acÓrdÃo tcu 2613-2011 - mpog - avaliaÇÃo de controles de ti

TRIBUNAL DE CONTAS DA UNIO

TC 024.956/2010-4

GRUPO I CLASSE V Plenrio TC 024.956/2010-4 Natureza: Relatrio de Auditoria. Unidade: Ministrio do Planejamento, Oramento e Gesto MPOG. Responsvel: Joo Bernardo de Azevedo Bringel, secretrio executivo. Advogado constitudo nos autos: no h. Sumrio: RELATRIO DE AUDITORIA. AVALIAO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAO. CONSTATAO DE PRECARIEDADES E OPORTUNIDADES DE MELHORIA. DETERMINAES E RECOMENDAES. RELATRIO A Secretaria de Fiscalizao de Tecnologia da Informao Sefti realizou auditoria no Ministrio do Planejamento, Oramento e Gesto MPOG com o objetivo de avaliar controles gerais de tecnologia da informao TI e verificar se esto de acordo com a legislao pertinente e com as boas prticas de governana de TI. 2. As ocorrncias detectadas foram apresentadas pela equipe de auditoria nos seguintes termos (fls. 122/149): 2 ACHADOS DE AUDITORIA 2.1 Inexistncia do plano estratgico institucional 2.1.1 Situao encontrada: Por meio do item 1 do Anexo I do Ofcio 1-849/2010-Sefti, o qual faz referncia pergunta 2.1 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do planejamento estratgico institucional do MP (fl. 19). O Gestor declarou que o processo de planejamento estratgico institucional formal acompanhado segundo indicadores estabelecidos (Anexo 1, fl. 15v). Como evidncias, o Gestor encaminhou: a) plano estratgico da SOF (Anexo 1, fls. 60-72), com planilhas (Anexo 1, arquivos da pasta 1.1 e 2.1 Segue impresso e mdia\SOF no CD, fl. 18) e uma apresentao sobre o citado plano (Anexo 1, fls. 55-59); e b) apresentaes versando sobre planejamento estratgico de outras reas (SLTI, Seges, SPU, Assec, SPI, SEAIN e SRH) (Anexo 1, fls. 23-54; 73-82). Ocorre que os documentos no evidenciam a existncia de um planejamento estratgico institucional do Ministrio, tendo em vista que: a) todos os documentos encaminhados referem-se especificamente a determinado rgo singular da estrutura do Ministrio (SOF, SLTI, Seges, SPU, Assec, SPI, SEAIN, SRH); b) os documentos, a menos da SOF, no versam sobre negcio, misso, viso, avaliao dos ambientes externo e interno do Ministrio; no declaram objetivos e iniciativas estratgicas do rgo; e no estabelecem indicadores de desempenho do rgo; c) no foi apresentado um planejamento estratgico institucional do MP que agregue todos os rgos integrantes da estrutura do Ministrio; d) somente h evidncias de que a SOF contm documento formal versando sobre planejamento estratgico. As evidncias trazidas pelos demais setores so apenas apresentaes versando sobre aspectos do planejamento estratgico de cada rea; e) a ata de reunio do DSTI, datada de 11/8/2010, registra que ...foi destacado que no Ministrio do Planejamento no h um Plano Estratgico... (Anexo 1, v. 2, fl. 532); e f) o prprio diagnstico do PDTI do MP confirma a Inexistncia de Planejamento Estratgico Organizacional do Ministrio (Anexo 1, fl. 91).1

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o cdigo 47199617.


TC 024.956/2010-4

2.1.2 Causas da ocorrncia do achado: a) deficincias de controles; b) inexistncia ou insuficincia de gesto de riscos. 2.1.3 Efeitos/Consequncias do achado: a) ausncia de referencial para verificar o alinhamento estratgico das aes da rea de TI com o negcio da instituio (efeito real); b) risco de a instituio no conseguir atuar de forma eficiente no alcance de seus objetivos finalsticos (efeito potencial). 2.1.4 Critrios: a) Decreto-Lei 200/1967, art. 6, inciso I; art. 7; b) Norma Tcnica MP Gespblica Instrumento para Avaliao da Gesto Pblica Ciclo 2010 critrio de avaliao 2. 2.1.5 Evidncias: a) resposta do MP ao item 2.1 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 1 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) apresentao sobre Planejamento estratgico da SLTI (Anexo 1 Principal fls. 23-35); d) apresentao sobre Seges planejamento 2008/2009 (Anexo 1 Principal fls. 3641); e) apresentao da Secretaria do Patrimnio da Unio (o ttulo da apresentao est ilegvel) (Anexo 1 Principal fls. 42-47); f) apresentao sobre Planejamento estratgico 2008 Assessoria Econmica Assec (Anexo 1 Principal fls. 48-50); g) apresentao sobre Planejamento estratgico da SPI (Anexo 1 Principal fls. 5154); h) apresentao sobre Planejamento estratgico da SOF (Anexo 1 Principal fls. 5559); i) documento intitulado Planejamento Estratgico 2007-2010 da SOF (Anexo 1 Principal fls. 60-72); j) apresentao sobre Planejamento estratgico da Seain (Anexo 1 Principal fls. 73-77); k) apresentao sobre Secretaria de Recursos Humanos Planejamento Estratgico 2008-2010 (Anexo 1 Principal fls. 78-82); l) PDTI-MP, Anexo I da Nota Tcnica DSTI/SLTI/MP 173/2010 (Anexo 1 Principal fls. 89-91); m) ata de Reunio DSTI/SLTI/MP, de 11/8/2010 (Anexo 1 Volume 2 fls. 531532); n) Ofcio SE/MP 684/2010, que encaminhou documentos quanto ao Anexo 2, item 1, do Ofcio 7-849/2010-Sefti (Anexo 1 Volumes 4 e 5 fls. 713-1004); o) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.1.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP encaminhou, em carter restrito, por meio do Ofcio SE/MP 684/2010 (Anexo 1, v. 4, fl. 713), telas de apresentao de agenda de governo, as quais considera constiturem o planejamento estratgico institucional do Ministrio (Anexo 1, v. 45, fls. 714-1004).2



