/2012, que resultou no Contrato 85/2012 (peça 278, p. 1-34);g) plano de sustentação do Pregão Sisp 56/2012, que resultou no Contrato 85/2012 (peça 278, p. 35-44);h) estratégia da contratação do Pregão Sisp 56/2012, que resultou no Contrato 85/2012 (peça 279);i) análise de riscos do Pregão Sisp 56/2012, que resultou no Contrato 85/2012 (peça 280);j) nota técnica 5 DTI/SE/MP (peça 282);k) artefatos de planejamento da contratação elaborados pelo ITI (peça 283, p. 5-54 e peça 284);l) Processo 04300.005708/2012-75 – MP – Volume I, fls. 1 a 36 (peça 285);m) Processo 04300.005708/2012-75 – MP – Volume I, fls. 37 a 72 (peça 286);n) Processo 04300.005708/2012-75 – MP – Volume I, fls. 73 a 108 (peça 287);o) Processo 04300.005708/2012-75 – MP – Volume I, fls. 109 a 144 (peça 288);p) Processo 04300.005708/2012-75 – MP – Volume I, fls. 145 a 181 (peça 289).B.4.5. Conclusão322. Do exposto, conclui-se que, em geral, o Ministério do Planejamento tem planejado as contratações de serviços de TI cumprindo os ritos processuais previstos nos termos da IN SLTI/MP 4/2010. Contudo, análises substantivas nos processos de contratação evidenciaram impropriedades em alguns artefatos e, especialmente, o descumprimento da sequência lógico-temporal das tarefas e ritos de aprovação dos artefatos (parágrafos 299, 304, 310 e 321).323. De todo modo, conclui-se que a determinação foi cumprida. No entanto, propor-se-á a emissão de ciência ao Ministério do Planejamento, informando que alguns aspectos dos processos de planejamento da contratação infringiram os termos estabelecidos pela IN SLTI/MP 4/2010.B.4.6. Propostas de Encaminhamento324. Considerar a recomendação 9.1.14 do Acórdão 2.613/2011-TCU-Plenário cumprida.325. Dar ciência à Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão sobre as seguintes impropriedades:325.1. a elaboração de artefatos de planejamento da contratação que deram origem ao Contrato 62/2012 em desacordo com o que estabelece a IN SLTI/MP 4/2010, tais como (parágrafo 299):325.1.1. a análise de viabilidade da contratação, que afronta o disposto no o art. 11, incisos II, III e V (parágrafos 291 e 292);325.1.2. o plano de sustentação, que afronta o disposto no art. 14, inciso IV (parágrafos 293 e 294);325.1.3. a estratégia da contratação, que afronta o disposto no art. 15, incisos III, alíneas a, b, c e f, IV e VII (parágrafos 295 e 296);325.1.4. a análise de riscos, que afronta o disposto no art. 16 (parágrafo 297);325.1.5. o termo de referência, que afronta o disposto no art. 17, §1º (parágrafo 298).

32


325.2. a elaboração de artefatos de planejamento da contratação que deram origem ao Contrato 85/2012 em desacordo com o que estabelece a IN SLTI/MP 4/2010, tais como (parágrafos 301 a 303):325.2.1. a análise de riscos, que afronta o disposto no art. 16, inciso VI;325.2.2. os documentos de análise de viabilidade da contratação e plano de sustentação aprovados após a estratégia da contratação, que afronta o disposto no art. 15, caput.325.2.3. a elaboração do documento de oficialização de demanda que subsidiou o processo de planejamento que deu origem ao Contrato 99/2012, em afronta ao que estabelece o art. 9º, incisos III e IV da IN SLTI/MP 4/2010 (parágrafo 309);325.2.4. a inexistência dos artefatos análise da viabilidade, plano de sustentação e análise de riscos no processo de planejamento que deu origem ao contrato 99/2012, em afronta ao que estabelece o art. 1º, caput da IN SLTI/MP 4/2010 (parágrafo 310).325.3. a elaboração de artefatos de planejamento da contratação referentes ao processo 04300.005708/2012-75 em desacordo com o que estabelece a IN SLTI/MP 4/2010, tais como (parágrafo 321):325.3.1. a análise da viabilidade da contratação, que afronta o disposto no art. 11, inciso I c/c o art. 12, inciso I (parágrafos 315 e 316);325.3.2. a estratégia da contratação, que afronta o disposto no art. 15, IV da IN SLTI/MP 4/2010 (parágrafos 318 e 319).C. Secretaria Executiva do Ministério da Saúde (SE/MS)326. Esta secretaria realizou auditoria na Secretaria Executiva do Ministério da Saúde (SE/MS), no período de 24/5 a 9/7/2010, com o objetivo de avaliar controles gerais de Tecnologia da Informação (TI) e verificar se estavam de acordo com a legislação pertinente e com as boas práticas de governança de TI (TC 013.718/2010-0).327. Como resultado dessa auditoria, este Tribunal decidiu por onze recomendações e doze determinações ao MS, as quais constam dos itens 9.1 e 9.2 do Acórdão 757/2011-TCU-Plenário (peça 319).328. Uma das determinações, a 9.2.12, versava sobre o encaminhamento ao Tribunal de plano de ação para a implementação das demais deliberações, o que foi feito pelo Ministério, com atraso, por meio Ofício MS/SE/GAB 1331, de 25/7/2011 (peça 320). O prazo concedido para o cumprimento dessa determinação foi de trinta dias, a contar da ciência do acórdão, a qual se deu em 14/4/2011(TC 013.718/2010-0, peça 18). A pedido do gestor, foi concedida a dilação do prazo inicial por mais trinta dias (TC 013.718/2010-0, peças 19 e 24). Dessa forma, o plano de ação deveria ter sido encaminhado ao Tribunal até 13/6/2011 (sessenta dias após a ciência), mas só o foi em 25/7/2011, portanto, com 42 dias de atraso.329. Conforme prevê o art. 58, inciso IV da Lei 8.443/1992 c/c o art. 268, inciso VII do RI/TCU, o responsável pelo descumprimento, no prazo fixado, sem causa justificada, à diligência determinada pelo relator, fica sujeito à aplicação de multa.330. Há que se considerar, no presente caso, que, embora o gestor não tenha apresentado justificativa para o atraso na remessa do plano de ação, a presença de determinadas circunstâncias poderiam justificar a necessidade de maior prazo para o cumprimento da deliberação. Nesse sentido, têm-se o elevado número de deliberações que deveriam ser planejadas (22), algumas de natureza complexa, bem como o porte e a abrangência da área de TI do Ministério. Além disso, deve-se levar em conta que a deliberação de encaminhamento de plano de ação é de caráter instrumental, e que o referido plano estava disponível na Unidade Técnica antes que o monitoramento fosse iniciado, conforme prevê o item 9 da Portaria Segecex 27/2009, de forma que o atraso na sua remessa não acarretou prejuízos à fiscalização.331. Ante o exposto, considera-se que existem razões que poderiam justificar o não cumprimento do prazo fixado. Contudo, considerando que o Ministério da Saúde não se pronunciou tempestivamente a respeito do assunto, solicitando nova concessão de prazo, nem justificando o atraso, propõe-se dar ciência ao órgão da impropriedade.332. Salienta-se que consta no Anexo C (peça 368) deste relatório a análise quanto ao atendimento de todas as deliberações constantes dos itens 9.1 e 9.2 do Acórdão 757/2011-TCU-Plenário.

33


333. Procede-se, a seguir, ao relato apenas das deliberações constantes nos itens 9.1 e 9.2 do Acórdão 757/2011-TCU-Plenário cuja análise quanto ao atendimento levou à conclusão pela proposição de nova(s) deliberação(ões) ou de reiteração de determinação não cumprida ou de conversão de recomendação não implementada em implementação, iniciando-se pelas determinações.C.1. Deliberação 9.2.19.2. determinar à Secretaria Executiva do Ministério da Saúde que:9.2.1. em atenção à Instrução Normativa SLTI/MPOG 4/2010, art. 4º, elabore e aprove Plano Diretor de Tecnologia da Informação – PDTI, com observância das diretrizes constantes da Estratégia Geral de Tecnologia da Informação – EGTI em vigor e à semelhança das orientações do Cobit 4.1, processo PO1 – Planejamento Estratégico de TI;C.1.1. Situação que levou à proposição da deliberação334. A equipe de auditoria verificou que, em 2010, o MS não possuía um Plano Diretor de Tecnologia da Informação – PDTI (peça 317, p. 1).C.1.2. Providências adotadas e comentários dos gestores335. Em resposta ao item 2.4, do Anexo I, do Ofício TCU/Sefti 91/2013 (peça 22, p. 3), o órgão apresentou o PDTI de 2010 (peça 133), aprovado pela Portaria SE/MS 560, de 23/12/2010 (idem, p.136), com vigência para o período de 2010 a 2013. Conforme relatado no item C.12 do Anexo C do presente relatório (peça 368, p. 23, parágrafos 151-154), apresentou também evidências de que novo plano está sendo elaborado para suceder o atual, com melhorias no conteúdo, como, por exemplo, maior aderência ao planejamento estratégico institucional do Ministério.C.1.3. Análise336. Na deliberação ora monitorada, foi determinado que a elaboração do PDTI se desse “com observância das diretrizes constantes da Estratégia Geral de Tecnologia da Informação – EGTI em vigor e à semelhança das orientações do Cobit 4.1 PO1 – Planejamento Estratégico de TI”.337. Assim, esta fiscalização verificou se o órgão possuía um PDTI aprovado e publicado, bem como analisou a conformidade do processo de elaboração do PDTI e do conteúdo do plano com os citados normativos.338. Na análise de conformidade, a versão da EGTI utilizada como referência foi a de 2010, aprovada pela Resolução SLTI/MP 1, de 18/2/2010, sendo ela a que estava em vigor à época da formalização do PDTI do MS.339. Tal norma consagrava como princípio norteador “a finalidade da aplicação dos recursos de TI é o cumprimento da missão institucional do Governo Brasileiro, devendo para tanto ser planejada em consonância com as metas institucionais”.340. Ressalte-se, ainda, dentre as metas recomendadas pela EGTI aos órgãos integrantes do Sisp, as seguintes ações destinadas ao aprimoramento do processo de planejamento de TI, cujo prazo proposto era até dezembro de 2010:2. As áreas de TI deverão analisar a proposta dos planos orçamentários do órgão com vista a identificar possíveis impactos e a necessidade de revisar o PDTI para garantir o alinhamento da TI com os objetivos institucionais.3. O planejamento orçamentário das ações e investimentos da área de TI deverão constar no PDTI.4. Revisar as metas pelo menos uma vez ao ano.341. No que se refere às práticas preconizadas no processo PO1 – Planejamento Estratégico de TI, do Cobit 4.1, destaque-se as constantes do subprocesso PO1.4 – Plano Estratégico de TI, a saber:Criar um plano estratégico que defina, em cooperação com as partes interessadas relevantes, como a TI contribuirá com os objetivos estratégicos da organização (metas) e quais os custos e riscos relacionados. (...) O plano deve definir como os objetivos serão atingidos e medidos e deve ser formalmente liberado para implementação pelas partes interessadas. O plano estratégico de TI deve contemplar o orçamento operacional e de investimento, as fontes de recursos financeiros, (...)342. A análise do PDTI vigente (2010-2013) do MS revelou as seguintes falhas em seu conteúdo, decorrentes de omissões quanto aos requisitos retromencionados:

34


a) não demonstra como as medidas nele constantes se relacionam ou contribuem para que sejam atingidas as metas institucionais do órgão;b) não informa quais os critérios utilizados para a alocação dos recursos e não define os valores das propostas e as respectivas fontes dos recursos;c) não estipula metas e indicadores.C.1.4. Evidênciasa) PDTI de 2010 (peça 133);b) Portaria SE/MS 560, de 23/12/2010 (peça 133, p.136).C.1.5. Conclusão343. O MS evidenciou que possui um PDTI devidamente oficializado.344. No entanto, o conteúdo do referido PDTI apresenta algumas falhas, caracterizadas por desconformidades com os normativos de referência, as quais, por sua natureza, são relevantes o suficiente para comprometerem a qualidade da aplicação do plano e da sua efetividade.345. Em face do exposto, entende-se-se que a determinação foi parcialmente cumprida, razão pela qual se propõe dar ciência das impropriedades e reiterar a determinação, com vistas à correção das falhas, desta feita com fixação de prazo, na forma do item 63.1 da Portaria-Segecex 27/2009.C.1.6. Proposta de Encaminhamento346. Considerar parcialmente cumprida a determinação 9.2.1 do Acórdão 757/2011-TCU-Plenário.347. Dar ciência à Secretaria Executiva do Ministério da Saúde sobre as seguintes impropriedades identificadas no PDTI vigente:347.1. ausência de demonstração de como as medidas nele constantes se relacionam ou contribuem para que sejam atingidas as metas institucionais do órgão, o que afronta princípio sobre a destinação de recursos de TI constante da Estratégia Geral de Tecnologia da Informação 2010 e desatende às recomendações do subprocesso PO1.4 (Plano Estratégico de TI) do Cobit 4.1;347.2. ausência dos critérios utilizados para a alocação dos recursos e dos valores das propostas e das respectivas fontes dos recursos, o que afronta a meta 3 da Estratégia Geral de Tecnologia da Informação 2010 e desatende às recomendações do subprocesso PO1.4 (Plano Estratégico de TI) do Cobit 4.1;347.3. ausência de metas e indicadores, o que afronta a meta 4 da Estratégia Geral de Tecnologia da Informação 2010 e desatende às recomendações do subprocesso PO1.4 (Plano Estratégico de TI) do Cobit 4.1.348. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, à Secretaria Executiva do Ministério da Saúde que, em atenção aos princípios do planejamento e do controle constantes dos incisos I e V, respectivamente, do art. 6º, do Decreto-Lei 200/1967, elabore, aprove e divulgue novo PDTI, no prazo de 180 dias, a contar da ciência do decisum, de forma que o novo plano esteja em conformidade com os princípios, diretrizes e demais orientações da Estratégia Geral de Tecnologia da Informação 2013-2015 e do processo PO1 (Planejamento Estratégico de TI) do Cobit 4.1, especialmente aqueles relacionados ao alinhamento da TI com os objetivos institucionais, ao planejamento orçamentário e à fixação de metas e indicadores.C.2. Deliberação 9.2.49.2. determinar à Secretaria Executiva do Ministério da Saúde que:(...)9.2.4. em atenção à Lei 8.666/1993, art. 6º, IX, e à IN SLTI/MPOG 4/2010, art. 13, II, aperfeiçoe seu processo de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de software, vinculando o contrato com o processo de software, sem o qual o objeto não estará precisamente definido;C.2.1. Situação que levou à proposição da deliberação349. Quando da realização da auditoria, em 2010, a equipe constatou que o processo de software do órgão apresentava falhas na definição dos papeis e responsabilidades, além de não ter sido aprovado e publicado oficialmente para uso no Ministério da Saúde (peça 317, p. 6).

35


C.2.2. Providências adotadas e comentários dos gestores350. Em resposta aos itens 2.18 a 2.21, do Anexo I, do Ofício TCU/Sefti 91/2013 (peça 22, p. 4), o gestor, por meio da Nota Técnica Datasus 1/2013, informou o endereço da página web onde está documentado o seu Processo de Gerenciamento e Desenvolvimento de Sistemas (PGDS), como evidência de formalização (aprovação e publicação) do processo de software (peça 132, p. 5)351. Encaminhou cópia do edital do Pregão Eletrônico 19/2013, com o respectivo termo de referência, para demonstrar que está vinculando as contratações de serviços de desenvolvimento de sistemas com o seu processo de software, no caso, o PGDS (peça 295).352. Remeteu, também, amostras de artefatos do sistema Argus (peça 296), que, segundo o Órgão, foram produzidos de acordo com o processo de software definido (peça 132, p. 5).353. Por fim, remeteu cópia da Portaria Datasus 3, de 27/5/2013, que aprovou o referido PGDS, no âmbito do Datasus (peça 169).C.2.3. Análise354. O conteúdo normativo constante da documentação do PGDS e as amostras de artefatos efetivamente produzidos em serviços de desenvolvimento de sistemas demonstram que houve uma evolução no processo de desenvolvimento de sistemas do MS nos últimos três anos. Todavia, não foram sanadas duas das falhas identificadas na fiscalização de 2010, que contribuíram para emissão da determinação de aperfeiçoamento do processo de software: a falta de previsão do papel de usuário na definição de papeis e responsabilidades do processo e o agrupamento genérico no papel “Técnicos” (atualmente renomeado para “Equipe Técnica”) dos diversos perfis profissionais envolvidos no trabalho de desenvolvimento de sistemas (peça 158, p. 3; 5).355. É oportuno resgatar a análise a esse respeito, consignada no relatório da fiscalização de 2010, segundo a qual o papel de usuário não se confunde com o papel de cliente, que tipicamente atua em atividades de gestão de demandas e não necessariamente como usuário final do produto de software. E, ainda, que o papel “Técnicos” é muito genérico, podendo abranger profissionais de diversos perfis e competências, como, por exemplo, analistas de requisitos, desenvolvedores, analistas de teste etc. A generalização dos perfis torna difícil o entendimento sobre as diferentes competências requeridas para as diversas atividades associadas ao papel Técnico (peça 317, p. 5).356. Quanto à vinculação dos serviços contratados com o processo de software do órgão, o edital do Pregão Eletrônico 19/2013 atende a essa exigência em diversos dos seus dispositivos, como, por exemplo, o item 3.16.1 do Apêndice A do Termo de Referência, que estipula que “o MS utiliza metodologia própria para desenvolvimento e manutenção de sistemas de informação, denominada Processo de Gerenciamento e Desenvolvimento de Sistemas – PGDS, (...)” (peça 295, p. 76). No entanto, nem no Contrato 69/2012 (peça 291, p. 180-192), que fez parte da amostra escolhida pela equipe desta fiscalização, nem no seu termo de referência (peça 291, p. 44-115), foi encontrada tal vinculação.357. A amostra dos artefatos apresentados pelo gestor, produzidos em serviços de desenvolvimento do sistema Argus (peça 296), representa adequadamente os modelos constantes da documentação do PGDS, e esse processo encontra-se devidamente formalizado, a partir da edição da Portaria Datasus 3/2007.C.2.4. Evidênciasa) Nota Técnica Datasus 1/2013 (peça 132);b) amostra de telas do PGDS (peça 158);c) edital do Pregão Eletrônico 19/2013 (peça 295);d) amostra de artefatos produzidos em serviços de desenvolvimento de sistemas (peça 296);e) Portaria Datasus 3/2013 (peça 169);f) processo de planejamento da contratação da Dispensa de Licitação 78/2012 (peça 291).C.2.5. Conclusão358. Em face do exposto, conclui-se que a determinação foi cumprida, com duas ressalvas, constantes da análise: i) falha na definição dos papeis de usuário e de técnico; ii) ausência de vinculação do Contrato 69/2012 com o processo de software em vigor.

36


359. O primeiro caso, falha na definição dos papeis de usuário e de técnico, mereceu registro por se tratar de uma oportunidade de melhoria identificada, mas não constitui irregularidade, uma vez que não afronta a legislação.360. Contudo, a segunda situação, ausência de vinculação do Contrato 69/2012 com o processo de software em vigor, desatende o entendimento inserido na determinação de que tal omissão faz com que o objeto não esteja precisamente definido conforme exigência legal.C.2.6. Proposta de Encaminhamento361. Considerar cumprida a determinação 9.2.4 do Acórdão 757/2011-TCU-Plenário.362. Dar ciência à Secretaria Executiva do Ministério da Saúde sobre a seguinte impropriedade identificada no processo de gerenciamento e desenvolvimento de sistemas: ausência de vinculação do Contrato 69/2012 com o processo de software em vigor, o que faz com que o objeto não esteja precisamente definido conforme exige a Lei 8.666/1993, art. 6º, inciso IX, e a IN SLTI/MP 4/2010, art. 13, inciso II.C.3. Deliberação 9.2.69.2. determinar à Secretaria Executiva do Ministério da Saúde que:(...)9.2.6. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais, com observância das práticas da Norma Complementar – IN01/DSIC/GSIPR 5;C.3.1. Situação que levou à proposição da deliberação363. Quando da realização da auditoria, em 2010, a equipe constatou que o órgão não havia instituído uma equipe de tratamento e resposta a incidentes em redes computacionais (peça 317, p. 11).C.3.2. Providências adotadas e comentários dos gestores364. Em resposta aos itens 2.28 e 2.29, do Anexo I, do Ofício TCU/Sefti 91/2013 (peça 22, p. 4), o gestor encaminhou minuta da norma que disciplina a constituição da Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais – Etir (peça 300) e o fluxograma previsto para a atuação dessa equipe (peça 309). Informou, contudo, por meio da Nota Técnica Datasus 1/2013, que a equipe ainda não fora constituída em virtude da escassez de servidores pertencentes ao corpo técnico do Datasus (peça 132, p. 6).365. Posteriormente, o gestor remeteu o “Documento para Constituição da Etir” (peça 301) e cópia da Portaria Datasus 2, de 27/5/2013, que aprovou esse documento (peça 168).366. Em sua manifestação sobre a análise expendida no relatório preliminar de fiscalização, a respeito da não constituição da Etir (item 368), o Ministério da Saúde informou que o Datasus, por meio do Memorando 135/2013/GAB/DATASUS/SGEP/MS, de 1º/7/2013, encaminhado à Secretaria Executiva, indicou servidores do seu quadro técnico para compor a Etir, bem como elaborou minuta de portaria destinada a instituir e nomear tal equipe no âmbito do ministério. Segundo o órgão, essa documentação encontra-se em análise pela sua Consultoria Jurídica – Conjur/MS (peça 352, p. 7-8; peça 357, p. 1-2, 10).C.3.3. Análise367. O documento para constituição da Etir, aprovado pela Portaria Datasus 2/2013, tem cunho normativo, cuidando de estabelecer a missão, atividades e benefícios esperados da Etir, bem como de criar diretrizes e critérios para a sua constituição (peça 301). No entanto, não realiza, de fato, a nomeação e a instituição da equipe.368. Com relação à alegação do gestor de que a Etir não foi constituída devido à escassez de servidores no Datasus, entende-se que a justificativa não é pertinente, tendo em vista que a norma de referência é flexível nesse sentido, prevendo quatro modelos de implementação, dentre eles o Modelo 1, que utiliza servidores da equipe de TI sem a necessidade da criação de um grupo dedicado exclusivamente às funções de tratamento e resposta a incidentes de Rede (Norma Complementar 05/IN01/DSIC/GSIPR, item 7.1). Mesmo que o órgão prefira um dos outros três modelos, mas entenda que não há condições técnicas de implantá-lo de imediato, não há vedação legal para que ele implante um

37


modelo mais simples e, assim que possível, migre para aquele que considera ideal. O art. 10.1 da citada norma prevê exatamente essa situação.369. Todavia, os documentos encaminhados pelo ministério, por ocasião de sua manifestação sobre o relatório preliminar de fiscalização, demonstram que, a partir de 1º/7/2013, o órgão iniciou ações no sentido de efetivamente instituir a Etir.C.3.4. Evidênciasa) Nota Técnica Datasus 1/2013 (peça 132);b) minuta da norma que disciplina a constituição da Etir (peça 300);c) fluxograma previsto para a atuação da Etir (peça 309);d) Documento para Constituição da Etir (peça 301);e) Portaria Datasus 2/2013 (peça 168);f) Nota Técnica Datasus 2/2013 (peça 352);g) proposta de nomeação da Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais – Etir (peça 357).C.3.5. Conclusão370. Em face do exposto, entende-se que a determinação encontra-se em cumprimento, com prazo expirado. Por essa razão, será proposta a reiteração da determinação, com fixação de prazo, na forma do item 63.1 da Portaria-Segecex 27/2009.C.3.6. Proposta de Encaminhamento371. Considerar em cumprimento, com prazo expirado, a determinação 9.2.6 do Acórdão 757/2011-TCU-Plenário.372. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, à Secretaria Executiva do Ministério da Saúde que, em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, inciso V, no prazo de noventa dias, a contar da ciência do decisum, institua equipe de tratamento e resposta a incidentes em redes computacionais, com observância das práticas da Norma Complementar 05/IN01/DSIC/GSIPR.C.4. Deliberação 9.2.79.2. determinar à Secretaria Executiva do Ministério da Saúde que:(...)9.2.7. em atenção ao Decreto 4.553/2002, art. 6º, § 2º, II, e art. 67, crie critérios de classificação das informações, a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, com observância das práticas do item 7.2 da NBR ISO/IEC 27.002;C.4.1. Situação que levou à proposição da deliberação373. Quando da realização da auditoria, em 2010, a equipe constatou que o órgão não classificava as informações sob sua responsabilidade (peça 317, p. 9).C.4.2. Providências adotadas e comentários dos gestores374. Em resposta aos itens 2.33 e 2.34, do Anexo I, do Ofício TCU/Sefti 91/2013 (peça 22, p. 5), o gestor encaminhou cópia da Portaria GM 1.583/2012 (peça 302), que dispõe, no âmbito do Ministério da Saúde e entidades a ele vinculadas, sobre a execução da Lei 12.527/2011 (Lei de Acesso à Informação – LAI) e do Decreto 7.724/2012, que a regulamenta.375. Por meio da Nota Técnica 1/2013 (peça 132, p. 6), informou que, em cumprimento à determinação da Controladoria Geral da União (CGU), o órgão instituiu um comitê para avaliação e classificação das informações, para cujo prazo de apresentação referente a uma proposta de regulamentação do assunto seria julho de 2013. Aduziu que as informações ainda não estavam sendo classificadas (idem).C.4.3. Análise376. A Portaria GM 1.583/2012 dispõe sobre o acesso à informação e sobre a classificação e tratamento de informações consideradas sigilosas, mas não trata propriamente de critérios de classificação de informações conforme as práticas recomendadas no item 7.2 na NBR ISO/IEC 27.002.377. Com relação ao comitê criado para tratar do assunto, de acordo com o informado pelo órgão, não foi apresentado a esta equipe o ato formal que o instituiu, nem evidências de sua atuação.

38


378. Embora o foco da citada portaria não seja exatamente a classificação de informações, nos termos da norma de referência, mas considerando que a portaria estabelece critérios para o tratamento de determinado tipo de informação – a considerada sigilosa –, poderia se admitir que, em parte, o órgão tratou de estabelecer os referidos critérios de classificação da informação.379. Posteriormente ao acórdão monitorado, foi publicada a Lei 12.527/2011, que regula o acesso a informações previsto no art. 5º, inciso XXXIII, no art. 37, § 3º, inciso II, e no art. 216, § 2º, da Constituição Federal, estabelecendo a obrigação de classificar as informações em todos os entes públicos da União, Estados, Distrito Federal e Municípios, da administração direta e indireta (Lei 12.527/2011, art. 1º c/c o arts. 27 a 29). O Decreto 7.724/2012, que a regulamenta, estabelece, em seus artigos 31 a 34, procedimentos a serem observados para essa atividade.C.4.4. Evidênciasa) Nota Técnica Datasus 1/2013 (peça 132);b) Portaria GM 1.583/2012 (peça 302).C.4.5. Conclusão380. Em face do exposto, entende-se que a determinação foi parcialmente cumprida.381. De todo modo, em face da legislação superveniente (LAI e normas infralegais que a regulamentam), propor-se-á melhorias no processo de classificação de informações no âmbito do Ministério da Saúde, mediante nova determinação, com fixação de prazo, na forma do item 63.1 da Portaria-Segecex 27/2009.C.4.6. Proposta de Encaminhamento382. Considerar parcialmente cumprida a determinação 9.2.7 do Acórdão 757/2011-TCU-Plenário.383. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, à Secretaria Executiva do Ministério da Saúde que, em atenção aos arts. 27 a 29 da Lei 12.527/2011 e aos arts. 31 a 34 do Decreto 7.724/2012, no prazo de noventa dias, a contar da ciência do decisum, elabore e publique formalmente processo para a classificação e tratamento das informações no âmbito do Ministério da Saúde, considerando as recomendações da NBR ISO/IEC 27.002, item 7.2.C.5. Deliberação 9.2.89.2. determinar à Secretaria Executiva do Ministério da Saúde que:(...)9.2.8. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII, c/c Norma Complementar IN01/DSIC/GSIPR 4, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira a que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, com observância das práticas do item 7.1 da NBR ISO/IEC 27.002;C.5.1. Situação que levou à proposição da deliberação384. Quando da realização da auditoria, em 2010, a equipe constatou que o órgão não realizava inventário de ativos de informação (peça 317, p. 9).C.5.2. Providências adotadas e comentários dos gestores385. Em resposta aos itens 2.46 e 2.47, do Anexo I, do Ofício TCU/Sefti 91/2013 (peça 22, p. 5), o gestor encaminhou a Norma de Segurança para Gestão de Ativos (peça 303), aprovada pela Portaria Datasus 2, de 27/5/2013 (peça 168).386. Remeteu, também, amostra da relação de ativos, contendo os seguintes campos: nome do ativo, modelo do ativo, nome do responsável pelo ativo, sistema operacional e situação do ativo (peça 304).C.5.3. Análise387. Inicialmente, cabe registrar que, após a emissão do acórdão ora monitorado, foi editada pelo Gabinete de Segurança Institucional da Presidência da República (GSI/PR) a Norma Complementar 10/IN1/DSIC/GSIPR, de 30/1/2012, que estabelece diretrizes para o processo de Inventário e Mapeamento de Ativos de Informação.

39


388. Em face da obrigatoriedade de cumprimento do conteúdo da norma pelo MS, a análise de conformidade realizada no monitoramento desta determinação levou em conta as referências apontadas na deliberação, complementada pelas diretrizes constantes da mencionada NC 10 do GSI.389. Dessa forma, verificou-se que o normativo apresentado pelo MS atende satisfatoriamente às normas de referência observadas, exceto quanto aos seguintes aspectos:a) embora a norma do MS preveja os papeis do proprietário, do responsável e do custodiante do ativo, não especifica quais seriam as atribuições do proprietário e não estabelece quem estaria incumbido de chefiar e gerenciar o processo de inventário e mapeamento de ativos de informação;b) a norma do MS não versa sobre a atribuição de valor ao ativo de informação e sobre a definição de requisitos de segurança desses ativos.390. Acrescente-se que a abrangência da Norma de Segurança para Gestão de Ativos do MS não atende ao escopo institucional pretendido pela política de segurança da informação regulamentada pelo GSI, uma vez que foi aprovada apenas no âmbito do Datasus. É de se ressaltar que cabe à Alta Administração do órgão ou entidade aprovar as diretrizes gerais e os processos de Gestão de Riscos de Segurança da Informação e Comunicações e os de Inventário e Monitoramento de Ativos de Informação.C.5.4. Evidênciasa) Portaria Datasus 2/2013 (peça 168);b) Norma de Segurança para Gestão de Ativos (peça 303);c) amostra da relação de ativos (peça 304).C.5.5. Conclusão391. Em face do exposto, entende-se que a determinação foi parcialmente cumprida.392. Dessa forma, propor-se-á melhorias nos procedimentos de inventário de ativos de informações no âmbito do Ministério da Saúde, mediante nova determinação, com fixação de prazo, na forma do item 63.1 da Portaria-Segecex 27/2009.C.5.6. Proposta de Encaminhamento393. Considerar parcialmente cumprida a determinação 9.2.8 do Acórdão 757/2011-TCU-Plenário.394. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, à Secretaria Executiva do Ministério da Saúde que, em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII, c/c Norma Complementar 10/IN01/DSIC/GSIPR, no prazo de noventa dias, a contar da ciência do decisum, aperfeiçoe o procedimento de inventário de ativos de informação, contemplando, no mínimo, os seguintes aspectos:394.1. especificação das atribuições do proprietário do ativo, conforme dispõem os itens 5.3.1 e 5.3.2 da Norma Complementar 10/IN01/DSIC/GSIPR;394.2. estabelecimento da chefia e gerência do processo de inventário e mapeamento de ativos de informação, conforme dispõem os itens 3.1, 6.2 e 6.3 da Norma Complementar 10/IN01/DSIC/GSIPR;394.3. atribuição de valor aos ativos de informação, conforme dispõem os itens 3.19, 4.4, 5.2.3 e 5.6 da Norma Complementar 10/IN01/DSIC/GSIPR;394.4. definição dos requisitos de segurança para os ativos de informação, conforme dispõem os itens 4.4, 5.2.4 e 5.5 da Norma Complementar 10/IN01/DSIC/GSIPR.395. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, à Secretaria Executiva do Ministério da Saúde que, em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII, no prazo de noventa dias, a contar da ciência do decisum, que aprove norma de segurança para a gestão de ativos, ampliando a sua abrangência para o âmbito ministerial, conforme dispõe o item 6.1 da Norma Complementar 10/IN01/DSIC/GSIPR.C.6. Deliberação 9.2.99.2. determinar à Secretaria Executiva do Ministério da Saúde que:(...)9.2.9. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII, implemente processo de gestão de riscos de segurança da informação, com observância das práticas da Norma Complementar IN01/DSIC/GSIPR 4;

40


C.6.1. Situação que levou à proposição da deliberação396. Quando da realização da auditoria, em 2010, a equipe constatou que o órgão não possuía um processo formal de gestão de riscos de segurança da informação (peça 317, p. 10).C.6.2. Providências adotadas e comentários dos gestores397. Em resposta aos itens 2.30, 2.31 e 2.32, do Anexo I, do Ofício TCU/Sefti 91/2013 (peça 22, p. 4-5), o gestor encaminhou a Política de Gestão de Riscos (PGR) (peça 305), aprovada pela Portaria Datasus 2, de 27/5/2013 (peça 168), a Metodologia de Gestão de Riscos (peça 306), aprovada pela Portaria Datasus 3, de 27/5/2013 (peça 169), e um Relatório de Análise de Riscos, com o subtítulo “PRJR12040 Gestão de Riscos SNT”, emitido em 26/4/2013, pelo sistema Módulo Risk Manager, desenvolvido pela empresa Módulo Security Solutions S.A. (peça 310).C.6.3. Análise398. O gestor não evidenciou a implantação de processo relativo à gestão de riscos de segurança da informação no Ministério da Saúde. As normas apresentadas – política e metodologia de gestão de riscos –, embora necessárias para o cumprimento da deliberação, não são suficientes. Elas estabelecem os princípios e as diretrizes do processo, bem como informam a metodologia para a sua gestão, mas para que o processo seja implantado é necessário que tais orientações sejam colocadas em prática.399. Tais práticas, em essência, estão consubstanciadas no item 5 da Norma Complementar 04/IN01/DSIC/GSIPR, que estabelece procedimentos para uma abordagem sistemática do processo de gestão de riscos de segurança da informação e comunicações.400. Acrescente-se que a abrangência das normas de gestão de riscos de segurança da informação apresentadas pelo MS não atende ao escopo institucional pretendido pela política de segurança da informação regulamentada pelo GSI, uma vez que foram aprovadas apenas no âmbito do Datasus. É de se ressaltar que cabe à Alta Administração do órgão ou entidade aprovar as diretrizes gerais e o processo de Gestão de Riscos de Segurança da Informação e Comunicações (item 6.1 da Norma Complementar 04/IN01/DSIC/GSIPR).401. Quanto ao relatório de riscos apresentado pelo Ministério, cabe registrar que se optou por não examinar a aderência de seu conteúdo às normas de gestão de riscos do Órgão, tendo em vista os seguintes aspectos:a) falta de abrangência da análise, pois o subtítulo do relatório (PRJR12040 Gestão de Riscos SNT) e a informação contida no resumo da análise de que o “relatório apresenta o resultado da análise de riscos realizada no projeto Gestão de Riscos SNT” (peça 310, p. 1; 3; grifo nosso) levam a crer que a análise de riscos não abrangeu todo o Ministério, conforme conteúdo da determinação;b) uso de metodologia de terceiros, uma vez foi utilizada a “exclusiva metodologia GRC Metaframework”, embutida em programa de autoria de empresa Módulo Security Solutions (peça 310, p. 3);c) extemporalidade da análise, pois, embora o relatório tenha sido emitido em abril de 2013, ele parece se referir a uma análise realizada entre 6/7/2012 e 13/8/2012 (peça 310, p. 15), anteriormente, portanto, à aprovação das normas que regulamentam a política e a metodologia de gestão de riscos no Ministério (27/5/2013).402. Diante disso, propor-se-á a ampliação da abrangência das normas de gestão de riscos recém aprovadas no âmbito do Datasus e a implantação das referidas normas.C.6.4. Evidênciasa) Portaria Datasus 2/2013 (peça 168);b) Portaria Datasus 3/2013 (peça 169);c) Política de Gestão de Riscos (peça 305);d) Metodologia de Gestão de Riscos (peça 306);e) Relatório de Análise de Riscos (peça 310).C.6.5. Conclusão403. Em face do exposto, entende-se que a determinação foi parcialmente cumprida.