TC 024.956/2010-4

Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o planejamento estratgico do Ministrio definido em reunies com as unidades responsveis, est consubstanciado nos programas e oramento do Ministrio e acompanhado e avaliado mediante reunies peridicas com os rgos setoriais e central de oramento (Anexo 1, v. 6, fl. 1006-1006v). 2.1.7 Concluso da equipe: Os documentos apresentados pelas reas de TI e pela Secretaria-executiva do MP, incluindo as informaes enviadas em carter restrito acerca da agenda de governo, no constituem um Plano Estratgico Institucional no mbito de todo o MP, como referncia para o alinhamento estratgico das aes da rea de TI com o negcio da instituio. Igualmente, os comentrios do Gestor apresentados em resposta s concluses e propostas do relatrio preliminar no do conta de que exista um plano estratgico institucional do Ministrio. Dessa forma, o MP no adota as boas prticas preconizadas pelo Programa Nacional de Gesto Pblica e Desburocratizao Gespblica , cujo comit gestor institudo no mbito do prprio rgo. Cumpre destacar que a ausncia de referencial de negcio na organizao prejudica a aderncia de modelos de governana corporativa de TI no Ministrio. Considerando o pedido de tratamento restrito s informaes enviadas pelo MP por meio do Ofcio SE/MP 684/2010, recomenda-se a aposio da chancela de sigilo s peas dos presentes autos em que as referidas informaes foram autuadas. 2.1.8 Propostas de encaminhamento: Apor chancela de sigilo aos Volumes 4 e 5 do Anexo 1 dos presentes autos; Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, em ateno ao Decreto-Lei 200/1967, art. 6, I, e art. 7, elabore um plano estratgico institucional, considerando o previsto no critrio de avaliao 2 do Gespblica. 2.2 Falhas no PDTI 2.2.1 Situao encontrada: Por meio do item 2 do Anexo I do Ofcio 1-849/2010-Sefti, o qual faz referncia pergunta 2.3 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do plano diretor de tecnologia da informao do MP (fl. 19). O Gestor declarou que, alm de vincular as aes de TI a indicadores e metas de negcio, o PDTI do MP vincula os custos de TI a atividades e projetos de TI e vincula as aes de TI a indicadores e metas de servios ao cidado (Anexo 1, fl. 15v). Ocorre que o PDTI publicado pelo MP no estabelece indicadores de desempenho, no vincula custos de TI a atividades e projetos de TI e no vincula as aes de TI a indicadores e metas de servios ao cidado (Anexo 1, fls. 90-91). Convm salientar mais duas falhas, essas baseadas no disposto no art. 4, inciso III, da IN SLTI/MP 4/2008, expedida pelo prprio Ministrio (Anexo 1, fls. 90-91): a) o PDTI no alinha necessidades de informao estratgia do rgo; b) o PDTI no dispe de um plano de investimentos. 2.2.2 Causas da ocorrncia do achado: a) deficincias de controles; b) inexistncia ou insuficincia de gesto de riscos. 2.2.3 Efeitos/Consequncias do achado: a) aes de TI no alinhadas ao negcio (efeito potencial). b) dificuldade de a instituio atuar de forma eficiente no alcance de seus objetivos finalsticos (efeito potencial). 2.2.4 Critrios: a) Instruo Normativa SLTI/MP 4/2008, art. 4, inciso III; b) Norma Tcnica ITGI Cobit 4.1, PO1 Planejamento Estratgico de TI.3