41


404. Dessa forma, propor-se-á melhorias no processo de gestão de riscos de segurança da informação no âmbito do Ministério da Saúde, mediante nova determinação, com fixação de prazo, na forma do item 63.1 da Portaria-Segecex 27/2009.C.6.6. Proposta de Encaminhamento405. Considerar parcialmente cumprida a determinação 9.2.9 do Acórdão 757/2011-TCU-Plenário.406. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, à Secretaria Executiva do Ministério da Saúde que:406.1. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, inciso VII, e a Norma Complementar 04/IN01/DSIC/GSIPR, item 6.1, no prazo de trinta dias, a contar da ciência do decisum, aprove a Política de Gestão de Riscos e a Metodologia de Gestão de Riscos, ampliando a sua abrangência para o âmbito ministerial;406.2. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, inciso VII, no prazo de noventa dias, a contar da ciência do decisum, implante a referida Política de Gestão de Riscos de Segurança da Informação no Ministério.C.7. Deliberação 9.2.109.2. determinar à Secretaria Executiva do Ministério da Saúde que:(...)9.2.10. em atenção ao Decreto 5.707/2006, art. 5º, 2º, c/c Portaria MPOG 208/2006, art. 2º, I, e art. 4º, elabore Plano Anual de Capacitação;C.7.1. Situação que levou à proposição da deliberação407. Quando da realização da auditoria, em 2010, a equipe constatou que o órgão não possuía um Plano Anual de Capacitação (PAC) para aquele ano (peça 317, p. 11).C.7.2. Providências adotadas e comentários dos gestores408. Por meio dos itens 2.13 e 2.14, do Anexo I, do Ofício TCU/Sefti 91/2013 (peça 22, p. 4), foi solicitado ao MS o fornecimento dos Planos Anuais de Capacitação para os anos de 2012 e 2013, com evidências de suas publicações, como forma de comprovar o cumprimento desta deliberação.409. Em resposta, o órgão remeteu o Plano de Educação Permanente em Saúde do Ministério da Saúde de 2013 (peça 196) e informou, por meio da Nota Técnica Datasus 1/2013, que o PAC de 2012 não fora publicado, apenas consolidado e monitorado pela equipe de educação permanente da Coordenação de Desenvolvimento de Pessoas do Órgão. Aduziu que, com relação ao Plano de Educação Permanente, de 2013, que contempla ações do PAC para todas as unidades do Ministério, a sua elaboração contou com a representação de diversas unidades do órgão. Informou que esse PAC ainda não foi divulgado para o Ministério da Saúde, mas que algumas ações planejadas já estariam em andamento (peça 132, p. 4).410. O gestor encaminhou planilha eletrônica contendo a relação das ações de capacitação de TI planejadas para 2013 (peça 307) e cópia de correspondências administrativas internas (peça 308), com o intuito de evidenciar que o processo de elaboração do PAC de 2013 encontra-se em andamento.C.7.3. Análise411. O gestor informou a existência de um PAC de 2012, o qual, embora não houvesse sido publicado, fora consolidado e monitorado. Contudo, não apresentou o referido plano, apesar de este ter sido formalmente requisitado quando da comunicação da fiscalização, por meio do item 2.13, do Anexo I, do Ofício TCU/Sefti 91/2013 (peça 22, p. 4), e de a equipe de fiscalização ter alertado para o fato durante os trabalhos em campo. Por essas razões, é forçoso considerar que não há evidências de que o MS tenha elaborado o PAC em 2012.412. Quanto ao PAC de 2013, os documentos remetidos pelo gestor, a exemplo da relação de ações de capacitação previstas, contendo informações necessárias à sua realização (carga horária, quantidade de participantes, custos etc), fazendo com que ela se aproxime de um plano de capacitação típico, comprovaram que o PAC de 2013 está em elaboração.413. É oportuno consignar que o Plano Anual de Capacitação, além de ser uma exigência normativa, elencada no art. 5º, inciso I, do Decreto 5.707/2006, como instrumento da Política Nacional de Desenvolvimento de Pessoal, é definido como uma das linhas de ação do processo de trabalho previsto no

42


Plano de Educação Permanente em Saúde do Ministério da Saúde, conforme previsto no item VI, alínea b desse plano de educação (peça 196, p. 8). Sem esse plano de capacitação, a política de desenvolvimento de pessoal do órgão não adquire eficácia e efetividade plenas.414. Cabe registrar que o Ministério da Saúde elaborou um PAC em 2011, o qual foi remetido a este Tribunal, juntamente com o plano de ação que informava as medidas planejadas para o cumprimento das deliberações. Em face disso, o Ministério considerou que esta determinação havia sido atendida (TC 013.718/2010-0, peça 28, p. 10).415. Com efeito, pode-se considerar que, à época, a determinação foi cumprida. Contudo, considera-se pacífico que o Plano Anual de Capacitação, como o próprio nome indica, deve ser elaborado todos os anos. O art. 4º da Portaria MP 2008/2006 determina que “os órgãos e entidades da Administração Federal deverão elaborar o respectivo Plano Anual de Capacitação até o primeiro dia útil do mês de dezembro do ano anterior ao de sua vigência”.416. Dessa forma, tem-se que o MS elaborou o PAC em 2011, não o elaborou em 2012, e o está elaborando em 2013, com prazo até 2/12/2013 para concluí-lo.C.7.4. Evidênciasa) Nota Técnica Datasus 1/2013 (peça 132);b) Plano de Educação Permanente em Saúde do MS, de 2013 (peça 196);c) relação de ações de capacitação de TI – PAC 2013 (peça 307);d) correspondência administrativas internas – PAC 2013 (peça 308).C.7.5. Conclusão417. Em face do exposto, considerando a análise do plano anual de capacitação para vigência em 2014, conclui-se que a determinação encontra-se em cumprimento e no prazo.418. Contudo, propor-se-á dar ciência ao MS pelo fato de não ter elaborado o PAC em 2012.C.7.6. Proposta de Encaminhamento419. Considerar em cumprimento, no prazo, a determinação 9.2.10 do Acórdão 757/2011-TCU-Plenário.420. Dar ciência à Secretaria Executiva do Ministério da Saúde sobre a seguinte impropriedade: não elaboração do Plano Anual de Capacitação de 2012, o que desatendeu ao disposto no Decreto 5.707/2006, art. 5º, § 2º, c/c Portaria MP 208/2006, art. 2º, inciso I, e art. 4ºC.8. Deliberação 9.2.119.2. determinar à Secretaria Executiva do Ministério da Saúde que:(...)9.2.11. planeje contratações de serviços de Tecnologia da Informação mediante o processo previsto na IN SLTI/MPOG 4/2010, observando a sequência lógico-temporal entre as tarefas e os ritos de aprovação dos artefatos produzidos ao longo do processo;C.8.1. Situação que levou à proposição da deliberação421. Quando da realização da auditoria, em 2010, a equipe detectou que o órgão não havia efetuado o processo de planejamento da contratação 72/2010 de acordo com o que previa a IN SLTI/MP 2008, devido à ausência dos artefatos previstos no art. 9º da norma (peça 317, p. 14).C.8.2. Providências adotadas e comentários dos gestores422. Nesta fiscalização, foram selecionados dois contratos do Ministério da Saúde: 73/2012, decorrente do Pregão Eletrônico 29/2012, e 69/2012, decorrente da Dispensa de Licitação 78/2012. Por meio do item 5, do Anexo I, do Ofício TCU/Sefti 91/2013 (peça 22, p. 6), foi solicitado ao órgão que fornecesse documentos que evidenciassem a realização de processo de planejamento para as contratações, nos moldes dispostos na Instrução Normativa SLTI/MP 4/2010.423. Conforme solicitado, o Ministério remeteu cópia digitalizada dos dois processos de planejamento das contratações (peças 290-291).C.8.3. Análise424. Nos dois processos analisados, constam os artefatos previstos na fase de planejamento da contratação, segundo o art. 10 da IN SLTI/MP 4/2010:I – Análise de Viabilidade da Contratação;

43


II – Plano de Sustentação;III – Estratégia da Contratação;IV – Análise de Riscos; eV – Termo de Referência.425. Além desses artefatos, consta também o Documento de Oficialização da Demanda, o que atende ao disposto no art. 9º da instrução normativa.426. Quanto à observância da sequência lógico-temporal entre as tarefas, falhas na datação dos citados artefatos inviabilizam evidenciar formalmente que foram produzidos e aprovados na sequência preconizada na instrução normativa. Tais falhas resumem-se à aposição de mesma data (25/10/2011), nos artefatos do planejamento do Contrato 73/2012, e à ausência de data, nos mencionados documentos, no planejamento do Contrato 69/2012.427. No primeiro caso, a mesma data de aprovação em todos os artefatos não constitui propriamente uma falha, uma vez que, teoricamente, os documentos poderiam ter sido produzidos na ordem correta, ao longo do tempo, e terem sido formalmente aprovados na mesma data. A falha reside no fato de não constar a data em que foram produzidos e submetidos à aprovação, pois consta que tais artefatos foram produzidos pela Equipe de Planejamento da Contratação e aprovados pelo Diretor do Datasus (peça 290, p. 17; 20; 29; 32), ou seja, atividades com responsabilidades distintas que necessitam da informação temporal para que seja possível rastrear o andamento processual. No segundo caso, a falha está na não datação dos documentos, tanto da produção quanto da aprovação. Em ambas as situações, a falha é de natureza formal (peça 291, p. 27; 31; 40; 42-43).428. A respeito do assunto, o parágrafo único, do art. 10, da IN SLTI/MP 4/2010, autoriza consolidar em um único documento os documentos resultantes das etapas elencadas nos seus incisos I a IV. Caso o órgão tivesse optado por essa forma, seria teoricamente possível que houvesse apenas uma data no documento aprovando todo o seu conteúdo, ou seja, as informações das quatro etapas, sem que isso necessariamente implicasse que as informações componentes de cada documento tivessem sido produzidas ao mesmo tempo ou em ordem diversa daquela constante da norma.429. Entende-se que não há motivos para que, em tese, esse raciocínio não seja adotado quando os artefatos são produzidos em peças distintas. Como a norma prevê a mesma instância de aprovação para todos eles – a Equipe de Planejamento da Contratação –, e a produção é feita também por essa equipe, é teoricamente possível a aprovação em bloco, com a mesma data, embora as informações neles contidas tenham sido produzidas na sequência preconizada.430. Assim, o que, na prática, deve ser considerado para a evidenciação da observância da sequência lógico-temporal entre as tarefas, mais do que a data dos documentos, é a coerência e interdependência entre as decisões e informações neles contidas.431. Analisando-se a questão sob esse prisma, é possível considerar que o conteúdo dos artefatos produzidos no planejamento das contratações analisadas está coerente com a sequência lógico-temporal de produção das informações ao longo das etapas do planejamento, conforme dispõe a IN SLTI/MP 4/2010.432. Quanto à observância dos ritos de aprovação dos artefatos, tais artefatos foram produzidos pela Equipe de Planejamento da Contratação e aprovados pelo diretor do Datasus, conforme informado no parágrafo 427. Dessa forma, à exceção do Termo de Referência, a respeito do qual a norma prevê que deva ser elaborado e assinado pela Equipe de Planejamento da Contratação, e aprovado pelas autoridades competentes, as competências para a elaboração, assinatura e aprovação, previstas na IN SLTI/MP 4/2010, não foram observadas. Segundo a norma, a aprovação dos documentos produzidos em cada etapa do planejamento cabe à própria Equipe de Planejamento da Contratação.433. Registre-se ainda que, no processo referente ao Contrato 69/2012, o Integrante Técnico da Equipe de Planejamento da Contratação não assinou nenhum dos artefatos (peça 291, p. 27; 31; 40; 42).434. Quanto ao conteúdo dos artefatos, nos dois processos analisados, o Ministério da Saúde atendeu satisfatoriamente à legislação, consignando as informações requeridas pela norma em referência, exceto com relação aos seguintes aspectos do processo referente ao Contrato 73/2012:

44


a) a Análise de Viabilidade da Contratação não contém o orçamento estimado e o custo total de propriedade, conforme prevê o art. 11, inciso II, alínea g, e inciso III da IN SLTI/MP 4/2010 (peça 290, p. 3-17);b) o Plano de Sustentação não contém ações de continuidade da solução de TI em caso de interrupção contratual, conforme prevê o art. 14, inciso II da IN SLTI/MP 4/2010 (peça 290, p. 18-19);c) a Estratégia da Contratação não contém métricas, indicadores e valores mínimos, conforme prevê o art. 15, inciso III, alínea a da IN SLTI/MP 4/2010 (peça 290, p. 21-29);d) a Estratégia da Contratação não define a metodologia de avaliação da qualidade e da adequação da solução de TI, trazendo apenas diretivas, o que desatende o art. 15, inciso III, alínea c da IN SLTI/MP 4/2010 (peça 290, p. 21-29);e) a Estratégia da Contratação não faz a estimativa do impacto-econômico-financeiro e não indica a fonte de recursos, conforme prevê o art. 15, inciso V da IN SLTI/MP 4/2010 (peça 290, p. 21-29).C.8.4. Evidênciasa) processo de planejamento do Pregão Eletrônico 29/2012, que resultou no Contrato 73/2012 (peças 215 e 290);b) processo de planejamento da Dispensa de Licitação 78/2012, que resultou no Contrato 69/2012 (peça 291).C.8.5. Conclusão435. Em face do exposto, entende-se que a determinação foi cumprida, com as ressalvas consignadas na análise, para as quais se propõe dar ciência ao Ministério.C.8.6. Proposta de Encaminhamento436. Considerar cumprida a determinação 9.2.11 do Acórdão 757/2011-TCU-Plenário.437. Dar ciência à Secretaria Executiva do Ministério da Saúde sobre as seguintes impropriedades identificadas no processo de planejamento do Pregão Eletrônico 29/2012:437.1. a Análise de Viabilidade da Contratação não contém o orçamento estimado e o custo total de propriedade, conforme prevê o art. 11, inciso II, alínea g, e inciso III da IN SLTI/MP 4/2010 (subparágrafo 434, alínea a);437.2. o Plano de Sustentação não contém ações de continuidade da solução de TI em caso de interrupção contratual, conforme prevê o art. 14, inciso II da IN SLTI/MP 4/2010 (subparágrafo 434, alínea b);437.3. a Estratégia da Contratação não contém métricas, indicadores e valores mínimos, conforme prevê o art. 15, inciso III, alínea a da IN SLTI/MP 4/2010 (subparágrafo 434, alínea c);437.4. a Estratégia da Contratação não define a metodologia de avaliação da qualidade e da adequação da solução de TI, trazendo apenas diretivas, o que desatende o art. 15, inciso III, alínea c da IN SLTI/MP 4/2010 (subparágrafo 434, alínea d);437.5. a Estratégia da Contratação não faz a estimativa do impacto-econômico-financeiro e não indica a fonte de recursos, conforme prevê o art. 15, inciso V da IN SLTI/MP 4/2010 (subparágrafo 434, alínea e).C.9. Deliberação 9.1.69.1. recomendar à Secretaria Executiva do Ministério da Saúde que:(...)9.1.6. implemente processo de gestão de configuração de serviços de TI, à semelhança das orientações do Cobit 4.1, processo DS9 – Gerenciar configuração e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000);C.9.1. Situação que levou à proposição da deliberação438. À época da auditoria, de 2010, o gestor responsável declarou que o órgão não implementava processo de gestão de configuração (peça 317, p. 8).C.9.2. Providências adotadas e comentários dos gestores

45


439. Em atenção à determinação contida no item 9.2.12 do Acórdão 757/2011-TCU-Plenário, o MS encaminhou o Ofício MS/SE/GAB 1331/2011, contendo o plano de ação para cumprimento das deliberações do acórdão (peça 320).440. Para a implementação desta recomendação, estava prevista, no referido plano, a criação de grupo de trabalho com a incumbência de, até 31/12/2013, elaborar processos das áreas intervenientes na gestão de configuração e criar uma Base de Dados de Gestão de Configuração (BDGC) contendo as configurações necessárias ao atendimento do processo de conformidade dos recursos de TIC (peça 320, p. 7).441. Posteriormente, em resposta ao Ofício TCU/Sefti 91/2013, que comunicou a fiscalização de monitoramento e solicitou documentos e informações (peça 22), o MS encaminhou o Ofício Aeci/GM/MS 985/2013 (peça 180) contendo as respostas às informações requeridas, dentre as quais a atualização das ações e dos cronogramas constantes do plano de ação já encaminhado, cujas datas de conclusão previstas eram posteriores à data do início do monitoramento (17/04/2013), situação na qual se encontrava a recomendação em foco (peça 182, p. 2).442. Nessa atualização, o MS informou que as ações para implementação da gestão de configuração estavam em andamento. Como evidência disso, juntou minuta do Plano de Gerência de Configuração de software (peça 183).443. Informou, ainda, na Nota Técnica Datasus 1/2013 (peça 132, p. 7), que atualmente existem ações isoladas nas áreas de infraestrutura e desenvolvimento, de forma que gestão de configuração da infraestrutura de TI da plataforma Microsoft está sendo realizada por meio da ferramenta System Center Configuration Manager, e a gestão de configuração do desenvolvimento é realizada com o uso do software denominado Subversion.C.9.3. Análise444. As evidências apresentadas são pertinentes e o processo de implementação da recomendação encontra-se dentro do prazo proposto pelo MS.445. Com relação à minuta de plano de configuração apresentada, seu conteúdo atenderia apenas parcialmente aos critérios da recomendação, pois o documento versa sobre a gerência de configuração de sistemas quando as normas de referência abrangem todos os ativos de TI, ou seja, os serviços e a infraestrutura, software e hardware.446. É necessário consignar que, mesmo no que tange a área de desenvolvimento, o documento em elaboração necessita ainda de alguns aperfeiçoamentos, com vistas ao atendimento satisfatório dos requisitos das normas de referência, como a inclusão de procedimentos de integração com a gestão de incidentes, de índices de medição da qualidade do serviço para o alcance dos objetivos de TI, do processo e das suas atividades, e a previsão de interface para futuras integrações com os processos das áreas contábeis e financeiras, conforme constam do processo DS9 do Cobit 4.1 e do item 9.1 da NBR ISO/IEC 20000-1.C.9.4. Evidênciasa) Plano de Ação para implementação das medidas arroladas no Acórdão 757/2011-TCU-Plenário – TC 013.718/2010-0 (peça 320);b) Ofício Aeci/GM/MS 985/2013 (peça 180);c) atualização do Plano de ação para cumprimento das deliberações do Acórdão 757/2011-TCU-Plenário (peça 182);d) Plano de Gerência de Configuração de software (peça 183);e) Nota Técnica Datasus 1/2013 (peça 132).C.9.5. Conclusão447. Em face do exposto, entende-se que a recomendação está em implementação e no prazo.448. Todavia, tendo em vista que o conteúdo da minuta de plano de configuração de ativos de TI apresentada atenderia apenas parcialmente aos critérios da deliberação, reputa-se oportuno emitir recomendação complementar com vistas ao aperfeiçoamento do processo.C.9.6. Proposta de Encaminhamento

46


449. Considerar em implementação, no prazo, a recomendação 9.1.6 do Acórdão 757/2011-TCU-Plenário.450. Recomendar à Secretaria Executiva do Ministério da Saúde que, em atenção ao princípio constitucional da eficiência e ao princípio do controle constante do inciso V, do art. 6º, do Decreto-Lei 200/1967, formalize, aprove e publique um processo de gestão de configuração de ativos de TI, incluindo hardware e software, que esteja em consonância com as definições, requisitos e procedimentos preconizados no processo DS9 do Cobit 4.1 e na NBR ISO/IEC 20.000, tais como: a criação de um repositório de configuração preciso e completo; o estabelecimento de índices de medição da qualidade do serviço para o alcance dos objetivos de TI, do processo e das suas atividades; a criação de processos de atualização dos dados e de revisão da sua integridade; a criação de procedimentos de integração com o gerenciamento de mudanças e de incidentes; a previsão de interface para futuras integrações com os processos das áreas contábeis e financeiras e a acessibilidade imediata e completa dessas informações àqueles que delas necessitarem.C.10. Deliberação 9.1.99.1. recomendar à Secretaria Executiva do Ministério da Saúde que:(...)9.1.9. estabeleça processo de avaliação da gestão de TI, à semelhança do Cobit 4.1, itens ME1.4 – Avaliação de desempenho, ME1.5 – Relatórios gerenciais, ME1.6 – Ações corretivas e ME2 – Monitorar e avaliar os controles internos;C.10.1. Situação que levou à proposição da deliberação451. Na fiscalização realizada em 2010, foi identificado que, em sua resposta ao item 1.2 do Questionário PerfilGovTI-2010, o gestor informara que não havia estabelecido indicadores ou objetivos de desempenho de gestão e de uso corporativos de TI, e também que não recebia ou avaliava regularmente informações sobre o desempenho relativo à gestão e uso de TI (peça 317, p. 12).C.10.2. Providências adotadas e comentários dos gestores452. Em resposta ao item 2.51, do Anexo I, do Ofício TCU/Sefti 91/2013 (peça 22, p. 6), o gestor informou, por meio da Nota Técnica Datasus 1/2013, que, atualmente, a TI é avaliada por diversos mecanismos de controle, sendo os projetos prioritários acompanhados pelo Ministro de Estado através da ferramenta de monitoramento e controle e-CAR, e outras ações estratégicas de TI são monitoradas através da Sala de Marcas (cujo controle é realizado pela Secretaria Executiva do Ministério para grandes demandas do órgão) e por reuniões trimestrais do Comitê de Informação e Informática em Saúde – Ciinfo (peça 132, p. 8).453. Em sua manifestação sobre a análise expendida no relatório preliminar de fiscalização (itens 456 a 464), o Ministério da Saúde teceu a seguinte consideração: “Não obstante a análise realizada pela equipe de auditoria do TCU, reiteramos que o Ministério da Saúde possui mecanismos de avaliação e controle dos processos de TI, conforme mencionado na Nota Técnica DATASUS nº 001/2013” (peça 352, p. 3).454. Informou, ainda, que, não obstante esse entendimento, está adotando as seguintes providências (peça 352, p. 4):(...) objetivando a implantação do processo de avaliação da gestão de TI em conformidade com os preceitos definidos pela equipe de auditoria do TCU, o DATASUS com a anuência do Comitê de Informação e Informática em Saúde – CIINFO está elaborando uma norma que estruture a avaliação da gestão de TI, nos moldes dos processos do Cobit 4.1.Com base nessa definição, o DATASUS iniciou tratativas com a equipe de consultoria de Governança em TI da SLTI/MPOG para nos auxiliar na construção dessa norma.C.10.3. Análise455. Em face da manifestação do ministério sobre o relatório preliminar (parágrafo 453), faz-se necessário consignar que a equipe de fiscalização não afirma que o órgão não possui mecanismos de avaliação e controle dos processos de TI, mas sim que as atividades elencadas em sua resposta inicial (Nota Técnica Datasus 1/2013) “são insuficientes para satisfazer o conteúdo da recomendação”

47


(parágrafo 457), pois não atendem aos critérios de referência elencados na deliberação, conforme detalhamento realizado nos parágrafos subsequentes.456. A manifestação do MS é focada em processos de acompanhamento e controle de projetos prioritários e outras ações estratégicas de TI.457. Embora tais atividades sejam importantes e necessárias para a boa gestão dos recursos de TI e componham o conjunto de processos de TI a serem monitorados e avaliados, são insuficientes para satisfazer ao conteúdo da recomendação. O cerne desta deliberação destina-se a estabelecer um processo de avaliação da gestão de TI pelo MS, em consonância com as práticas e diretrizes consolidadas no Cobit 4.1. O controle almejado situa-se em nível estratégico, pois tem como objetivo avaliar a qualidade da gestão de TI como um todo. O aperfeiçoamento dos processos de serviços– tais como a gerência de projetos – é buscado pelas demais deliberações.458. Neste caso, uma das normas de referência desta recomendação, o processo ME1 do Cobit 4.1 (monitorar e avaliar o desempenho de TI), pressupõe a definição de indicadores de desempenho relevantes, a avaliação do desempenho em face dos indicadores estabelecidos e a atuação tempestiva em relação aos desvios encontrados. O processo deve satisfazer aos seguintes requisitos de negócio para a TI: transparência e entendimento de custos, benefícios, estratégia, políticas e níveis de serviços de TI, em conformidade com os requisitos de governança.459. O alcance do objetivo desse processo configura-se no agrupamento e tradução dos relatórios de desempenho dos processos monitorados para relatórios de gestão, bem como na análise crítica de desempenho frente a metas acordadas e a tomada de ações corretivas necessárias.460. Por fim, a qualidade desse processo é medida pela satisfação da Alta Direção e das entidades de governança com os relatórios de desempenho, com a quantidade de ações de melhoria resultantes das atividades de monitoramento, e com o percentual de processos críticos monitorados.461. De forma análoga, o processo ME2 do Cobit 4.1 (monitorar e avaliar os controles internos) se ocupa do monitoramento dos controles internos de TI, do reporte das exceções de controle e dos resultados de autoavaliação e de avaliação de terceiros, bem como da identificação de ações de melhoria.462. O objetivo da monitoração e avaliação dos controles internos é assegurar que os objetivos de TI sejam atingidos e assegurar a conformidade com as leis e os regulamentos relacionados à TI.463. A qualidade desse processo é medida pela quantidade de falhas críticas identificadas nos controles internos, pela quantidade de ações de melhoria deles, e pela quantidade e abrangência das avaliações realizadas pelo órgão.464. Em síntese, o processo de avaliação da gestão de TI a que se refere a recomendação deve recair sobre todos os processos considerados relevantes para a TI dar suporte à missão institucional do Ministério, tais como os processos estruturantes abordados no acórdão ora monitorado, a exemplo dos processos de planejamento estratégico de TI, de elaboração do orçamento de TI, de gestão de riscos de segurança da informação, de desenvolvimento de software, de gerenciamento de projetos e de planejamento das contratações de TI, abrangendo a avaliação da qualidade desses processos e dos controles internos a eles relacionados.465. No que se refere à informação do ministério de que passou a elaborar uma norma que estruture a avaliação da gestão de TI, nos moldes dos processos do Cobit 4.1, “em conformidade com os preceitos definidos pela equipe de auditoria do TCU” (parágrafo 454), torna-se imprescindível esclarecer que a recomendação de observância do Cobit 4.1 para o estabelecimento de processo de avaliação da gestão de TI é oriunda do Plenário do TCU e não da equipe de auditoria, conforme texto da deliberação ora monitorada: “9.1.9. estabeleça processo de avaliação da gestão de TI, à semelhança do Cobit 4.1, itens ME1.4 – Avaliação de desempenho, ME1.5 – Relatórios gerenciais, ME1.6 – Ações corretivas e ME2 – Monitorar e avaliar os controles internos”.C.10.4. Evidênciasa) Nota Técnica Datasus 1/2013 (peça 132);b) Nota Técnica Datasus 2/2013 (peça 352).C.10.5. Conclusão466. Em face do exposto, entende-se que a recomendação não foi implementada.

48


467. A informação acrescentada pelo Ministério da Saúde, na oportunidade de sua manifestação sobre o relatório preliminar, de que passou a elaborar norma destinada a atender à deliberação (parágrafo 454), não tem o condão de modificar esse entendimento.468. Considerando-se, por um lado, que a existência de um processo formalizado para a avaliação da gestão de TI é extremamente importante para que se possa atingir uma efetiva governança institucional, e, por outro lado, levando-se em conta que a melhoria nas estruturas de governança e gestão de TI no MS, conforme evidenciado neste monitoramento, conclui-se que atualmente é possível determinar que o órgão estabeleça tal processo. Desse modo, propor-se-á que a deliberação aqui tratada seja convertida de recomendação para determinação, conforme procedimento previsto no item 63.2 dos padrões de monitoramento aprovados pela Portaria-Segecex 27/2009.469. Cabe ressaltar que o benefício buscado com esta determinação encontra-se em perfeita sintonia com a EGTI do Sisp, para o triênio 2013/2015, uma vez que dois dos objetivos que norteiam a citada estratégia são “Aperfeiçoar a governança de TI” e “Alcançar a efetividade na Gestão de TI”.C.10.6. Proposta de Encaminhamento470. Considerar não implementada a recomendação 9.1.9 do Acórdão 757/2011-TCU-Plenário.471. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, à Secretaria Executiva do Ministério da Saúde que, em consonância com o princípio constitucional da eficiência e a Estratégia Geral de Tecnologia da Informação 2013-2015, estabeleça processo de avaliação da gestão de TI, à semelhança do Cobit 4.1, itens ME1.4 – Avaliação de desempenho, ME1.5 – Relatórios gerenciais, ME1.6 – Ações corretivas e ME2 – Monitorar e avaliar os controles internos, no prazo de 180 dias, a contar da ciência do decisum.D. Departamento Nacional de Infraestrutura de Transportes (Dnit)472. Esta secretaria realizou auditoria no Departamento Nacional de Infraestrutura de Transportes (Dnit), no período de 12/4 a 24/5/2010, com o objetivo de avaliar controles gerais de tecnologia da informação e verificar se estavam de acordo com a legislação pertinente e com as boas práticas de governança de TI (TC 009.982/2010-8).473. Em decorrência daquele trabalho, este Tribunal exarou treze recomendações e doze determinações ao Dnit, as quais constam dos itens 9.1 e 9.2 do Acórdão 866/2011-TCU-Plenário (peça 337).474. Uma das determinações, o item 9.2.12 do acórdão, foi no sentido de que o Dnit se manifestasse quanto às deliberações a ele direcionadas. Para as determinações, deveriam ser indicados os prazos e os responsáveis pelas ações a serem realizadas para seu cumprimento (subitem 9.2.12.1). Em relação às recomendações, o Dnit deveria se pronunciar quanto à conveniência e oportunidade da implementação das recomendações, indicando prazos e responsáveis para aquelas recomendações consideradas convenientes e oportunas (subitem 9.2.12.2 e 9.2.12.3).475. Com relação ao subitem 9.2.12.1, os documentos remetidos pelo Dnit ao Tribunal contêm as ações, responsáveis e prazos referentes ao cumprimento das determinações do referido acórdão, dando como cumprido à deliberação (peças 263 e 264).476. Ressalte-se que os prazos estipulados pela própria autarquia para conclusão das ações extinguiram-se em janeiro de 2013, quando, de acordo com o plano, todas as determinações deveriam estar implementadas. No Ofício 2487/2011/DG, o responsável alega falta de pessoal e informa que seria dada prioridade às determinações, por apresentarem necessidade de cumprimento imediato, e que as recomendações e os alertas, os quais teriam menor importância, constituiriam os principais focos da CGMI para suas próximas atividades (peça 263, p. 2-3).477. No que se refere aos subitens 9.2.12.2 e 9.2.12.3, a autarquia manteve-se silente quanto às recomendações a ela direcionadas, descumprindo, assim, a determinação para que se pronunciasse a respeito, sem que tenha sido trazida justificativa para tal. Dessa forma, propõe-se dar ciência da irregularidade, ressaltando-se que conforme prevê o art. 58, inciso IV da Lei 8.443/1992 c/c o art. 268, inciso IV do RI/TCU, o responsável pelo descumprimento, no prazo fixado, sem causa justificada, à diligência determinada pelo relator, fica sujeito à aplicação de multa.

49


478. Tendo em vista que a autarquia não remeteu plano de ação para atendimento das recomendações, a verificação quanto à adequação ou não da implementação ao prazo previsto (“no prazo” ou “com prazo expirado”), conforme previsto nos itens 35.5.2 e 35.5.3 da Portaria – Segecex 27/2009, encontra-se prejudicada. Diante do tempo transcorrido desde a promulgação do acórdão e da omissão do Dnit, será considerado que o prazo encontra-se expirado para todas as recomendações em implementação, uma vez que inexiste uma data de referência para essa avaliação. Para as determinações, serão consideradas as datas determinadas pelo Dnit em seu plano de ação (peças 263 e 264).479. Na análise do cumprimento das deliberações do Acórdão 866/2011, há que se ponderar as dificuldades vivenciadas pela autarquia nos últimos anos, em especial em 2011, quando houve o desligamento de vários dos responsáveis da alta direção do Dnit. O acórdão foi prolatado em abril de 2011 e, portanto, precede as mudanças de pessoal ocorridas. Nessas situações, é comum que a nova cúpula e seus colaboradores demandem tempo para tomar conhecimento das características e das necessidades da autarquia, e também para conhecer suas prioridades e dificuldades. No caso do Dnit, essa transição acabou comprometendo o plano das ações anteriormente definido para cumprimento do acórdão.480. Ciente desse contexto, a equipe de auditoria ponderou essa dificuldade ante a complexidade de cada deliberação, considerando, ainda, a maturidade da governança da área de TI da entidade e o tempo transcorrido desde a publicação do acórdão até o início desta fiscalização (dois anos). Na análise das deliberações descumpridas, foi considerada ainda a sua importância frente à necessidade de se instituir processos basilares para a gestão e para a governança de TI, pois a instituição desses processos constitui requisito primordial para a evolução e maturidade da área de TI de qualquer organização.481. Ademais, foram consideradas as alegações trazidas pelo responsável pela Coordenação-Geral de Modernização e Informática (CGMI) do Dnit, por meio do Ofício 591/2013/AUDINT-Dnit, de 6/6/2013, com o intuito de justificar a entrega parcial dos elementos requisitados no monitoramento e, por conseguinte, o cumprimento parcial do acórdão (peça 142). Em resumo, as justificativas trazidas foram:a) constante evasão dos servidores responsáveis pelas ações necessárias ao cumprimento do acórdão;b) redução do número de servidores de carreira e terceirizados, sendo que atualmente a CGMI conta com 30 colaboradores, sendo 18 servidores e 12 terceirizados;c) precariedade da transferência de informações por parte dos servidores;d) constante aumento de serviço, com elevado número de processos administrativos, em especial requisições da área de negócio para melhoria da infraestrutura da autarquia;e) ampliação do uso do Sistema de Acompanhamento de Contratos, com acréscimo da demanda de treinamento, acesso e orientações;f) impossibilidade da contratação temporária de quinze profissionais, “por razões de entendimentos internos das áreas envolvidas”, embora a contratação tenha sido autorizada pelo MP por meio da Portaria 435 de 14/09/2012;g) apesar das dificuldades, a CGMI cuidou da elaboração do Planejamento Estratégico de TI e do Plano Diretor de Tecnologia da Informação PDTI, que ainda carecem de aprovação, além de viabilizar a Política de Segurança da Informação e Comunicações (Posic).482. O Dnit relata a dificuldade em relação à transferência de conhecimento entre os agentes públicos (item c, acima), o que muito teria prejudicado a continuidade e o desenlace dos trabalhos relacionados às demandas em apreço (peça 142, p. 2). A esse respeito, cabe ressaltar que a formalização e publicação de processos, normativos e orientações são essenciais para a despersonificação desses instrumentos e sua devida institucionalização, transpondo-os das mãos de uma pessoa ou grupos de pessoas para a instituição, tornando-os de cumprimento obrigatório e menos sujeito à vontade dos agentes públicos em exercício. Nesse sentido, o Manual do Sistema de Controle Interno do Poder Executivo Federal, aprovado pela Instrução Normativa 1/2001, da Secretaria Federal de Controle Interno do Ministério da Fazenda, dispõe no seu capítulo VII, seção VIII, item 3, inciso V, quanto aos princípios de controle interno administrativo:

50


V. instruções devidamente formalizadas – para atingir um grau de segurança adequado é indispensável que as ações, procedimentos e instruções sejam disciplinados e formalizados através de instrumentos eficazes e específicos; ou seja, claros e objetivos e emitidos por autoridade competente;483. Todavia, no decorrer deste monitoramento, a equipe de auditoria constatou a existência de planos e procedimentos da autarquia não formalizados, contribuindo para a manutenção da situação (recomendação 9.1.1, por exemplo). Entende-se que a simples adoção da formalização como parte do processo de gestão iria mitigar os problemas referentes à transferência de conhecimento entre os agentes públicos e auxiliar na continuidade da gestão.484. O Dnit não obteve êxito em realizar a contratação temporária de quinze profissionais autorizada pelo MP e em síntese traz a falta de pessoal como alegação precípua para o não cumprimento das deliberações. Ante todas as considerações da equipe de auditoria já elencadas, em especial, o tempo transcorrido desde a publicação do acórdão em exame, entende-se que a justificativa da falta de pessoal não deve prosperar nas deliberações cuja implementação seja considerada de baixa ou média complexidade, que possam ser realizadas em curto prazo e que não requeiram uma numerosa equipe para executá-las. Enquadram-se nesse conjunto as deliberações relacionadas a processos basilares para a gestão e para a governança de TI, quais sejam as determinações 9.2.4, 9.2.5, 9.2.6 e 9.2.8. A instituição desses processos constitui requisito primordial para a evolução e maturidade da área de TI de qualquer organização.485. Para avaliar o atendimento de deliberações relacionadas mais diretamente a processos de contratação, como por exemplo, a existência de controles sobre o processo de planejamento da contratação (recomendação 9.1.12), foram analisados três processos de contratação, quais sejam:a) Processo 50600.052216/2012-10, referente ao Contrato 544/2012, firmado com o Serpro, para prestação de serviços especializados de TIC;b) Processo 50600.054780/2012-69, referente ao Contrato 786/2012, firmado com a empresa Business to Technology, para fornecimento de solução integrada de Processamento Analítico Online de Dados (Microstrategy);c) Processo 50600.006967/2013-37, ora em fase inicial de planejamento, cujo objeto constitui a aquisição de ferramenta para orçamentação e composição de custos de serviços de infraestrutura e transporte.486. Dois desses processos (alíneas a e b retro) foram selecionados pela equipe de auditoria e o outro (alínea c retro) foi fornecido pelo Dnit com o intuito de evidenciar a implementação da recomendação 9.1.12. Cabe ressaltar que a análise desses processos se restringiu à verificação do atendimento das deliberações, sendo que neste último foi analisada estritamente a aderência ao processo de planejamento definido na Instrução Normativa SLTI/MP 4/2010.487. Em conformidade com os padrões do Tribunal de Contas da União, o relatório preliminar de fiscalização foi submetido ao gestor, que encaminhou considerações acerca do atendimento das deliberações em análise (peças 354 e 355). O exame de cada uma das considerações foi incluído à análise da respectiva deliberação. Não obstante o exame individualizado, cabe destacar aqui as ações que vêm sendo tomadas pelo Dnit desde outubro de 2013 com o intuito de efetivar, em caráter de urgência, Termo de Cooperação com a Fundação Universidade de Brasília (FUB – UnB) visando à realização de estudos e pesquisas, projetos e serviços especializados para Estruturação de Modelo de Gestão, Governança e Apoio a Getão de TI no âmbito do Dnit (peça 355, pgs. 2 e 34), cujo escopo aborda oatendimento a um conjunto de deliberações do Acórdão 866/2011-TCU-Plenário (itens 9.2.2, 9.2.3, 9.2.7, 9.2.8, 9.2.9, 9.1.2, 9.1.3, 9.1.4, 9.1.6, 9.1.7, 9.1.8, 9.1.9, 9.1.10, 9.1.11, 9.1.12 e 9.1.13). Como fundamento para a parceria, o Dnit aponta a necessidade de aumentar o nível de maturidade de processos de gestão pública a partir da tecnologia da informação (Ofício 1558/DG/DNIT, peça 354, p. 27).488. Tendo em vista que, no momento, há a intenção de se firmar uma parceria, não tendo sido celebrado ainda instrumento hábil à execução das ações deliberadas por este Tribunal, entende-se que as deliberações contempladas exclusivamente no escopo da proposta da FUB – UnB devem ser consideradas descumpridas, além de serem reiteradas para cumprimento com prazo determinado. Nova aferição das deliberações será realizada no monitoramento subsequente.

51


489. Salienta-se que consta no Anexo D (peça 369) deste relatório a análise quanto ao atendimento de todas as deliberações constantes dos itens 9.1 e 9.2 do Acórdão 866/2011-TCU-Plenário.490. Procede-se, a seguir, ao relato apenas das deliberações constantes nos itens 9.1 e 9.2 do Acórdão 866/2011-TCU-Plenário cuja análise quanto ao atendimento levou à conclusão pela proposição de nova(s) deliberação(ões) ou de reiteração de determinação não cumprida ou de conversão de recomendação não implementada em implementação, iniciando-se pelas determinações.D.1. Deliberação 9.2.19.2. determinar ao Departamento Nacional de Infraestrutura de Transportes que:9.2.1. em atenção à Iniciativa Estratégica 12 da Estratégia Geral de Tecnologia da Informação (EGTI) 2010-2011, aprovada pela Resolução 7/2010-SISP, implante Comitê de Tecnologia da Informação que envolva as diversas áreas do Dnit e que se responsabilize por alinhar os investimentos de tecnologia da informação com os objetivos institucionais e por apoiar a priorização de projetos a serem implantados, considerando, ainda, as diretrizes do Cobit 4.1, PO4.2 – Comitê estratégico de TI e PO4.3 – Comitê diretor de TI;D.1.1. Situação que levou à proposição da deliberação491. À época da auditoria, de 2010, a Alta Administração do Dnit não havia, até então, designado formalmente um comitê de TI para auxiliar a área responsável nas decisões relativas à gestão e ao uso corporativo de TI (peça 64, p. 2).D.1.2. Providências adotadas e comentários dos gestores492. O Dnit instituiu o Comitê Gestor de Tecnologia da Informação por meio da Portaria 1.252, de 1º/12/2011, publicada no Diário Oficial da União em 2/12/2011 (peça 101).493. Foram trazidas as atas das reuniões do Comitê.D.1.3. Análise494. O Comitê Gestor de Tecnologia da Informação (CTI) implantado no Dnit possui representantes de várias áreas de negócio e tem suas atribuições definidas na Portaria 1.252/2011, dentre as quais se ressalta:a) propor e executar a Política de Tecnologia da Informação do Dnit por meio de um plano integrado de ações, considerando o Planejamento Estratégico da autarquia, suas orientações mercadológicas e as políticas e orientações do Governo Federal;b) definir prioridades na formulação e execução de planos e projetos relacionados à tecnologia da informação para o Dnit;c) estabelecer e propor Plano de Investimento para a área de TI;d) monitorar os valores definidos no orçamento para o conjunto de todos os segmentos do Dnit, relacionados à TI, de tal forma que o seu uso se dê sempre de forma mais racional e eficaz, evitando retrabalho e investimentos desnecessários;e) avaliar os sistemas de informação do Dnit e propor suas atualizações, revisões e desativações;f) implementar o gerenciamento do processo de contratações de bens e serviços de TI com seus repetíveis níveis de acordos de nível de serviço, aderindo-o à IN 04/2010 da SLTI;g) divulgar um cronograma de atividades do Comitê para o exercício, sempre na primeira sessão ordinária do CTI;h) desenvolver ações estruturantes e de controle para a plena implantação do alinhamento estratégico e para o estabelecimento de metas anuais, em conformidade com o que determina a Estratégia Geral de TI em vigor.495. Foram trazidas apenas três atas, uma de 2012 e duas de 2013 (peça 102). Nas atas constam representantes das áreas de negócio, mas suas deliberações são, em sua maioria, de cunho operacional.496. A ocorrência de poucas reuniões (três) em um ano e cinco meses de existência do Comitê e a ausência de deliberações relacionadas a investimentos (deliberações estratégicas) evidenciam uma atuação deficitária e não consonante com as orientações da SLTI (Guia de Comitê de TI do Sisp). A Iniciativa 3.1 do Plano de Execução da EGTI do Sisp, para o triênio 2013-2015, traz como requisito para

52


o aperfeiçoamento da governança de TI a instituição e manutenção do funcionamento do CTI alinhado ao Guia de Comitê de TI do Sisp (EGTI 2013-2015, p. 74).497. São, ainda, competências do CTI, conforme Portaria Dnit 1.252/2011:II – formular, implementar, monitorar e avaliar a gestão da Política de Tecnologia da Informação;III – aprovar as políticas e diretrizes para o Plano Diretor de Tecnologia da Informação (PDTI) do Dnit.498. Entretanto, a Política de Tecnologia da Informação, bem como o PDTI, não foram formalizados e publicados, indicando falha na atuação do CTI e falta de priorização, considerando que essas políticas já estão em processo de elaboração desde 2011.D.1.4. Evidênciasa) Portaria 1.252, de 1º/12/2011, que institui o CTI (peça 101);b) atas do CTI do Dnit (peça 102).D.1.5. Conclusão499. Ante o exposto, entende-se que a determinação para implantação do Comitê de Tecnologia da Informação foi cumprida.500. Verificou-se, contudo, uma atuação deficitária desse Comitê, uma vez que as ações e as decisões que estão sob sua gestão e que são prioritárias à governança de TI da autarquia não estão sendo deliberadas, como, por exemplo, as ações necessárias ao cumprimento das determinações apontadas no acórdão em monitoramento.501. Cabe, portanto, dar ciência ao Dnit das falhas relatadas, bem como recomendar que a atuação do Comitê de TI seja aperfeiçoada, de forma que ele possa melhor contribuir na tomada de decisão, na priorização dos projetos, na distribuição dos recursos de TI e na gestão de riscos.D.1.6. Proposta de encaminhamento502. Considerar cumprida a determinação 9.2.1 do Acórdão 866/2011-TCU-Plenário.503. Dar ciência ao Departamento Nacional de Infraestrutura de Transportes sobre as seguintes omissões quanto à atuação do Comitê Gestor de Tecnologia da Informação, em desacordo com o disposto no Guia de Comitê de TI do Sistema de Administração de Recursos de Tecnologia da Informação – Sisp, na Estratégia Geral de Tecnologia da Informação – EGTI 2013/2015 e na Portaria Dnit 1.252/2011:503.1. executar a Política de Tecnologia da Informação do Dnit por meio de um plano integrado de ações, considerando o Planejamento Estratégico da autarquia, suas orientações mercadológicas e as políticas e orientações do Governo Federal;503.2. formular, implementar, monitorar e avaliar a gestão da Política de Tecnologia da Informação;503.3. aprovar as políticas e diretrizes para o plano diretor de tecnologia da informação do Dnit;503.4. definir prioridades na formulação e execução de planos e projetos relacionados à Tecnologia da Informação para o Dnit;503.5. estabelecer e propor plano de investimento para a área de TI;503.6. implementar o gerenciamento do processo de contratações de bens e serviços de TI com seus repetíveis níveis de acordos de nível de serviço, aderindo-o à IN SLTI/MP 4/2010;503.7. divulgar um cronograma de atividades do CTI para o exercício, sempre na primeira sessão ordinária do Comitê;503.8. desenvolver ações estruturantes e de controle para a plena implantação do alinhamento estratégico e para o estabelecimento de metas anuais, em conformidade com o que determina a Estratégia Geral de Tecnologia da Informação – EGTI em vigor.D.2. Deliberação 9.2.29.2. determinar ao Departamento Nacional de Infraestrutura de Transportes que:(...)9.2.2. aperfeiçoe o processo de elaboração do orçamento de TI, necessário ao cumprimento da Lei 12.017/2009 (LDO 2009/2010), art. 9º, II c/c Anexo II, XVIII, ou das que vierem a lhe suceder, de maneira a que solicitações de orçamento de despesas de TI estejam baseadas nas ações que se pretende executar, observando o Cobit 4.1, processo PO5.3 – Orçamentação de TI e o Gespública, critério de avaliação 7.3;

53


D.2.1. Situação que levou à proposição da deliberação504. À época da auditoria, de 2010, o Dnit informou que o orçamento de TI era feito com base na estimativa dos custos das contratações previstas para o ano. A equipe constatou que o orçamento de TI não apresentava nível de detalhamento suficiente que permitisse o controle e o acompanhamento dos gastos (peça 64, p. 19).D.2.2. Providências adotadas e comentários dos gestores505. Por meio do Ofício TCU/Sefti 80/2013, solicitou-se ao Dnit os Planos de Gastos para 2013 e 2014 e a vinculação entre os gastos e as ações previstas nos plano. A autarquia referenciou como evidência o plano de gastos em TI, relacionado aos exercícios de 2012/2013, constante da minuta do PDTI (peça 92, p. 13; 42-54; 60-65).Questionada sobre a existência de um fluxo do processo de elaboração do orçamento de TI, a autarquia justificou a sua inexistência devido à escassez de pessoal para realizar as demandas direcionadas à CGMI (peça 74, p. 4, item 2.12).506. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização, o Dnit informou (peça 354, p. 2) que o item 9.2.2 será atendido no âmbito do Termo de Cooperação a ser celebrado com a Fundação Universidade de Brasília (item 487).D.2.3. Análise507. O Plano de Gastos trazido como evidência do processo orçamentário compõe parte da minuta do PDTI, a qual, por não constituir documento formalizado, não pode ser considerada como documento institucional. Além disso, não está atualizado, apresentando orçamento de 2012, 2013 e várias ações atemporais. Apesar disso, foi realizada a análise das informações orçamentárias ali constantes, da qual se podem tecer algumas observações.508. Inicialmente, cabe ressaltar que a minuta do PDTI possui um item específico para orçamento (item 9), que consta como “não levantado” (peça 92, p. 13). Os valores monetários apresentados no PDTI estão relacionados a ações previstas para os anos de 2012 e 2013 (peça 92, p. 42-54, item 18; p. 60-65, item 20) e constituem estimativas baseadas em análise de mercado, contratos vigentes e em outros órgãos da Administração Pública Federal. As ações relacionadas constituem, como descrito no próprio documento (peça 92, p. 56), uma lista de necessidades, ou seja, um estoque de ações a serem lançadas na medida em que a área de TI tiver capacidade humana e financeira para realizá-las, não havendo discriminação das ações a serem priorizadas.509. O orçamento também é abordado em outro documento apresentado pelo gestor. Na minuta da Política de Segurança da Informação e Comunicações (Posic) que está em fase de publicação e estabelece, no item 5.12, que o Comitê de Segurança da Informação e Comunicações é o responsável pela aprovação do plano de investimentos em Segurança da Informação e Comunicações (SIC) e correspondente proposta orçamentária, documentos os quais, entretanto, o gestor não forneceu evidências de elaboração.510. Do exposto, considera-se inexistente o orçamento anual de TI da autarquia, bem como o processo de elaboração do referido orçamento.511. É oportuno ressaltar que o cumprimento desta determinação é essencial para que se possa alcançar os objetivos institucionais atendendo aos princípios constitucionais da eficiência e da economicidade. As diretrizes expostas a seguir ilustram a relevância atribuída à matéria.512. O Instrumento para Avaliação da Gestão Pública do Ministério do Planejamento (Gespública, ciclo 2010) reflete no item 7.3 a importância da vinculação do orçamento de TI às estratégias e objetivos da organização. A Estratégia Geral de Tecnologia da Informação (EGTI) do Sistema de Administração de Recursos de Tecnologia da Informação (Sisp), para o triênio 2013/2015, traz a estratégia de aperfeiçoamento da gestão orçamentária de TI, com o objetivo de que os órgãos do Sisp adotem boas práticas de gestão orçamentária para garantir o uso efetivo dos recursos financeiros necessários ao cumprimento das metas relacionadas à tecnologia da informação (indicadores 2.1 e 2.2).513. O Guia de Elaboração de PDTI, editado pelo Ministério do Planejamento, Orçamento e Gestão (MP), apresenta como um dos processos da fase de planejamento a consolidação da proposta orçamentária de TI. Nesse processo, com base na Lei Orçamentária Anual, nos planos de investimento e custeio e nos relatórios de custos da TI, é composta a proposta orçamentária da TI, evidenciando se o

54


orçamento disponível para o exercício suprirá os futuros gastos, ou se serão necessárias adequações e restrições.514. Sobre o tema, o “Guia de Boas Práticas em Contratação de Soluções de Tecnologia da Informação – Riscos e Controles para o Planejamento da Contratação- versão 1.0” (disponível em http://portal2.tcu.gov.br/portal/pls/portal/docs/2511467.PDF) publicado e disponibilizado ao público pelo TCU, traz no item 4.3 orientações acerca da elaboração do orçamento de TI e enfatiza (p. 29) o seguinte:O planejamento conjunto das contratações de soluções de TI faz parte do planejamento de TI do órgão para um determinado exercício, de forma a incluir todas as contratações necessárias para que os objetivos estabelecidos nos planos do órgão e de TI sejam alcançados, com os respectivos valores estimados.515. Cabe lembrar, ainda, que a atividade de elaboração de orçamento, mesmo o de TI, não é privativa da área de TI e, desta forma, deveria ser elaborada em conjunto com a área responsável pela gestão financeira do Dnit.516. A intenção do Dnit para que o atendimento desse item (9.2.2) seja realizado por meio de Termo de Cooperação celebrado com a FUB – UnB (peça 354, p. 2) deve ser considerada, sem, todavia, deixar de salientar que o escopo do projeto não menciona especificamente o processo de elaboração do orçamento de TI, tópico específico da deliberação, explicitando apenas a estruturação de processos para a gestão de orçamento de TI (Objetivo 2, item 2.2, peça 354, p. 41).517. Analisando-se a questão, considera-se que a gestão de orçamento de TI não prescinde um processo definido de elaboração do orçamento de TI, motivo pelo qual se depreende que as ações necessárias ao cumprimento desta deliberação deverão ser realizadas no âmbito do Termo de Cooperação.D.2.4. Evidênciasa) minuta do PDTI (peça 92);b) Memorando 284/2013/CGMI, de 8/5/2013 (peça 74);c) comentários do Dnit acerca do Relatório Preliminar de Auditoria (peça 354).D.2.5. Conclusão518. O Dnit não possui processo para elaboração do orçamento de TI e também não apresentou esse orçamento para os anos de 2012 e 2013. Ressalta-se que a alegação de falta de pessoal na CGMI não justifica essas falhas.519. Embora o Dnit tenha apresentado a intenção de celebrar Termo de Cooperação com a FUB – UnB, cujo escopo abarca o processo de gestão do orçamento de TI do Dnit, a determinação será considerada não cumprida e, por essa razão, será proposta a reiteração da determinação, com fixação de prazo, na forma do item 63.1 da Portaria-Segecex 27/2009.520. Contudo, considerando-se, além da carência de pessoal, a atual situação do Dnit (itens 474 a 484) e ainda a dificuldade da autarquia em promover ações de governança e estruturação da sua gestão, evidenciada pela busca de competências externas que sejam capazes de auxiliar no cumprimento das ações estruturantes constantes das deliberações do Acórdão 866/2011-TCU-Plenário, entende-se que tais fatores podem justificar a não proposição da aplicação de multa, sem prejuízo da reiteração da determinação.D.2.6. Proposta de encaminhamento521. Considerar não cumprida a determinação 9.2.2 do Acórdão 866/2011-TCU-Plenário.522. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes que, em atenção aos princípios do planejamento e do controle constantes dos incisos I e V, respectivamente, do art. 6º, do Decreto-Lei 200/1967, no prazo de 180 dias, a contar da ciência do decisum, aperfeiçoe o processo de elaboração do orçamento de TI, necessário ao cumprimento da Lei 12.708/2012 (Lei de Diretrizes Orçamentárias – LDO 2013), art. 9º, inciso II c/c Anexo II, inciso XIII, ou das que vierem a lhe suceder, de maneira a que solicitações de orçamento das despesas de TI estejam baseadas nas ações que se pretende executar, levando em consideração as orientações do Cobit 5, prática de gestão APO06.03 – Create and maintain budgets (Elaborar e manter orçamentos – tradução livre) e do Gespública, critério de avaliação 7.3 (Processos Orçamentários e Financeiros).D.3. Deliberação 9.2.3

55


9.2. determinar ao Departamento Nacional de Infraestrutura de Transportes que:(...)9.2.3. em atenção à Lei 8.666/1993, art. 6º, IX, e à IN SLTI/MPOG 4/2010, art. 13, II, defina processo de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de software, vinculando o contrato com o processo de software, sem o qual o objeto não estará precisamente definido;D.3.1. Situação que levou à proposição da deliberação523. O representante da autarquia declarou que não possuía processo de software (peça 64, p. 3).D.3.2. Providências adotadas e comentários dos gestores524. O Dnit não possui processo de software próprio (peça 74, p. 5, item 2.21) e utiliza, atualmente, processos dos fornecedores contratados, conforme declarado pelo gestor: “Utilizamos processos dos fornecedores contratados (Serpro, para sistemas, e B2T para solução de BI). O Dnit não tem processo próprio institucionalizado para desenvolvimento de software”.525. Em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização, o Dnit informou (peça 354, p. 2) que o item 9.2.3 será atendido no âmbito do Termo de Cooperação a ser celebrado com a Fundação Universidade de Brasília (item 487).D.3.3. Análise526. O Dnit não possui processo de software próprio.D.3.4. Evidênciasa) Memorando 284/2013/CGMI, de 8/5/2013 (peça 74);b) comentários do Dnit acerca do Relatório Preliminar de Auditoria (peça 354).D.3.5. Conclusão527. Embora o Dnit tenha apresentado a intenção de celebrar Termo de Cooperação com a FUB – UnB, o qual contemplará a elaboração de um processo de desenvolvimento de software próprio do Dnit, considera-se que a determinação encontra-se não cumprida. Por essa razão, será proposta a reiteração da determinação, com fixação de prazo, na forma do item 63.1 da Portaria-Segecex 27/2009.528. Contudo, considerando-se, além da carência de pessoal, a atual situação do Dnit (itens 474 a 484) e ainda a dificuldade da autarquia em promover ações de governança e estruturação da sua gestão, evidenciada pela busca de competências externas que sejam capazes de auxiliar no cumprimento das ações estruturantes constantes das deliberações do Acórdão 866/2011-TCU-Plenário, entende-se que tais fatores podem justificar a não proposição da aplicação de multa, sem prejuízo da reiteração da determinação.D.3.6. Proposta de encaminhamento529. Considerar não cumprida a determinação 9.2.3 do Acórdão 866/2011-TCU-Plenário.530. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes que, em atenção à Lei 8.666/1993, art. 6º, inciso IX, e à IN SLTI/MP 4/2010, art. 13, inciso II, em 720 dias, a contar da ciência do decisum, defina processo de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de software, vinculando o contrato com o processo de software, sem o qual o objeto não estará precisamente definido.D.4. Deliberação 9.2.79.2. determinar ao Departamento Nacional de Infraestrutura de Transportes que:(...)9.2.7. em atenção ao Decreto 4.553/2002, art. 6º, § 2º, II, e art. 67, crie critérios de classificação das informações, a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, observando o item 7.2 da NBR ISO/IEC 27.002;D.4.1. Situação que levou à proposição da deliberação531. À época da fiscalização, o Dnit não possuía nenhum documento ou norma aprovada e publicada acerca da classificação da informação (peça 74, p. 7).D.4.2. Providências adotadas e comentários dos gestores

56


532. O gestor declarou que o atendimento a essa determinação consta do item 5 da minuta da Política de Segurança da Informação e Comunicações (peça 74, p. 6, itens 2.36 e 2.37).533. No momento da declaração, tal política encontrava-se ainda em elaboração. Posteriormente, em 24/5/2013, foi encaminhado ao Tribunal evidência de sua publicação, por meio de cópia da Portaria Dnit 461 que cria a Posic.534. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização, o Dnit informou (peça 354, p. 2) que o item 9.2.7 será atendido no âmbito do Termo de Cooperação a ser celebrado com a Fundação Universidade de Brasília (item 487).D.4.3. Análise535. A Posic apresenta, no item 5.1 – Gestão de Ativos da Informação, as diretrizes para a gestão de ativos, estabelecendo, inclusive, o seguinte dever ao Dnit:5.1.2 O Dnit deve criar, gerir e avaliar critérios de tratamento e classificação da informação de acordo com o sigilo requerido, relevância, criticidade e sensibilidade, observando a legislação em vigor;536. Do documento, tem-se que os critérios de classificação das informações ainda não foram estabelecidos, restando sem cumprimento a determinação.537. A intenção do Dnit para que o atendimento desse item (9.2.7) seja realizado por meio de Termo de Cooperação celebrado com a FUB – UnB (peça 354, p. 2) deve ser considerada. O escopo do projeto proposto pela fundação contempla a área de processo relacionada à classificação e tratamento da informação (Objetivo 2, item 2.6, peça 354, p. 41). Depreende-se, portanto, que as ações necessárias ao cumprimento desta deliberação inclinam-se a serem realizadas no âmbito do Termo de Cooperação, vez que critérios deverão ser definidos e adotados no estabelecimento do processo de classificação das informações.D.4.4. Evidênciasa) Política de Segurança da Informação e Comunicações – Posic, aprovada pela Portaria Dnit 461, de maio de 2013 (peça 130);b) Memorando 284/2013/CGMI, de 8/5/2013 (peça 74);c) comentários do Dnit acerca do Relatório Preliminar de Auditoria (peça 354).D.4.5. Conclusão538. Embora o Dnit tenha apresentado a intenção de celebrar Termo de Cooperação com a FUB – UnB, o qual contemplará a estruturação do modelo de processo de classificação das informações, considera-se que a determinação encontra-se não cumprida. Por essa razão, será proposta a reiteração da determinação, com fixação de prazo, na forma do item 63.1 da Portaria-Segecex 27/2009.539. Contudo, considerando-se, além da carência de pessoal, a atual situação do Dnit (itens 474 a 484) e ainda a dificuldade da autarquia em promover ações de governança e estruturação da sua gestão, evidenciada pela busca de competências externas que sejam capazes de auxiliar no cumprimento das ações estruturantes constantes das deliberações do Acórdão 866/2011-TCU-Plenário, entende-se que tais fatores podem justificar a não proposição da aplicação de multa, sem prejuízo da reiteração da determinação.D.4.6. Proposta de encaminhamento540. Considerar não cumprida a determinação 9.2.7 do Acórdão 866/2011-TCU-Plenário.541. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes que, em atenção aos arts. 27 a 29 da Lei 12.527/2011 e aos arts. 31 a 34 do Decreto 7.724/2012, no prazo de 360 dias, a contar da ciência do decisum, elabore e publique formalmente processo para a classificação e tratamento das informações no âmbito do órgão, observando o item 7.2 da NBR ISO/IEC 27.002.D.5. Deliberação 9.2.89.2. determinar ao Departamento Nacional de Infraestrutura de Transportes que:(...)9.2.8. em atenção à Instrução Normativa – GSI/PR 1/2008, art. 5º, VII, c/c Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de

57


maneira a que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando o item 7.1 da NBR ISO/IEC 27.002;D.5.1. Situação que levou à proposição da deliberação542. Na fiscalização realizada em 2010, o Dnit declarou a inexistência de processo destinado a inventariar todos os ativos de informação (peça 64, p. 7).D.5.2. Providências adotadas e comentários dos gestores543. A equipe de fiscalização solicitou à autarquia os seguintes documentos, de forma a evidenciar a existência de procedimento de inventário de ativos de informação:a) amostras mais recentes do inventário dos ativos de informação da autarquia;b) informações acerca da data referente à última atualização do inventário dos ativos de informação da autarquia, e evidências de que ele tem sido atualizado periodicamente.544. No Ofício 429/2013/AUDINT-Dnit, enviado em 8/5/2013, o gestor informou que a Coordenação de Infraestrutura de Informática está em fase de conclusão do levantamento das evidências solicitadas, não tendo sido capaz de disponibilizá-las até a presente data (peça 74, p. 8, itens 2.51 e 2.52).545. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização, o Dnit informou (peça 354, p. 2) que o item 9.2.8 será atendido no âmbito do Termo de Cooperação a ser celebrado com a Fundação Universidade de Brasília (item 487).D.5.3. Análise546. Sem evidências nos autos, conclui-se não ter sido estabelecido procedimento de inventário de ativos de informação.547. Não obstante, a intenção do Dnit de que tal procedimento venha a ser definido no âmbito do Termo de Cooperação celebrado com a FUB – UnB (peça 354, p. 2) deve ser considerada. O escopo do projeto proposto pela fundação contempla o tema (Objetivo 2, item 2.7, peça 354, p. 41). Depreende-se, portanto, que as ações necessárias ao cumprimento desta deliberação inclinam-se a serem realizadas no âmbito do Termo de Cooperação.D.5.4. Evidênciasa) Memorando 284/2013/CGMI, de 8/5/2013 (peça 74);b) comentários do Dnit acerca do Relatório Preliminar de Auditoria (peça 354).D.5.5. Conclusão548. Embora o Dnit tenha apresentado a intenção de celebrar Termo de Cooperação com a FUB – UnB, o qual contemplará a gestão de inventário dos ativos de informação do Dnit, considera-se que a determinação encontra-se não cumprida. Por essa razão, será proposta a reiteração da determinação, com fixação de prazo, na forma do item 63.1 da Portaria-Segecex 27/2009.549. Contudo, considerando-se, além da carência de pessoal, a atual situação do Dnit (itens 474 a 484) e ainda a dificuldade da autarquia em promover ações de governança e estruturação da sua gestão, evidenciada pela busca de competências externas que sejam capazes de auxiliar no cumprimento das ações estruturantes constantes das deliberações do Acórdão 866/2011-TCU-Plenário, entende-se que tais fatores podem justificar a não proposição da aplicação de multa, sem prejuízo da reiteração da determinação.D.5.6. Proposta de encaminhamento550. Considerar não cumprida a determinação 9.2.8 do Acórdão 866/2011-TCU-Plenário.551. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes que, em atenção à Instrução Normativa – GSI/PR 1/2008, art. 5º, inciso VII, c/c Norma Complementar 10/IN01/DSIC/GSIPR, no prazo de 180 dias, a contar da ciência do decisum, estabeleça procedimento de inventário de ativos de informação, de maneira a que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, levando em consideração o item 7.1 da NBR ISO/IEC 27.002.D.6. Deliberação 9.2.99.2. determinar ao Departamento Nacional de Infraestrutura de Transportes que:(...)

58


9.2.9. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII, implemente processo de gestão de riscos de segurança da informação, observando a Norma Complementar 04/IN01/DSIC/GSIPR;D.6.1. Situação que levou à proposição da deliberação552. À época da fiscalização, o representante da autarquia declarou não analisar os riscos aos quais a informação crítica para o negócio estaria submetida.D.6.2. Providências adotadas e comentários dos gestores553. O Gestor declarou que o documento de Política de Segurança da Informação e Comunicações (Posic) contempla a instituição do processo de gestão de riscos de segurança da informação (peça 74, p. 5, item 2.33). Acrescenta que uma vez a política publicada, ela será utilizada com o objetivo de implantar, operar e evidenciar o processo de análise dos riscos (peça 74, p. 6, itens 2.34 e 2.35).554. No momento da declaração do gestor, tal política encontrava-se ainda em elaboração. Em momento posterior, em 24/05/2013, foi encaminhado ao Tribunal cópia da Portaria Dnit 461 que cria a Posic e evidência de sua publicação.555. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização, o Dnit informou (peça 354, p. 2) que o item 9.2.9 será atendido no âmbito do Termo de Cooperação a ser celebrado com a Fundação Universidade de Brasília (item 487).D.6.3. Análise556. Sobre o tema, a minuta da Posic (peça 130) traz conceitos e competências, mas não define o processo de gestão de risco. A política define no item 5.2 (Gestão de Riscos) que o gestor dos ativos de informação deve estabelecer processos de Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC que possibilitem identificar ameaças e reduzir vulnerabilidades e impactos dos ativos de informação.557. Dessa forma, considera-se que o Dnit não possui processo de gestão de risco de segurança da informação definido, aprovado e publicado.558. A intenção do Dnit para que esse processo venha a ser definido no âmbito do Termo de Cooperação celebrado com a FUB – UnB (peça 354, p. 2) deve ser considerada. O escopo do projeto proposto pela fundação contempla o tema (Objetivo 2, item 2.8, peça 354, p. 41). Depreende-se, assim, que as ações necessárias ao cumprimento desta deliberação inclinam-se a serem realizadas no âmbito do Termo de Cooperação.D.6.4. Evidênciasa) Política de Segurança da Informação e Comunicações – Posic, aprovada pela Portaria Dnit 461, de maio de 2013 (peça 130);b) Memorando 284/2013/CGMI, de 8/5/2013 (peça 74)c) comentários do Dnit acerca do Relatório Preliminar de Auditoria (peça 354).D.6.5. Conclusão559. Embora o Dnit tenha apresentado a intenção de celebrar Termo de Cooperação com a FUB – UnB, o qual contemplará a estruturação do modelo de gestão de riscos de segurança da informação do Dnit, considera-se que a determinação encontra-se não cumprida. Por essa razão, será proposta a reiteração da determinação, com fixação de prazo, na forma do item 63.1 da Portaria-Segecex 27/2009.560. Contudo, considerando-se, além da carência de pessoal, a atual situação do Dnit (itens 474 a 484) e ainda a dificuldade da autarquia em promover ações de governança e estruturação da sua gestão, evidenciada pela busca de competências externas que sejam capazes de auxiliar no cumprimento das ações estruturantes constantes das deliberações do Acórdão 866/2011-TCU-Plenário, entende-se que tais fatores podem justificar a não proposição da aplicação de multa, sem prejuízo da reiteração da determinação.D.6.6. Proposta de encaminhamento561. Considerar não cumprida a determinação 9.2.9 do Acórdão 866/2011-TCU-Plenário.562. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes que, em atenção à Instrução Normativa – GSI/PR 1/2008, art. 5º, inciso VII, e a Norma Complementar

59


04/IN01/DSIC/GSIPR, item 6.1, no prazo de 360 dias, a contar da ciência do decisum, implemente processo de gestão de riscos de segurança da informação.D.7. Deliberação 9.2.109.2. determinar ao Departamento Nacional de Infraestrutura de Transportes que:(...)9.2.10. em atenção ao Decreto 5.707/2006, art. 5º, 2º, c/c Portaria MPOG 208/2006, art. 2º, I, e art. 4º, elabore Plano Anual de Capacitação para a instituição;D.7.1. Situação que levou à proposição da deliberação563. Na fiscalização realizada em 2010, a autarquia não possuía plano anual de capacitação (peça 64, p. 8).D.7.2. Providências adotadas e comentários dos gestores564. O Dnit apresenta um Plano de Pessoal de TI no corpo do texto da minuta do PDTI (peça 92, p. 38-41). Como o PDTI não está aprovado, consequentemente o plano anual de capacitação também não está formalizado (peça 74, p. 4-5, itens 2.16 e 2.17).565. Embora sem plano de capacitação aprovado, o Dnit informou que alguns servidores participaram de capacitações no período de 2012/2013 (peças 127).D.7.3. Análise566. Não foi apresentado plano de capacitação da instituição ou da área TI aprovado, nem mesmo em vigor.567. As capacitações de TI comprovadas pelo Dnit referem-se a cursos realizados por um único servidor. Contata-se, portanto, a inviabilidade de se caracterizar a execução de um plano de capacitação.568. Na análise do relatório preliminar de fiscalização, o Dnit encaminhou o documento de proposição de parceria entre o Dnit e a Fundação Universidade de Brasília, Ofício 1558/DG/DNIT, a ser realizada com o intuito de promover pesquisas e aprimoramentos sobre o Projeto Controles Gerais de Tecnologia da Informação no Dnit. Dentre as metas especificadas pelo Dnit na proposta está a elaboração de plano anual de capacitação (item g, peça 354, p. 27). Entretanto, o projeto desenhado pela FUB – UnB (peça 354, p. 30-58) abarca o domínio de tecnologia da informação do Dnit e não apresenta em seu escopo a elaboração de plano anual de capacitação para a instituição.D.7.4. Evidênciasa) minuta do PDTI (peça 92);b) Memorando 284/2013/CGMI, de 8/5/2013 (peça 74);c) cursos realizados (peça 127)d) comentários do Dnit acerca do Relatório Preliminar de Auditoria (peça 354).D.7.5. Conclusão569. Dessa forma, é forçoso concluir, por inexistência de evidência em contrário, que a determinação não foi cumprida.570. A justificativa do Gestor para a inexistência de Plano Anual de Capacitação se baseia na falta de pessoal da área de TI. Entretanto, uma vez que o Plano Anual de Capacitação é uma iniciativa da instituição como um todo, não sendo específica da área de TI, a carência de pessoal por si só não justifica o descumprimento da determinação.571. Contudo, considerando-se, além da carência de pessoal, a atual situação da área de TI do Dnit (itens 474 a 484), a complexidade da demanda e ainda a dificuldade da autarquia em promover ações de governança e estruturação da sua gestão, evidenciada pela busca de competências externas que sejam capazes de auxiliar no cumprimento das ações estruturantes constantes das deliberações do Acórdão 866/2011-TCU-Plenário, entende-se que tais fatores podem justificar a impossibilidade de cumprimento da determinação, razão pela qual não será proposta aplicação de multa, sem prejuízo da reiteração da determinação, com prazo para o cumprimento.D.7.6. Proposta de encaminhamento572. Considerar não cumprida a determinação 9.2.10 do Acórdão 866/2011-TCU-Plenário.573. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes que, em atenção

60


ao Decreto 5.707/2006, art. 5º, § 2º, c/c Portaria MP 208/2006, art. 2º, inciso I, e art. 4º, no prazo de 270 dias, a contar da ciência do decisum, elabore Plano Anual de Capacitação para a instituição.D.8. Deliberação 9.2.119.2. determinar ao Departamento Nacional de Infraestrutura de Transportes que:(...)9.2.11. em atenção à Lei 8.666/1993, art. 66, adote as medidas necessárias à apuração e à aplicação das penalidades previstas em contrato por conta das inexecuções contratuais descritas no item 2.22 do relatório de auditoria;D.8.1. Situação que levou à proposição da deliberação574. A fiscalização originária do Acórdão 866/2011-TCU-Plenário realizou testes substantivos no processo de execução e pagamento referente ao Contrato 265/2006-00, com o objetivo de avaliar sua aderência à legislação, e verificou as seguintes impropriedades (peça 64, p. 15-19):a) não designação formal do preposto no local do serviço para representá-lo na execução do contrato, decorrente do descumprimento do art. 68 da Lei 8.666/1993;b) inadequação das justificativas que fundamentam a prorrogação do contrato, decorrente do descumprimento do art. 57, II, da Lei 8.666/1993;c) inexecução parcial de serviços previstos no contrato sem a aplicação das devidas sanções, decorrente do descumprimento dos arts. 66 e 87 da Lei 8.666/1993.575. Embora constasse do projeto básico a definição de níveis de serviços para os serviços contratados, não tinham sido identificados procedimentos para a verificação do cumprimento dos níveis de serviço, nem aferições ou atestes de que os resultados refletissem o cumprimento dos níveis de serviço. Nos procedimentos de ateste encontrados no processo de pagamento, não constavam informações sobre o cumprimento dos níveis de serviço, não sendo assim possível a aferição se os mesmos tinham sido atendidos. Também as amostras de ordens de serviços que haviam sido encaminhadas à equipe de fiscalização não apresentavam informações sobre o andamento ou cumprimento dos níveis de serviço. Ademais, havia sido verificada a falta de um relatório de atividades na amostra analisada pela equipe de fiscalização.D.8.2. Providências adotadas e comentários dos gestores576. Em atenção à determinação contida no item 9.2.12 do Acórdão 866/2011-TCU-Plenário, o Dnit encaminhou o Ofício 546/2011/AUDINT, em 10/11/2011, contendo o plano de ação para cumprimento das deliberações do acórdão (peça 264). Nesse documento, o Dnit define a seguinte ação para o atendimento do item 9.2.11 do acórdão (peça 264, p. 8-9):Ação: Adequar os novos contratos de TI, com Acordo de Nível de Serviço que atenda às necessidades da autarquia, e adotar as medidas indicadas no item 2.22 para a mudança do procedimento de ateste, com vistas a garantir a integralidade na prestação de serviços. Solicitar aopio da SLTI/MPOG para as próximas contrataçõesPrazo final: 30/10/2011Responsável(is): Helmer Luiz de Freitas Pinheiro – CPF: 647.325.331-91

Carlos Alves Fernandes – CPF: 338.160.347-72Matheus Belin – CPF: 933.347.531-15577. No âmbito deste monitoramento, em resposta à solicitação das evidências do cumprimento dessa determinação (Ofício 080/2013-Sefti, peça 2, p. 5), o Dnit informou (peça 74, p. 6, item 2.39):Até o presente momento não foi possível lograr acesso a informações e documentos que possibilitem as medidas necessárias à apuração e à aplicação das penalidades previstas em contrato por conta das inexecuções contratuais descritas no item 2.22 do relatório de auditoria referente ao Acórdão 866/2011-TCU-Plenário. Todavia, foi encaminhado ao SERPRO o Ofício 053/2013/CGMI, de 30/04/2013, conforme mídia óptica em anexo, o qual visa realizar tentativa de obtenção de informações que possam subsidiar a aplicação ou não das referidas penalidades.578. O ofício referenciado reproduz a parte do relatório de auditoria, de 2010, referente ao achado que fundamentou esta determinação e, ao fim, solicita ao Serpro apoio no sentido de fornecer evidências da prestação dos serviços ao qual se refere a deliberação (peça 115).

61


579. Por fim, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização, o Dnit informou (peça 354, p. 2) que editou a Portaria 1022, de 29 de outubro de 2013, para a adoção das providências necessárias ao atendimento dessa determinação. A Portaria designa três servidores para constituírem grupo de trabalho para apurar eventuais inexecuções referentes ao Contrato 265/2006-00, estabelecendo o prazo de quarenta e cinco dias para a conclusão dos trabalhos (peça 354, p. 17).D.8.3. Análise580. No contexto do Acórdão 866/2011-TCU-Plenário, essa determinação mostra-se crítica uma vez que contempla o risco de prejuízo ao Erário, que se concretizará caso seja evidenciada a inexecução parcial de serviços previstos no contrato.581. Considerando-se que, em 30/4/2013, após iniciado este monitoramento, o Dnit solicitou informações ao Serpro, empresa contratada, para obtenção de evidências necessárias à apuração e comprovação dos serviços executados no âmbito do Contrato 265/2006-00, não tendo obtido dele as informações requeridas. Considerando-se, ainda, não terem sido enviadas quaisquer outras evidências referentes ao cumprimento desta determinação, constata-se que a autarquia não realizou o levantamento dos serviços efetivamente executados e tampouco fez a análise das penalidades cabíveis.582. A deliberação, ora monitorada, foi exarada em abril de 2011, e em julho do ano seguinte foi celebrado novo contrato com o Serpro, Contrato 544/2012 (peça 87). Caso tivessem sido realizadas as ações necessárias ao cumprimento desta determinação, de forma tempestiva, isto é, com o contrato ainda em vigor, teria sido possível a aplicação de mecanismos mais eficazes ao saneamento do contrato (aplicação de penalidades e glosa), em caso da comprovação de inexecuções contratuais. Com o contrato encerrado, a administração terá que buscar outras ferramentas a fim de ressarcir o dano ao erário que porventura for apurado.583. Além da omissão quanto ao levantamento solicitado acerca das inexecuções contratuais, o Dnit não implementou controles aptos a promover a regular gestão contratual (recomendação 9.1.13), o que caracteriza uma real possibilidade da recorrência, no contrato em vigor, das irregularidades apontadas na execução do Contrato 265/2006-00.584. O Dnit alega não ter sido possível lograr acesso a informações e documentos necessários à apuração da execução contratual. Ora, a gestão contratual é de responsabilidade do contratante, especificamente do gestor do contrato e dos fiscais do contrato (art 2º, incisos IV, V, VI e VII c/c o art 25 da IN 04/2010-SLTI), que devem dispor de todas as informações referentes à execução do contrato. Assim, a indisponibilidade das informações não justifica o fato de a autarquia ter deixado de realizar as ações necessárias à elucidação das possíveis irregularidades apontadas em auditoria.585. Assim, ante ao descumprimento da deliberação e à manutenção da incerteza quanto ao prejuízo ao Erário, constatam-se duas condutas distintas às quais serão dados encaminhamentos também distintos.586. A primeira conduta é a omissão no dever de adotar as ações necessárias ao cumprimento do item 9.2.11 do Acórdão 866/2011-TCU-Plenário, ou seja, o descumprimento de deliberação do Tribunal, sem justificativa pertinente. De acordo com o item 63.1 da Portaria Segecex 27/2009 (Padrões de Monitoramento), essa conduta reclama proposta de aplicação de multa fundamentada no inciso VII ou VIII do Art. 268 do Regimento Interno do TCU. Nesse sentido, optou-se pela prévia audiência dos responsáveis pelo cumprimento da determinação, designados pelo Dnit no Plano de Trabalho encaminhado ao Tribunal por meio do Ofício 546/2011/AUDINT, em 10/11/2011 (item 576).587. A segunda conduta que se nota é a inércia em relação às ações necessárias à verificação da execução dos serviços prestados, e pagos, no âmbito do Contrato 265/2006-00. Entretanto, tendo em vista o grupo de trabalho constituído pelo Diretor Geral do Dnit para apurar, em quarenta e cinco dias, as eventuais inexecuções do Contrato, entende-se que as providências serão tomadas no sentido de verificar a existência ou não de dano ao Erário, com as decorrentes implicações legais e processuais no caso afirmativo. Não obstante, ante a possiblidade de existência de dano ao erário e com fulcro no item 63.1 da Portaria Segecex 27/2009 (Padrões de Monitoramento), será proposta a reiteração da determinação, fixando prazo para o seu cumprimento.

62


588. Quanto à culpabilidade dos responsáveis, depreende-se a análise que se segue. Não é possível afirmar que houve boa-fé dos responsáveis, não tendo estes praticado as ações necessárias à verificação da execução dos serviços contratados e efetivamente pagos. É razoável afirmar que era possível aos responsáveis terem consciência do dever de cumprir as deliberações do TCU, do dever de prestar contas, do risco de ter havido pagamento por serviços não prestados e da necessária urgência da ação, uma vez que a limitação da vigência do contrato poderia inviabilizar o ágil ressarcimento ao erário, por meio da aplicação de penalidades e decorrente glosa, caso inexecuções fossem evidenciadas.D.8.4. Evidênciasa) Memorando 284/2013/CGMI, de 8/5/2013 (peça 74);b) Ofício 053/2013/CGMI/Dnit, de 30/4/2013 (peça 115);c) Contrato 544/2012, de 7/7/2012 (peça 87)d) comentários do Dnit acerca do Relatório Preliminar de Auditoria (peça 354).D.8.5. Conclusão589. Ante o exposto, conclui-se que a determinação não foi cumprida.590. Considerando que é dever do administrador público federal adotar medidas imediatas, com vistas ao ressarcimento de dano ao Erário, independentemente da atuação do Tribunal de Contas da União, conforme art. 8º da Lei 8.443/1993, faz-se necessário alertar que a decisão monitorada permaneceu pendente de atendimento por mais de dois anos, sendo o descumprimento decorrente da omissão da autoridade administrativa em cumprir os normativos vigentes.591. Cabe ressaltar que as justificativas trazidas pelo gestor para o não cumprimento da determinação não vigoram frente à irregularidade apontada e que, de acordo com o item 63.1 da Portaria Segecex 27/2009 (Padrões de Monitoramento), nas situações que envolvam determinações não cumpridas sem justificativa pertinente, deve ser incluída proposta de aplicação de multa fundamentada no inciso VII ou VIII do Art. 268 do Regimento Interno do TCU, bem como proposta de reiteração das determinações, fixando prazo para o cumprimento destas.592. O § 3º do art. 268 do Regimento Interno estabelece que prescinde de audiência prévia a aplicação de multa por descumprimento de determinação do Tribunal, desde que a possibilidade de sua aplicação conste da comunicação do despacho ou da decisão descumprida ou do ofício de apresentação da equipe de fiscalização.593. Embora, no relatório preliminar de fiscalização a possibilidade de multa tenha sido comunicada em diversos momentos, citando-se, inclusive o normativo que a respalda, considerando que no ofício de apresentação deste monitoramento não constou a possibilidade de aplicação de multa por descumprimento de determinação, será proposta, inicialmente, a audiência dos responsáveis, para possibilitar a apresentação das razões de justificativa pela omissão no dever de atuar no sentido de dar cumprimento à determinação exarada por este Tribunal. Os responsáveis foram designados pela autarquia (Ofício 546/2011/AUDINT, de 10/11/2011, peça 264, p. 8-9) e suas informações constam no documento entitulado Rol de Responsáveis encaminhado a este Tribunal (peça 128).594. A intempestividade da ação do gestor permitiu o encerramento do Contrato sem o devido saneamento determinado pelo Tribunal. Consequentemente, o comando para que fosse realizada a aplicação das penalidades previstas em contrato por conta de inexecuções contratuais não mais é aplicável, requerendo, assim, a proposição para tornar insubsistente a determinação 9.2.11 do Acórdão 866/2011-TCU-Plenário, em conformidade com o item 63.3 da Portaria Segecex 27/2009 (Padrões de Monitoramento).595. Não obstante, com o intuito de que sejam adotadas as medidas imediatas com vistas ao ressarcimento de eventuais danos ao Erário, propõe-se determinar ao Dnit, com prazo para o cumprimento, que seja realizada a apuração das possíveis inexecuções contratuais referentes ao Contrato 265/2006-00 e a adoção das medidas pertinentes para cobrança dos valores pagos indevidamente, bem como a instauração de tomada de contas especial, se for o caso.D.8.6. Proposta de encaminhamento596. Tornar insubsistente a determinação 9.2.11 do Acórdão 866/2011-TCU-Plenário.

63


597. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes que, em atenção à Lei 8.666/1993, art. 66, no prazo de noventa dias, a contar da ciência do decisum, adote as medidas necessárias à apuração de eventuais inexecuções contratuais no âmbito do Contrato 265/2006-00, identificação dos responsáveis e quantificação do dano ao erário, bem como a adoção das medidas pertinentes para cobrança dos valores pagos indevidamente, inclusive, se for o caso, com a instauração de tomada de contas especial, conforme dispõe a Instrução Normativa TCU 71/2012, sob pena de responsabilidade solidária das autoridades competentes e da empresa beneficiária, na forma do art. 84 do Decreto-Lei 200/1967.598. Promover, com fulcro no art. 58 § 1º da Lei 8.443/1992 e nos termos do art. 43, inciso II, da Lei 8.443/1992 c/c o art. 250, inciso IV, do Regimento Interno do TCU, a audiência dos responsáveis a seguir, para que, no prazo de quinze dias, apresentem suas razões de justificativa sobre a omissão no dever de atuar no sentido de dar cumprimento à determinação 9.2.11 exarada por este Tribunal no Acórdão 866/2011-TCU-Plenário:598.1. Matheus Belin, CPF: 933.347.531-15, Coordenador-Geral de Modernização e Informática do Departamento Nacional de Infraestrutura de Transportes (Dnit) e responsável por dar cumprimento ao item 9.2.11 do Acórdão 866/2011-TCU-Plenário (Ofício 546/2011/AUDINT, de 10/11/2011);598.2. Helmer Luiz de Freitas Pinheiro, CPF: 647.325.331-91, Agente Administrativo do Departamento Nacional de Infraestrutura de Transportes (Dnit) e responsável por dar cumprimento ao item 9.2.11 do Acórdão 866/2011-TCU-Plenário(Ofício 546/2011/AUDINT, de 10/11/2011);598.3. Carlos Alves Fernandes, CPF: 338.160.347-72, Economista do Departamento Nacional de Infraestrutura de Transportes (Dnit) e responsável por dar cumprimento ao item 9.2.11 do Acórdão 866/2011-TCU-Plenário(Ofício 546/2011/AUDINT, de 10/11/2011).D.9. Deliberação 9.1.19.1. recomendar ao Departamento Nacional de Infraestrutura de Transportes que:9.1.1. em atenção ao Decreto-Lei 200/1967, art. 6º, I, e art. 7º, elabore plano estratégico institucional, considerando o critério de avaliação 2 do Gespública.D.9.1. Situação que levou à proposição da deliberação599. O representante da autarquia declarou não executar processo de planejamento estratégico e, por consequência, não havia, à época, Plano Estratégico Institucional (peça 64, p. 1).D.9.2. Providências adotadas e comentários dos gestores600. Por meio do item 2.1 do Anexo I do Ofício 0080/2013-TCU/Sefti, de 12/4/2013, foi solicitado o Planejamento Estratégico Institucional da Entidade (peça 2, p. 3). Em resposta, o Dnit apresentou o documento denominado Plano de Ação para Implantação de um Modelo de Gestão Estratégica, elaborado com o intuito de abrigar consonância com os achados identificados na auditoria operacional objeto do Acórdão 3448/2012-TCU-Plenário (peça 65, p.2). O documento traz o mapa estratégico, iniciativas, indicadores e cronograma de ações a serem realizadas no âmbito da autarquia (peça 65).601. O gestor declara que o referido documento encontra-se sob a responsabilidade da Diretoria de Planejamento e Pesquisa (DPP), não tendo ainda sido formalizado e publicado (peça 74, p. 2, item 2.1).602. Em 06/06/13, por meio do Ofício 591/2013/AUDINT-Dnit (peça 142, p. 7-8), a autarquia apresentou considerações acerca do processo de elaboração do Plano Estratégico Institucional do Dnit, bem como acerca do seu conteúdo. As colocações repetem o texto constante do Plano de Ação para Implantação de um Modelo de Gestão Estratégica. O documento ressalta a formação de uma assessoria específica junto à Direção Geral responsável pela implantação das ações do Mapa Estratégico. Acrescenta que se encontra em fase de implantação o modelo de gestão da estratégia para monitorar e acompanhar sua execução por parte dos gestores das unidades da organização.603. Em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização, a CGMI do Dnit informou sobre a questão (peça 354, p. 21):

64


Foi criada no âmbito da Diretoria Geral, a Assessoria de Gestão Estratégica a qual ficou incumbida da elaboração do Plano Estratégico Institucional (PEI) Embora não aprovado por formalidade, o PEI encontra-se em execução. Cabe ressaltar que a ação de formalização foi prejudicada devido a situação de greve dos servidores do Dnit em âmbito nacional durante o periodo de 89 dias no corrente ano, conforme observado no indicativo de greve (anexo I), neste sentido é importante observar que a própria Corte de Contas por intermédio do Acórdão 1972/2013 TCU – Plenário suspendeu o prazo de atendimento das determinações oriundas daquele órgão de controle externo, em razão da greve deflagrada nos termos do Of. 525-2013 – TCU SECOB Rodovia de 05 de agosto de 2013 (anexo U).604. Paralelamente, no documento de proposição de parceria entre o Dnit e a Fundação Universidade de Brasília, Ofício 1558/DG/DNIT, com o intuito de promover pesquisas e aprimoramentos sobre o Projeto Controles Gerais de Tecnologia da Informação no Dnit, consta uma proposta de elaboração de plano estratégico institucional (item g, peça 354, p. 27). Entretanto, o projeto desenhado pela FUB – UnB (peça 354, p. 30-58) se restringe ao domínio de tecnologia da informação do Dnit e não apresenta em seu escopo a elaboração do planejamento estratégico institucional.D.9.3. Análise605. O documento apresentado apresenta elementos essenciais de um planejamento estratégico, tais como mapa estratégico, com a missão e a visão da autarquia, além de iniciativas, indicadores e cronograma de ações para implementação das iniciativas. Analisando-se o documento ante as orientações do programa Gespública, Critério 2, item 2.1, observa-se que o planejamento estratégico poderia ser aperfeiçoado ao contemplar os requisitos ali descritos, como, por exemplo, o alinhamento das estratégias com o PPA, a LDO e a LOA, a forma de avaliação e seleção das estratégias e os mecanismos de divulgação do plano às partes interessadas.606. O documento apresentado não contém assinatura dos dirigentes e não foi publicado pela autarquia. Uma vez não formalizado, o documento não pode ser considerado com instrumento institucional do Dnit (peça 65). Apesar disso, verificou-se, in loco, a divulgação do referencial estratégico em alguns ambientes da autarquia, o que, todavia, por si só, não supre a esta recomendação.607. Na análise do relatório preliminar de fiscalização, o Dnit cita, novamente, a assessoria vinculada à Direção Geral que estaria incumbida da elaboração do Plano Estratégico Institucional (PEI). Menciona ainda a greve de 89 dias como justificativa à não implementação da recomendação.608. Em abril de 2013, quando se iniciou este trabalho, o Dnit já havia definido os elementos iniciais do seu planejamento estratégico. Faltava, naquele momento, sua formalização e o aprofundamento do processo. Entende-se que a greve, de três meses, não foi suficiente para prejudicar a elaboração e formalização do Planejamento estratégico da instituição, uma vez que desde o início desta fiscalização, afora o período da greve, não há relatos de medidas tomadas no sentido de se avançar no processo de elaboração do planejamento estratégico.D.9.4. Evidênciasa) plano de Ação para Implantação de um Modelo de Gestão Estratégica no Dnit (peça 65);b) Memorando 284/2013/CGMI, de 8/5/2013 (peça 74);c) Ofício 591/2013/AUDINT-Dnit (peça 142)d) comentários do Dnit acerca do Relatório Preliminar de Auditoria (peça 354).D.9.5. Conclusão609. O Dnit caminhou no processo de elaboração do planejamento estratégico, tendo constituído um plano de ação para implantação de uma gestão estratégica e elaborado documento de plano estratégico institucional. Contudo, não houve a formalização do documento ou do processo.610. A relevância da formalização dos instrumentos de gestão é ressaltada no item 482, acima. Ante os documentos apresentados, entende-se que a recomendação se encontra em implementação, uma vez que o Dnit não possui planejamento estratégico formalizado e publicado.611. O processo de elaboração do planejamento estratégico do Dnit se está em andamento há vários anos, mas ainda não foi concluído. Para ilustrar a perenidade desse processo, podemos citar antigos trabalhos realizados. Em 2006, o Centro de Excelência em Engenharia de Transportes (Centran) realizou um estudo, chamado de “Prosseguimento do Desenvolvimento e Implantação de um Sistema de Gestão

65


Estratégica/Operacional em Apoio à Direção-Geral do Dnit”, que teve como propósito desenvolver e apoiar a implantação, para a Direção Geral do Departamento, de metodologia gerencial para um sistema de gestão orientado em ciclos de melhoria contínua, que tivesse como base planejamento estratégico de objetivos controlados. Em 2007, a Fundação Getúlio Vargas (FGV) realizou um estudo semelhante, por meio do qual apresentou relatório de avaliação de gestão e proposta de ajustamento organizacional do Dnit. A necessidade da implantação de um modelo de gestão estratégica no Dnit foi preconizada na auditoria operacional originária do Acórdão 3.448/2012, o qual induziu a construção do mapa estratégico que o Dnit possui hoje.612. Ante o exposto, entende-se que a recomendação encontra-se em implementação, com prazo expirado.613. Considerando-se o exposto, bem como o art. 4º da IN SLTI/MP 4/2010, o Decreto-Lei 200/1967, art. 6º, I, e art. 7º, e o critério de avaliação 2 do Gespública, entende-se crítica a oficialização do planejamento estratégico do Dnit e, dessa forma, seria conveniente e oportuno que a deliberação aqui tratada fosse convertida de recomendação para determinação, conforme procedimento previsto no item 63.2 dos padrões de monitoramento aprovados pela Portaria-Segecex 27/2009.D.9.6. Proposta de encaminhamento614. Considerar em implementação, com prazo expirado, a recomendação 9.1.1 do Acórdão 866/2011-TCU-Plenário.615. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes que em atenção ao Decreto-Lei 200/1967, art. 6º, I, e art. 7º, e à IN SLTI/MP 4/2010, art. 4º, aprove e institucionalize o plano estratégico institucional, em 180 dias, a contar da ciência do decisum, considerando o critério de avaliação 2 do Gespública.D.10. Deliberação 9.1.29.1. recomendar ao Departamento Nacional de Infraestrutura de Transportes que:(...)9.1.2. aperfeiçoe o processo de planejamento estratégico de TI, observando as práticas do Cobit 4.1, processo PO1 – Planejamento Estratégico de TI;D.10.1. Situação que levou à proposição da deliberação616. Como o Dnit, à época da auditoria, apresentou um Plano Diretor de TI (PDTI), aquela equipe de auditoria entendeu que havia um processo de planejamento de TI, ainda que com falhas, visto que não havia sido evidenciado o alinhamento dos planos de ação com as iniciativas estratégicas, nem a avaliação do PDTI (peça 64, p. 2).D.10.2. Providências adotadas e comentários dos gestores617. O Dnit apresentou o seu Planejamento Estratégico de Tecnologia da Informação, embora não formalizado ou publicado (peça 65) Trouxe também uma minuta do PDTI, que, segundo a autarquia, está em vias de ser publicada (peça 92), sendo necessária apenas a sua aprovação (peça 74, p. 2 e 3, itens 2.2 e 2.3).618. Consta do processo um documento de avaliação do Plano Estratégico de TI e outro de avaliação do PDTI, ambos datados do ano de 2011 (peças 125 e 126).619. Em sua manifestação sobre a análise expendida no relatório preliminar de fiscalização, o Dnit informou (peça 354, p. 2) que o item 9.1.2 será atendido no âmbito do Termo de Cooperação a ser celebrado com a Fundação Universidade de Brasília (item 487).D.10.3. Análise620. Existe processo de planejamento estratégico de TI definido. Todavia, o Plano Estratégico de TI ou PDTI não foi institucionalizado. Traçam-se, a seguir, algumas observações sobre os documentos apresentados e sobre o processo de elaboração.621. O Plano Estratégico de TI em elaboração (Planejamento Estratégico de Tecnologia do Dnit v1_9, peça 119), foi criado em agosto de 2011 e apresentava como meta (indicador dezenove do objetivo estratégico VIII, peça 65, p. 19) a sua implantação em dezembro de 2011, além de posteriores atualizações. Essa meta, todavia, não foi atingida.

66


622. Os objetivos estratégicos constantes daquele Plano apresentam como objeto ações que, se realizadas, dariam pleno atendimento a várias das deliberações ora monitoradas. Contudo, pouco do Plano foi realizado. Do Objetivo Estratégico I, por exemplo, somente o Comitê de Tecnologia de Informação foi implantado. Não foram realizadas as demais oito ações descritas, as quais atenderiam a oito deliberações do acórdão em monitoramento.623. O Plano carece de maior detalhamento de metas, que, apresentadas de forma abrangente, dificultam o acompanhamento da ação. Como exemplo, tem-se a meta definida para o indicador 2: 30% das regras de TI regulamentadas até 31/12/2011, que se mostra inaplicável, uma vez que não referencia uma lista completa e detalhada destas regras.624. Quanto ao PDTI, a primeira versão da minuta do documento hoje existente foi criada em outubro de 2011, mas até hoje não foi formalizada e publicada. O termo de abertura de Projeto para realização do PDTI foi apresentado sem conter a assinatura dos responsáveis. Da mesma forma, foi apresentada uma lista do grupo de trabalho do PDTI (Integrantes do GT-PDTI.doc) com servidores da área de TI e também da área de negócio (peça 121), não havendo, contudo, formalização na constituição desse grupo.625. O processo de elaboração do PDTI seguiu uma metodologia, a qual está definida no próprio documento, e conta com a participação das áreas de negócio. As diversas áreas forneceram informações acerca das suas necessidades quanto aos recursos de TI, apontadas de forma livre e também por meio de resposta ao questionário elaborado pela CGMI (peça 122). Foram apresentadas evidências da contribuição de algumas das áreas de negócio (peças 123 e 124).626. Tanto o Plano Estratégico de TI como a minuta do PDTI apresentam planos de ação correspondentes às estratégias definidas.627. Embora tenham sido entregues avaliações desses planos (peças 125 e 126), elas datam de 2011 e se encontram incompletas e desatualizadas, o que não permite assegurar a existência do regular acompanhamento e avaliação dos planos.628. Por fim, cabe enfatizar que o Planejamento Estratégico de TI (PETI) e o Plano Diretor de TI (PDTI), bem como seu processo de elaboração, devem seguir o Guia de Elaboração de PDTI do Sisp, as diretrizes constantes da Estratégia Geral de Tecnologia da Informação (EGTI) em vigor, e, também, as orientações contidas no Cobit 5, prática de gestão APO02.05-Define the strategic plan and Road map (Definir o plano estratégico e roteiro – tradução livre).629. Conforme estabelece a Portaria 1.252, de 1/12/2011, o PDTI deve ser proposto e executado pelo Comitê de TI do Dnit (CTI). A ele cabe a responsabilidade de formular e implementar as estratégias e planos de TI, dentre outros instrumentos de governança, bem como sua formalização.630. A intenção do Dnit para que o atendimento desse item (9.1.2) seja realizado por meio de Termo de Cooperação celebrado com a FUB – UnB (peça 354, p. 2) deve ser considerada. O Termo de Cooperação tem como objetivo a estruturação de modelo de gestão e governança de TI do Dnit e contempla em seu escopo o aprimoramento e aprofundamento do Plano Estratégico e Diretor de TI, ou seja, a estruturação do processo de planejemento de TI (peça 354, p. 35; 40). Depreende-se, portanto, que as ações necessárias ao cumprimento desta deliberação inclinam-se a serem realizadas no âmbito do Termo de Cooperação.D.10.4. Evidênciasa) termo de abertura do Projeto PDTI (peça 66);b) Planejamento Estratégico de Tecnologia do Dnit (peça 65);c) questionário – PDTI (peça 122);d) minuta do PDTI (peça 92);e) avaliação do Peti (peça 125);f) avaliação do PDTI (peça 126);g) Portaria 1.252, de 1/12/2011, que institui o CTI (peça 101);h) Memorando 284/2013/CGMI, de 8/5/2013 (peça 74);i) comentários do Dnit acerca do Relatório Preliminar de Auditoria (peça 354).D.10.5. Conclusão

67


631. Considerando-se que o processo de elaboração do Planejamento Estratégico de TI e do PDTI foi realizado e seguiu uma metodologia, a qual está descrita no próprio documento do PDTI, que esses documentos possuem várias das diretrizes constantes do Guia de Elaboração do PDTI e da EGTI, e, ainda, que os documentos estão em fase final de elaboração, faltando a sua assinatura e publicação, conclui-se que o Dnit possui processo de planejamento estratégico de TI definido, mas não formalizado. Verifica-se que houve evolução do processo desde a auditoria realizada em 2010, o que permite julgar a recomendação em implementação. Ademais, com o Termo de Cooperação com a FUB – UnB a ser celebrado, vislumbra-se que esse processo seja aperfeiçoado e aprofundado, trazendo maturidade para a governança de TI do Dnit e benefícios dela decorrentes.632. Ante o exposto, entende-se que a recomendação encontra-se em implementação, com prazo expirado.633. A relevância da formalização dos instrumentos de gestão, que é ressaltada no item 482, acima, somando-se a todo o exposto, revelam conveniência e oportunidade para que, com fulcro no procedimento previsto no item 63.2 dos padrões de monitoramento aprovados pela Portaria-Segecex 27/2009, seja proposto que a recomendação monitorada se converta em determinação para que o Dnit formalize seu PDTI, de forma que passe a constituir normativo formal a ser seguido, com responsabilidades definidas.D.10.6. Proposta de encaminhamento634. Considerar em implementação, com prazo expirado, a recomendação 9.1.2 do Acórdão 866/2011-TCU-Plenário.635. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes que em atenção ao previsto na Instrução Normativa SLTI/MP 4/2010, art. 4º, aprove e institucionalize o Plano Diretor de Tecnologia da Informação, em noventa dias, a contar da ciência do decisum, com observância das diretrizes constantes da Estratégia Geral de Tecnologia da Informação – EGTI 2013/2015, do Guia de Elaboração de PDTI do Sistema de Administração dos Recursos de Tecnologia da Informação – Sisp e à semelhança das orientações contidas no Cobit 5, prática de gestão APO02.05-Define the strategic plan and Road map (Definir o plano estratégico e roteiro – tradução livre).D.11. Deliberação 9.1.39.1. recomendar ao Departamento Nacional de Infraestrutura de Transportes que:(...)9.1.3. em atenção ao Decreto 5.707/2006, art. 1º, III, elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando melhor atendimento das necessidades institucionais, à semelhança do Cobit 4.1, PO4.12 – Pessoal de TI;D.11.1. Situação que levou à proposição da deliberação636. À época da auditoria, o Dnit declarou insuficiência de profissionais de TI em sua instituição, embora não houvesse estudos que embasassem aquela situação ou que fossem capazes de demonstrar a necessidade quantitativa e qualitativa do quadro de servidores da área de TI. O Dnit informou, ainda, que continuamente perdia profissionais de TI, pois com frequência eles saiam para assumir novos cargos públicos em outros órgãos e instituições (peça 64, p. 3).D.11.2. Providências adotadas e comentários dos gestores637. A autarquia afirmou não ter logrado êxito em desenvolver as ações necessárias ao atendimento da deliberação (peça 74, p. 3, item 2.15).638. Em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização, o Dnit informou (peça 354, p. 2) que o item 9.1.3 será atendido no âmbito do Termo de Cooperação a ser celebrado com a Fundação Universidade de Brasília (item 487).D.11.3. Análise639. Não foi apresentado estudo técnico de avaliação qualitativa e quantitativa do quadro relativo à área de TI do Dnit.

68


640. Sendo assim, é forçoso concluir, por inexistência de evidência em contrário, que a autarquia não realizou estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, embora permaneça com as mesmas deficiências constatadas à época do Acórdão 866/2011, das quais se ressalta o déficit de pessoal de TI e o alto turnover.641. Em relação ao quadro de pessoal de TI, o Dnit informou que há expectativa quanto à provisão de dez vagas para a área, em decorrência do último concurso realizado. Mesmo sem ter realizado a avaliação recomendada, o Dnit afirma que esse aumento do quadro irá contribuir para a força de trabalho do setor e a carência será amenizada, mas não suprida. Ademais, o alto turnover permanece, bem como o receio quanto à falta de continuidade da gestão da TI no Dnit.642. A carência quantitativa no quadro de pessoal de TI foi apresentada pelo Dnit como justificativa do descumprimento das determinações aqui monitoradas (peça 74, p. 2 , peça 92, p. 56 e peça 142). Esse fato atribui maior relevância a essa questão, principalmente diante da permanência da maioria dos problemas identificados na auditoria realizada em 2010, conforme demonstrado nas análises e conclusões deste monitoramento.643. Reconhecendo essa dificuldade e no intuito de minimizá-la, o Ministério do Planejamento Orçamento e Gestão (MP) editou a Portaria 435 de 14/9/2012, em conjunto com o Ministério dos Transportes, autorizando a contratação de quinze profissionais, por tempo determinado. Entretanto o Dnit informa que “por razões de entendimentos internos das áreas envolvidas, o Processo 50600.061644/2012-25, que trata da admissão dos aludidos profissionais, não pôde prosperar tempestivamente” (peça 142, p. 4).644. Além da contratação de novos profissionais, outra forma de compensar a carência de pessoal é o usufruto da expertise provida pelos Analistas em Tecnologia da Informação (ATI) do Ministério do Planejamento, Orçamento e Gestão (MP), recurso já utilizado pelo Dnit. Contudo, desde abril de 2013, por meio da Portaria 7/2013, a Secretaria de Logística e Tecnologia da Informação do MP (SLTI/MP) vinculou a cessão dos ATIs ao Autodiagnóstico do órgão, cujas informações passaram a constituir um dos critérios para a distribuição de ATIs entre os órgãos membros do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp). Conforme o normativo, o Autodiagnóstico tem caráter obrigatório e constitui instrumento de avaliação que permite o direcionamento das políticas públicas aplicáveis ao Sisp, entre outras ações que visam ao desenvolvimento e à melhoria das áreas de TI.645. A intenção do Dnit para que o atendimento desse item (9.1.3) seja realizado por meio de Termo de Cooperação celebrado com a FUB – UnB (peça 354, p. 2) é aqui apreciada. O escopo do projeto proposto pela fundação contempla uma avaliação do quadro de pessoal de TI, além da estruturação do processo de gestão da capacitação (peça 354, p. 35). Portanto, infere-se que as ações necessárias à implementação dessa deliberação inclinam-se a serem realizadas no âmbito do Termo de Cooperação.D.11.4. Evidênciasa) Memorando 284/2013/CGMI, de 8/5/2013 (peça 74);b) minuta do PDTI (peça 92);c) Ofício 591/2013/AUDINT-Dnit (peça 142);d) comentários do Dnit acerca do Relatório Preliminar de Auditoria (peça 354).D.11.5. Conclusão646. Tendo em vista que o Dnit apresentou a intenção de celebrar Termo de Cooperação com a FUB – UnB, o qual contemplará estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, considera-se que a recomendação encontra-se não implementada.647. Diante desse cenário de carência de pessoal, é importante que o órgão priorize ações no sentido de obter melhorias quantitativas e qualitativas para o quadro de pessoal de TI, como, dentre outras, a realização do referido estudo, a elaboração do plano de capacitação para a área de TI, bem como o preenchimento do Autodiagnóstico exigido pela SLTI/MP, cujas informações constituem um dos critérios para distribuição de Analistas em Tecnologia da Informação (ATI) entre os órgãos membros do Sisp, conforme disposto na Portaria SLTI 7/2013.

69


648. Assim, com fulcro no procedimento previsto no item 63.2 dos padrões de monitoramento aprovados pela Portaria-Segecex 27/2009, entende-se pela conveniência e oportunidade da proposição de conversão da recomendação em determinação para que o Dnit realize o estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, uma vez que consiste no primordial impedimento para as ações necessárias à melhoria da gestão e governança da área de TI.D.11.6. Proposta de encaminhamento649. Considerar não implementada a recomendação 9.1.3 do Acórdão 866/2011-TCU-Plenário.650. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes que, em atenção ao Decreto 5.707/2006, art. 1º, III, em 180 dias, a contar da ciência do decisum, elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando melhor atendimento das necessidades institucionais, à semelhança das orientações contidas no Cobit 5, práticas de gestão APO07.01-Maintain adequate and appropriate staffing (Manter recursos humanos adequados e oportunos – tradução livre) e APO07.05-Plan and track the usage of IT (Planejar e acompanhar a utilização de TI – tradução livre).D.12. Deliberação 9.1.89.1. recomendar ao Departamento Nacional de Infraestrutura de Transportes que:(...)9.1.8. estabeleça procedimentos formais de gestão de mudanças, de acordo com o item 12.5.1 da NBR ISO/IEC 27.002, à semelhança do Cobit 4.1, processo AI6 – Gerenciar mudanças, e de outras boas práticas de mercado (como a NBR ISO/IEC 20.000);D.12.1. Situação que levou à proposição da deliberação651. O representante da autarquia declarou que não possuía processo de gestão de mudanças implementado (peça 64, p. 5).D.12.2. Providências adotadas e comentários dos gestores652. A autarquia afirmou não ter logrado êxito em desenvolver as ações necessárias ao atendimento da deliberação (peça 74, p. 4, itens 2.53, 2.54 e 2.55).653. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização, o Dnit informou (peça 354, p. 2) que o item 9.1.8 será atendido no âmbito do Termo de Cooperação a ser celebrado com a Fundação Universidade de Brasília (item 487).D.12.3. Análise654. O Dnit não possui procedimentos formais de gestão de mudanças.655. Contudo, a intenção do Dnit de buscar meios para que o atendimento desse item (9.1.3) seja realizado, vislumbrando a celebração de Termo de Cooperação com a FUB – UnB (peça 354, p. 2) deve ser considerada. O projeto proposto pela fundação ao Dnit contém em seu escopo a estruturação do processo de gestão de mudanças (Objetivo 2, item 2.4, peça 354, p. 41). Portanto, infere-se que as ações necessárias à implementação dessa deliberação inclinam-se a serem realizadas.D.12.4. Evidênciasa) Memorando 284/2013/CGMI, de 8/5/2013 (peça 74);b) comentários do Dnit acerca do Relatório Preliminar de Auditoria (peça 354).D.12.5. Conclusão656. Ante o exposto, entende-se que o Dnit não possui processo de gestão de mudanças definido. Em que pese o Dnit ter apresentado a intenção de celebrar Termo de Cooperação com a FUB – UnB, o qual contemplará a estruturação do processo de gestão de incidentes, entende-se que a recomendação encontra-se não implementada.657. Considerando a superveniência de legislação cogente estabelecendo diretrizes para gestão de mudanças nos aspectos relativos à segurança da informação e comunicações, por meio da Norma Complementar 13/IN01/DSIC/GSIPR, de 30/1/2012, será proposta a conversão dessa recomendação em determinação, conforme procedimento previsto no item 63.2 dos padrões de monitoramento aprovados pela Portaria-Segecex 27/2009.

70


D.12.6. Proposta de encaminhamento658. Considerar não implementada a recomendação 9.1.8 do Acórdão 866/2011-TCU-Plenário.659. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes que, em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, inciso VII, c/c Norma Complementar 13/IN01/DSIC/GSIPR, no prazo de 720 dias, a contar da ciência do decisum, estabeleça procedimentos formais de gestão de mudanças, observando os procedimentos do item 12.5.1 da NBR ISO/IEC 27.002 e as orientações do Cobit 5, prática de gestão BAI06 – Manage Changes (Gerenciar mudanças – tradução livre) bem como outras boas práticas de mercado, como a NBR ISO/IEC 20.000.D.13. Deliberação 9.1.109.1. recomendar ao Departamento Nacional de Infraestrutura de Transportes que:(...)9.1.10. estabeleça processo de avaliação da gestão de TI, à semelhança do Cobit 4.1, itens ME1.4 – Avaliação de desempenho, ME1.5 – Relatórios gerenciais, ME1.6 – Ações corretivas e ME2 – Monitorar e avaliar os controles internos;D.13.1. Situação que levou à proposição da deliberação660. O representante da autarquia declarou que não estabelecera objetivos de desempenho de gestão e uso de TI na autarquia, e também que não estabelecera indicadores de desempenho de gestão e uso corporativos de TI (peça 64, p. 8).D.13.2. Providências adotadas e comentários dos gestores661. A autarquia afirmou não ter logrado êxito em desenvolver as ações necessárias ao atendimento da deliberação (peça 74, p. 4, item 2.56 e 2.57).662. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização, o Dnit informou (peça 354, p. 2) que o item 9.1.10 será atendido no âmbito do Termo de Cooperação a ser celebrado com a Fundação Universidade de Brasília (item 487).D.13.3. Análise663. Não foram realizadas ações no sentido de estabelecer processo de avaliação da gestão de TI no Dnit.664. Esta deliberação destinou-se a induzir o Dnit a estabelecer um processo de avaliação da gestão de TI, em consonância com as práticas e diretrizes consolidadas no Cobit 4.1. O controle almejado situa-se em nível estratégico, pois tem como objetivo avaliar a qualidade da gestão de TI como um todo. O aperfeiçoamento dos processos de serviços – tais como a gerência de projetos – é buscado pelas demais deliberações.665. Neste caso, uma das normas de referência desta recomendação, o processo ME1 do Cobit 4.1 (monitorar e avaliar o desempenho de TI – tradução livre), pressupõe a definição de indicadores de desempenho relevantes, a avaliação do desempenho em face dos indicadores estabelecidos e a atuação tempestiva em relação aos desvios encontrados. O processo deve satisfazer aos seguintes requisitos de negócio para a TI: transparência e entendimento de custos, benefícios, estratégia, políticas e níveis de serviços de TI, em conformidade com os requisitos de governança.666. O alcance do objetivo desse processo configura-se no agrupamento e tradução dos relatórios de desempenho dos processos monitorados para relatórios de gestão, bem como na análise crítica de desempenho frente a metas acordadas e a tomada de ações corretivas necessárias.667. Por fim, a qualidade desse processo é medida pela satisfação da Alta Direção e das entidades de governança com os relatórios de desempenho, com a quantidade de ações de melhoria resultantes das atividades de monitoramento, e com o percentual de processos críticos monitorados.668. De forma análoga, o processo ME2 do Cobit 4.1 (monitorar e avaliar os controles internos – tradução livre) se ocupa do monitoramento dos controles internos de TI, do reporte das exceções de controle e dos resultados de autoavaliação e de avaliação de terceiros, bem como da identificação de ações de melhoria.669. O objetivo da monitoração e avaliação dos controles internos é assegurar que os objetivos de TI sejam atingidos e assegurar a conformidade com as leis e os regulamentos relacionados à TI.

71


670. A qualidade desse processo é medida pela quantidade de falhas críticas identificadas nos controles internos, pela quantidade de ações de melhoria deles, e pela quantidade e abrangência das avaliações realizadas pelo órgão.671. Em síntese, o processo de avaliação da gestão de TI a que se refere a recomendação deve recair sobre todos os processos considerados relevantes para a TI dar suporte à missão institucional da autarquia, tais como os processos estruturantes abordados no acórdão ora monitorado, a exemplo dos processos de planejamento estratégico de TI, de elaboração do orçamento de TI, de gestão de riscos de segurança da informação, de desenvolvimento de software, de gerenciamento de projetos e de planejamento das contratações de TI, abrangendo a avaliação da qualidade desses processos e dos controles internos a eles relacionados.672. A intenção do Dnit de buscar uma forma para que o atendimento desse item (9.1.10) seja realizado não pode ser desconsiderada (peça 354, p. 2). Da análise da proposta de Termo de Cooperação a ser firmado entre o Dnit e a FUB – UnB, observa-se que o escopo do projeto proposto pela fundação contempla a estruturação do processo de avaliação da gestão de TI (Objetivo 2, item 2.11, peça 354, p. 41). Desse modo, infere-se que as ações necessárias à implementação dessa deliberação inclinam-se a serem realizadas.D.13.4. Evidênciasa) Memorando 284/2013/CGMI, de 8/5/2013 (peça 74);b) comentários do Dnit acerca do Relatório Preliminar de Auditoria (peça 354).D.13.5. Conclusão673. Ante o exposto, entende-se que o Dnit não estabeleceu processo de avaliação da gestão de TI. Em que pese o Dnit ter apresentado a intenção de buscar formas de concretizar as ações necessárias ao cumprimento das deliberações do acórdão em monitoramento, como, por exemplo, a celebração de Termo de Cooperação com a FUB – UnB, entende-se que a recomendação deve ser considerada não implementada.674. Considerando-se, ainda, a necessidade de melhoria nas estruturas de governança e gestão de TI do Dnit, conforme evidenciado neste monitoramento, e, ainda, que a existência de um processo formalizado para a avaliação da gestão de TI é essencial para que se possa atingir uma efetiva governança institucional, conclui-se que atualmente é possível determinar que a autarquia estabeleça tal processo. Desse modo, propor-se-á que a deliberação aqui tratada seja convertida de recomendação para determinação, conforme procedimento previsto no item 63.2 dos padrões de monitoramento aprovados pela Portaria-Segecex 27/2009.675. Cabe ressaltar que o benefício buscado com esta determinação encontra-se em perfeita sintonia com a EGTI do Sisp, para o triênio 2013/2015, uma vez que dois dos objetivos que norteiam a citada estratégia são “Aperfeiçoar a governança de TI” e “Alcançar a efetividade na Gestão de TI”.D.13.6. Proposta de encaminhamento676. Considerar não implementada a recomendação 9.1.10 do Acórdão 866/2011-TCU-Plenário.677. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes que, em consonância com o princípio constitucional da eficiência, art. 37, caput, da CF/1988, e com a Estratégia Geral de Tecnologia da Informação 2013-2015, estabeleça processo de avaliação da gestão de TI, à semelhança do Cobit 5, prática de gestão MEA01-Monitor, Evaluate and Assess Performance and Conformance (Monitorar e avaliar o desempenho e a conformidade – tradução livre), no prazo de 360 dias, a contar da ciência do decisum.D.14. Deliberação 9.1.129.1. recomendar ao Departamento Nacional de Infraestrutura de Transportes que:(...)9.1.12. implemente controles que promovam cumprimento do processo de planejamento previsto na IN SLTI/MP 4/2010;D.14.1. Situação que levou à proposição da deliberação

72


678. O conteúdo dos estudos técnicos preliminares está previsto na etapa de Análise da Viabilidade da Contratação, definida pelo art. 11 da IN – SLTI/MP 4/2010. Na auditoria realizada em 2010 para avaliar os controles gerais de TI do Dnit, verificou-se a inexistência desses estudos em contrato de serviços de TI (peça 64, p. 9 e 10).D.14.2. Providências adotadas e comentários dos gestores679. Para evidenciar a existência de controles sobre o processo de planejamento da contratação de bens e serviços de TI, nos termos da IN SLTI/MP 4/2010, o Dnit apresentou o processo Compor 90 (Processo 50600.006967/2013-37), cujo objetivo constitui a “aquisição de ferramenta para orçamentação e composição de custos de serviços de infraestrutura de transporte” (peça 79, p. 1), referenciando as seguintes peças constantes do processo: abertura oficial de demanda assinada pela Coordenação-Geral de Custos de Infraestrutura de Transporte e pela Diretoria Geral e estudo de viabilidade (peça 74, p. 7).680. Segundo o Gestor, esse seria o primeiro processo que está, de fato, sendo conduzido conforme os preceitos da IN SLTI/MP 4/2010.681. Em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização, o Dnit informou (peça 354, p. 2) que o item 9.1.12 será atendido no âmbito do Termo de Cooperação a ser celebrado com a Fundação Universidade de Brasília (item 487).D.14.3. Análise682. Para avaliar a existência de controles sobre o processo de planejamento da contratação, foram analisados três processos de contratação:a) Processo 50600.006967/2013-37, ora em fase inicial de planejamento, cujo objeto constitui a aquisição de ferramenta para orçamentação e composição de custos de serviços de infraestrutura e transporte (excertos contidos na peça 79);b) Processo 50600.052216/2012-10, referente ao Contrato 544/2012, firmado com o Serpro, para prestação de serviços especializados de TIC;c) Processo 50600.054780/2012-69, referente ao Contrato 786/2012, firmado com a empresa Business to Technology, para fornecimento de solução integrada de Processamento Analítico Online de Dados (Microstrategy).683. O Processo 50600.006967/2013-37, trazido como evidência dos controles implantados, está em fase inicial, tendo alcançado, até o momento, apenas a primeira etapa da fase de planejamento da contratação, que constitui na elaboração do Documento de Oficialização da Demanda (DOD), de 11/3/2013 (peça 79, p. 1-7). Esse documento apresenta os requisitos exigidos pelo art. 9 da IN SLTI/MP 4/2010. Não havendo documentos ulteriores a esse, a análise, portanto, se estanca nesse ponto.684. Na análise das demais contratações, verificou-se que o processo de planejamento da contratação não atende aos preceitos da norma. Esses processos tiveram seu início com o projeto básico ou termo de referência, ou seja, na fase de seleção do fornecedor, art. 21 da IN SLTI/MP 4/2010, evidenciando a inexistência de processo de planejamento para essas contratações.685. Do exposto, conclui-se pela ausência de controles aptos a assegurar o adequado processo de planejamento da contratação previsto na IN SLTI/MP 4/2010.686. Apesar de os controles não estarem ainda definidos, o mais recente processo de contratação de serviços de TI evidencia a intenção de aderência à norma. Entretanto, a existência de um único processo em fase inicial de planejamento é insuficiente para se afirmar que a autarquia segue os procedimentos requeridos e possui os controles necessários para garantir a aderência desejada. Verificou-se que a busca de aderência à norma da SLTI se deve exclusivamente à iniciativa dos servidores envolvidos no processo, em atenção ao Acórdão 866/2011, uma vez que inexistem normativos ou controles internos do Dnit que estabelecem procedimentos para o atendimento dos preceitos da citada instrução normativa.687. A intenção do Dnit de buscar uma forma para que o atendimento desse item (9.1.12) seja realizado não pode ser desconsiderada (peça 354, p. 2). Da análise da proposta de Termo de Cooperação a ser firmado entre o Dnit e a FUB – UnB, observa-se que o escopo do projeto proposto pela fundação contempla a realização de avaliações, estudos e elaboração de modelos de contratação, especialmente no que se refere aos contratos de TI (Objetivo 3, peça 354, p. 41). O item 5.5 do projeto menciona como

73


produtos finais dessa ação: relatórios de avaliação; estudos preliminares e termos de referência de contratação de TI (peça 354, p. 52). Não há qualquer referência à IN SLTI/MP 4/2010. Desse modo, conclui-se que o instrumento analisado, ainda que seja uma proposta de projeto, não tem o condão de realizar as ações necessárias à implementação dessa deliberação, ou seja, implementar controles que promovam cumprimento do processo de planejamento previsto na IN SLTI/MP 4/2010.D.14.4. Evidênciasa) Processo 50600.006967/2013-37 (excertos, peça 79);b) Processo 50600.052216/2012-10;c) Processo 50600.054780/2012-69;d) Memorando 284/2013/CGMI, de 8/5/2013 (peça 74);e) comentários do Dnit acerca do Relatório Preliminar de Auditoria (peça 354).D.14.5. Conclusão688. Ante o exposto, entende-se que a recomendação não foi implementada.689. A falta desses controles representa um risco ainda maior diante da situação em que a área de TI do Dnit se encontra. Verifica-se, neste monitoramento, que o Dnit ainda está elaborando suas políticas de TI e definindo seus processos. Em relação ao planejamento e gestão contratual, muitas das irregularidades e falhas identificadas ainda se mantêm, impondo urgência quanto à implementação de controles. Ademais, a ausência de processo de elaboração do orçamento de TI definido e de uso sistêmico imputa ao planejamento das contratações maior fundamentação e detalhamento.690. Assim, conforme procedimento previsto no item 63.2 dos padrões de monitoramento aprovados pela Portaria-Segecex 27/2009, está sendo proposta a conversão da recomendação em determinação, com a fixação de prazo para seu cumprimento.D.14.6. Proposta de encaminhamento691. Considerar não implementada a recomendação 9.1.12 do Acórdão 866/2011-TCU-Plenário.692. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes que, em consonância com o princípio constitucional da eficiência, art. 37, caput, da CF/1988, com o princípio do controle constante do inciso V, do art. 6º, do Decreto-Lei 200/1967, e em atenção ao art. 1º da Instrução Normativa SLTI/MP 4/2010, implemente, em 180 dias, a contar da ciência do decisum, controles que promovam o cumprimento do processo de planejamento previsto na Seção III da IN SLTI/MP 4/2010.D.15. Deliberação 9.1.139.1. recomendar ao Departamento Nacional de Infraestrutura de Transportes que:(...)9.1.13. implemente controles que promovam a regular gestão contratual e que permitam identificar se todas as obrigações do contratado foram cumpridas antes da atestação do serviço;D.15.1. Situação que levou à proposição da deliberação693. À época da auditoria, a autarquia não possuía um processo interno formal para gerenciar as contratações de TI, nem procedimentos definidos para auxílio no gerenciamento das contratações (peça 64, p. 14-15).D.15.2. Providências adotadas e comentários dos gestores694. A autarquia afirmou não ter logrado êxito em desenvolver as ações necessárias ao atendimento da deliberação (peça 74, p. 3, item 2.41).695. Em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização, o Dnit informou (peça 354, p. 2) que o item 9.1.13 será atendido no âmbito do Termo de Cooperação a ser celebrado com a Fundação Universidade de Brasília (item 487).D.15.3. Análise696. Apesar de o Dnit ter declarado a não implementação dos controles necessários para a gestão contratual, foi realizada a análise do gerenciamento dos contratos examinados neste monitoramento, da qual se ressaltam, dentre outras, as seguintes falhas: níveis mínimos de serviço e critérios de aceitação inexistentes ou insuficientes (por exemplo, peça 87, p. 12 e 15); ausência de

74


mecanismos de avaliação acerca da quantidade e qualidade (níveis de serviço) dos serviços realizados e dos bens entregues, de acordo com critérios de aceitação previamente definidos; ausência de procedimentos definidos para a fiscalização com relação à execução contratual; discrepância entre a quantidade de serviços solicitados e a quantidade de serviços efetivamente pagos, sem motivos ou justificativas constantes do processo (RAAAA00011, peça 88, p. 36 e 51); inexistência de mecanismos que possibilitem a verificação do cumprimento da exigência quanto ao contratado manter, durante a vigência do contrato, as condições de qualificação e habilitação exigidas na licitação.697. Tais irregularidades evidenciam que o Dnit não possui controles próprios à verificação do cumprimento das obrigações do contratado.698. A ausência dos controles aqui recomendados representa um alto risco para a Administração, dado o atual nível de governança da área de TI do Dnit (item 688) e a ocorrência de irregularidades na execução do antigo contrato com o Serpro, identificadas na auditoria que deu origem ao Acórdão 866/2011, realizada em 2010. Naquela época, a equipe de fiscalização constatou falhas na gestão do Contrato 265/2006-00, firmado em 2006, e, em consequência, o Tribunal determinou à autarquia a apuração das inexecuções contratuais e a decorrente aplicação das penalidades previstas em contrato. A deliberação não foi cumprida, como relatado na análise da determinação 9.2.11 (item D.8).699. A intenção do Dnit de buscar uma forma para o atendimento dessa recomendação não pode ser desconsiderada (peça 354, p. 2). Da análise da proposta de Termo de Cooperação a ser firmado entre o Dnit e a FUB – UnB, observa-se que o escopo do projeto proposto pela fundação contempla a realização de avaliações, estudos e elaboração de modelos de contratação, especialmente no que se refere aos contratos de TI (Objetivo 3, peça 354, p. 41). O item 5.5 do projeto menciona como produtos finais dessa ação: relatórios de avaliação; estudos preliminares e termos de referência de contratação de TI (peça 354, p. 52).700. Contudo, essas ações e esses artefatos propostos não permitem se inferir que serão implementados controles para a promoção da regular gestão contratual. Como exposto acima, a questão é crítica e merece atenção própria. Desse modo, conclui-se que o instrumento analisado, ainda que seja uma proposta de projeto, não tem o condão de realizar as ações necessárias à implementação dessa deliberação, ou seja, implementar controles que promovam cumprimento do processo de planejamento previsto na IN SLTI/MP 4/2010.D.15.4. Evidênciasa) Memorando 284/2013/CGMI, de 8/5/2013 (peça 74);b) Contrato Dnit 544/2012 (peça 87);c) excertos da execução do Contrato Dnit 786/2012 (peça 88);d) comentários do Dnit acerca do Relatório Preliminar de Auditoria (peça 354).D.15.5. Conclusão701. Ante o exposto, conclui-se que a recomendação não foi implementada.702. A inexistência de controles, aliada às falhas de gestão contratuais detectadas em 2010, bem como no contrato ora analisado, e, ainda, ao descumprimento do item 9.2.11 e de vários outros constantes do acórdão monitorado, impõem elevado risco à Administração.703. Dessa maneira, com fulcro na Seção III da IN SLTI/MP 4/2010 e conforme procedimento previsto no item 63.2 dos padrões de monitoramento aprovados pela Portaria-Segecex 27/2009, entende-se pela conveniência e oportunidade da proposição de conversão da recomendação em determinação e a fixação de prazo para seu cumprimento.D.15.6. Proposta de encaminhamento704. Considerar não implementada a recomendação 9.1.13 do Acórdão 866/2011-TCU-Plenário.705. Dar ciência ao Departamento Nacional de Infraestrutura de Transportes sobre as seguintes impropriedades identificadas na gestão dos Contratos 544/2012 e 786/2012, em desconformidade com o disposto na Lei 8.666/1993, art. 73, inciso I, alínea b:705.1. a insuficiência de especificação de níveis mínimos de serviço e critérios de aceitação, em desacordo com o que estabelece a IN SLTI/MP 4/2010, art. 15, inciso III, alíneas a e c:

75


705.2. a insuficiência de mecanismos de avaliação acerca da quantidade e qualidade (níveis de serviço) dos serviços realizados e dos bens entregues, de acordo com critérios de aceitação previamente definidos, em desacordo com o que estabelece a IN SLTI/MP 4/2010, art. 25, inciso III, alínea b:705.3. a inexistência de mecanismos que possibilitem a verificação do cumprimento da exigência quanto ao contratado manter, durante a vigência do contrato, as condições de qualificação e habilitação exigidas na licitação, em desacordo com o que estabelece a IN SLTI/MP 4/2010, art. 25, inciso III, alínea l;705.4. a insuficiência de controles sobre a quantidade de serviços solicitados e a quantidade de serviços efetivamente fornecidos, em desacordo com o que estabelece a IN SLTI/MP 4/2010, art. 25, incisos II, alíneas b e d, e III, alínea h.706. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes que, em atenção ao princípio da eficiência, art. 37, caput, da CF/1988, com o princípio do controle constante do inciso V, do art. 6º, do Decreto-Lei 200/1967, e em atenção ao art. 1 da Instrução Normativa SLTI/MP 4/, implemente, em 180 dias, a contar da ciência do decisum, controles que promovam o cumprimento do processo de gerenciamento do contrato, previsto na Seção III da IN SLTI/MP 4/2010, bem como a regular gestão contratual, tornando possível verificar se todas as obrigações do contratado foram efetivamente cumpridas antes da atestação do serviço.E. Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis (Ibama)707. A Secretaria de Controle Externo no Estado de Rondônia (Secex/RO) realizou auditoria no Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis (Ibama), no período de 25/5/2010 a 9/7/2010, com o objetivo de avaliar os controles gerais de Tecnologia da Informação (TI) e verificar se estavam de acordo com a legislação pertinente e com as boas práticas de governança de TI.708. Como resultado dessa auditoria, o plenário do TCU decidiu por doze recomendações e dezesseis determinações ao Ibama, as quais constam dos itens 9.1 e 9.2 do Acórdão 111/2011-TCU retificado na forma consignada no Acórdão 432/2011-TCU.709. Salienta-se que consta no Anexo E (peça 370) deste relatório a análise quanto ao atendimento de todas as deliberações constantes dos itens 9.1 e 9.2 do Acórdão 111/2011-TCU-Plenário, retificado na forma consignada no Acórdão 432/2011-TCU.710. Procede-se, a seguir, ao relato apenas das deliberações constantes nos itens 9.1 e 9.2 do Acórdão 111/2011-TCU-Plenário cuja análise quanto ao atendimento levou à conclusão pela proposição de nova(s) deliberação(ões) ou de reiteração de determinação não cumprida ou de conversão de recomendação não implementada em implementação, iniciando-se pelas determinações.E.1. Deliberação 9.2.109.2. determinar ao Ibama que:(...)9.2.10. em atenção ao disposto no Decreto 4.553/2002, art. 6º, § 2º, inciso II, e art. 67, crie critérios de classificação das informações, a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade, com observância das práticas contidas no item 7.2 da NBR ISO/IEC 27.002;E.1.1. Situação que levou à proposição da deliberação711. A equipe de auditoria verificou que o Ibama não possuía norma interna que regulasse a classificação das informações produzidas e/ou custodiadas pelo órgão.712. Segundo a equipe, a falta dessa norma trazia riscos à segurança da informação (peça 311, p. 14).E.1.2. Providências adotadas e comentários dos gestores713. O Ibama informou, em resposta ao item 2.36 do Anexo I do Ofício 85/2013-TCU/Sefti (peça 10, p. 5), que criou um Grupo de Trabalho e autuou um processo administrativo para tratar do assunto (peça 99).714. Entretanto, de acordo com o órgão, os trabalhos continuam em andamento e um documento que defina os critérios de classificação das informações ainda não foi criado.

76


E.1.3. Análise715. Por meio da portaria 883, de 8/7/2011, o Presidente do órgão criou um Grupo de Trabalho (GT) com o objetivo de elaborar critérios de classificação das informações, a fim de que possam ter tratamento diferenciado conforme seu grau de importância, criticidade e sensibilidade (peça 99, p. 8-10).716. O resultado do trabalho desse GT foi a minuta de uma portaria que determina quais documentos e quais assuntos serão classificadas como sigilosos (peça 99, p. 12-28).717. Para tratar do assunto, o Ibama abriu, em 18/9/2012, o Processo Administrativo 02001.006346/2012-89 (peça 99).718. Essa portaria foi encaminhada à Procuradoria Federal Especializada junto ao Ibama-Sede para que ela se manifestasse sobre o conteúdo do documento (peça 99, p. 30).719. Em sua análise, a Procuradoria entendeu que devem ser feitas algumas adequações na minuta da portaria, bem como uma análise mais apurada sobre quais informações merecerão, de fato, um tratamento sigiloso, levando-se em conta os artigos 25, 27 e 31 do Decreto 7.724/2012. (peça 99, p. 40).720. A última movimentação sobre o assunto, dentre as evidências encaminhadas pelo Ibama, ocorreu em 25/4/2013, quando, por meio do Despacho 009534/2013-Diplan/Ibama, foram encaminhados os autos do processo ao Centro Nacional de Informação, Tecnologias Ambientais e Editoração do Ibama para que se tomassem as providências pertinentes (peça 97).721. De acordo com o Plano de Ação encaminhado pelo Ibama, em 5/4/2011, essa ação já deveria estar concluída desde novembro de 2011 (peça 98, p. 11).E.1.4. Evidênciasa) Portaria 883, de 8/7/2011 (peça 99, p. 8-10);b) Processo Administrativo 02001.006346/2012-89 (peça 99);c) Despacho 009534/2013-Diplan/Ibama (peça 97).E.1.5. Conclusão722. Tendo em vista que os trabalhos continuam em andamento, apesar de a previsão para conclusão ser novembro de 2011, conclui-se que a determinação encontra-se em cumprimento fora do prazo. Em face disso, será proposta a reiteração da determinação, com prazo, conforme procedimento previsto no item 63.1 da Portaria-Segecex 27/2009.E.1.6. Proposta de Encaminhamento723. Considerar em cumprimento, fora do prazo, a determinação 9.2.10 do Acórdão 111/2011-TCU-Plenário.724. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Ibama que, em atenção ao disposto nos arts. 27 a 29 da Lei 12.527/2011 e nos arts. 31 a 34 do Decreto 7.724/2012, elabore e publique formalmente, no prazo de 180 (cento e oitenta) dias, a contar da ciência do decisum, processo para a classificação e tratamento das informações no âmbito do Ibama, considerando as recomendações contidas no item 7.2 da NBR ISO/IEC 27.002.E.2. Deliberação 9.2.119.2. determinar ao Ibama que:(...)9.2.11 em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, VII, c/c a Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira a que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, com observância das práticas contidas no item 7.1 da NBR ISO/IEC 27.002;E.2.1. Situação que levou à proposição da deliberação725. Quando da realização da auditoria, a equipe considerou que o documento enviado pelo Ibama não apresentava os elementos essenciais para ser considerado um inventário dos ativos de informação (peça 311, p. 15).E.2.2. Providências adotadas e comentários dos gestores726. Em sua resposta ao item 2.50 do Anexo I do Ofício 85/2013-TCU/Sefti (peça 10, p. 5), o Ibama informou ter realizado um inventário de ativos de TI, com posição de 26/3/2013, contidos em uma planilha eletrônica (peça 45).

77


727. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização (peça 353, p. 87), o Ibama informou que construiu um processo de gerenciamento de configuração de ativos, construído conforme estrutura e capacidade do Instituto, e que o mesmo encontra-se em fase de publicação.E.2.3. Análise728. De acordo com o item 7.1.1 da NBR ISO/IEC 27.002, são elementos essenciais de um inventário de ativos:a) lista de ativos;b) tipo do ativo;c) formato;d) localização;e) informações sobre cópia de segurança;f) informações sobre licenças;g) importância do ativo para o negócio;h) proprietário do ativo.729. A planilha eletrônica (peça 45) enviada pelo Ibama, apesar de aparentemente simples, apresenta todos os elementos listados acima.730. Apesar disso, considera-se que a utilização de uma planilha eletrônica para o controle do inventário dos ativos possui muitas fragilidades, especialmente para a manutenção de uma Base de Dados de Ativos de Informação devidamente atualizada.731. Além disso, o órgão não evidenciou a existência de um procedimento para a realização do inventário de ativos de informação, nos termos da orientação contida na determinação em referência.732. De acordo com o item 4.6 da Norma Complementar 10/DSIC/GSIPRO, o processo de inventário e mapeamento de ativos de informação deve ser dinâmico, periódico, e estruturado, para manter a Base de Dados de Ativos de Informação atualizada e, consequentemente, prover informações para o desenvolvimento de ações e planos referentes ao aperfeiçoamento de práticas de Gestão da Segurança da Informação e Comunicações.733. Portanto, apesar de o Ibama ter demonstrado a existência de uma planilha eletrônica contendo todos os elementos essenciais de um inventário, o órgão não logrou êxito em evidenciar a existência de um procedimento de inventário de ativos de informação, conforme foi determinado por este Tribunal.734. Em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização, o Ibama informou que construiu um processo de gerenciamento de configuração de ativos, construído conforme estrutura e capacidade do Instituto, e que o mesmo encontra-se em fase de publicação (peça 353, p. 87).735. Ainda de acordo com a entidade, a construção do processo de gerenciamento de configuração necessitou da execução em paralelo de ações que tornassem viável a implantação deste processo, quais sejam (peça 353, p. 87):a) Implantação e configuração de uma ferramenta de controle e gestão de ativos capaz de subsidiar a execução do processo (OCS – OpenSource Computer Inventory);b) Adequação da configuração do parque computacional com vistas a incluir todas as estações de trabalho em um único domínio de rede a fim de viabilizar a recuperação automática de informações via ferramenta remota.736. Por meio de análise realizada no documento Processo de Gerenciamento de Configuração de Ativos enviado pelo Ibama em anexo ao Ofício 179/2013/GP-Ibama (peça 353, p. 89-101), acredita-se que, após implementado, esse processo cumprirá a determinação feita por este Tribunal, desde que o Banco de Dados de Gerenciamento de Configuração (BDGC) contenha os elementos essenciais descritos no item 7.1.1 da NBR ISO/IEC 27.002.737. Destaca-se, entretanto, que o documento Processo de Gerenciamento de Configuração de Ativos (peça 353, p. 89-101) ainda não foi publicado, de forma que esse processo não pode ser considerado corporativo, o que faz com que esta equipe de auditoria mantenha o seu posicionamento.

78


E.2.4. Evidênciasa) Planilha eletrônica contendo um inventário de ativos de TI, com posição de 26/3/2013 (peça 45);b) Ofício 179/2013/GP-Ibama (peça 353).E.2.5. Conclusão738. Ante o exposto, conclui-se que a determinação não foi cumprida, sem a apresentação de justificativa para tal.739. É de se ressaltar que, de acordo com o item 63.1 da Portaria Segecex 27/2009 (Padrões de Monitoramento), nas situações que envolvam determinações não cumpridas sem justificativa pertinente, deve ser incluída proposta de aplicação de multa fundamentada no inciso VII ou VIII do Art. 268 do Regimento Interno do TCU, bem como proposta de reiteração das determinações, fixando prazo para o cumprimento destas.740. Entretanto, embora não tenha apresentado justificativa específica para o descumprimento desta determinação, o Ibama apresentou estudo em que comprova a falta de pessoal para a condução das atividades de gestão de TI (peça 36, p. 39).741. Além disso, das quinze determinações endereçadas ao instituto, doze foram cumpridas, uma está em cumprimento e apenas duas não foram cumpridas.742. Dessa forma, considerando a grande evolução em sua área de TI desde a realização da auditoria, propõe-se a reiteração da determinação com fixação de prazo, mas sem aplicação de multa.E.2.6. Proposta de Encaminhamento743. Considerar não cumprida a determinação 9.2.11 do Acórdão 111/2011-TCU-Plenário.744. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Ibama que, em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, inciso VII, c/c Norma Complementar 10/IN01/DSIC/GSIPR, estabeleça, no prazo de 360 (trezentos e sessenta) dias, a contar da ciência do decisum, procedimento de inventário de ativos de informação, de maneira a que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, com observância das práticas contidas no item 7.1 da NBR ISO/IEC 27.002.E.3. Deliberação 9.2.129.2. determinar ao Ibama que:(...)9.2.12. em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, VII, implemente processo de gestão de riscos de segurança da informação, com observância das práticas contidas na Norma Complementar 04/IN01/DSIC/GSIPR;E.3.1. Situação que levou à proposição da deliberação745. O Ibama descumpriu o disposto na Instrução Normativa GSI/PR 1/2008, art. 5º, VII c/c Norma Complementar 4/IN01/DSIC/GSIPR, ao não implementar um processo de gestão de riscos de segurança da informação (peça 311, p. 12).E.3.2. Providências adotadas e comentários dos gestores746. O Ibama não implementou processo de gestão de riscos de segurança da informação.747. Em sua resposta ao Ofício 85/2013-TCU/Sefti (peça 10), o órgão justificou que:No âmbito da gestão de riscos as ações adotadas pelo Ibama implementaram a análise de risco em contratos de TI, nas ações ações estratégicas de TI (PDTI) e no Gerenciemanto de Projeto evidenciado. As ações proveram a maturidade necessária para que o Ibama implemente, por meio do Comitê de Segurança da Informática e Comunicação (CSII), a integralidade da Gestão de Riscos de Segurança da Informação (GRSIC)(peça 34, p. 1).748. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização (peça 353, p. 87), a entidade informou que elaborou o processo de gestão de riscos do Ibama em conformidade com o Plano Diretor de Tecnologia da Informação (PDTI) 2013-2015, mas o documento que descreve esse processo encontra-se em fase de publicação (peça 353, p. 87).E.3.3. Análise

79


749. De acordo com o plano de ação encaminhado pelo órgão, o prazo para implementação dessa ação era agosto de 2011 (peça 98, p. 12).750. Entretanto, o Ibama não implementou o processo de gestão de riscos de segurança da informação.751. Em sua justificativa, o órgão afirmou que a integralidade da Gestão de Riscos de Segurança da Informação (GRSIC) será implementada pelo Comitê de Segurança da Informática e Comunicação (CSII) (peça 34, p. 1).752. Contudo, não há evidências suficientes para afirmar que sua conclusão ocorrerá no prazo estabelecido.753. Em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização, a entidade informou que elaborou o processo de gestão de riscos do Ibama em conformidade com o Plano Diretor de Tecnologia da Informação – PDTI 2013-2015 (peça 353, p. 87).754. Destaca-se, entretanto, que o documento que descreve esse processo encontra-se em fase de publicação (peça 353, p. 87) e que, dessa forma, não pode ser considerado corporativo.755. Diante do exposto, esta equipe de auditoria mantém o seu posicionamento de que a determinação não foi cumprida.E.3.4. Evidênciasa) Ofício 02001.006900/2013-17 Diplan/Ibama (peça 34);b) Ofício 179/2013/GP-Ibama (peça 353).E.3.5. Conclusão756. Ante o exposto, conclui-se que a determinação não foi cumprida, sem a apresentação de justificativa para tal.757. É de se ressaltar que, de acordo com o item 63.1 da Portaria Segecex 27/2009 (Padrões de Monitoramento), nas situações que envolvam determinações não cumpridas sem justificativa pertinente, deve ser incluída proposta de aplicação de multa fundamentada no inciso VII ou VIII do Art. 268 do Regimento Interno do TCU, bem como proposta de reiteração das determinações, fixando prazo para o cumprimento destas.758. Entretanto, embora não tenha apresentado justificativa específica para o descumprimento desta determinação, o Ibama apresentou estudo em que comprova a falta de pessoal para a condução das atividades de gestão de TI (peça 36, p. 39).759. Além disso, das quinze determinações endereçadas ao instituto, doze foram cumpridas, uma está em cumprimento e apenas duas não foram cumpridas.760. Dessa forma, considerando a grande evolução em sua área de TI desde a realização da auditoria, propõe-se a reiteração da determinação com fixação de prazo, mas sem aplicação de multa.E.3.6. Proposta de Encaminhamento761. Considerar não cumprida a determinação 9.2.12 do Acórdão 111/2011-TCU-Plenário.762. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Ibama que, em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, inciso VII, implemente, no prazo de 360 (trezentos e sessenta) dias, a contar da ciência do decisum, processo de gestão de riscos de segurança da informação, com observância das práticas contidas na Norma Complementar 04/IN01/DSIC/GSIPR.E.4. Deliberação 9.1.79.1. recomendar ao Ibama que:(...)9.1.7. estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 27.002, à semelhança das orientações contidas no Cobit 4.1, processo AI6 – Gerenciar mudanças e de outras boas práticas de mercado, como a NBR ISO/IEC 20.000;E.4.1. Situação que levou à proposição da deliberação763. À semelhança do que aconteceu com o processo de gerenciamento de incidentes, a equipe verificou que o Ibama não executava processo de gerenciamento de mudanças.

80


764. Segundo a equipe, a inexistência desse processo apresenta os seguintes riscos (peça 311, p. 10):a) comprometimento da disponibilidade das informações nos sistemas e da estabilidade do ambiente de TI devido à realização de mudanças não criteriosas;b) impossibilidade de restaurar uma situação anterior a uma mudança malsucedida, pela falta de cuidado com a preservação do estado anterior e de registro preciso dos passos executados;c) alteração do nível de proteção de uma ou várias informações de forma não avaliada, não prevista ou não aprovada pelo gestor da informação como efeito de mudança em um recurso de TI.E.4.2. Providências adotadas e comentários dos gestores765. O Anexo I do Ofício 85/2013-TCU/Sefti (peça 10, p. 6) solicitou que o Ibama nos enviasse evidências do estabelecimento de procedimentos formais de gestão de mudanças, descrição dos papéis dos profissionais envolvidos, e lista das atividades previstas.766. Como evidências de cumprimento das deliberações, o órgão enviou alguns exemplos de planos de implantação de sistema (peça 46), requisição de mudanças e escopo (peça 47), e emails contendo algumas solicitações de mudanças (peça 48).767. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização (peça 353, p. 87), o Ibama informou que o processo de gerenciamento de mudanças foi elaborado e encontra-se em fase de publicação.E.4.3. Análise768. De acordo com o Cobit 5, processo BAI6, todas as mudanças, incluindo manutenções e correções de emergência, relacionadas com a infraestrutura e as aplicações no ambiente de produção são formalmente gerenciadas de maneira controlada.769. As mudanças (incluindo procedimentos, processos, parâmetros de sistemas e de serviço) devem ser registradas, avaliadas e autorizadas antes da implementação e revisadas em seguida, tendo como base os resultados efetivos e planejados.770. Isso assegura a mitigação de riscos de impactos negativos na estabilidade ou na integridade do ambiente de produção.771. Todo esse processo deve estar definido e publicado em documento corporativo, para que todos dentro da entidade sigam essa prática.772. Entretanto, as evidências apresentadas pelo Ibama não evidenciam o estabelecimento de procedimentos formais de gestão de mudanças, conforme recomendado pelo TCU.773. Além disso, os artefatos apresentados não constam de um sistema de gerenciamento de mudanças, o que ajudaria na gestão do processo.774. Por outro lado, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização, o Ibama informou que o processo de gerenciamento de mudanças foi elaborado e encontra-se em fase de publicação (peça 353, p. 87).775. Entretanto, enquanto não for publicado, esse processo não pode ser considerado corporativo, o que faz com que esta equipe de auditoria mantenha o seu posicionamento.776. Portanto, diante do exposto, conclui-se que o Ibama não estabeleceu procedimentos formais de gestão de mudanças, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 27.002.E.4.4. Evidênciasa) Exemplo de plano de implantação de sistema (peça 46);b) Exemplo de requisição de mudanças e escopo (peça 47);c) Exemplo de email contendo solicitação de mudança (peça 48);d) Ofício 179/2013/GP-Ibama (peça 353).E.4.5. Conclusão777. A recomendação para o estabelecimento de procedimentos formais de gestão de mudanças não foi implementada.778. Considerando a superveniência de legislação estabelecendo diretrizes para gestão de mudanças nos aspectos relativos à segurança da informação e comunicações, por meio da Norma Complementar 13/IN01/DSIC/GSIPR, de 30/1/2012, será proposta a conversão dessa recomendação em

81


determinação, conforme procedimento previsto no item 63.2 dos padrões de monitoramento aprovados pela Portaria-Segecex 27/2009.E.4.6. Proposta de Encaminhamento779. Considerar não implementada a recomendação 9.1.7 do Acórdão 111/2011-TCU-Plenário.780. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Ibama que, em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, inciso VII, c/c Norma Complementar 13/IN01/DSIC/GSIPR, no prazo de 360 (trezentos e sessenta) dias, a contar da ciência do decisum, estabeleça procedimentos formais de gestão de mudanças, observando os procedimentos do item 12.5.1 da NBR ISO/IEC 27.002 e as orientações do Cobit 5, processo BAI06 – Manage Changes (Gerenciar mudanças – tradução livre) bem como outras boas práticas de mercado, como a NBR ISO/IEC 20.000.E.5. Deliberação 9.1.99.1. recomendar ao Ibama que:(...)9.1.9. estabeleça processo de avaliação da gestão de TI, à semelhança das orientações contidas no Cobit 4.1, itens ME1.4 – Avaliação de desempenho, ME1.5 – Relatórios gerenciais, ME1.6 – Ações corretivas e ME2 – Monitorar e avaliar os controles internos;E.5.1. Situação que levou à proposição da deliberação781. À época da auditoria, em reunião com a equipe, os gestores informaram que não existe avaliação da gestão de TI no ente.782. De acordo com a equipe de auditoria, a inexistência de avaliação da gestão de TI pode ocasionar a realização de atividades não alinhadas com as políticas e diretrizes estabelecidas (peça 311, p. 17).E.5.2. Providências adotadas e comentários dos gestores783. O Anexo I do Ofício 85/2013-TCU/Sefti solicitou que o Ibama nos enviasse evidências do estabelecimento de processo de avaliação da gestão de tecnologia da informação (peça 10, p. 6).784. Entretanto, nenhuma evidência de que o instituto tomou alguma providência para atender a esta recomendação foi recebida.785. Em sua justificativa para a não implementação dessa recomendação, o Ibama afirma basicamente que carece de profissionais especializados para atendê-la. (peça 120, p. 2-3)E.5.3. Análise786. Apesar de o Ibama informar que carece de profissionais com experiência na área de tecnologia da informação, consideramos que o instituto teve tempo suficiente, desde a publicação do Acórdão 111/2011-TCU, para desenvolver um processo de avaliação da gestão de TI, nos termos da recomendação.E.5.4. Evidênciasa) Ofício 02001.007391/2013-31 Diplan/Ibama (peça 120).E.5.5. Conclusão787. A recomendação não foi implementada.788. Considerando-se, por um lado, que a existência de um processo formalizado para a avaliação da gestão de TI é extremamente importante para que se possa ter uma boa governança institucional, e, por outro lado, levando-se em conta que a melhoria da maturidade da governança de TI no Ibama, conforme evidenciado neste monitoramento, torna atualmente possível, do ponto de vista técnico, exigir que a entidade estabeleça tal processo, será proposta a conversão dessa recomendação em determinação, conforme procedimento previsto no item 63.2 dos padrões de monitoramento aprovados pela Portaria-Segecex 27/2009.E.5.6. Proposta de Encaminhamento789. Considerar não implementada a recomendação 9.1.9 do Acórdão 111/2011-TCU-Plenário.790. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Ibama que, em consonância com o princípio constitucional da eficiência e a Estratégia Geral de Tecnologia da Informação 2013-2015, no prazo de 180 (cento e oitenta) dias, a

82


contar da ciência do decisum, estabeleça processo de avaliação da gestão de TI, à semelhança do Cobit 4.1, itens ME1.4 – Avaliação de desempenho, ME1.5 – Relatórios gerenciais, ME1.6 – Ações corretivas e ME2 – Monitorar e avaliar os controles internos.E.6. Deliberação 9.1.109.1. recomendar ao Ibama que:(...)9.1.10. promova ações para que a auditoria interna apoie a avaliação da TI, à semelhança das orientações contidas no Cobit 4.1, ME2 – Monitorar e avaliar os controles internos;E.6.1. Situação que levou à proposição da deliberação791. Durante a execução da auditoria, mediante verificação in loco, a equipe constatou que a Auditoria Interna não prestava apoio à avaliação de TI do Ibama.792. De acordo com a resposta do próprio órgão, não havia sido realizada auditoria de TI por iniciativa da instituição nos três últimos anos (peça 311, p. 17-18).E.6.2. Providências adotadas e comentários dos gestores793. Em resposta ao Ofício 85/2013-TCU/Sefti (peça 10), o Ibama encaminhou a seguinte justificativa para a não implementação da recomendação:A área de auditoria carece de profissionais com experiência na área de tecnologia da informação. Mas no sentido de atender esta recomendação esta previsto para auditoria recurso de pessoal oriundo do concurso administrativo em andamento (peça 34, p. 5).794. Desse modo, evidenciou-se que não foram adotadas providências por parte do Ibama para atender a essa recomendação.795. Posteriormente, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização (peça 353, p. 2-3), o Ibama reiterou sua posição de que a área carece de profissionais com conhecimento em tecnologia da informação e informou que recomendar ao instituto que inclua no Plano Anual de Atividades de Auditoria Interna uma auditoria para avaliar os controles internos da área de TI, pode resultar num trabalho sem a qualidade técnica desejada.E.6.3. Análise796. Apesar de o Ibama informar que a área de auditoria carece de profissionais com experiência na área de tecnologia da informação e que estão previstos recursos de pessoal oriundos do concurso administrativo em andamento, consideramos que o órgão teve tempo suficiente, desde a publicação do Acórdão 111/2011-TCU, para promover ações para que a Auditoria Interna apoiasse a avaliação de TI.797. Além disso, não há garantia de que o concurso em andamento terá profissionais com experiência na área de tecnologia da informação, já que, de acordo com o edital 1 (peça 68), de 21/3/2013, o concurso é relativo ao provimento de vagas para o cargo de Analista Administrativo, com graduação em qualquer área de formação.798. O Regimento Interno do Ibama (art. 20, inciso X) também prevê a possibilidade de a Coordenação de Auditoria propor a requisição de técnicos especializados, em caráter excepcional, com a anuência do respectivo superior hierárquico, para integrar equipe de auditoria (peça 313, p. 11).799. Entretanto, não há nos autos evidências de que a Coordenação de Auditoria do Ibama tentou utilizar dessa prerrogativa.800. Não há também nenhuma iniciativa da Auditoria Interna no sentido de avaliar os controles de TI.801. Dessa forma, cabe fazer recomendação para que o Ibama inclua no seu Plano Anual de Atividades de Auditoria Interna (Paint) atividade de avaliação de controles de TI.802. Entretanto, em sua manifestação sobre a análise exposta no relatório preliminar de fiscalização, o Ibama informou que, devido à falta de profissionais com experiência na área de tecnologia da informação, essa recomendação pode resultar num trabalho sem a qualidade técnica desejada (peça 353, p. 2-3).

83


803. Diante do exposto, cabe, também, fazer uma recomendação ao Ibama para que adote providências no sentido de dotar a sua área de Auditoria Interna com o conhecimento necessário para realizar a avaliação dos controles de TI da entidade.E.6.4. Evidênciasa) Ofício 02001.006900/2013-17 Diplan/Ibama (peça 34);b) Ofício 179/2013/GP-Ibama (peça 353).E.6.5. Conclusão804. A recomendação não foi implementada.E.6.6. Proposta de Encaminhamento805. Considerar não implementada a recomendação 9.1.10 do Acórdão 111/2011-TCU-Plenário.806. Recomendar ao Ibama que adote providências no sentido de dotar a sua área de Auditoria Interna com o conhecimento necessário para realizar a avaliação dos controles de TI da entidade, à semelhança das orientações contidas no Cobit 4.1, ME2 – Monitorar e avaliar os controles internos.807. Recomendar ao Ibama que, em atenção ao art. 19, inciso III, c/c o art. 20, inciso VII, do regimento interno, inclua no Plano Anual de Atividades de Auditoria Interna (Paint) atividade de avaliação de controles de TI, à semelhança das orientações contidas no Cobit 4.1, ME2 – Monitorar e avaliar os controles internos.CONCLUSÃO808. Os quadros resumos a seguir contêm o grau de atendimento das deliberações nos cinco órgãos/entidades monitorados.

84


Órgão: Secretaria Executiva do Ministério da Ciência, Tecnologia e Inovação (SE/MCTI)Acórdão: 380/2011-TCU-Plenário (TC 013.761/2010-2)

Determinações

Deliberação CumpridaEm

cumprimento e no prazo

Em cumprimento

com prazo expirado

Parcialmente cumprida

Não cumprida

9.2.1 X9.2.2 X9.2.3 X9.2.4 X9.2.5 X9.2.6 X9.2.7 X9.2.8 X9.2.9 X9.2.10 X9.2.11 X9.2.12 X9.2.13 X

Quantidade 6 0 2 3 2Percentual 46,1% 0% 15,4% 23,1% 15,4%

Recomendações

Deliberação ImplementadaEm

implementação e no prazo

Em implementação

com prazo expirado

Parcialmente implementada

Não implementada

9.1.1 X9.1.2 X9.1.3 X9.1.4 X9.1.5 X9.1.6 X9.1.7 X9.1.8 X9.1.9 X9.1.10 X9.1.11 X9.1.12 X9.1.13 X

Quantidade 8 0 3 0 2Percentual 61,5% 0% 23,1% 0% 15,4%

Total das deliberaçõesQuantidade 14 0 5 3 4Percentual 53,9% 0% 19,2% 11,5% 15,4%

Tabela 4 – Quadro resumo do grau de atendimento das deliberações na SE/MCTI.

85


Órgão: Secretaria-Executiva do Planejamento, Orçamento e Gestão (SE/MP)Acórdão: 2.613/2011-TCU-Plenário (TC 024.956/2010-4)

Determinações



Em cumprimento

com prazo expirado


Não cumprida

9.2.1 X9.2.2 X9.2.3 X9.2.4 X9.2.5 X9.2.6 X

Quantidade 3 1 2 0 0Percentual 50% 17% 33% 0% 0%

Recomendações



Em implementação

com prazo expirado


Não implementada

9.1.1 X9.1.2 X9.1.3 X9.1.4 X9.1.5 X9.1.6 X9.1.7 X9.1.8 X9.1.9 X9.1.10 X9.1.11 X9.1.12 X9.1.13 X9.1.14 X9.1.15 X9.1.16 X9.1.17 X

Quantidade 3 5 7 2 0Percentual 17,6% 29,4% 41,2% 11,8% 0%

Total das deliberaçõesQuantidade 6 6 9 2 0Percentual 26,1% 26,1% 39,1% 8,7% %

Tabela 5 – Quadro resumo do grau de atendimento das deliberações na SE/MP.

86


Órgão: Secretaria-Executiva do Ministério da Saúde (SE/MS)Acórdão: 757/2011-TCU-Plenário (TC 013.718/2010-0)

Determinações



Em cumprimento

com prazo expirado


Não cumprida

9.2.1 X9.2.2 X9.2.3 X9.2.4 X9.2.5 X9.2.6 X9.2.7 X9.2.8 X9.2.9 X9.2.10 X9.2.11 X

Quantidade 5 1 1 4 0Percentual 45,4% 9,1% 9,1% 36,4% 0%

Recomendações



Em implementação

com prazo expirado


Não implementada

9.1.1 X9.1.2 X9.1.3 X9.1.4 X9.1.5 X9.1.6 X9.1.7 X9.1.8 X9.1.9 X9.1.10 X9.1.11 X

Quantidade 4 1 0 4 2Percentual 36,4% 9,1% 0% 36,4% 18,2%

Total das deliberaçõesQuantidade 9 2 1 8 2Percentual 40,9% 9,1% 4,5% 36,4% 9,1%

Tabela 6 – Quadro resumo do grau de atendimento das deliberações na SE/MS.

87


Unidade: Departamento Nacional de Infraestrutura de Transportes (Dnit)Acórdão: 866/2011-TCU-Plenário (TC 009.982/2010-8)

Determinações



Em cumprimento

com prazo expirado


Não cumprida

9.2.1 X9.2.2 X9.2.3 X9.2.4 X9.2.5 X9.2.6 X9.2.7 X9.2.8 X9.2.9 X9.2.10 X9.2.11 X

Quantidade 1 0 0 3 7Percentual 9,1% 0% 0% 27,3% 63,6%

Recomendações



Em implementação

com prazo expirado


Não implementada

9.1.1 X9.1.2 X9.1.3 X9.1.4 X9.1.5 X9.1.6 X9.1.7 X9.1.8 X9.1.9 X9.1.10 X9.1.11 X9.1.12 X9.1.13 X

Quantidade 0 0 3 0 10Percentual 0% 0% 23,1% 0% 76,9%

Total das deliberaçõesQuantidade 1 0 3 3 17Percentual 4,2% 0% 12,5% 12,5% 70,8%

Tabela 7 – Quadro resumo do grau de atendimento das deliberações no Dnit.

88


Unidade: Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis (Ibama)Acórdão: 111 e 432/2011-TCU-Plenário (TC 013.674/2010-2)

Determinações



Em cumprimento

com prazo expirado


Não cumprida

9.2.1 X9.2.2 X9.2.3 X9.2.4 X9.2.5 X9.2.6 X9.2.7 X9.2.8 X9.2.9 X9.2.10 X9.2.11 X9.2.12 X9.2.13 X9.2.14 X9.2.15 X

Quantidade 12 0 1 0 2Percentual 80% 0% 6,7% 0% 13,3%

Recomendações



Em implementação

com prazo expirado


Não implementada

9.1.1 X9.1.2 X9.1.3 X9.1.4 X9.1.5 X9.1.6 X9.1.7 X9.1.8 X9.1.9 X9.1.10 X9.1.11 X9.1.12 X

Quantidade 6 0 0 0 6Percentual 50% 0% 0% 0% 50%

Total das deliberaçõesQuantidade 18 0 1 0 8Percentual 66,7% 0% 3,7% 0% 29,6%

Tabela 8 – Quadro resumo do grau de atendimento das deliberações no Ibama.

89


809. Em uma análise no âmbito de todas as instituições monitoradas, foi observada evolução na implantação de alguns controles relevantes, como o processo de elaboração do orçamento de TI, o processo de software e a política de segurança da informação e comunicações (Posic).810. Em relação ao processo de elaboração do orçamento de TI, foram encaminhadas determinações a quatro dos entes fiscalizados. O atual monitoramento constatou que três cumpriram o comando – SE/MCTI, SE/MS e Ibama (peça 366, p. 11, parágrafo 58; peça 368, p. 10, parágrafo 50; peça 370, p. 9, parágrafos 37-38) – e um, não, a saber, o Dnit (peça 369, p. 10-11, parágrafos 48-50). Cabe frisar ainda que a Estratégia Geral de Tecnologia da Informação (EGTI) do Sisp, para o triênio 2013/2015, contempla a estratégia de aperfeiçoamento da gestão orçamentária de TI, com o objetivo de que os órgãos do Sisp adotem boas práticas de gestão orçamentária para garantir o uso efetivo dos recursos financeiros necessários ao cumprimento das metas relacionadas à tecnologia da informação.811. A elaboração e formalização de processo de software foi determinada a cada Ministério e entidade fiscalizados. Todas as instituições (peça 366, p. 12, parágrafo 71; peça 367, p. 6, parágrafo 12; peça 368, p. 11, parágrafos 61-63; peça 370, p. 12, parágrafo 60), à exceção do Dnit (peça 369, p. 12, parágrafos 57-58), cumpriram o comando do Tribunal. Ainda assim, este monitoramento identificou falhas na utilização do processo de software implantado na SE/MS enquanto instrumento que caracteriza o objeto na contratação de serviços de desenvolvimento de software, pela ausência de vinculação do Contrato 69/2012 com o processo de software em vigor (peça 368, p. 11, parágrafo 63).812. Quanto ao controle que aborda as diretrizes gerais de segurança da informação, o TCU determinou a implantação de uma política de segurança da informação e comunicações (Posic) ao MCTI e ao Ibama, bem como determinou ao MP o ajuste da Posic à época implantada naquele Ministério, com base na NC 3/GSI/PR, de cumprimento obrigatório para os órgãos e entidades da APF Direta e Indireta. Este trabalho permitiu concluir que os três entes cumpriram as respectivas deliberações do Tribunal (peça 366, p. 15, parágrafo 100; peça 367, p. 7, parágrafo 22; peça 370, p. 15, parágrafo 81).812.1. As Posic do MP e do Ibama, em vigor à época da presente fiscalização, foram publicadas no Diário Oficial da União em 6/2/2012 e 6/6/2012, respectivamente, e contemplam os elementos essenciais presentes na Norma Complementar 3/IN03/DSIC/GSIPR (peça 367, p. 7, parágrafo 18; peça 370, p. 15, parágrafo 78). No MP, além disso, foram apresentadas evidências da divulgação do instrumento e das suas diretrizes em sítio específico da intranet e de encontros cujos temas se relacionavam à conscientização da importância da segurança da informação no âmbito do Ministério (peça 367, p. 7, parágrafo 20).812.2. Já a SE/MCTI aprovou e publicou sua Posic somente após a fase de execução deste monitoramento. Essa medida pode ser considerada o primeiro degrau para a implantação de um sistema de gestão de segurança da informação e comunicações e, como apontado pelo próprio órgão, deve se desdobrar na realização de várias outras ações, como a elaboração de novas políticas, normas e orientações específicas a respeito do tema, bem como na definição de novos processos e procedimentos (peça 366, p. 14-15, parágrafos 91-98).813. Por outro lado, de uma forma geral, quanto aos controles associados aos eixos de governança de TI e de segurança da informação e comunicações, percebeu-se baixo grau de cumprimento e/ou implementação das deliberações.814. No eixo da governança de TI, destaca-se negativamente o incipiente grau de cumprimento dos comandos referentes ao processo de planejamento estratégico de TI; à elaboração de estudo técnico qualitativo e quantitativo do quadro da área de TI; à avaliação da gestão de TI e ao apoio da Auditoria Interna na citada avaliação.815. No que tange ao processo de planejamento estratégico de TI , o TCU havia determinado à SE/MCTI e ao Ibama a elaboração e aprovação de um plano diretor de TI, com observância das diretrizes constantes da EGTI em vigor e das orientações contidas nas boas práticas. Também nesse tema, o Tribunal havia recomendado à SE/MP, à SE/MS e ao Dnit o aperfeiçoamento do processo de planejamento estratégico de TI. Ocorre que, dentre os cinco entes monitorados, somente o Ibama atendeu plenamente à deliberação (peça 370, p. 6, parágrafo 13).

90


815.1. A SE/MCTI cumpriu parcialmente a determinação, uma vez que não foi evidenciado alinhamento das necessidades/ações de TI declaradas no PDTI ao plano estratégico institucional do órgão (peça 366, p. 5-6, parágrafos 14-20).815.2. A SE/MP implementou parcialmente a recomendação atinente ao aperfeiçoamento do processo de planejamento estratégico de TI, porquanto, em que pese ter havido uma revisão no PDTI vigente, não foi possível evidenciar a existência de um processo estabelecido e formalizado no âmbito da instituição (peça 367, p. 16-17, parágrafos 85-89).815.3. Na SE/MS, o aperfeiçoamento do processo foi parcialmente implementado, visto que, apesar dos avanços constatados – processo formalizado, com o envolvimento de diversas áreas da estrutura organizacional do Ministério, não foi encontrada qualquer iniciativa destinada a avaliar e controlar os custos financeiros associados ao cumprimento dos objetivos de TI (peça 368, p. 23-24, parágrafos 155-158).815.4. A seu turno, o Dnit elaborou minutas de um plano estratégico de TI e de um PDTI que ainda não foram formalizados, razão pela qual o estabelecimento do processo de planejamento estratégico de TI encontra-se em implementação, com prazo expirado (peça 369, p. 29, parágrafos 187-189).816. O Tribunal havia recomendado a quatro dos entes fiscalizados que realizassem estudo qualitativo e quantitativo do quadro de pessoal da área de TI. A intenção do TCU foi que os órgãos/entidades tivessem condições de fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores de TI efetivos e devidamente qualificados. A recomendação foi plenamente implementada apenas no Ibama e, ainda assim, não gerou o resultado esperado (peça 370, p. 27, parágrafo 189). No que tange aos demais entes, o monitoramento constatou que a recomendação encontra-se em andamento, com prazo expirado, na SE/MP (peça 367, p. 20, parágrafo 112), e que não foi iniciada na SE/MCTI nem no Dnit (peça 366, p. 30, parágrafo 233; peça 369, p. 31, parágrafos 202-204).816.1. O Ibama realizou estudo técnico de avaliação qualitativa e quantitativa do quadro relativo à área de TI e o utilizou para pleitear, junto ao MP, a disponibilização de servidores especializados. Ainda assim, até a conclusão dos trabalhos de campo, não gerou nenhum resultado, já que não houve manifestação do MP em relação à demanda encaminhada pela Secretaria Executiva do MMA (peça 370, p. 27, parágrafos 187-188).816.2. Na SE/MP, a elaboração do referido estudo teve prazo final estabelecido para 31/8/2012, conforme consta do plano de ação enviado a esta Corte. As evidências nos autos apontam que os esforços (instituição de grupo de trabalho, elaboração e envio de questionários) para a elaboração do estudo ainda estão em andamento, mas não trazem elementos que justifiquem o atraso em relação ao que foi inicialmente estabelecido no plano de ação (peça 367, p 19, parágrafos 109-110).816.3. A SE/MCTI informou que, para realizar estudo técnico de avaliação qualitativa e quantitativa do quadro de TI, aguarda a elaboração de uma metodologia por parte da SLTI/MP (peça 366, p. 30, parágrafo 225).816.4. O Dnit também não logrou êxito em desenvolver as ações necessárias ao atendimento da deliberação, tendo apenas apresentado a intenção de celebrar Termo de Cooperação com a FUB – UnB, o qual contemplaria o estudo. Cumpre destacar que a carência quantitativa no quadro de pessoal de TI foi apresentada pela autarquia como justificativa do descumprimento das deliberações monitoradas neste trabalho. Esse fato atribui maior relevância a essa questão, principalmente diante da permanência da maioria dos problemas identificados na auditoria realizada em 2010. Desse modo, é importante que o órgão priorize ações no sentido de obter melhorias quantitativas e qualitativas para o quadro de pessoal de TI, como, dentre outras, a realização do referido estudo e a elaboração do plano de capacitação para a área de TI (peça 369, p. 30-31, parágrafos 195-201).817. O Tribunal recomendou, também, o estabelecimento de um processo formal de avaliação da gestão de TI a quatro dos cinco órgãos/entidades fiscalizados, bem como o aperfeiçoamento desse processo a um deles. O processo de avaliação da gestão de TI situa-se em nível estratégico, pois tem como objetivo aferir a qualidade da gestão de TI e os resultados dela obtidos. Por isso, deve abranger os processos de TI considerados relevantes para o efetivo suporte à missão institucional. Cumpre ressaltar que o estabelecimento de um processo de avaliação da gestão de TI encontra-se em sintonia com dois dos

91


objetivos que norteiam a EGTI do Sisp, para o triênio 2013/2015, quais sejam: “Aperfeiçoar a governança de TI” e “Alcançar a efetividade na Gestão de TI”.818. Infelizmente, nenhuma das quatro instituições para as quais esta Corte recomendou o estabelecimento do processo de avaliação da gestão de TI iniciou sua implementação (peça 366, p. 41, parágrafo 338; peça 368, p. 34, parágrafos 237-240; peça 369, p. 38, parágrafos 265-267; peça 370, p. 36, parágrafos 269-270). Já o aperfeiçoamento da avaliação da gestão de TI, recomendado à SE/MP, encontra-se em implementação, mas com prazo expirado (peça 367, p. 29, parágrafos 173-174).818.1. Na SE/MCTI, ainda não há evidência de ação específica sendo executada, nem mesmo alguma iniciativa de definição do próprio processo de avaliação da gestão de TI (peça 366, p. 40-41, parágrafos 325-337).818.2. A SE/MS, embora realize atividades de acompanhamento e controle de projetos prioritários e de outras ações estratégicas de TI, não apresentou evidências da implementação de um processo de avaliação da gestão de TI segundo as práticas e diretrizes consolidadas no Cobit 4.1 e utilizadas como critério por este Tribunal (peça 368, p. 33-34, parágrafos 226-236).818.3. O Dnit apenas mencionou a intenção de celebrar Termo de Cooperação com a FUB – UnB, o qual contemplaria a estruturação do processo de avaliação da gestão de TI (peça 369, p. 38, parágrafos 265-267).818.4. O Ibama não apresentou evidência de que o instituto tomou alguma providência para atender à recomendação, informando apenas que carece de profissionais especializados para atendê-la (peça 370, p. 35-36, parágrafos 268-270).818.5. Na SE/MP, o prazo de cumprimento dessa recomendação seria até o dia 31/12/2013. Ocorre que as ações que constavam do plano de ação dependiam da aprovação do Plano Estratégico de TI (Peti) do Ministério para o biênio 2014-2015 e, devido a atraso na elaboração e aprovação do referido plano, foram replanejadas, com término previsto para o dia 1º/5/2014 (peça 367, p. 27-28, parágrafos 161-165).819. O TCU recomendou, também nesse mesmo assunto, a cada um dos entes fiscalizados, a promoção de ações para que a Auditoria Interna apóie a avaliação da gestão de TI. Quanto a esse ponto, concluiu-se que as ações não foram iniciadas em três dos órgãos/entidades – SE/MS, Dnit e Ibama (peça 368, p. 36, parágrafo 253; peça 369, p. 39, parágrafo 275; peça 370, p. 37, parágrafo 286) – encontram-se em andamento, com prazo expirado, na SE/MP (peça 367, p. 28, parágrafos 166-167), e foram concluídas na SE/MCTI (peça 366, p. 43, parágrafo 352).819.1. A SE/MCTI demonstrou que trabalhos de avaliação da TI do Ministério têm sido realizados pela CGU, enquanto órgão central de controle interno do Poder Executivo Federal (peça 366, p. 42, parágrafos 346-351).819.2. A SE/MP informou no plano de ação que o prazo de implementação seria até o dia 31/12/2013. Ocorre que as ações estruturantes que constavam do plano de ação, tal como a avaliação da necessidade e viabilidade de efetivar uma equipe de auditoria interna em TI para apoiar os processos de avaliação da gestão de TI, foram replanejadas, com término previsto para o dia 1º/5/2014 (peça 367, p. 27-28, parágrafos 161-165).819.3. A SE/MS apresentou avanço em relação à situação constatada na fiscalização de 2010, tendo em vista que contratou auditoria externa para avaliar seu processo de gestão relacionado ao desenvolvimento de sistemas, bem com realizou auditorias internas de qualidade no referido processo. Entretanto, o Ministério não demonstrou a existência de ações que estimulem a atuação da Auditoria Interna no sentido de avaliar a gestão de TI (peça 368, p. 35-36, parágrafos 246-252).819.4. O trabalho de monitoramento permitiu concluir que o Dnit não promoveu ações para que a Auditoria Interna apoiasse a avaliação da TI (peça 369, p. 39, parágrafos 273-274).819.5. O Ibama também não promoveu ações para que a Auditoria Interna apoiasse a avaliação da TI, informando apenas que carece de profissionais especializados para atendê-la (peça 370, p. 37, parágrafos 278-285).820. Em face da falta de implementação de ações por parte dos Ministérios e entidades fiscalizados para que a Auditoria Interna apoiasse a avaliação da TI e considerando que o assunto é afeto

92


ao controle interno do Poder Executivo Federal, propõe-se o encaminhamento de cópia da deliberação que vier a ser adotada, bem como do relatório e voto que a fundamentarem, ao órgão central do sistema, a Controladoria Geral da União (CGU), para fins de conhecimento.821. No eixo da segurança da informação e comunicações, constatou-se baixo grau de cumprimento e/ou implementação das deliberações atinentes ao inventário de ativos de informação, ao processo de gestão de riscos de segurança da informação e comunicações (GRSIC) e à classificação da informação, todos considerados obrigatórios, segundo os critérios da NC 10/IN01/DSIC/GSIPR; da NC 04/IN01/DSIC/GSIPR; e dos arts. 27 a 29 da Lei 12.527/2011 e arts. 31 a 34 do Decreto 7.724/2012, respectivamente.822. Relativo ao inventário de ativos de informação, ressalta-se que sua ausência dificulta o controle e a recuperação dos ativos que dão suporte aos serviços de TI, em caso de falhas.823. Entretanto, verificou-se que nenhum das cinco instituições fiscalizadas implantou procedimento de inventário de ativos de informação que atendesse plenamente a deliberação do Tribunal. Não foi iniciado o estabelecimento de um inventário de ativos de informação no Dnit nem no Ibama. Na SE/MS, a implantação do inventário foi parcialmente cumprida, enquanto que na SE/MP encontra-se em cumprimento e no prazo e na SE/MCTI em cumprimento com prazo expirado.823.1. Com efeito, o Dnit ainda não iniciou o estabelecimento de um inventário de ativos de informação, tendo apresentado tão somente a intenção de celebrar Termo de Cooperação com a FUB – UnB, o qual contemplaria a gestão de inventário dos ativos (peça 369, p. 18, parágrafos 104-105).823.2. Quanto ao Ibama, ressalta-se que, embora não tenha apresentado justificativa específica para o descumprimento desta determinação, o instituto apresentou estudo em que comprova a falta de pessoal para a condução das atividades de gestão de TI (peça 370, p. 20, parágrafos 119-123).823.3. Na SE/MS, o gestor apresentou norma de segurança para gestão de ativos que, apesar de atender parcialmente às referências observadas pelo Tribunal, não atende ao escopo institucional pretendido pela política de segurança da informação regulamentada pelo GSI, uma vez que foi aprovada apenas no âmbito do Datasus (peça 368, p. 16, parágrafos 99-104).823.4. Na SE/MP, há projeto formalmente estabelecido para a elaboração e implantação do procedimento de inventário de ativos de informação, com dez etapas previstas até 31/12/2013. Contudo, não há evidências suficientes para afirmar que a conclusão da iniciativa ocorra no prazo estabelecido (peça 367, p. 10, parágrafos 42-43).823.5. No caso da SE/MCTI, o prazo para cumprimento da deliberação estabelecido no plano de ação enviado pelo Ministério expirou em setembro de 2011. Nos trabalhos de campo, foi possível evidenciar que as ações estão em andamento, visto que o Ministério adquiriu software que possui a funcionalidade de inventário de ativos de informação. No entanto, segundo o próprio órgão, o MCTI ainda não realiza a vinculação de proprietários responsáveis pelos ativos, cujos detalhes serão tratados durante a implantação dos processos de gerenciamento de serviços de TI, os quais são objeto de deliberações que também se encontram em cumprimento com prazo expirado (peça 366, p. 20-21, parágrafos 143-150).824. No tocante à gestão de riscos de segurança da informação e comunicações (GRSIC), o processo não foi iniciado na SE/MCTI, nem no Dnit, nem no Ibama. Na SE/MS, o processo de GRSIC foi parcialmente implantado e encontra-se em cumprimento com prazo expirado na SE/MP.824.1. No MCTI, a Posic aprovada após os trabalhos de campo menciona que as áreas responsáveis pelos ativos de informação devem implantar o processo GRSIC, mas o Ministério não apresentou evidência de existência de alguma ação em andamento nesse sentido (peça 366, p. 22, parágrafos 157-166).824.2. No Dnit, a Posic implantada define que o gestor dos ativos de informação deve estabelecer processos de gestão de riscos de segurança da informação e comunicações, mas não define tal processo. O Dnit apresentou a intenção de celebrar Termo de Cooperação a ser celebrado com a Fundação Universidade de Brasília (FUB – UnB), cujo escopo contemplaria a estruturação do modelo de gestão de riscos de segurança da informação (peça 369, p. 19-20, parágrafos 112-116).

93


824.3. O Ibama também não cumpriu a determinação. Todavia, embora não tenha apresentado justificativa específica para tal, o instituto apresentou estudo em que comprova a falta de pessoal para a condução das atividades de gestão de TI (peça 370, p. 21, parágrafos 137-141).824.4. A SE/MS cumpriu parcialmente a determinação, visto que a abrangência das normas de GRSIC apresentadas – política e metodologia de gestão de riscos – foram aprovadas apenas no âmbito do Datasus (peça 368, p. 17-18, parágrafos 110-116). Por oportuno, frisa-se que cabe à Alta Administração do Ministério aprovar as diretrizes gerais e o processo de GRSIC, em conformidade com o item 6.1 da NC 04/IN01/DSIC/GSIPR.824.5. Por sua vez, o MP apresentou uma minuta de gestão de riscos corporativos, a qual, embora não diretamente relacionada com os termos da determinação monitorada, demonstra preocupação com o tema. Contudo, o cumprimento da deliberação está com prazo expirado, uma vez que não foram apresentadas outras evidências de implantação do processo, especialmente no tocante àquelas etapas cuja previsão de término datava de 2012 no plano de ação enviado pelo Ministério (peça 367, p. 11-12, parágrafos 48-52).825. Com relação ao estabelecimento de critérios de classificação da informação, a deliberação foi considerada em cumprimento, fora do prazo definido no plano de ação, na SE/MCTI, na SE/MP e no Ibama; parcialmente cumprida na SE/MS; e não cumprida no Dnit.825.1. A determinação foi parcialmente cumprida na SE/MS, visto que o Ministério publicou portaria que estabelece critérios para o tratamento de informação considerada sigilosa (peça 368, p. 15, parágrafos 88-93).825.2. O prazo para cumprimento da determinação pela SE/MCTI expirou em dezembro de 2011. O Ministério elaborou norma de tratamento de informações institucionais sob restrição de acesso, em conformidade com a LAI e com a Posic do órgão, mas essa norma ainda está pendente de aprovação pela Alta Administração (peça 366, p. 18-19, parágrafos 124-135).825.3. Igualmente, segundo o plano de ação enviado pela SE/MP, contendo cinco etapas acerca da deliberação, expirou em 16/7/2012 o prazo para o Ministério cumprir a terceira etapa, que seria justamente elaborar orientações sobre procedimentos afetos à classificação de informações. Todavia, não foram apresentadas evidências acerca do cumprimento dessa etapa, bem como da etapa subsequente, que tratava da divulgação e capacitação dos servidores quanto aos procedimentos de classificação da informação do MP (peça 367, p. 8-9, parágrafos 30-35).825.4. O Ibama apenas evidenciou que se encontra em andamento a elaboração de normativo que determina quais documentos e quais assuntos serão classificadas como sigilosos, ação que já deveria estar concluída desde novembro de 2011 conforme plano de ação apresentado (peça 370, p. 17-18, parágrafos 96-103).825.5. No Dnit, os critérios de classificação da informação ainda não foram estabelecidos, embora tal obrigação seja mencionada na Posic da autarquia, que, apresentou a intenção de celebrar Termo de Cooperação a ser celebrado com a Fundação Universidade de Brasília (FUB – UnB), cujo escopo contemplaria área de processo relacionada à classificação e ao tratamento da informação (peça 369, p. 16-17, parágrafos 91-95).826. Importante registrar que, além dos controles já citados, o escopo da avaliação empreendida neste trabalho abrangeu outros importantes controles associados aos eixos de governança e de gestão de TI além de alguns relacionados à segurança da informação e comunicações nos órgãos/entidades monitorados, quais sejam: processo de planejamento estratégico institucional; comitê de TI; papéis sensíveis de TI; processo de execução orçamentária; processo de gestão de projetos; processos de gestão de mudanças, de incidentes e de configuração; plano anual de capacitação; planejamento das contratações e gestão contratual; bem como controles relativos à segurança da informação e comunicações, quais sejam, gestor de segurança da informação e comunicações, comitê de segurança da informação e comunicações e equipe de tratamento e resposta a incidentes em redes computacionais.

827. Uma análise quantitativa simples conforme as tabelas 4 a 8 permite descrever o grau de cumprimento das recomendações e determinações do TCU por cada instituição monitorada neste trabalho.

94


828. O Ibama, dentre as instituições monitoradas, foi aquela que deu cumprimento ao maior número de encaminhamentos emanados pela Corte, tendo cumprido 80% das determinações e implementado 50% das recomendações exaradas. Em seguida, destaca-se o MCTI, que deu cumprimento a 46% das determinações e demonstrou ter implantado 61,5% das recomendações.829. O MP cumpriu 50% das determinações a ele emanadas pelo Tribunal e implementou aproximadamente 17% das recomendações. Nesse caso, em específico, cabe destacar o número elevado de recomendações em cumprimento fora do prazo (41%).830. O MS cumpriu 45% das determinações e implementou 36% das recomendações. Merece destaque o fato de que aproximadamente 36% das determinações exaradas pelo Tribunal foram avaliadas como parcialmente cumpridas pelo órgão.831. Já o Dnit cumpriu apenas 9% das determinações e nenhuma recomendação constante do Acórdão 866/2011-TCU-Plenário. Essa situação ilustra um diagnóstico grave da situação da governança e gestão de TI na autarquia, a ponto de poder ser a origem de problemas crônicos de eficiência e de efetividade na operação do próprio Dnit, comprometendo seus resultados.832. Vale frisar que esta equipe de auditoria concluiu pela proposição de promoção de audiência de alguns responsáveis no MCTI e no Dnit pelo descumprimento de determinação do Tribunal sem apresentação de justificativa pertinente para tal. No MCTI, a proposta de audiência visa a permitir que os responsáveis apresentem suas razões de justificativa pelo descumprimento dos itens 9.2.8 (peça 366, p. 16-17, parágrafos 105-113) e 9.2.11 do Acórdão 380/2011-TCU-Plenário (peça 366, p. 22, parágrafos 157-166), concernentes à instituição de equipe de tratamento e resposta a incidentes em redes computacionais e à implantação de processo de gestão de riscos de segurança da informação e comunicações, respectivamente, no âmbito do Ministério. A seu turno, no Dnit, concluiu-se pela proposta de promoção de audiência dos responsáveis pelo descumprimento do item 9.2.11 do Acórdão 866/2011-TCU-plenário, que se refere ao dever de adoção das medidas necessárias à apuração e à aplicação das penalidades previstas no Contrato 265/2006-00 por conta de inexecução parcial dos serviços previstos sem a aplicação das devidas sanções (peça 369, p. 22-24, parágrafos 136-151).

PROPOSTAS DE ENCAMINHAMENTO833. Diante do exposto, submetem-se os autos à consideração superior com a seguinte proposta:833.1. Considerar cumpridas as determinações 9.2.3, 9.2.4, 9.2.5, 9.2.6, 9.2.7 e 9.2.12 do Acórdão 380/2011-TCU-Plenário (peça 366, p. 9, parágrafo 46; p. 11, parágrafo 59; p. 12, parágrafo 72; p. 13, parágrafo 82; p. 15, parágrafo 100; p. 24, parágrafo 177);833.2. Considerar parcialmente cumpridas as determinações 9.2.1, 9.2.2 e 9.2.13 do Acórdão 380/2011-TCU-Plenário (peça 366, p. 6, parágrafo 21; p. 8, parágrafo 37; p. 27, parágrafo 205);833.3. Considerar em cumprimento, com prazo expirado, as determinações 9.2.9 e 9.2.10 do Acórdão 380/2011-TCU-Plenário (peça 366, p. 19, parágrafo 136; p. 21, parágrafo 151);833.4. Considerar não cumpridas as determinações 9.2.8 e 9.2.11 do Acórdão 380/2011-TCU-Plenário (peça 366, p. 17, parágrafo 114; p. 23, parágrafo 167);833.5. Considerar implementadas as recomendações 9.1.1, 9.1.3, 9.1.4, 9.1.5, 9.1.9, 9.1.11, 9.1.12 e 9.1.13 do Acórdão 380/2011-TCU-Plenário (peça 366, p. 29, parágrafo 218; p. 32, parágrafo 244; p. 33, parágrafo 259; p. 34, parágrafo 273; p. 39, parágrafo 321; p. 43, parágrafo 353; p. 44, parágrafo 366; p. 47, parágrafo 384);833.6. Considerar em implementação, com prazo expirado, as recomendações 9.1.6, 9.1.7 e 9.1.8 do Acórdão 380/2011-TCU-Plenário (peça 366, p. 35, parágrafo 284; p. 37, parágrafo 295; p. 38, parágrafo 306);833.7. Considerar não implementadas as recomendações 9.1.2 e 9.1.10 do Acórdão 380/2011-TCU-Plenário (peça 366, p. 30, parágrafo 234; p. 41; parágrafo 339);833.8. Recomendar à Secretaria-Executiva do Ministério da Ciência, Tecnologia e Inovação que:833.8.1. aperfeiçoe seu processo de planejamento estratégico institucional, considerando o previsto no critério de avaliação 2 do Gespública, considerando, por exemplo, a definição de referencial estratégico e a análise dos ambientes interno e externo (peça 366, p. 29, parágrafo 219);

95


833.8.2. em atenção à Portaria MCTI/Spoa 100/2012, elabore listas de verificação para auxiliar os fiscais de contrato na verificação de conformidade da prestação dos serviços contratatos, considerando as atividades previstas em seu processo de gerenciamento de contratos de soluções de TI (peça 366, p. 47, parágrafo 385);833.9. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, à Secretaria-Executiva do Ministério da Ciência, Tecnologia e Inovação que:833.9.1. no prazo de noventa dias a contar da ciência do decisum, institua um processo formal de planejamento de TI para assegurar que seu PDTI seja aderente ao modelo de referência do Guia de Elaboração de PDTI, do Sistema de Administração dos Recursos de Tecnologia da Informação – Sisp, especialmente ao contemplar ações explicitamente alinhadas ao seu plano estratégico institucional, nos moldes do que estabelecem a Estratégia Geral de Tecnologia da Informação – EGTI 2013/2015 e o art. 4º da Instrução Normativa – SLTI/MP 4/2010, observando ainda as práticas contidas no Cobit 4.1, Processo PO1 – Planejamento Estratégico de TI(peça 366, p. 6, parágrafo 22);833.9.2. em atenção às Portarias MCTI 383/2012 e MCTI 384/2012, no prazo de noventa dias a contar da ciência do decisum, institua formalmente procedimento de monitoramento do Comitê Executivo de Tecnologia da Informação – Ceti – e do Comitê de Segurança da Informação e Comunicações – CSIC, de modo a assegurar que esses comitês exerçam de fato suas atribuições (peça 366, p. 8, parágrafo 38);833.9.3. em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, V, no prazo de noventa dias a contar da ciência do decisum, institua equipe de tratamento e resposta a incidentes em redes computacionais, com observância das práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR (peça 366, p. 17, parágrafo 115);833.9.4. em atenção aos arts. 27 a 29 da Lei 12.527/2011 e aos arts. 31 a 34 do Decreto 7.724/2012, no prazo de noventa dias a contar da ciência do decisum, elabore e publique formalmente processo para classificação e tratamento das informações no âmbito do Ministério, considerando as recomendações do item 7.2 da Norma Técnica ABNT NBR ISO/IEC 27002:2005 (peça 366, p. 19, parágrafo 137);833.9.5. em atenção à Instrução Normativa – GSI/PR 1/2008, art. 5º, inciso VII, c/c Norma Complementar 04/IN01/DSIC/GSIPR, item 6.2.1, no prazo de noventa dias a contar da ciência do decisum, estabeleça procedimento de inventário de ativos de informação, de maneira que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando as diretrizes da Norma Complementar 10/IN01/DSIC/GSIPR e as recomendações do item 7.1 da Norma Técnica ABNT NBR ISO/IEC 27002:2005 (peça 366, p. 21, parágrafo 152);833.9.6. em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, VII, no prazo de 180 dias a contar da ciência do decisum, implemente processo de gestão de riscos de segurança da informação e comunicações, com observância das práticas contidas na Norma Complementar 04/IN01/DSIC/GSIPR (peça 366, p. 23, parágrafo 168);833.9.7. em consonância com o princípio constitucional da eficiência e com a Estratégia Geral de Tecnologia da Informação (EGTI) 2013/2015, no prazo de 180 dias a contar da ciência do decisum, estabeleça processo de avaliação da gestão de TI, à semelhança do Cobit 4.1, itens ME1.4 – Avaliação de desempenho, ME1.5 – Relatórios gerenciais, ME1.6 – Ações corretivas e ME2 – Monitorar e avaliar os controles internos (peça 366, p. 41, parágrafo 340);833.10. Dar ciência à Secretaria-Executiva do Ministério da Ciência, Tecnologia e Inovação sobre a seguinte impropriedade: ausência de atuação do Gestor de Segurança da Informação e Comunicações, identificada no período que sucedeu a sua nomeação, o que afronta o estabelecido no art. 3º da Portaria Sexec 14/2011 (peça 366, p. 13-14, parágrafo 83);833.11. Dar ciência à Secretaria-Executiva do Ministério da Ciência, Tecnologia e Inovação sobre as seguintes impropriedades identificadas nos artefatos produzidos na fase de planejamento da contratação que deu origem ao Contrato 17/2012:833.11.1. o documento do planejamento, que reuniu os artefatos Análise de Viabilidade, Plano de Sustentação, Estratégia e Análise de riscos, não possui data de aprovação e não foi assinado pelo integrante administrativo da equipe de planejamento da contratação, o que afronta o estabelecido no

96


parágrafo único do art. 11, no parágrafo único do art. 14, no § 6º do art. 15 e no § 2º do art. 16, todos da IN SLTI/MP 4/2010 (peça 366, p. 27, parágrafo 206.1);833.11.2. no conteúdo do documento Análise de Viabilidade, não há referência à análise de projetos similares realizados por outros órgãos ou entidades da Administração Pública, o que afronta o estabelecido no inciso I da art. 11 da IN SLTI/MP 4/2010, e à definição de requisitos de segurança, o que afronta o estabelecido no inciso VI do art. 12 da IN SLTI/MP 4/2010 (peça 366, p. 27, parágrafo 206.2);833.11.3. no conteúdo do documento Estratégia da Contratação, não foram encontrados modelos de termos de compromisso de manutenção de sigilo e respeito às normas de segurança vigentes, a serem assinados pelos empregados da contratada, o que afronta o estabelecido no inciso VI do art. 15 da IN SLTI/MP 4/2010 (peça 366, p. 27, parágrafo 206.3);833.11.4. no conteúdo do documento Análise de Riscos, não há definição dos responsáveis pelas ações de prevenção e de contingência relacionadas, o que afronta o estabelecido no inciso VI do art. 16 da IN SLTI/MP 4/2010 (peça 366, p. 27, parágrafo 206.4);833.12. Dar ciência à Secretaria-Executiva do Ministério da Ciência, Tecnologia e Inovação sobre as seguintes impropriedades identificadas nos documentos produzidos na fase de planejamento da contratação que deu origem ao Contrato 32/2012:833.12.1. no conteúdo do documento Análise de Viabilidade, não há referência à análise de projetos similares realizados por outros órgãos ou entidades da Administração Pública, o que afronta o estabelecido no inciso I da art. 11 da IN SLTI/MP 4/2010, à identificação de solução similar em outro órgão ou entidade da Administração Pública, o que afronta o estabelecido no inciso II dão art. 11 da IN SLTI/MP 4/2010, e à definição de requisitos de segurança, o que afronta o estabelecido no inciso VI do art. 12 da IN SLTI/MP 4/2010 (peça 366, p. 27, parágrafo 207.1);833.12.2. no conteúdo do documento Estratégia da Contratação, não foram encontrados modelos de termos de compromisso de manutenção de sigilo e respeito às normas de segurança vigentes, a serem assinados pelo representante legal e pelos empregados da contratada, o que afronta o estabelecido no inciso VI do art. 15 da IN SLTI/MP 4/2010 (peça 366, p. 27, parágrafo 207.2);833.12.3. no conteúdo do documento Análise de Riscos, não há definição dos responsáveis pelas ações de prevenção e de contingência relacionadas, o que afronta o estabelecido no inciso VI do art. 16 da IN SLTI/MP 4/2010 (peça 366, p. 28, parágrafo 207.3);833.13. Dar ciência à Secretaria-Executiva do Ministério da Ciência, Tecnologia e Inovação sobre a seguinte impropriedade detectada nos controles destinados a promover o cumprimento do processo de planejamento previsto na Instrução Normativa SLTI/MP 4/2010: utilização de modelos de artefatos diferentes dos detalhados no Guia Prático para Contratação de Soluções de TI da SLTI/MP, o que afronta o estabelecido na Portaria MCTI/Spoa 98/2012 (peça 366, p. 44, parágrafo 367);833.14. Dar ciência ao Ministério da Ciência, Tecnologia e Inovação sobre a seguinte impropriedade detectada nos controles destinados a promover a regular gestão contratual: instituição de comissões de acompanhamento e fiscalização de contrato compostas por atores diferentes dos estabelecidos no Guia Prático para Contratação de Soluções de TI da SLTI/MP, o que afronta o estabelecido na Portaria MCTI/Spoa 100/2012 (peça 366, p. 47, parágrafo 386);833.15. Promover, com fulcro no art. 58 § 1º da Lei 8.443/1992 c/c o art. 268, inciso VII, do Regimento Interno e nos termos do art. 43, inciso II, da Lei 8.443/1992 c/c o art. 250, inciso IV, do Regimento Interno do TCU, a audiência dos responsáveis a seguir, para que, no prazo de quinze dias a contar da ciência da notificação, apresente suas razões de justificativa sobre a omissão no dever de atuar no sentido de dar cumprimento às determinações 9.2.8 e 9.2.11 exaradas por este Tribunal no Acórdão 380/2011-TCU-Plenário (peça 366, p. 17, parágrafo 116; p. 23, parágrafo 169):833.15.1. Sr. Antonio Ibañes Ruiz, CPF 182.329.491-04, Gestor de Segurança da Informação e Comunicações (25/10/2011 a 1/7/2012) e Coordenador do Comitê de Segurança da Informação e Comunicações (1/6/2012 a 1/7/2012);833.15.2. Sr. Guilherme Euclides Brandão, CPF 225.345.201-72, Gestor de Segurança da Informação e Comunicações Substituto e Coordenador do Comitê de Segurança da Informação e Comunicações (1/7/2012 a 27/5/2013);

97


833.15.3. Srª Ana Lúcia Delgado Assad, CPF 185.188.181-68, Gestora de Segurança da Informação e Comunicações e Coordenadora do Comitê de Segurança da Informação e Comunicações (a partir de 27/5/2013);833.16. Considerar as determinações 9.2.1, 9.2.2 e 9.2.6 do Acórdão 2.613/2011-TCU-Plenário cumpridas (peça 367, p. 6, parágrafo 12; p. 7, parágrafo 22; p. 13, parágrafo 66);833.17. Considerar a determinação 9.2.4 do Acórdão 2.613/2011-TCU-Plenário em cumprimento, no prazo definido no plano de ação (peça 367, p. 10, parágrafo 43);833.18. Considerar as determinações 9.2.3 e 9.2.5 do Acórdão 2.613/2011-TCU-Plenário em cumprimento, fora do prazo definido no plano de ação (peça 367, p. 9, parágrafo 35; p. 12, parágrafo 52);833.19. Considerar as recomendações 9.1.10, 9.1.14 e 9.1.17 do Acórdão 2.613/2011-TCU-Plenário implementadas (peça 367, p. 26, parágrafo 155; p. 37, parágrafo 232; p. 44, parágrafo 275);833.20. Considerar a recomendação 9.1.1 do Acórdão 2.613/2011-TCU-Plenário parcialmente implementada, tendo em vista a necessidade de que a Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão, em atenção ao Decreto-Lei 200/1967, art. 6º, I, e art. 7º, contemple, no âmbito do seu planejamento estratégico institucional, indicadores e metas vinculados aos objetivos estratégicos, além de prever a criação de planos de ação de médio e curto prazo para o atendimento de cada objetivo, considerando o critério de avaliação 2 do Gespública (peça 367, p. 15, parágrafo 76);833.21. Considerar a recomendação 9.1.2 do Acórdão 2.613/2011-TCU-Plenário parcialmente implementada, tendo em vista a necessidade de que a Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão defina e formalize um processo de planejamento estratégico de TI adaptado às suas necessidades, observando as diretrizes do Guia de Elaboração de PDTI do Sistema de Administração de Recursos de Tecnologia da Informação – Sisp e considerando as orientações constantes no Cobit 5, prática de gestão “APO02.05 – Definir o plano estratégico (tradução livre)” (peça 367, p. 17, parágrafo 89);833.22. Considerar as recomendações 9.1.5, 9.1.8, 9.1.9, 9.1.15 e 9.1.16 do Acórdão 2.613/2011-TCU-Plenário em implementação, dentro do prazo definido no plano de ação (peça 367, p. 20, parágrafo 117; p. 23, parágrafo 137; p. 24, parágrafo 144; p. 40, parágrafo 250; p. 41, parágrafo 256);833.23. Considerar as recomendações 9.1.3, 9.1.4, 9.1.6, 9.1.7, 9.1.11, 9.1.12 e 9.1.13 do Acórdão 2.613/2011-TCU-Plenário em implementação, com prazo expirado (peça 367, p. 18, parágrafo 99; p. 19, parágrafo 111; p. 21, parágrafo 123; p. 22, parágrafo 130; p. 28, parágrafo 167; p. 29, parágrafo 174; p. 31, parágrafo 188);833.24. Recomendar à Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão que:833.24.1. em atenção ao art. 5º, inciso I do Decreto 5707/2006 e ao art. 4º da Portaria MP 208/2006, realize revisões periódicas anuais no plano visando reavaliar o seu conteúdo e, se for o caso, construa versões anualizadas do plano quadrienal de capacitação (peça 367, p. 13, parágrafo 68);833.25. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, à Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão que:833.25.1. em atenção aos arts. 27 a 29 da Lei 12.527/2011 e aos arts. 31 a 34 do Decreto 7.724/2012, no prazo de noventa dias a contar da ciência do decisum, elabore e publique formalmente processo para a classificação e tratamento das informações no âmbito do órgão, considerando as recomendações da NBR ISO/IEC 27.002, item 7.2 (peça 367, p. 9, parágrafo 37);833.25.2. em atenção à IN GSI/PR 1/2008, art. 5º, VII, c/c a Norma Complementar 4/IN01/DSIC/GSIPR, no prazo de 180 dias a contar da ciência do decisum, implemente processo de gestão de riscos de segurança da informação e comunicações (peça 367, p. 12, parágrafo 54);833.26. Dar ciência à Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão sobre as seguintes impropriedades:833.26.1. a elaboração de artefatos de planejamento da contratação que deram origem ao Contrato 62/2012 em desacordo com o que estabelece a IN SLTI/MP 4/2010, tais como (peça 367, p. 37, parágrafo 234.1):

98


833.26.1.1. a análise de viabilidade da contratação, que afronta o disposto no o art. 11, incisos II, III e V (peça 367, p. 37, parágrafo 234.1.1);833.26.1.2. o plano de sustentação, que afronta o disposto no art. 14, inciso IV (peça 367, p. 37, parágrafo 234.1.2);833.26.1.3. a estratégia da contratação, que afronta o disposto no art. 15, incisos III, alíneas a, b, c e f, IV e VII (peça 367, p. 37, parágrafo 234.1.3);833.26.1.4. a análise de riscos, que afronta o disposto no art. 16 (peça 367, p. 37, parágrafo 234.1.4);833.26.1.5. o termo de referência, que afronta o disposto no art. 17, §1º (peça 367, p. 37, parágrafo 234.1.5).833.26.2. a elaboração de artefatos de planejamento da contratação que deram origem ao Contrato 85/2012 em desacordo com o que estabelece a IN SLTI/MP 4/2010, tais como (peça 367, p. 37, parágrafo 234.2):833.26.2.1. a análise de riscos, que afronta o disposto no art. 16, inciso VI (peça 367, p. 37, parágrafo 234.2.1);833.26.2.2. os documentos de análise de viabilidade da contratação e plano de sustentação aprovados após a estratégia da contratação, que afronta o disposto no art. 15, caput (peça 367, p. 37, parágrafo 234.2.2).833.26.2.3. a elaboração do documento de oficialização de demanda que subsidiou o processo de planejamento que deu origem ao Contrato 99/2012, em afronta ao que estabelece o art. 9º, incisos III e IV da IN SLTI/MP 4/2010 (peça 367, p. 37, parágrafo 234.2.3);833.26.2.4. a inexistência dos artefatos análise da viabilidade, plano de sustentação e análise de riscos no processo de planejamento que deu origem ao contrato 99/2012, em afronta ao que estabelece o art. 1º, caput da IN SLTI/MP 4/2010 (peça 367, p. 37, parágrafo 234.2.4).833.26.3. a elaboração de artefatos de planejamento da contratação referentes ao processo 04300.005708/2012-75 em desacordo com o que estabelece a IN SLTI/MP 4/2010, tais como (peça 367, p. 37, parágrafo 234.3):833.26.3.1. a análise da viabilidade da contratação, que afronta o disposto no art. 11, inciso I c/c o art. 12, inciso I (peça 367, p. 38, parágrafo 234.3.1);833.26.3.2. a estratégia da contratação, que afronta o disposto no art. 15, IV da IN SLTI/MP 4/2010 (peça 367, p. 38, parágrafo 234.3.2);833.27. Considerar cumpridas as determinações 9.2.2, 9.2.3, 9.2.4, 9.2.5 e 9.2.11 do Acórdão 757/2011-TCU-Plenário (peça 368, p. 8, parágrafo 33; p. 10, parágrafo 51; p.11, parágrafo 64; p. 13, parágrafo 74; p. 22, parágrafo 148);833.28. Considerar parcialmente cumpridas as determinações 9.2.1, 9.2.7, 9.2.8 e 9.2.9 do Acórdão 757/2011-TCU-Plenário (peça 368, p. 6, parágrafo 20; p. 15, parágrafo 94; p. 17, parágrafo 105; p. 18, parágrafo 117);833.29. Considerar em cumprimento, no prazo, a determinação 9.2.10 do Acórdão 757/2011-TCU-Plenário (peça 368, p. 20, parágrafo 131);833.30. Considerar em cumprimento, com prazo expirado, a determinação 9.2.6 do Acórdão 757/2011-TCU-Plenário (peça 368, p. 14, parágrafo 83);833.31. Considerar implementadas as recomendações 9.1.2, 9.1.3, 9.1.7 e 9.1.8 do Acórdão 757/2011-TCU-Plenário (peça 368, p. 25, parágrafo 165; p. 26, parágrafo 176; p. 31, parágrafo 215; p. 32, parágrafo 221);833.32. Considerar parcialmente implementada a recomendação 9.1.1 do Acórdão 757/2011-TCU-Plenário, tendo em vista que o PDTI analisado não contempla a avaliação e o controle dos custos dos objetivos de TI, com vistas a otimizar a alocação dos recursos orçamentários disponíveis, sob a ótica da análise custo/benefício dos investimentos, conforme prática recomendada no processo PO1.1 – Gerenciamento de Valor da TI do Cobit 4.1 e em atendimento ao princípio da eficiência disposto artigo 37, caput, da Constituição da República (peça 368, p. 24, parágrafo 159);833.33. Considerar parcialmente implementada a recomendação 9.1.4 do Acórdão 757/2011-TCU-Plenário, tendo em vista que não foi efetivada a estrutura escritório de projetos prevista na estrutura

99


organizacional do Datasus, conforme minuta do Modelo de Operação do Escritório de Projetos – MOP ou equivalente, considerando os objetivos de controle preconizados nos processos PO10.1 – Estrutura de Gestão de Programas e PO10.2 – Estrutura de Gestão de Projetos do Cobit 4.1, e levando em conta as definições constantes do item 1.4.4 – Escritório de projetos, do guia PMBOK, quarta edição (peça 368, p. 27, parágrafo 182);833.34. Considerar parcialmente implementada a recomendação 9.1.5 do Acórdão 757/2011-TCU-Plenário, tendo em vista a necessidade de que o Ministério da Saúde formalize, aprove e publique o processo de gestão de incidentes de serviços de tecnologia da informação, contemplando, além dos princípios, diretrizes e procedimentos dos documentos apresentados, a realização de análise de tendências, análise de causa-raiz dos incidentes, definição de índices de medição da qualidade do serviço para o alcance dos objetivos de TI, do processo e das suas atividades, e a definição clara do que constitui incidentes graves, conforme dispõe o processo DS8 do Cobit 4.1 e as NBR ISO/IEC 20.000 e 27.002 (peça 368, p. 28, parágrafo 193);833.35. Considerar parcialmente implementada a recomendação 9.1.11 do Acórdão 757/2011-TCU-Plenário, tendo em vista que:833.35.1. o fluxograma de planejamento da contratação apresentado (peça 214) não está aprovado e institucionalizado no âmbito do ministério (peça 368, p. 37, parágrafo 263.1);833.35.2. não foram identificados controles administrativos internos destinados a mitigar os riscos de ausência de completude, de informações inconsistentes e de detalhamento inadequado nos artefatos de planejamento da contratação previstos nos arts. 9º e 10 da IN SLTI/MP 4/2010 (peça 368, p. 37, parágrafo 263.2);833.36. Considerar em implementação, no prazo, a recomendação 9.1.6 do Acórdão 757/2011-TCU-Plenário (peça 368, p. 30, parágrafo 205);833.37. Considerar não implementadas as recomendações 9.1.9 e 9.1.10 do Acórdão 757/2011-TCU-Plenário (peça 368, p. 34, parágrafo 241; p. 36, parágrafo 254);833.38. Recomendar à Secretaria Executiva do Ministério da Saúde que, em atenção ao princípio constitucional da eficiência e ao princípio do controle constante do inciso V, do art. 6º, do Decreto-Lei 200/1967, formalize, aprove e publique um processo de gestão de configuração de ativos de TI, incluindo hardware e software, que esteja em consonância com as definições, requisitos e procedimentos preconizados no processo DS9 do Cobit 4.1 e na NBR ISO/IEC 20.000, tais como: a criação de um repositório de configuração preciso e completo; o estabelecimento de índices de medição da qualidade do serviço para o alcance dos objetivos de TI, do processo e das suas atividades; a criação de processos de atualização dos dados e de revisão da sua integridade; a criação de procedimentos de integração com o gerenciamento de mudanças e de incidentes; a previsão de interface para futuras integrações com os processos das áreas contábeis e financeiras e a acessibilidade imediata e completa dessas informações àqueles que delas necessitarem (peça 368, p. 30, parágrafo 206);833.39. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, à Secretaria Executiva do Ministério da Saúde que:833.39.1. em atenção aos princípios do planejamento e do controle constantes dos incisos I e V, respectivamente, do art. 6º, do Decreto-Lei 200/1967, elabore, aprove e divulgue novo PDTI, no prazo de 180 dias, a contar da ciência do decisum, de forma que o novo plano esteja em conformidade com os princípios, diretrizes e demais orientações da Estratégia Geral de Tecnologia da Informação – EGTI 2013/2015 e do processo PO1 (Planejamento Estratégico de TI) do Cobit 4.1, especialmente aqueles relacionados ao alinhamento da TI com os objetivos institucionais, ao planejamento orçamentário e à fixação de metas e indicadores (peça 368, p. 6, parágrafo 22);833.39.2. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, inciso V, no prazo de noventa dias, a contar da ciência do decisum, institua equipe de tratamento e resposta a incidentes em redes computacionais, com observância das práticas da Norma Complementar 05/IN01/DSIC/GSIPR (peça 368, p. 14, parágrafo 84);833.39.3. em atenção aos arts. 27 a 29 da Lei 12.527/2011 e aos arts. 31 a 34 do Decreto 7.724/2012, no prazo de noventa dias, a contar da ciência do decisum, elabore e publique formalmente processo para a

100


classificação e tratamento das informações no âmbito do Ministério da Saúde, considerando as recomendações da NBR ISO/IEC 27.002, item 7.2 (peça 368, p. 15, parágrafo 95);833.39.4. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII, c/c Norma Complementar 10/IN01/DSIC/GSIPR, no prazo de noventa dias, a contar da ciência do decisum, aperfeiçoe o procedimento de inventário de ativos de informação, contemplando, no mínimo, os seguintes aspectos:833.39.4.1. especificação das atribuições do proprietário do ativo, conforme dispõem os itens 5.3.1 e 5.3.2 da Norma Complementar 10/IN01/DSIC/GSIPR (peça 368, p. 17, parágrafo 106.1);833.39.4.2. estabelecimento da chefia e gerência do processo de inventário e mapeamento de ativos de informação, conforme dispõem os itens 3.1, 6.2 e 6.3 da Norma Complementar 10/IN01/DSIC/GSIPR (peça 368, p. 17, parágrafo 106.2);833.39.4.3. atribuição de valor aos ativos de informação, conforme dispõem os itens 3.19, 4.4, 5.2.3 e 5.6 da Norma Complementar 10/IN01/DSIC/GSIPR (peça 368, p. 17, parágrafo 106.3);833.39.4.4. definição dos requisitos de segurança para os ativos de informação, conforme dispõem os itens 4.4, 5.2.4 e 5.5 da Norma Complementar 10/IN01/DSIC/GSIPR (peça 368, p. 17, parágrafo 106.4);833.39.5. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII, no prazo de noventa dias, a contar da ciência do decisum, que aprove norma de segurança para a gestão de ativos, ampliando a sua abrangência para o âmbito ministerial, conforme dispõe o item 6.1 da Norma Complementar 10/IN01/DSIC/GSIPR (peça 368, p. 17, parágrafo 107);833.39.6. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, inciso VII, e a Norma Complementar 04/IN01/DSIC/GSIPR, item 6.1, no prazo de trinta dias, a contar da ciência do decisum, aprove a Política de Gestão de Riscos e a Metodologia de Gestão de Riscos, ampliando a sua abrangência para o âmbito ministerial (peça 368, p. 18, parágrafo 118.1);833.39.7. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, inciso VII, no prazo de noventa dias, a contar da ciência do decisum, implante a referida Política de Gestão de Riscos de Segurança da Informação no Ministério (peça 368, p. 18, parágrafo 118.2);833.39.8. em consonância com o princípio constitucional da eficiência e a Estratégia Geral de Tecnologia da Informação – EGTI 2013/2015, estabeleça processo de avaliação da gestão de TI, à semelhança do Cobit 4.1, itens ME1.4 – Avaliação de desempenho, ME1.5 – Relatórios gerenciais, ME1.6 – Ações corretivas e ME2 – Monitorar e avaliar os controles internos, no prazo de 180 dias, a contar da ciência do decisum (peça 368, p. 34, parágrafo 242);833.40. Dar ciência à Secretaria Executiva do Ministério da Saúde sobre a seguinte impropriedade: atraso de 42 dias no encaminhamento do plano de ação para a implementação das deliberações do Acórdão 757/2011-TCU-Plenário, sem causa justificada, o que desatendeu ao art. 58, inciso IV da Lei 8.443/1992 c/c o art. 268, inciso VII do RI/TCU (peça 368, p. 4, parágrafo 6);833.41. Dar ciência à Secretaria Executiva do Ministério da Saúde sobre as seguintes impropriedades identificadas no PDTI vigente:833.41.1. ausência de demonstração de como as medidas nele constantes se relacionam ou contribuem para que sejam atingidas as metas institucionais do órgão, o que afronta princípio sobre a destinação de recursos de TI constante da Estratégia Geral de Tecnologia da Informação – EGTI 2010 e desatende às recomendações do subprocesso PO1.4 (Plano Estratégico de TI) do Cobit 4.1 (peça 368, p. 6, parágrafo 21.1);833.41.2. ausência dos critérios utilizados para a alocação dos recursos e dos valores das propostas e das respectivas fontes dos recursos, o que afronta a meta 3 da Estratégia Geral de Tecnologia da Informação – EGTI 2010 e desatende às recomendações do subprocesso PO1.4 (Plano Estratégico de TI) do Cobit 4.1 (peça 368, p. 6, parágrafo 21.2);833.41.3. ausência de metas e indicadores, o que afronta a meta 4 da Estratégia Geral de Tecnologia da Informação – EGTI 2010 e desatende às recomendações do subprocesso PO1.4 (Plano Estratégico de TI) do Cobit 4.1 (peça 368, p. 6, parágrafo 21.3);833.42. Dar ciência à Secretaria Executiva do Ministério da Saúde sobre a seguinte impropriedade identificada no processo de gerenciamento e desenvolvimento de sistemas: ausência de vinculação do Contrato 69/2012 com o processo de software em vigor, o que faz com que o objeto não esteja

101


precisamente definido conforme exige a Lei 8.666/1993, art. 6º, inciso IX, e a IN SLTI/MP 4/2010, art. 13, inciso II (peça 368, p. 12, parágrafo 65);833.43. Dar ciência à Secretaria Executiva do Ministério da Saúde sobre a seguinte impropriedade: não elaboração do Plano Anual de Capacitação de 2012, o que desatendeu ao disposto no Decreto 5.707/2006, art. 5º, § 2º, c/c Portaria MP 208/2006, art. 2º, inciso I, e art. 4º (peça 368, p. 20, parágrafo 132);833.44. Dar ciência à Secretaria Executiva do Ministério da Saúde sobre as seguintes impropriedades identificadas no processo de planejamento do Pregão Eletrônico 29/2012:833.44.1. a Análise de Viabilidade da Contratação não contém o orçamento estimado e o custo total de propriedade, conforme prevê o art. 11, inciso II, alínea g, e inciso III da IN SLTI/MP 4/2010 (peça 368, p. 22, parágrafo 149.1);833.44.2. o Plano de Sustentação não contém ações de continuidade da solução de TI em caso de interrupção contratual, conforme prevê o art. 14, inciso II da IN SLTI/MP 4/2010 (peça 368, p. 22, parágrafo 149.2);833.44.3. a Estratégia da Contratação não contém métricas, indicadores e valores mínimos, conforme prevê o art. 15, inciso III, alínea a da IN SLTI/MP 4/2010 (peça 368, p. 22, parágrafo 149.3);833.44.4. a Estratégia da Contratação não define a metodologia de avaliação da qualidade e da adequação da solução de TI, trazendo apenas diretivas, o que desatende o art. 15, inciso III, alínea c da IN SLTI/MP 4/2010 (peça 368, p. 22, parágrafo 149.4);833.44.5. a Estratégia da Contratação não faz a estimativa do impacto-econômico-financeiro e não indica a fonte de recursos, conforme prevê o art. 15, inciso V da IN SLTI/MP 4/2010 (peça 368, p. 22-23, parágrafo 149.5);833.45. Considerar cumprida a determinação 9.2.1 do Acórdão 866/2011-TCU-Plenário (peça 369, p. 8, parágrafo 31);833.46. Considerar parcialmente cumpridas as determinações 9.2.4, 9.2.5 e 9.2.6 do Acórdão 866/2011-TCU-Plenário (peça 369, p. 13, parágrafo 69; p. 15, parágrafo 77; p. 16, parágrafo 86);833.47. Considerar não cumpridas as determinações 9.2.2, 9.2.3, 9.2.7, 9.2.8, 9.2.9 e 9.2.10 do Acórdão 866/2011-TCU-Plenário (peça 369, p. 11, parágrafo 51; p. 12, parágrafo 59; p. 17, parágrafo 96; p. 18, parágrafo 106; p. 20, parágrafo 117; p. 21, parágrafo 128);833.48. Tornar insubsistente a determinação 9.2.11 do Acórdão 866/2011-TCU-Plenário (peça 369, p. 24, parágrafo 152);833.49. Considerar em implementação, com prazo expirado, a recomendação 9.1.1, 9.1.2 e 9.1.9 do Acórdão 866/2011-TCU-Plenário (peça 369, p. 27, parágrafo 170; p. 29, parágrafo 190; p. 36, parágrafo 251);833.50. Considerar não implementadas as recomendações 9.1.3, 9.1.4, 9.1.5, 9.1.6, 9.1.7, 9.1.8, 9.1.10, 9.1.11, 9.1.12 e 9.1.13 do Acórdão 866/2011-TCU-Plenário (peça 369, p. 31, parágrafo 205; p. 32, parágrafo 212; p. 33, parágrafo 219; p. 34, parágrafo 228; p. 35, parágrafo 236; p. 36, parágrafo 244; p. 38, parágrafo 268; p. 39, parágrafo 276; p. 41, parágrafo 290; p. 43, parágrafo 303);833.51. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes que:833.51.1. em atenção aos princípios do planejamento e do controle constantes dos incisos I e V, respectivamente, do art. 6º, do Decreto-Lei 200/1967, no prazo de 180 dias, a contar da ciência do decisum, aperfeiçoe o processo de elaboração do orçamento de TI, necessário ao cumprimento da Lei 12.708/2012 (Lei de Diretrizes Orçamentárias – LDO 2013), art. 9º, inciso II c/c Anexo II, inciso XIII, ou das que vierem a lhe suceder, de maneira a que solicitações de orçamento das despesas de TI estejam baseadas nas ações que se pretende executar, levando em consideração as orientações do Cobit 5, prática de gestão APO06.03 – Create and maintain budgets (Elaborar e manter orçamentos– tradução livre) e do Gespública, critério de avaliação 7.3 (peça 369, p. 11, parágrafo 52);833.51.2. em atenção à Lei 8.666/1993, art. 6º, inciso IX, e à IN SLTI/MP 4/2010, art. 13, inciso II, em 720 dias, a contar da ciência do decisum, defina processo de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de software, vinculando o contrato com o

102


processo de software, sem o qual o objeto não estará precisamente definido (peça 369, p. 12, parágrafo 60);833.51.3. em atenção aos arts. 27 a 29 da Lei 12.527/2011 e aos arts. 31 a 34 do Decreto 7.724/2012, no prazo de 360 dias, a contar da ciência do decisum, elabore e publique formalmente processo para a classificação e tratamento das informações no âmbito do órgão, observando o item 7.2 da NBR ISO/IEC 27.002 (peça 369, p. 17, parágrafo 97);833.51.4. em atenção à Instrução Normativa – GSI/PR 1/2008, art. 5º, inciso VII, c/c Norma Complementar 10/IN01/DSIC/GSIPR, no prazo de 180 dias, a contar da ciência do decisum, estabeleça procedimento de inventário de ativos de informação, de maneira a que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, levando em consideração o item 7.1 da NBR ISO/IEC 27.002 (peça 369, p. 18, parágrafo 107);833.51.5. em atenção à Instrução Normativa – GSI/PR 1/2008, art. 5º, inciso VII, e a Norma Complementar IN01/DSIC/GSIPR 4, item 6.1, no prazo de 360 dias, a contar da ciência do decisum, implemente processo de gestão de riscos de segurança da informação (peça 369, p. 20, parágrafo 118);833.51.6. em atenção ao Decreto 5.707/2006, art. 5º, § 2º, c/c Portaria MP 208/2006, art. 2º, inciso I, e art. 4º, no prazo de 270 dias, a contar da ciência do decisum, elabore Plano Anual de Capacitação para a instituição (peça 369, p. 21, parágrafo 129);833.51.7. em atenção à Lei 8.666/1993, art. 66, no prazo de noventa dias, a contar da ciência do decisum, adote as medidas necessárias à apuração de eventuais inexecuções contratuais no âmbito do Contrato 265/2006-00, identificação dos responsáveis e quantificação do dano ao erário, bem como a adoção das medidas pertinentes para cobrança dos valores pagos indevidamente, inclusive, se for o caso, com a instauração de tomada de contas especial, conforme dispõe a Instrução Normativa TCU 71/2012, sob pena de responsabilidade solidária das autoridades competentes e da empresa beneficiária, na forma do art. 84 do Decreto-Lei 200/1967 (peça 369, p. 24, parágrafo 153);833.51.8. em atenção ao Decreto-Lei 200/1967, art. 6º, I, e art. 7º, e à IN SLTI/MP 4/2010, art. 4º, aprove e institucionalize o plano estratégico institucional, em 180 dias, a contar da ciência do decisum, considerando o critério de avaliação 2 do Gespública (peça 369, p. 27, parágrafo 171);833.51.9. em atenção ao previsto na Instrução Normativa SLTI/MP 4/2010, art. 4º, aprove e institucionalize o Plano Diretor de Tecnologia da Informação, em noventa dias, a contar da ciência do decisum, com observância das diretrizes constantes da Estratégia Geral de Tecnologia da Informação – EGTI 2013/2015, do Guia de Elaboração de PDTI do Sistema de Administração dos Recursos de Tecnologia da Informação – Sisp e à semelhança das orientações contidas no Cobit 5, prática de gestão APO02.05 – Define the strategic plan and Road map (Definir o plano estratégico e roteiro – tradução livre) (peça 369, p. 29, parágrafo 191);833.51.10. em atenção ao Decreto 5.707/2006, art. 1º, III, em 180 dias, a contar da ciência do decisum, elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando melhor atendimento das necessidades institucionais, à semelhança das orientações contidas no Cobit 5, práticas de gestão APO07.01-Maintain adequate and appropriate staffing (Manter recursos humanos adequados e oportunos – tradução livre) e APO07.05 – Plan and track the usage of IT (Planejar e acompanhar a utilização de TI – tradução livre) (peça 369, p. 31, parágrafo 206);833.51.11. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, inciso VII, c/c Norma Complementar 13/IN01/DSIC/GSIPR, no prazo de 720 dias, a contar da ciência do decisum, estabeleça procedimentos formais de gestão de mudanças, observando os procedimentos do item 12.5.1 da NBR ISO/IEC 27.002 e as orientações do Cobit 5, prática de gestão BAI06 – Manage Changes (Gerenciar mudanças – tradução livre) bem como outras boas práticas de mercado, como a NBR ISO/IEC 20.000 (peça 369, p. 36, parágrafo 245);833.51.12. em consonância com o princípio constitucional da eficiência, art. 37, caput, da CF/1988, e com a Estratégia Geral de Tecnologia da Informação – EGTI 2013/2015, estabeleça processo de avaliação da gestão de TI, à semelhança do Cobit 5, prática de gestão MEA01 – Monitor, Evaluate and Assess

103


Performance and Conformance (Monitorar e avaliar o desempenho e a conformidade – tradução livre), no prazo de 360 dias, a contar da ciência do decisum (peça 369, p. 38, parágrafo 269);833.51.13. em consonância com o princípio constitucional da eficiência, art. 37, caput, da CF/1988, com o princípio do controle constante do inciso V, do art. 6º, do Decreto-Lei 200/1967, e em atenção ao art. 1 da Instrução Normativa SLTI/MP 4/2010, implemente, em 180 dias, a contar da ciência do decisum, controles que promovam o cumprimento do processo de planejamento previsto na Seção III da IN SLTI/MP 4/2010 (peça 369, p. 41, parágrafo 291);833.51.14. em atenção ao princípio da eficiência, art. 37, caput, da CF/1988, com o princípio do controle constante do inciso V, do art. 6º, do Decreto-Lei 200/1967, e em atenção ao art. 1 da Instrução Normativa SLTI/MP 4/, implemente, em 180 dias, a contar da ciência do decisum, controles que promovam o cumprimento do processo de gerenciamento do contrato, previsto na Seção III da IN SLTI/MP 4/2010, bem como a regular gestão contratual, tornando possível verificar se todas as obrigações do contratado foram efetivamente cumpridas antes da atestação do serviço (peça 369, p. 43, parágrafo 305);833.52. Dar ciência ao Departamento Nacional de Infraestrutura de Transportes sobre as seguintes omissões quanto à atuação do Comitê Gestor de Tecnologia da Informação, em desacordo com o disposto no Guia de Comitê de TI do Sistema de Administração de Recursos de Tecnologia da Informação (Sisp), na Estratégia Geral de Tecnologia da Informação – EGTI 2013/2015 e na Portaria Dnit 1.252/2011 (peça 369, p. 8-9, parágrafo 32):833.52.1. executar a Política de Tecnologia da Informação do Dnit por meio de um plano integrado de ações, considerando o Planejamento Estratégico da autarquia, suas orientações mercadológicas e as políticas e orientações do Governo Federal;833.52.2. formular, implementar, monitorar e avaliar a gestão da Política de Tecnologia da Informação;833.52.3. aprovar as políticas e diretrizes para o plano diretor de tecnologia da informação do Dnit;833.52.4. definir prioridades na formulação e execução de planos e projetos relacionados à Tecnologia da Informação para o Dnit;833.52.5. estabelecer e propor plano de investimento para a área de TI;833.52.6. implementar o gerenciamento do processo de contratações de bens e serviços de TI com seus repetíveis níveis de acordos de nível de serviço, aderindo-o à IN SLTI/MP 4/2010;833.52.7. divulgar um cronograma de atividades do CTI para o exercício, sempre na primeira sessão ordinária do Comitê;833.52.8. desenvolver ações estruturantes e de controle para a plena implantação do alinhamento estratégico e para o estabelecimento de metas anuais, em conformidade com o que determina a Estratégia Geral de Tecnologia da Informação – EGTI em vigor;833.53. Dar ciência ao Departamento Nacional de Infraestrutura de Transportes sobre as seguintes impropriedades identificadas na gestão dos Contratos 544/2012 e 786/2012, em desconformidade com o disposto na Lei 8.666/1993, art. 73, inciso I, alínea b:833.53.1. a insuficiência de especificação de níveis mínimos de serviço e critérios de aceitação, em desacordo com o que estabelece a IN SLTI/MP 4/2010, art. 15, inciso III, alíneas a e c (peça 369, p. 43, parágrafo 304.1);833.53.2. a insuficiência de mecanismos de avaliação acerca da quantidade e qualidade (níveis de serviço) dos serviços realizados e dos bens entregues, de acordo com critérios de aceitação previamente definidos, em desacordo com o que estabelece a IN SLTI/MP 4/2010, art. 25, inciso III, alínea b (peça 369, p. 43, parágrafo 304.2);833.53.3. a inexistência de mecanismos que possibilitem a verificação do cumprimento da exigência quanto ao contratado manter, durante a vigência do contrato, as condições de qualificação e habilitação exigidas na licitação, em desacordo com o que estabelece a IN SLTI/MP 4/2010, art. 25, inciso III, alínea l (peça 369, p. 43, parágrafo 304.3);

104


833.53.4. a insuficiência de controles sobre a quantidade de serviços solicitados e a quantidade de serviços efetivamente fornecidos, em desacordo com o que estabelece a IN SLTI/MP 4/2010, art. 25, incisos II, alíneas b e d, e III, alínea h (peça 369, p. 43, parágrafo 304.4);833.54. Promover, com fulcro no art. 58 § 1º da Lei 8.443/1992 e nos termos do art. 43, inciso II, da Lei 8.443/1992 c/c o art. 250, inciso IV, do Regimento Interno do TCU, a audiência dos responsáveis a seguir, para que, no prazo de quinze dias, apresentem suas razões de justificativa sobre a omissão no dever de atuar no sentido de dar cumprimento à determinação 9.2.11 exarada por este Tribunal no Acórdão 866/2011-TCU-Plenário (peça 369, p. 24-25, parágrafo 154):833.54.1. Matheus Belin, CPF: 933.347.531-15, Coordenador-Geral de Modernização e Informática do Departamento Nacional de Infraestrutura de Transportes (Dnit) e responsável por dar cumprimento ao item 9.2.11 do Acórdão 866/2011-TCU-Plenário (Ofício 546/2011/AUDINT, de 10/11/2011);833.54.2. Helmer Luiz de Freitas Pinheiro, CPF: 647.325.331-91, Agente Administrativo do Departamento Nacional de Infraestrutura de Transportes (Dnit) e responsável por dar cumprimento ao item 9.2.11 do Acórdão 866/2011-TCU-Plenário(Ofício 546/2011/AUDINT, de 10/11/2011);833.54.3. Carlos Alves Fernandes, CPF: 338.160.347-72, Economista do Departamento Nacional de Infraestrutura de Transportes (Dnit) e responsável por dar cumprimento ao item 9.2.11 do Acórdão 866/2011-TCU-Plenário(Ofício 546/2011/AUDINT, de 10/11/2011);833.55. Considerar cumpridas as determinações 9.2.1, 9.2.2, 9.2.3, 9.2.4, 9.2.5, 9.2.6, 9.2.7, 9.2.8, 9.2.9, 9.2.13, 9.2.14 e 9.2.15 do Acórdão 111/2011-TCU-Plenário, retificada pelo Acórdão 432/2011-TCU-Plenário (peça 370, p. 6, parágrafo 14; p. 8, parágrafo 25; p. 9, parágrafo 39; p. 11, parágrafo 48; p. 12, parágrafo 61; p. 13, parágrafo 68; p. 14, parágrafo 75; p. 16, parágrafo 82; p. 16, parágrafo 91; p. 22, parágrafo 150; p. 24, parágrafo 159; p. 25, parágrafo 165);833.56. Considerar em cumprimento, fora do prazo, a determinação 9.2.10 do Acórdão 111/2011-TCU-Plenário (peça 370, p. 18, parágrafo 104);833.57. Considerar não cumpridas as determinações 9.2.11 e 9.2.12 do Acórdão 111/2011-TCU-Plenário (peça 370, p. 20, parágrafo 124; p. 21, parágrafo 142);833.58. Considerar implementadas as recomendações 9.1.1, 9.1.2, 9.1.3, 9.1.8, 9.1.11 e 9.1.12 do Acórdão 111/2011-TCU-Plenário (peça 370, p. 26, parágrafo 178; p. 27, parágrafo 190; p. 28, parágrafo 200; p. 35, parágrafo 262; p. 39, parágrafo 299);833.59. Considerar não implementadas as recomendações 9.1.4, 9.1.5, 9.1.6, 9.1.7, 9.1.9 e 9.1.10 do Acórdão 111/2011-TCU-Plenário (peça 370, p. 30, parágrafo 214; p. 31, parágrafo 225; p. 32, parágrafo 237; p. 34, parágrafo 254);833.60. Recomendar ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis que:833.60.1. adote providências no sentido de dotar a sua área de Auditoria Interna com o conhecimento necessário para realizar a avaliação dos controles de TI da entidade, à semelhança das orientações contidas no Cobit 4.1, ME2 – Monitorar e avaliar os controles internos (peça 370, p. 37, parágrafo 288);833.60.2. em atenção ao art. 19, inciso III, c/c o art. 20, inciso VII, do regimento interno do Ibama, inclua no Plano Anual de Atividades de Auditoria Interna (Paint) atividade de avaliação de controles de TI, à semelhança das orientações contidas no Cobit 4.1, ME2 – Monitorar e avaliar os controles internos (peça 370, p. 37-38, parágrafo 289);833.61. Determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis que:833.61.1. em atenção ao disposto nos arts. 27 a 29 da Lei 12.527/2011 e nos arts. 31 a 34 do Decreto 7.724/2012, elabore e publique formalmente, no prazo de 180 (cento e oitenta) dias, a contar da ciência do decisum, processo para a classificação e tratamento das informações no âmbito do Ibama, considerando as recomendações contidas no item 7.2 da NBR ISO/IEC 27.002 (peça 370, p. 18, parágrafo 105);833.61.2. em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, inciso VII, c/c Norma Complementar 10/IN01/DSIC/GSIPR, estabeleça, no prazo de 360 (trezentos e sessenta) dias, a

105


contar da ciência do decisum, procedimento de inventário de ativos de informação, de maneira a que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, com observância das práticas contidas no item 7.1 da NBR ISO/IEC 27.002 (peça 370, p. 20, parágrafo 125);833.61.3. em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, inciso VII, implemente, no prazo de 360 dias, a contar da ciência do decisum, processo de gestão de riscos de segurança da informação, com observância das práticas contidas na Norma Complementar 4/IN01/DSIC/GSIPR (peça 370, p. 21-22, parágrafo 143);833.61.4. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, inciso VII, c/c Norma Complementar 13/IN01/DSIC/GSIPR, no prazo de 360 dias, a contar da ciência do decisum, estabeleça procedimentos formais de gestão de mudanças, observando os procedimentos do item 12.5.1 da NBR ISO/IEC 27.002 e as orientações do Cobit 5, processo BAI06 – Manage Changes (Gerenciar mudanças – tradução livre) bem como outras boas práticas de mercado, como a NBR ISO/IEC 20.000 (peça 370, p. 34, parágrafo 255);833.62. em consonância com o princípio constitucional da eficiência e a Estratégia Geral de Tecnologia da Informação (EGTI) – 2013/2015, no prazo de 180 dias, a contar da ciência do decisum, estabeleça processo de avaliação da gestão de TI, à semelhança do Cobit 4.1, itens ME1.4 – Avaliação de desempenho, ME1.5 – Relatórios gerenciais, ME1.6 – Ações corretivas e ME2 – Monitorar e avaliar os controles internos (peça 370, p. 36, parágrafo 272);833.63. Encaminhar cópia da deliberação que vier a ser adotada, bem como do relatório, do voto e dos respectivos anexos que a fundamentarem:833.63.1. à Secretaria-Executiva do Ministério da Ciência, Tecnologia e Inovação;833.63.2. à Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão;833.63.3. à Secretaria Executiva do Ministério da Saúde;833.63.4. ao Departamento Nacional de Infraestrutura de Transportes;833.63.5. ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis;833.64. Autorizar a realização de monitoramento da deliberação que vier a ser adotada, nos termos do art. 243 do Regimento Interno do TCU.”

É o Relatório.

VOTO

Trago à apreciação deste Plenário relatório de Monitoramento do cumprimento de diversos Acórdãos prolatados como resultado de um conjunto de fiscalizações, realizadas entre 2010 e 2011, com objetivo de avaliar se a gestão e o uso da tecnologia da informação – TI estão de acordo com a legislação e aderentes às boas práticas da governança da atividade.2. A Secretaria de Fiscalização de Tecnologia da Informação – Sefti conduziu 5 das 14 auditorias, realizadas in loco nos órgãos mencionados abaixo, que resultaram nos Acórdãos cujo cumprimento será avaliado nesta oportunidade.3. Foi verificado, em especial, o atendimento dos itens 9.1 e 9.2 dos seguintes Acórdãos, visto que abordaram temas singulares das atividades de gestão ou governança de TI, que apresentavam, à época, baixo índice de maturidade:

a) Acórdão 380/2011 – Plenário – TC 013.761/2010-2 – Secretaria Executiva do Ministério da Ciência, Tecnologia e Inovação (SE/MCTI);

b) Acórdão 2.613/2011-Plenário – TC 024.956/2010-4 – Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão (SE/MP);

c) Acórdão 757/2011 – Plenário – TC 013.718/2010-0 – Secretaria Executiva do Ministério da Saúde (SE/MS);

d) Acórdão 866/2011-Plenário – TC 009.982/2010-8 – Departamento Nacional de Infraestrutura de Transportes (Dnit);

106


e) Acórdãos 111/2011-Plenário e 432/2011-Plenário– TC 013.674/2010-2 – Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis (Ibama).4. Cabe ressaltar que as constatações deste procedimento de fiscalização foram submetidas aos gestores e suas observações foram consideradas na análise procedida pela equipe.5. Da robusta e detalhada instrução promovida nos autos pela Sefti, que, em seu inteiro teor, reproduzi e adotei como relatório, e à elevada quantidade de itens a serem monitorados, daremos destaque apenas àqueles que foram cumpridos parcialmente ou não foram cumpridos.6. Registre-se, porém, que a íntegra das análises dos itens 9.1 e 9.2 das deliberações encontra-se descrita nos Anexos A, B, C, D, E, que tratam, respectivamente, da SE/MCT, SE/MT, SE/MS, Dnit e Ibama, cabendo o encaminhamento de suas cópias aos respectivos órgãos, conjuntamente com cópias do Acórdão a ser prolatado, e do Relatório e Voto que o fundamentam.7. De plano, registro que acolho as análises e as conclusões da unidade técnica, motivo por que incorporo-as às minha razões de decidir.8. Para tornar mais didático o entendimento, as conclusões foram divididas quanto à evolução na implantação dos seguintes pontos de controle:

a) elaboração do orçamento de TI;b) elaboração e formalização de processo de software;c) diretrizes gerais de segurança da informação;d) governança de TI;e) governança de segurança da informação e comunicações;

I9. Quanto à elaboração de orçamento para TI, apenas o Dnit não cumpriu as determinações, o que vai de encontro à Estratégia Geral de Tecnologia da Informação – EGTI do Sistema de Administração dos Recursos de Tecnologia da Informação – SISP, que contempla, para o triênio 2013/2015, o aperfeiçoamento da gestão orçamentária para garantir o uso efetivo dos recursos financeiros necessários ao cumprimento das metas relacionadas à tecnologia da informação.

II10. Em relação à elaboração e à formalização de processo de software, observou-se que todas as entidades fiscalizadas cumpriram o comando do TCU, mesmo que tenham sido identificadas falhas no Ministério da Saúde quando utilizado como instrumento para caracterizar o objeto na contratação de serviços de desenvolvimento de software.

III11. No que diz respeito à segurança da informação, foram encaminhadas determinações ao Ibama e MCTI para que implantassem Política de Segurança da Informação e de Comunicações (Posic). Este último o fez em época posterior a este monitoramento, o que não invalida a iniciativa. Já, ao MP, foi determinado que ajustasse sua Posic ao normativo de cumprimento obrigatório para os órgãos e entidade da Administração Pública Direta e Indireta, qual seja o NC 3/GSI/PR. Foi constatado que os 3 órgãos cumpriram as deliberações a este respeito. Cabe ressaltar, por fim, a observância de boas práticas no MP, ao promover internamente a conscientização sobre a importância do tema.

IV12. Sobre a governança de TI, registrou-se índice de cumprimento de determinações e recomendações muito baixo e insatisfatório em relação aos seguintes pontos:

a) processo de elaboração e implantação de Plano Diretor de TI – PDTI;b) elaboração de estudo técnico qualitativo e quantitativo do quadro da área, que

fundamente a necessidade de ampliação e preenchimento de vagas em TI;c) avaliação da gestão de TI;d) inclusão da auditoria interna no processo de avaliação.

107


13. No que tange ao processo de planejamento estratégico de TI, foram feitos dois tipos de encaminhamentos.14. O primeiro consiste em determinações para o MCTI, Ibama e Dnit para que elaborassem e aprovassem seu PDTI, à luz da Estratégia Geral de Tecnologia da Informação – EGTI.15. O Ibama deu cumprimento integral ao comando. O MCTI cumpriu parcialmente, uma vez que não foi observada aderência entre o plano elaborado e o plano estratégico institucional do órgão. Já o Dnit elaborou apenas as minutas de seu PDTI, encontrando-se, portanto, expirado seu prazo para implantação do processo.16. O segundo consiste em recomendações para aperfeiçoamento dos PDTIs existentes, direcionadas ao MP e MS. Em relação a ambos, foi considerado o comando como parcialmente cumprido, porque necessitam de formalização do processo ou da implantação de melhorias, como avaliação e controle de custos financeiros associados ao cumprimento dos objetivos almejados para TI.17. Acerca do quantitativo de pessoal, apenas o Ibama implantou as recomendações deste Tribunal. No MP, foi formado grupo de trabalho para elaboração do estudo quantitativo. O MCTI aguarda a elaboração de uma metodologia por parte da SLTI/MP para realizar avaliação de seu quadro. Já o DNIT não adotou medida concreta para atender à deliberação, ainda que atribua o descumprir das deliberações monitoradas à carência no quadro de TI e que seja o órgão onde remanescem a maioria dos problemas identificados em 2010. Manifestou apenas a intenção de celebrar Termo de Cooperação com a FUB-UnB para realização do estudo.18. A processo de avaliação de TI é controle importantíssimo e estratégico, na medida em que serve para aferir a qualidade da gestão e os resultados decorrentes, que devem estar intrinsicamente ligados ao cumprimento da missão institucional. É processo previsto na Estratégia Geral de Tecnologia da Informação – EGTI do Sistema de Administração dos Recursos de Tecnologia da Informação – SISP.19. Esta Casa recomendou ao MCTI, MS, Dnit e Ibama que formalizassem processo de avaliação, visto ser inexistente nos órgãos. Ao MP, apenas que o aprimorasse, uma vez já existente.20. Lamentavelmente, nenhum dos 4 órgãos adotou medidas concretas para implementar mecanismo de controle tão importante. No MP, o processo está em andamento, apesar do atraso decorrente da elaboração e aprovação do Plano Estratégico de TI – Peti, para o biênio de 2014-125.

21. Quanto ao envolvimento da auditoria interna na avaliação da gestão de TI, observou-se que não foram adotadas medidas neste sentido no MS, Dnit e Ibama. O Ibama alegou falta de pessoal especializado para a tarefa.22. No MCTI, esta atividade é desempenhada pelo Controladoria Geral da União – CGU e no MS foram realizadas auditorias internas de qualidade e contratada auditoria externa para avaliar seu processo de gestão relacionado ao desenvolvimento de sistemas.

V23. Como último ponto de monitoramento, em relação à governança da segurança da informação e comunicações, também, foi observado baixo grau de cumprimento e implementação das deliberações, em relação a ações consideradas obrigatórias, nos temos dos critérios estabelecidos em normativos como NC 10/IN01/DSIC/GSIPr, NC 04/IN01/DSIC/GSIPR, arts. 27 e 29 da Lei 12.527/2001 e arts. 31 a 34 do Decreto 7.724/2012. Falamos das seguintes ações:

a) inventário de ativos de informação;b) processo de gestão de riscos de segurança da informação e comunicações – GRSIC;c) classificação da informação.

24. Nenhum dos órgãos implantou procedimentos de inventário de ativos de informação, que atendessem ao demandado nos Acórdãos. Este inventário é muito importante para o controle e a recuperação dos ativos que dá suporte aos serviços de TI, em caso de falhas. Entretanto, MS, MP e MCTI já deram os primeiros passos nesta direção. Já o Dnit e Ibama nada fizeram. O primeiro, uma vez mais, declarou intenção em celebrar Termo de Cooperação com a FUB-UnB para estabelecer estes

108


procedimentos. E o segundo atribuiu o descumprimento à falta de pessoal especializado na área, fato comprovado em estudo apresentado pela Instituição.25. No tocante à GRSIC, não foram adotadas medidas para implantar tal processo no MCTI, Dnit e Ibama. No MCTI, há atribuição de responsabilidades pela atividade, mas não há evidência de adoção de qualquer ação nesse sentido. No Dnit, a Política de Segurança da Informação e de Comunicações (Posic) existente define que o gestor dos ativos é o responsável por estabelecer processos de gestão de riscos de segurança da informação e comunicação, mas não definiu estes processos. Já no Ibama, a solução deste problema perpassa mais uma vez pela carência de pessoal.26. No MS, o processo foi parcialmente implantado, cabendo à alta administração do Ministério aprovar as diretrizes gerais e o processo de GRSIC, em conformidade com o item 6.1 da NC 04/IN01/DSIC/GSIPR.27. No MP, o prazo está expirado, mas o órgão apresentou minuta de gestão de riscos corporativos demonstrando preocupação com o tema.28. Por fim, em relação à classificação das informações, o MCTI, o MP e o Ibama cumpriram as deliberações. No MCTI, foi elaborada norma de tratamento de informações institucionais sob restrição de acesso, em conformidade com a LAI e com a Posic do órgão, faltando apenas a aprovação pela Alta Administração. Em relação ao MP, expirou o prazo para elaborar orientações sobre procedimentos afetos a esta classificação e a divulgação e capacitação dos servidores. Já, no Ibama, a elaboração de normativo encontra-se em andamento.29. O MS deu cumprimento parcial à demanda, publicando portaria que estabelece critérios para tratamento de informações sigilosas.29. Por outro lado, o Dnit não estabeleceu critérios de classificação, e apresentou uma vez mais como justificativa sua intenção em celebrar Termos de Cooperação com a Fub-UnB.30. Da análise quantitativa do cumprimento das deliberações, concluímos que o Ibama foi a entidade que implementou o maior número de deliberações, contrariamente ao Dnit, que apresentou números baixíssimos de atendimento.

109


Entidade/Órgão Cumprimentode determinação Implantação de recomendação

Ibama 80,00% 50,00%MCTI 46,00% 61,50%

MP 50,00% 17,00%MS 45,00% 36,00%Dnit 9,00% 0,00%

31. Deste monitoramento, cabe destaque para a grave situação observada no Dnit no que tange à governança e à gestão da área de Tecnologia da Informação, que muito tem a contribuir para melhorar o desempenho e os resultados da entidade.32. Por fim, foi proposta a expedição de determinações, recomendações e audiências de alguns responsáveis no MCTI e Dnit, com as quais anuo, em razão do descumprimento de determinações sem apresentação de justificativas pertinentes.

Ante o exposto, VOTO por que este Tribunal adote a minuta de Acórdão que trago à apreciação deste Colegiado.

Sala das Sessões, em 14 de maio de 2014.

AROLDO CEDRAZRelator

ACÓRDÃO Nº 1221/2014 – TCU – Plenário

1. Processo nº TC 009.763/2013-9.2. Grupo I – Classe III – Relatório de Monitoramento3. Responsáveis: não há.4. Órgãos/Entidades: Departamento Nacional de Infraestrutura de Transportes – Dnit; Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis – Ibama; Secretaria Executiva do Ministério da Ciência, Tecnologia e Inovação – MCTI; Secretaria Executiva do Ministério da Saúde – MS; Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão – MP.5. Relator: Ministro Aroldo Cedraz.6. Representante do Ministério Público: não atuou.7. Unidade Técnica: Secretaria de Fiscalização de Tecnologia da Informação (Sefti).8. Advogado constituído nos autos: não há.

9. Acórdão:VISTOS, relatados e discutidos estes autos de monitoramento do cumprimento dos

Acórdãos 380/2011, 2.613/2011, 757/2011, 866/2011, 111/2011 e 432/2011, todos de Plenário, pelos seguintes órgãos e entidades, respectivamente, Ministério da Ciência, Tecnologia e Inovação, Ministério do Planejamento, Orçamento e Gestão, Ministério da Saúde, Departamento Nacional de Infraestrutura de Transportes-Dnit e Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis-Ibama.

ACORDAM os Ministros do Tribunal de Contas da União, reunidos em sessão do Plenário, ante as razões expostas pelo relator, em:

9.1. realizar audiência dos seguintes responsáveis do MCTI, para que, no prazo de 15 (quinze) dias a contar da ciência da notificação, apresentem suas razões de justificativa sobre a omissão no dever de atuar no sentido de dar cumprimento às determinações 9.2.8 e 9.2.11 exaradas por este Tribunal no Acórdão 380/2011-TCU-Plenário (peça 366, p. 17, parágrafo 116; p. 23, parágrafo 169), nos

110


termos art. 58 § 1º da Lei 8.443/1992 c/c o art. 268, inciso VII, do Regimento Interno e nos termos do art. 43, inciso II, da Lei 8.443/1992 c/c o art. 250, inciso IV, do Regimento Interno do TCU;

9.1.1. Antonio Ibañes Ruiz, CPF 182.329.491-04, Gestor de Segurança da Informação e Comunicações (25/10/2011 a 1/7/2012) e Coordenador do Comitê de Segurança da Informação e Comunicações (1/6/2012 a 1/7/2012);

9.1.2. Guilherme Euclides Brandão, CPF 225.345.201-72, Gestor de Segurança da Informação e Comunicações Substituto e Coordenador do Comitê de Segurança da Informação e Comunicações (1/7/2012 a 27/5/2013);

9.1.3. Ana Lúcia Delgado Assad, CPF 185.188.181-68, Gestora de Segurança da Informação e Comunicações e Coordenadora do Comitê de Segurança da Informação e Comunicações (a partir de 27/5/2013);

9.2. em relação ao Acórdão 380/2011-TCU-Plenário, considerar:9.2.1. cumpridas as determinações 9.2.3, 9.2.4, 9.2.5, 9.2.6, 9.2.7 e 9.2.12 (peça 366, p. 9,

parágrafo 46; p. 11, parágrafo 59; p. 12, parágrafo 72; p. 13, parágrafo 82; p. 15, parágrafo 100; p. 24, parágrafo 177);

9.2.2. parcialmente cumpridas as determinações 9.2.1, 9.2.2 e 9.2.13 (peça 366, p. 6, parágrafo 21; p. 8, parágrafo 37; p. 27, parágrafo 205); em cumprimento, com prazo expirado, as determinações 9.2.9 e 9.2.10 (peça 366, p. 19, parágrafo 136; p. 21, parágrafo 151);

9.2.3. não cumpridas as determinações 9.2.8 e 9.2.11 (peça 366, p. 17, parágrafo 114; p. 23, parágrafo 167);

9.2.4. implementadas as recomendações 9.1.1, 9.1.3, 9.1.4, 9.1.5, 9.1.9, 9.1.11, 9.1.12 e 9.1.13 (peça 366, p. 29, parágrafo 218; p. 32, parágrafo 244; p. 33, parágrafo 259; p. 34, parágrafo 273; p. 39, parágrafo 321; p. 43, parágrafo 353; p. 44, parágrafo 366; p. 47, parágrafo 384);

9.2.5. em implementação, com prazo expirado, as recomendações 9.1.6, 9.1.7 e 9.1.8 (peça 366, p. 35, parágrafo 284; p. 37, parágrafo 295; p. 38, parágrafo 306); e não implementadas as recomendações 9.1.2 e 9.1.10 (peça 366, p. 30, parágrafo 234; p. 41; parágrafo 339);

9.3. determinar à Secretaria-Executiva do Ministério da Ciência, Tecnologia e Inovação, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, que:

9.3.1. no prazo de 90 (noventa) dias a contar da ciência do decisum:9.3.1.1. institua processo formal de planejamento de TI para assegurar que seu PDTI

seja aderente ao modelo de referência do Guia de Elaboração de PDTI, do Sistema de Administração dos Recursos de Tecnologia da Informação – Sisp, especialmente ao contemplar ações explicitamente alinhadas ao seu plano estratégico institucional, nos moldes do que estabelecem a Estratégia Geral de Tecnologia da Informação – EGTI 2013/2015 e o art. 4º da Instrução Normativa – SLTI/MP 4/2010, observando ainda as práticas contidas no Cobit 4.1, Processo PO1 – Planejamento Estratégico de TI (peça 366, p. 6, parágrafo 22);

9.3..1.2. institua formalmente procedimento de monitoramento do Comitê Executivo de Tecnologia da Informação – Ceti – e do Comitê de Segurança da Informação e Comunicações – CSIC, em atenção às Portarias MCTI 383/2012 e MCTI 384/2012, de modo a assegurar que esses comitês exerçam de fato suas atribuições (peça 366, p. 8, parágrafo 38);

9.3.1.3. institua equipe de tratamento e resposta a incidentes em redes computacionais, em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, V, com observância das práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR (peça 366, p. 17, parágrafo 115);

9.3.1.4. elabore e publique formalmente processo para classificação e tratamento das informações no âmbito do Ministério, em atenção aos arts. 27 a 29 da Lei 12.527/2011 e aos arts. 31 a 34 do Decreto 7.724/2012, considerando as recomendações do item 7.2 da Norma Técnica ABNT NBR ISO/IEC 27002:2005 (peça 366, p. 19, parágrafo 137);

9.3.1.5. estabeleça procedimento de inventário de ativos de informação, em atenção à Instrução Normativa – GSI/PR 1/2008, art. 5º, inciso VII, c/c Norma Complementar 04/IN01/DSIC/GSIPR, item 6.2.1, de maneira que todos os ativos de informação sejam inventariados e

111


tenham um proprietário responsável, observando as diretrizes da Norma Complementar 10/IN01/DSIC/GSIPR e as recomendações do item 7.1 da Norma Técnica ABNT NBR ISO/IEC 27002:2005 (peça 366, p. 21, parágrafo 152);

9.3.2.no prazo de 180 (cento e oitenta) dias a contar da ciência do decisum:9.3.2.1. implemente processo de gestão de riscos de segurança da informação e

comunicações, em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, VII, com observância das práticas contidas na Norma Complementar 04/IN01/DSIC/GSIPR (peça 366, p. 23, parágrafo 168);

9.3.2.2. estabeleça processo de avaliação da gestão de TI, em consonância com o princípio constitucional da eficiência e com a Estratégia Geral de Tecnologia da Informação (EGTI) 2013/2015, à semelhança do Cobit 4.1, itens ME1.4 – Avaliação de desempenho, ME1.5 – Relatórios gerenciais, ME1.6 – Ações corretivas e ME2 – Monitorar e avaliar os controles internos (peça 366, p. 41, parágrafo 340);

9.4. recomendar à Secretaria-Executiva do Ministério da Ciência, Tecnologia e Inovação que:

9.4.1. aperfeiçoe seu processo de planejamento estratégico institucional, observando o previsto no critério de avaliação 2 do Gespública, considerando, por exemplo, a definição de referencial estratégico e a análise dos ambientes interno e externo (peça 366, p. 29, parágrafo 219);

9.4.2. em atenção à Portaria MCTI/Spoa 100/2012, elabore listas de verificação para auxiliar os fiscais de contrato na verificação de conformidade da prestação dos serviços contratados, considerando as atividades previstas em seu processo de gerenciamento de contratos de soluções de TI (peça 366, p. 47, parágrafo 385);

9.5. dar ciência à Secretaria-Executiva do Ministério da Ciência, Tecnologia e Inovação da ausência de atuação do Gestor de Segurança da Informação e Comunicações, identificada no período que sucedeu a sua nomeação, o que afronta o estabelecido no art. 3º da Portaria Secex 14/2011 (peça 366, p. 13-14, parágrafo 83), bem como das seguintes impropriedades:

9.5.1. identificadas nos artefatos produzidos na fase de planejamento da contratação que deu origem ao Contrato 17/2012:

9.5.1.1. o documento do planejamento, que reuniu os artefatos Análise de Viabilidade, Plano de Sustentação, Estratégia e Análise de riscos, não possui data de aprovação e não foi assinado pelo integrante administrativo da equipe de planejamento da contratação, o que afronta o estabelecido no parágrafo único do art. 11, no parágrafo único do art. 14, no § 6º do art. 15 e no § 2º do art. 16, todos da IN SLTI/MP 4/2010 (peça 366, p. 27, parágrafo 206.1);

9.5.1.2. no conteúdo do documento Análise de Viabilidade, não há referência à análise de projetos similares realizados por outros órgãos ou outras entidades da Administração Pública, o que afronta o estabelecido no inciso I da art. 11 da IN SLTI/MP 4/2010, e à definição de requisitos de segurança, o que afronta o estabelecido no inciso VI do art. 12 da IN SLTI/MP 4/2010 (peça 366, p. 27, parágrafo 206.2);

9.5.1.3. no conteúdo do documento Estratégia da Contratação, não foram encontrados modelos de termos de compromisso de manutenção de sigilo e respeito às normas de segurança vigentes, a serem assinados pelos empregados da contratada, o que afronta o estabelecido no inciso VI do art. 15 da IN SLTI/MP 4/2010 (peça 366, p. 27, parágrafo 206.3);

9.5.1.4. no conteúdo do documento Análise de Riscos, não há definição dos responsáveis pelas ações de prevenção e de contingência relacionadas, o que afronta o estabelecido no inciso VI do art. 16 da IN SLTI/MP 4/2010 (peça 366, p. 27, parágrafo 206.4);

9.5.2. identificadas nos documentos produzidos na fase de planejamento da contratação que deu origem ao Contrato 32/2012:

9.5.2.1. no conteúdo do documento Análise de Viabilidade, não há referência à análise de projetos similares realizados por outros órgãos ou entidades da Administração Pública, o que afronta o estabelecido no inciso I da art. 11 da IN SLTI/MP 4/2010, à identificação de solução similar em outro órgão ou entidade da Administração Pública, o que afronta o estabelecido no inciso II dão art. 11 da

112


IN SLTI/MP 4/2010, e à definição de requisitos de segurança, o que afronta o estabelecido no inciso VI do art. 12 da IN SLTI/MP 4/2010 (peça 366, p. 27, parágrafo 207.1);

9.5.2.2. no conteúdo do documento Estratégia da Contratação, não foram encontrados modelos de termos de compromisso de manutenção de sigilo e respeito às normas de segurança vigentes, a serem assinados pelo representante legal e pelos empregados da contratada, o que afronta o estabelecido no inciso VI do art. 15 da IN SLTI/MP 4/2010 (peça 366, p. 27, parágrafo 207.2);

9.5.2.3. no conteúdo do documento Análise de Riscos, não há definição dos responsáveis pelas ações de prevenção e de contingência relacionadas, o que afronta o estabelecido no inciso VI do art. 16 da IN SLTI/MP 4/2010 (peça 366, p. 28, parágrafo 207.3);

9.5.3.detectada nos controles destinados a promover o cumprimento do processo de planejamento previsto na Instrução Normativa SLTI/MP 4/2010: utilização de modelos de artefatos diferentes dos detalhados no Guia Prático para Contratação de Soluções de TI da SLTI/MP, o que afronta o estabelecido na Portaria MCTI/Spoa 98/2012 (peça 366, p. 44, parágrafo 367);

9.5.4.detectada nos controles destinados a promover a regular gestão contratual: instituição de comissões de acompanhamento e fiscalização de contrato compostas por atores diferentes dos estabelecidos no Guia Prático para Contratação de Soluções de TI da SLTI/MP, o que afronta o estabelecido na Portaria MCTI/Spoa 100/2012 (peça 366, p. 47, parágrafo 386);

9.6. em relação ao Acórdão 2.613/2011-TCU-Plenário, considerar:9.6.1 cumpridas as determinações 9.2.1, 9.2.2 e 9.2.6 (peça 367, p. 6, parágrafo 12; p. 7,

parágrafo 22; p. 13, parágrafo 66);9.6.2. em cumprimento, no prazo definido no plano de ação, a determinação 9.2.4 (peça

367, p. 10, parágrafo 43);9.6.3 em cumprimento, fora do prazo definido no plano de ação, as determinações 9.2.3 e

9.2.5 (peça 367, p. 9, parágrafo 35; p. 12, parágrafo 52);9.6.4 implementadas as recomendações 9.1.10, 9.1.14 e 9.1.17 (peça 367, p. 26, parágrafo

155; p. 37, parágrafo 232; p. 44, parágrafo 275);9.6.5 parcialmente implementadas as recomendações 9.1.1 e 9.1.2 (peça 367, p. 15,

parágrafo 76; p. 17, parágrafo 89);9.6.6 em implementação, dentro do prazo definido no plano de ação, as recomendações

9.1.5, 9.1.8, 9.1.9, 9.1.15 e 9.1.16 (peça 367, p. 20, parágrafo 117; p. 23, parágrafo 137; p. 24, parágrafo 144; p. 40, parágrafo 250; p. 41, parágrafo 256);

9.6.7 em implementação, com prazo expirado, as recomendações 9.1.3, 9.1.4, 9.1.6, 9.1.7, 9.1.11, 9.1.12 e 9.1.13 (peça 367, p. 18, parágrafo 99; p. 19, parágrafo 111; p. 21, parágrafo 123; p. 22, parágrafo 130; p. 28, parágrafo 167; p. 29, parágrafo 174; p. 31, parágrafo 188);

9.7. determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, à Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão que:

9.7.1. em atenção aos arts. 27 a 29 da Lei 12.527/2011 e aos arts. 31 a 34 do Decreto 7.724/2012, no prazo de 90 (noventa) dias a contar da ciência do decisum, elabore e publique formalmente processo para a classificação e o tratamento das informações no âmbito do órgão, considerando as recomendações da NBR ISO/IEC 27.002, item 7.2 (peça 367, p. 9, parágrafo 37);

9.7.2. em atenção à IN GSI/PR 1/2008, art. 5º, VII, c/c a Norma Complementar 4/IN01/DSIC/GSIPR, no prazo de 180 (cento e oitenta) dias a contar da ciência do decisum, implemente processo de gestão de riscos de segurança da informação e comunicações (peça 367, p. 12, parágrafo 54);

9.8. recomendar à Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão que, em atenção ao art. 5º, inciso I, do Decreto 5707/2006 e ao art. 4º da Portaria MP 208/2006, realize revisões anuais no plano quadrienal de capacitação, visando a reavaliar o seu conteúdo, e, se for o caso, construa versões anualizadas do plano (peça 367, p. 13, parágrafo 68);

9.9.9. dar ciência à Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão sobre as seguintes impropriedades:

113


9.9.1. elaboração de artefatos de planejamento da contratação que deram origem ao Contrato 62/2012 de forma diversa do que estabelece a IN SLTI/MP 4/2010, tais como: análise de viabilidade da contratação em desacordo com o disposto no art. 11, incisos II, III e V (peça 367, p. 37, parágrafo 234.1.1); plano de sustentação em desacordo com o disposto no art. 14, inciso IV (peça 367, p. 37, parágrafo 234.1.2); estratégia da contratação em desacordo com o disposto no art. 15, incisos III, alíneas a, b, c e f, IV e VII (peça 367, p. 37, parágrafo 234.1.3); análise de riscos em desacordo com o disposto no art. 16 (peça 367, p. 37, parágrafo 234.1.4); e termo de referência em desacordo com o disposto no art. 17, §1º (peça 367, p. 37, parágrafo 234.1.5);

9.9.2. elaboração de artefatos de planejamento da contratação que deram origem ao Contrato 85/2012 de forma diversa do que estabelece a IN SLTI/MP 4/2010, tais como: análise de riscos em desacordo com o disposto no art. 16, inciso VI (peça 367, p. 37, parágrafo 234.2.1); e documentos de análise de viabilidade da contratação e plano de sustentação aprovados após a estratégia da contratação, o que afronta o disposto no art. 15, caput (peça 367, p. 37, parágrafo 234.2.2);

9.9.3. elaboração do documento de oficialização de demanda que subsidiou o processo de planejamento que deu origem ao Contrato 99/2012, em afronta ao que estabelece o art. 9º, incisos III e IV da IN SLTI/MP 4/2010 (peça 367, p. 37, parágrafo 234.2.3);

9.9.4. inexistência dos artefatos análise da viabilidade, plano de sustentação e análise de riscos no processo de planejamento que deu origem ao Contrato 99/2012, em afronta ao que estabelece o art. 1º, caput da IN SLTI/MP 4/2010 (peça 367, p. 37, parágrafo 234.2.4).

9.9.5. elaboração de artefatos de planejamento da contratação referentes ao processo 04300.005708/2012-75 de forma diversa do que estabelece a IN SLTI/MP 4/2010, tais como: análise da viabilidade da contratação em desacordo com o disposto no art. 11, inciso I c/c o art. 12, inciso I (peça 367, p. 38, parágrafo 234.3.1); e estratégia da contratação em desacordo com o disposto no art. 15, IV da IN SLTI/MP 4/2010 (peça 367, p. 38, parágrafo 234.3.2);

9.10. em relação ao Acórdão 757/2011-TCU-Plenário, considerar:9.10.1 cumpridas as determinações 9.2.2, 9.2.3, 9.2.4, 9.2.5 e 9.2.11 (peça 368, p. 8,

parágrafo 33; p. 10, parágrafo 51; p.11, parágrafo 64; p. 13, parágrafo 74; p. 22, parágrafo 148);9.10.2. parcialmente cumpridas as determinações 9.2.1, 9.2.7, 9.2.8 e 9.2.9 (peça 368, p. 6,

parágrafo 20; p. 15, parágrafo 94; p. 17, parágrafo 105; p. 18, parágrafo 117);9.10.3 em cumprimento, no prazo, a determinação 9.2.10 (peça 368, p. 20, parágrafo 131);9.10.4 em cumprimento, com prazo expirado, a determinação 9.2.6 (peça 368, p. 14,

parágrafo 83);9.10.5 implementadas as recomendações 9.1.2, 9.1.3, 9.1.7 e 9.1.8 (peça 368, p. 25,

parágrafo 165; p. 26, parágrafo 176; p. 31, parágrafo 215; p. 32, parágrafo 221);9.10.6 parcialmente implementadas as recomendações 9.1.1, 9.1.4, 9.1.5 e 9.1.11 (peça

368, p. 24, parágrafo 159; p. 27, parágrafo 182; p. 28-29, parágrafo 193; p. 37, parágrafo 263);9.10.7 em implementação, no prazo, a recomendação 9.1.6 (peça 368, p. 30, parágrafo

205);9.10.8 não implementadas as recomendações 9.1.9 e 9.1.10 (peça 368, p. 35, parágrafo

241; p. 36, parágrafo 254);9.11. determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II,

do Regimento Interno do TCU, à Secretaria Executiva do Ministério da Saúde que:9.11.1. no prazo de 30 (trinta) dias a contar da ciência do decisum, aprove a Política

de Gestão de Riscos e a Metodologia de Gestão de Riscos, ampliando a sua abrangência para o âmbito ministerial, em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, inciso VII, e a Norma Complementar 04/IN01/DSIC/GSIPR, item 6.1 (peça 368, p. 18, parágrafo 118.1);

9.11.2. no prazo de noventa dias a contar da ciência do decisum:9.11.2.1. institua equipe de tratamento e resposta a incidentes em redes computacionais,

em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, inciso V, com observância das práticas da Norma Complementar 05/IN01/DSIC/GSIPR (peça 368, p. 14, parágrafo 84);

114


9.11.2.2. elabore e publique formalmente processo para a classificação e tratamento das informações no âmbito do Ministério da Saúde, em atenção aos arts. 27 a 29 da Lei 12.527/2011 e aos arts. 31 a 34 do Decreto 7.724/2012, considerando as recomendações da NBR ISO/IEC 27.002, item 7.2 (peça 368, p. 15, parágrafo 95);

9.11.2.3. aperfeiçoe o procedimento de inventário de ativos de informação, em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII, c/c Norma Complementar 10/IN01/DSIC/GSIPR, contemplando, no mínimo, os seguintes aspectos: especificação das atribuições do proprietário do ativo, conforme dispõem os itens 5.3.1 e 5.3.2 da Norma Complementar 10/IN01/DSIC/GSIPR (peça 368, p. 17, parágrafo 106.1); estabelecimento da chefia e gerência do processo de inventário e mapeamento de ativos de informação, conforme dispõem os itens 3.1, 6.2 e 6.3 da Norma Complementar 10/IN01/DSIC/GSIPR (peça 368, p. 17, parágrafo 106.2); atribuição de valor aos ativos de informação, conforme dispõem os itens 3.19, 4.4, 5.2.3 e 5.6 da Norma Complementar 10/IN01/DSIC/GSIPR (peça 368, p. 17, parágrafo 106.3); e definição dos requisitos de segurança para os ativos de informação, conforme dispõem os itens 4.4, 5.2.4 e 5.5 da Norma Complementar 10/IN01/DSIC/GSIPR (peça 368, p. 17, parágrafo 106.4);

9.11.2.4. aprove norma de segurança para a gestão de ativos, ampliando a sua abrangência para o âmbito ministerial, em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII, conforme dispõe o item 6.1 da Norma Complementar 10/IN01/DSIC/GSIPR (peça 368, p. 17, parágrafo 107);

9.11.2.5. implante a Política de Gestão de Riscos de Segurança da Informação no Ministério, em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, inciso VII (peça 368, p. 19, parágrafo 118.2);

9.11.3. no prazo de 180 (cento e oitenta) dias a contar da ciência do decisum:9.11.3.1. estabeleça processo de avaliação da gestão de TI, em consonância com o

princípio constitucional da eficiência e a Estratégia Geral de Tecnologia da Informação – EGTI 2013/2015, à semelhança do Cobit 4.1, itens ME1.4 – Avaliação de desempenho, ME1.5 – Relatórios gerenciais, ME1.6 – Ações corretivas e ME2 – Monitorar e avaliar os controles internos (peça 368, p. 35, parágrafo 242);

9.11.3.2. elabore, aprove e divulgue novo PDTI, em atenção aos princípios do planejamento e do controle constantes dos incisos I e V, respectivamente, do art. 6º, do Decreto-Lei 200/1967, de forma que o novo plano esteja em conformidade com os princípios, diretrizes e demais orientações da Estratégia Geral de Tecnologia da Informação – EGTI 2013/2015 e do processo PO1 (Planejamento Estratégico de TI) do Cobit 4.1, especialmente aqueles relacionados ao alinhamento da TI com os objetivos institucionais, ao planejamento orçamentário e à fixação de metas e indicadores (peça 368, p. 6, parágrafo 22);

9.12. recomendar à Secretaria Executiva do Ministério da Saúde que, em atenção ao princípio constitucional da eficiência e ao princípio do controle constante do inciso V, do art. 6º, do Decreto-Lei 200/1967, formalize, aprove e publique um processo de gestão de configuração de ativos de TI, incluindo hardware e software, que esteja em consonância com as definições, requisitos e procedimentos preconizados no processo DS9 do Cobit 4.1 e na NBR ISO/IEC 20.000, tais como: a criação de um repositório de configuração preciso e completo; o estabelecimento de índices de medição da qualidade do serviço para o alcance dos objetivos de TI, do processo e das suas atividades; a criação de processos de atualização dos dados e de revisão da sua integridade; a criação de procedimentos de integração com o gerenciamento de mudanças e de incidentes; a previsão de interface para futuras integrações com os processos das áreas contábeis e financeiras e a acessibilidade imediata e completa dessas informações àqueles que delas necessitarem (peça 368, p. 30, parágrafo 206);

9.13. dar ciência à Secretaria Executiva do Ministério da Saúde das seguintes impropriedades:

9.13.1. atraso de 42 (quarenta e dois) dias no encaminhamento do plano de ação para a implementação das deliberações do Acórdão 757/2011-TCU-Plenário, sem causa justificada, o que

115


desatendeu ao art. 58, inciso IV da Lei 8.443/1992 c/c o art. 268, inciso VII do RI/TCU (peça 368, p. 4, parágrafo 6);

9.13.2. não elaboração do Plano Anual de Capacitação de 2012, o que desatendeu ao disposto no Decreto 5.707/2006, art. 5º, § 2º, c/c Portaria MP 208/2006, art. 2º, inciso I, e art. 4º (peça 368, p. 20, parágrafo 132);

9.13.3. identificadas no PDTI vigente:9.13.3.1. ausência de demonstração de como as medidas nele constantes se relacionam

ou contribuem para que sejam atingidas as metas institucionais do órgão, o que afronta o princípio sobre a destinação de recursos de TI constante da Estratégia Geral de Tecnologia da Informação – EGTI 2010 e desatende às recomendações do subprocesso PO1.4 (Plano Estratégico de TI) do Cobit 4.1 (peça 368, p. 6, parágrafo 21.1);

9.13.3.2. ausência dos critérios utilizados para a alocação dos recursos e dos valores das propostas e das respectivas fontes dos recursos, o que afronta a meta 3 da Estratégia Geral de Tecnologia da Informação – EGTI 2010 e desatende às recomendações do subprocesso PO1.4 (Plano Estratégico de TI) do Cobit 4.1 (peça 368, p. 6, parágrafo 21.2);

9.13.3.3. ausência de metas e indicadores, o que afronta a meta 4 da Estratégia Geral de Tecnologia da Informação – EGTI 2010 e desatende às recomendações do subprocesso PO1.4 (Plano Estratégico de TI) do Cobit 4.1 (peça 368, p. 6, parágrafo 21.3);

9.13.4. identificada no processo de gerenciamento e desenvolvimento de sistemas: ausência de vinculação do Contrato 69/2012 com o processo de software em vigor, o que faz com que o objeto não esteja precisamente definido conforme exige a Lei 8.666/1993, art. 6º, inciso IX, e a IN SLTI/MP 4/2010, art. 13, inciso II (peça 368, p. 12, parágrafo 65);

9.13.5. identificadas no processo de planejamento do Pregão Eletrônico 29/2012:9.13.5.1. a Análise de Viabilidade da Contratação não contém o orçamento estimado e o

custo total de propriedade, conforme prevê o art. 11, inciso II, alínea g, e inciso III da IN SLTI/MP 4/2010 (peça 368, p. 22, parágrafo 149.1);

9.13.5.2. o Plano de Sustentação não contém ações de continuidade da solução de TI em caso de interrupção contratual, conforme prevê o art. 14, inciso II da IN SLTI/MP 4/2010 (peça 368, p. 22, parágrafo 149.2);

9.13.5.3. a Estratégia da Contratação não contém métricas, indicadores e valores mínimos, conforme prevê o art. 15, inciso III, alínea a da IN SLTI/MP 4/2010 (peça 368, p. 22, parágrafo 149.3);

9.13.5.4. a Estratégia da Contratação não define a metodologia de avaliação da qualidade e da adequação da solução de TI, trazendo apenas diretivas, o que desatende o art. 15, inciso III, alínea c da IN SLTI/MP 4/2010 (peça 368, p. 23, parágrafo 149.4);

9.13.5.5. a Estratégia da Contratação não faz a estimativa do impacto econômico-financeiro e não indica a fonte de recursos, conforme prevê o art. 15, inciso V da IN SLTI/MP 4/2010 (peça 368, p. 23, parágrafo 149.5);

9.14. em relação ao Acórdão 866/2011-TCU-Plenário, considerar:9.1.4.1 cumprida a determinação 9.2.1 (peça 369, p. 8, parágrafo 31);9.14.2.parcialmente cumpridas as determinações 9.2.4, 9.2.5 e 9.2.6 (peça 369, p. 13,

parágrafo 69; p. 15, parágrafo 77; p. 16, parágrafo 86);9.14.3 não cumpridas as determinações 9.2.2, 9.2.3, 9.2.7, 9.2.8, 9.2.9 e 9.2.10 (peça 369,

p. 11, parágrafo 51; p. 12, parágrafo 59; p. 17, parágrafo 96; p. 18, parágrafo 106; p. 20, parágrafo 117; p. 21, parágrafo 128);

9.14.4. em implementação, com prazo expirado, as recomendações 9.1.1, 9.1.2 e 9.1.9 (peça 369, p. 27, parágrafo 170; p. 29, parágrafo 190; p. 37, parágrafo 251);

9.14.5 não implementadas as recomendações 9.1.3, 9.1.4, 9.1.5, 9.1.6, 9.1.7, 9.1.8, 9.1.10, 9.1.11, 9.1.12 e 9.1.13 (peça 369, p. 31, parágrafo 205; p. 32, parágrafo 212; p. 33, parágrafo 219; p. 34, parágrafo 228; p. 35, parágrafo 236; p. 36, parágrafo 244; p. 38, parágrafo 268; p. 39, parágrafo 276; p. 41, parágrafo 290; p. 43, parágrafo 303);

116


9.15. tornar insubsistente a determinação 9.2.11 do Acórdão 866/2011-TCU-Plenário (peça 369, p. 24, parágrafo 152);

9.16. promover, com fulcro no art. 58 § 1º da Lei 8.443/1992 e nos termos do art. 43, inciso II, da Lei 8.443/1992 c/c o art. 250, inciso IV, do Regimento Interno do TCU, a audiência dos responsáveis a seguir, para que, no prazo de 15 (quinze) dias, apresentem suas razões de justificativa sobre a omissão no dever de atuar no sentido de dar cumprimento à determinação 9.2.11 exarada por este Tribunal no Acórdão 866/2011-TCU-Plenário (peça 369, p. 25, parágrafo 154):

9.16.1. Matheus Belin, CPF: 933.347.531-15, Coordenador-Geral de Modernização e Informática do Departamento Nacional de Infraestrutura de Transportes (Dnit) e responsável por dar cumprimento ao item 9.2.11 do Acórdão 866/2011-TCU-Plenário (Ofício 546/2011/AUDINT, de 10/11/2011);

9.16.2. Helmer Luiz de Freitas Pinheiro, CPF: 647.325.331-91, Agente Administrativo do Departamento Nacional de Infraestrutura de Transportes (Dnit) e responsável por dar cumprimento ao item 9.2.11 do Acórdão 866/2011-TCU-Plenário(Ofício 546/2011/AUDINT, de 10/11/2011);

9.16.3. Carlos Alves Fernandes, CPF: 338.160.347-72, Economista do Departamento Nacional de Infraestrutura de Transportes (Dnit) e responsável por dar cumprimento ao item 9.2.11 do Acórdão 866/2011-TCU-Plenário(Ofício 546/2011/AUDINT, de 10/11/2011);

9.17. determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Departamento Nacional de Infraestrutura de Transportes que:

9.17.1. no prazo de 90 (noventa) dias, a contar da ciência do decisum:9.17.1.1. em atenção à Lei 8.666/1993, art. 66, adote as medidas necessárias à apuração

de eventuais inexecuções contratuais no âmbito do Contrato 265/2006-00, identificação dos responsáveis e quantificação do dano ao erário, bem como a adoção das medidas pertinentes para cobrança dos valores pagos indevidamente, inclusive, se for o caso, com a instauração de tomada de contas especial, conforme dispõe a Instrução Normativa TCU 71/2012, sob pena de responsabilidade solidária das autoridades competentes e da empresa beneficiária, na forma do art. 84 do Decreto-Lei 200/1967 (peça 369, p. 24, parágrafo 153);

9.17.1.2. em atenção ao previsto na Instrução Normativa SLTI/MP 4/2010, art. 4º, aprove e institucionalize o Plano Diretor de Tecnologia da Informação, com observância das diretrizes constantes da Estratégia Geral de Tecnologia da Informação – EGTI 2013/2015, do Guia de Elaboração de PDTI do Sistema de Administração dos Recursos de Tecnologia da Informação – Sisp e à semelhança das orientações contidas no Cobit 5, prática de gestão APO02.05 – Define the strategic plan and Road map (Definir o plano estratégico e roteiro – tradução livre) (peça 369, p. 29-30, parágrafo 191);

9.17.2. no prazo de 180 (cento e oitenta) dias, a contar da ciência do decisum:9.17.2.1. em atenção ao Decreto 5.707/2006, art. 1º, III, elabore estudo técnico de

avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando melhor atendimento das necessidades institucionais, à semelhança das orientações contidas no Cobit 5, práticas de gestão APO07.01-Maintain adequate and appropriate staffing (Manter recursos humanos adequados e oportunos – tradução livre) e APO07.05 – Plan and track the usage of IT (Planejar e acompanhar a utilização de TI – tradução livre) (peça 369, p. 31, parágrafo 206);

9.17.2.2. em consonância com o princípio constitucional da eficiência, art. 37, caput, da CF/1988, com o princípio do controle constante do inciso V, do art. 6º, do Decreto-Lei 200/1967, e em atenção ao art. 1 da Instrução Normativa SLTI/MP 4/2010, implemente controles que promovam o cumprimento do processo de planejamento previsto na Seção III da IN SLTI/MP 4/2010 (peça 369, p. 41, parágrafo 291);

9.17.2.3. em atenção ao Decreto-Lei 200/1967, art. 6º, I, e art. 7º, e à IN SLTI/MP 4/2010, art. 4º, aprove e institucionalize o plano estratégico institucional, considerando o critério de avaliação 2 do Gespública (peça 369, p. 27, parágrafo 171);

9.17.2.4. em atenção ao princípio da eficiência, art. 37, caput, da CF/1988, com o princípio do controle constante do inciso V, do art. 6º, do Decreto-Lei 200/1967, e em atenção ao art. 1 da

117


Instrução Normativa SLTI/MP 4/, implemente controles que promovam o cumprimento do processo de gerenciamento do contrato, previsto na Seção III da IN SLTI/MP 4/2010, bem como a regular gestão contratual, tornando possível verificar se todas as obrigações do contratado foram efetivamente cumpridas antes da atestação do serviço (peça 369, p. 43, parágrafo 305);

9.17.2.5. em atenção aos princípios do planejamento e do controle constantes dos incisos I e V, respectivamente, do art. 6º, do Decreto-Lei 200/1967, aperfeiçoe o processo de elaboração do orçamento de TI, necessário ao cumprimento da Lei 12.708/2012 (Lei de Diretrizes Orçamentárias – LDO 2013), art. 9º, inciso II c/c Anexo II, inciso XIII, ou das que vierem a lhe suceder, de maneira a que solicitações de orçamento das despesas de TI estejam baseadas nas ações que se pretende executar, levando em consideração as orientações do Cobit 5, prática de gestão APO06.03 – Create and maintain budgets (Elaborar e manter orçamentos– tradução livre) e do Gespública, critério de avaliação 7.3 (peça 369, p. 11, parágrafo 52);

9.17.2.6. em atenção à Instrução Normativa – GSI/PR 1/2008, art. 5º, inciso VII, c/c Norma Complementar 10/IN01/DSIC/GSIPR, estabeleça procedimento de inventário de ativos de informação, de maneira que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, levando em consideração o item 7.1 da NBR ISO/IEC 27.002 (peça 369, p. 18-19, parágrafo 107);

9.17.3. no prazo de 270 (duzentos e setenta) dias, a contar da ciência do decisum, em atenção ao Decreto 5.707/2006, art. 5º, § 2º, c/c Portaria MP 208/2006, art. 2º, inciso I, e art. 4º, elabore Plano Anual de Capacitação para a instituição (peça 369, p. 21, parágrafo 129);

9.17.4. no prazo de 360 (trezentos e sessenta) dias, a contar da ciência do decisum:9.17.4.1. em atenção aos arts. 27 a 29 da Lei 12.527/2011 e aos arts. 31 a 34 do Decreto

7.724/2012, elabore e publique formalmente processo para a classificação e tratamento das informações no âmbito do órgão, observando o item 7.2 da NBR ISO/IEC 27.002 (peça 369, p. 17, parágrafo 97);

9.17.4.2. em atenção à Instrução Normativa – GSI/PR 1/2008, art. 5º, inciso VII, e a Norma Complementar IN01/DSIC/GSIPR 4, item 6.1, implemente processo de gestão de riscos de segurança da informação (peça 369, p. 20, parágrafo 118);

9.17.4.3. em consonância com o princípio constitucional da eficiência, art. 37, caput, da CF/1988, e com a Estratégia Geral de Tecnologia da Informação – EGTI 2013/2015, estabeleça processo de avaliação da gestão de TI, à semelhança do Cobit 5, prática de gestão MEA01 – Monitor, Evaluate and Assess Performance and Conformance (Monitorar e avaliar o desempenho e a conformidade – tradução livre – peça 369, p. 38, parágrafo 269);

9.17.5. no prazo de 720 (setecentos e vinte) dias, a contar da ciência do decisum:9.17.5.1. em atenção à Lei 8.666/1993, art. 6º, inciso IX, e à IN SLTI/MP 4/2010, art.

13, inciso II, defina processo de software previamente às futuras contratações de serviços de desenvolvimento ou manutenção de software, vinculando o contrato com o processo de software, sem o qual o objeto não estará precisamente definido (peça 369, p. 12, parágrafo 60);

9.17.5.2. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, inciso VII, c/c Norma Complementar 13/IN01/DSIC/GSIPR, estabeleça procedimentos formais de gestão de mudanças, observando os procedimentos do item 12.5.1 da NBR ISO/IEC 27.002 e as orientações do Cobit 5, prática de gestão BAI06 – Manage Changes (Gerenciar mudanças – tradução livre), bem como outras boas práticas de mercado, como a NBR ISO/IEC 20.000 (peça 369, p. 36, parágrafo 245);

9.18. dar ciência ao Departamento Nacional de Infraestrutura de Transportes das seguintes impropriedades:

9.18.1. omissões quanto à atuação do Comitê Gestor de Tecnologia da Informação, em desacordo com o disposto no Guia de Comitê de TI do Sistema de Administração de Recursos de Tecnologia da Informação (Sisp), na Estratégia Geral de Tecnologia da Informação – EGTI 2013/2015 e na Portaria Dnit 1.252/2011 (peça 369, p. 8-9, parágrafo 32):

9.18.1.1. executar a Política de Tecnologia da Informação do Dnit por meio de um plano integrado de ações, considerando o Planejamento Estratégico da autarquia, suas orientações mercadológicas e as políticas e orientações do Governo Federal;

118


9.18.1.2. formular, implementar, monitorar e avaliar a gestão da Política de Tecnologia da Informação;

9.18.1.3. aprovar as políticas e diretrizes para o plano diretor de tecnologia da informação do Dnit;

9.18.1.4. definir prioridades na formulação e execução de planos e projetos relacionados à Tecnologia da Informação para o Dnit;

9.18.1.5. estabelecer e propor plano de investimento para a área de TI;9.18.1.6. implementar o gerenciamento do processo de contratações de bens e serviços

de TI com seus repetíveis níveis de acordos de nível de serviço, aderindo-o à IN SLTI/MP 4/2010;9.18.1.7. divulgar um cronograma de atividades do CTI para o exercício, sempre na

primeira sessão ordinária do Comitê;9.18.1.8. desenvolver ações estruturantes e de controle para a plena implantação do

alinhamento estratégico e para o estabelecimento de metas anuais, em conformidade com o que determina a Estratégia Geral de Tecnologia da Informação – EGTI em vigor;

9.18.2. identificadas na gestão dos Contratos 544/2012 e 786/2012, em desconformidade com o disposto na Lei 8.666/1993, art. 73, inciso I, alínea b:

9.18.2.1. insuficiência de especificação de níveis mínimos de serviço e critérios de aceitação, em desacordo com o que estabelece a IN SLTI/MP 4/2010, art. 15, inciso III, alíneas a e c (peça 369, p. 43, parágrafo 304.1);

9.18.2.2. insuficiência de mecanismos de avaliação acerca da quantidade e qualidade (níveis de serviço) dos serviços realizados e dos bens entregues, de acordo com critérios de aceitação previamente definidos, em desacordo com o que estabelece a IN SLTI/MP 4/2010, art. 25, inciso III, alínea b (peça 369, p. 43, parágrafo 304.2);

9.18.2.3. inexistência de mecanismos que possibilitem a verificação do cumprimento da exigência quanto ao contratado manter, durante a vigência do contrato, as condições de qualificação e habilitação exigidas na licitação, em desacordo com o que estabelece a IN SLTI/MP 4/2010, art. 25, inciso III, alínea l (peça 369, p. 43, parágrafo 304.3);

9.18.2.4. insuficiência de controles sobre a quantidade de serviços solicitados e a quantidade de serviços efetivamente fornecidos, em desacordo com o que estabelece a IN SLTI/MP 4/2010, art. 25, incisos II, alíneas b e d, e III, alínea h (peça 369, p. 43, parágrafo 304.4);

9.19. em relação ao Acórdão 111/2011-TCU-Plenário, retificado pelo Acórdão 432/2011-TCU-Plenário, considerar:

9.19.1 cumpridas as determinações 9.2.1, 9.2.2, 9.2.3, 9.2.4, 9.2.5, 9.2.6, 9.2.7, 9.2.8, 9.2.9, 9.2.13, 9.2.14 e 9.2.15 (peça 370, p. 6, parágrafo 14; p. 8, parágrafo 25; p. 9, parágrafo 39; p. 11, parágrafo 48; p. 12, parágrafo 61; p. 13, parágrafo 68; p. 14, parágrafo 75; p. 16, parágrafo 82; p. 16, parágrafo 91; p. 22, parágrafo 150; p. 24, parágrafo 159; p. 25, parágrafo 165);

9.19.2.em cumprimento, fora do prazo, a determinação 9.2.10 (peça 370, p. 18, parágrafo 104);

9.19.3. não cumpridas as determinações 9.2.11 e 9.2.12 (peça 370, p. 20, parágrafo 124; p. 21, parágrafo 142); implementadas as recomendações 9.1.1, 9.1.2, 9.1.3, 9.1.8, 9.1.11 e 9.1.12 (peça 370, p. 26, parágrafo 178; p. 27, parágrafo 190; p. 28, parágrafo 200; p. 35, parágrafo 262; p. 39, parágrafo 299; p. 41; parágrafo 312);

9.19.4. não implementadas as recomendações 9.1.4, 9.1.5, 9.1.6, 9.1.7, 9.1.9 e 9.1.10 (peça 370, p. 30, parágrafo 214; p. 31, parágrafo 225; p. 32, parágrafo 237; p. 34, parágrafo 254; p. 36; parágrafo 271; p. 37; parágrafo 287);

9.20.19. determinar, com fulcro no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis, que:

9.20.1. no prazo de 180 (cento e oitenta) dias, a contar da ciência do decisum:9.20.1.1. em atenção ao disposto nos arts. 27 a 29 da Lei 12.527/2011 e nos arts. 31 a 34

do Decreto 7.724/2012, elabore e publique formalmente processo para a classificação e tratamento das 119


informações no âmbito do Ibama, considerando as recomendações contidas no item 7.2 da NBR ISO/IEC 27.002 (peça 370, p. 18, parágrafo 105);

9.20.1.2. em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, inciso VII, c/c Norma Complementar 10/IN01/DSIC/GSIPR, estabeleça procedimento de inventário de ativos de informação, de maneira a que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, com observância das práticas contidas no item 7.1 da NBR ISO/IEC 27.002 (peça 370, p. 20, parágrafo 125);

9.20.1.3. em consonância com o princípio constitucional da eficiência e a Estratégia Geral de Tecnologia da Informação (EGTI) – 2013/2015, estabeleça processo de avaliação da gestão de TI, à semelhança do Cobit 4.1, itens ME1.4 – Avaliação de desempenho, ME1.5 – Relatórios gerenciais, ME1.6 – Ações corretivas e ME2 – Monitorar e avaliar os controles internos (peça 370, p. 36, parágrafo 272);

9.20.2. no prazo de 360 (trezentos e sessenta) dias, a contar da ciência do decisum:9.20.2.1. em atenção ao disposto na Instrução Normativa – GSI/PR 1/2008, art. 5º, inciso

VII, implemente processo de gestão de riscos de segurança da informação, com observância das práticas contidas na Norma Complementar 4/IN01/DSIC/GSIPR (peça 370, p. 21-22, parágrafo 143);

9.20.2.2. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, inciso VII, c/c Norma Complementar 13/IN01/DSIC/GSIPR, estabeleça procedimentos formais de gestão de mudanças, observando os procedimentos do item 12.5.1 da NBR ISO/IEC 27.002 e as orientações do Cobit 5, processo BAI06 – Manage Changes (Gerenciar mudanças – tradução livre), bem como outras boas práticas de mercado, como a NBR ISO/IEC 20.000 (peça 370, p. 34, parágrafo 255);

9.21. recomendar ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis que:

9.21.1. adote providências no sentido de dotar a sua área de Auditoria Interna com o conhecimento necessário para realizar a avaliação dos controles de TI da entidade, à semelhança das orientações contidas no Cobit 4.1, ME2 – Monitorar e avaliar os controles internos (peça 370, p. 37, parágrafo 288);

9.21.2. em atenção ao art. 19, inciso III, c/c o art. 20, inciso VII, do Regimento Interno do Ibama, inclua no Plano Anual de Atividades de Auditoria Interna (Paint) atividade de avaliação de controles de TI, à semelhança das orientações contidas no Cobit 4.1, ME2 – Monitorar e avaliar os controles internos (peça 370, p. 37-38, parágrafo 289);

9.22. encaminhar cópia deste Acórdão, bem como do Relatório, do Voto que a fundamentarem e dos respectivos anexos do relatório de auditoria:

9.22.1. à Secretaria-Executiva do Ministério da Ciência, Tecnologia e Inovação;9.22.2. à Secretaria Executiva do Ministério do Planejamento, Orçamento e Gestão;9.22.3. à Secretaria Executiva do Ministério da Saúde;9.22.4. ao Departamento Nacional de Infraestrutura de Transportes;9.22.5. ao Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis;9.23. autorizar a realização de monitoramento destas deliberações, nos termos do art. 243

do Regimento Interno do TCU.

10. Ata n° 16/2014 – Plenário.11. Data da Sessão: 14/5/2014 – Ordinária.12. Código eletrônico para localização na página do TCU na Internet: AC-1221-16/14-P.13. Especificação do quorum: 13.1. Ministros presentes: Augusto Nardes (Presidente), Walton Alencar Rodrigues, Aroldo Cedraz (Relator), Raimundo Carreiro, José Múcio Monteiro e Ana Arraes.13.2. Ministros-Substitutos convocados: Augusto Sherman Cavalcanti e Marcos Bemquerer Costa.13.3. Ministro-Substituto presente: André Luís de Carvalho.

120


(Assinado Eletronicamente)JOÃO AUGUSTO RIBEIRO NARDES

(Assinado Eletronicamente)AROLDO CEDRAZ

Presidente Relator

Fui presente:

(Assinado Eletronicamente)PAULO SOARES BUGARIN

Procurador-Geral

121

· web viewe 432/2011, todos do tcu-plenário. “anÁlise do atendimento das deliberaÇÕes ......

Documents