TC 024.956/2010-4

2.2.5 Evidncias: a) resposta do MP ao item 2.2 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 2 do Anexo I do Ofcio 1-849/2010-Sefti. (arquivos em CD) (Anexo 1 Principal fl. 18); c) PDTI-MP, Anexo I da Nota Tcnica DSTI/SLTI/MP 173/2010 (Anexo 1 Principal fls. 89-91); d) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); e) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.2.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do OfcioSE/MP 678/2010 SE/MP 678/2010, que est em elaborao o PDTI para 2011, que apresentar indicadores de desempenho para as equipes definidas no novo organograma proposto para a TI do Ministrio (Anexo 1, v. 3, fl. 684). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o PDTI est sendo revisado visando contemplar j no exerccio de 2011 as recomendaes da proposta sugerida no relatrio preliminar (Anexo 1, v. 6, fl. 1006v). 2.2.7 Concluso da equipe: Conquanto o MP tenha apresentado PDTI aprovado e publicado, o referido plano contm falhas: no estabelece indicadores de desempenho, no vincula custos de TI a atividades e projetos de TI e no apresenta indicadores e metas de servios ao cidado. Alm disso, em desatendimento ao disposto no inciso III do art. 4 da Instruo Normativa SLTI/MP 4/2008, expedida pelo Ministrio, o PDTI do MP no dispe de plano de investimentos e no alinha necessidades de informao estratgia do rgo, sendo que para essa falha, a causa a inexistncia de planejamento estratgico institucional. O processo de reviso do PDTI do MP para 2011, citado pelo Gestor, ainda estava em andamento aps a ao de controle, e, portanto, seus resultados no puderam ser comprovados pela equipe no presente trabalho, o que poder ser realizado em futuro monitoramento das deliberaes do acrdo que vier a ser proferido. 2.2.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, em ateno s disposies contidas no Decreto-Lei 200/1967, art. 6, I, e na Instruo Normativa SLTI/MP 4/2010, art. 4, aperfeioe o processo de planejamento estratgico de TI, observando as diretrizes constantes da Estratgia Geral de Tecnologia da Informao (EGTI) em vigor, e semelhana das orientaes previstas no Cobit 4.1, processo PO1 Planejamento Estratgico de TI. 2.3 Falhas relativas ao comit de TI 2.3.1 Situao encontrada: Por meio do item 2.1 do Anexo I do Ofcio 1-849/2010-Sefti, o qual faz referncia pergunta 1.1 do Questionrio Perfil GovTI-2010, solicitaram-se informaes acerca da organizao e dos relacionamentos da TI (fl. 19). Como resposta, o Gestor declarou que a instituio designou formalmente um comit de TI para auxili-la nas decises relativas gesto e ao uso corporativo da TI (Anexo 1, fl. 15).4



TC 024.956/2010-4

Da anlise das respostas (Portaria SE/MP 276/2009 e ata da 23 reunio do comit de TI do MP), verifica-se que o rgo no atribuiu ao comit de TI a responsabilidade de acompanhar o estado dos projetos e resolver conflitos por recursos, nem a de monitorar as melhorias implantadas e os nveis de servio acordados entre as reas de TI e as reas usurias do MP (Anexo 1, arquivo \3.1\Portaria SE 276 publicada no BPS de 21-05-2009.pdf no CD, fl. 18). 2.3.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.3.3 Efeitos/Consequncias do achado: a) ausncia de resoluo de conflitos por recursos (efeito real); b) ausncia de acompanhamento de status dos projetos (efeito potencial); c) ausncia de monitoramento das melhorias implantadas (efeito potencial); d) ausncia de monitoramento dos nveis de servio (efeito real). 2.3.4 Critrios: a) Instruo Normativa SLTI/MP 4/2008, art. 4, inciso IV; b) Norma Tcnica ITGI Cobit 4.1, PO4.3 Comit diretor de TI; c) Norma Tcnica ITGI Cobit 4.1, PO4.2 Comit estratgico de TI. 2.3.5 Evidncias: a) resposta do MP ao item 1.1 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 2.1 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); d) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010); e) Ofcio SLTI/MP 1.113/2011, que encaminhou documentos em complementao ao Ofcio SE/MP 152/2011 (Anexo 1 Volume 6 fls. 1011-1054). 2.3.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010, que a partir do segundo semestre de 2010 reformulou a composio da representatividade do comit com o propsito de aprimorar o acompanhamento de projetos de TI e o processo decisrio de priorizao de novas aes e investimentos em TI (Anexo 1, v. 3, fl. 684). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que as atas do comit de TI comprovam o acompanhamento de projetos e monitoramento de melhorias implantadas (Anexo 1, v. 6, fl. 1006v), apresentando evidncias (Anexo 1, v. 6, fls. 1032; 1035; 1037). 2.3.7 Concluso da equipe: No obstante o MP dispor de comit de TI formalizado, constatou-se que o rol de suas atribuies bem como sua atuao no incluem a resoluo de conflitos por recursos e o monitoramento dos nveis de servio de TI. Alm disso, apesar de o comit de TI do MP acompanhar o estado de projetos e monitorar melhorias implantadas, tais atribuies no foram previstas na formalizao do comit, o que gera risco de descontinuidade desse acompanhamento. 2.3.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que aperfeioe a atuao do comit de tecnologia da informao, semelhana das diretrizes do5



TC 024.956/2010-4

Cobit 4.1, PO4.2 Comit estratgico de TI e PO4.3 Comit diretor de TI, prevendo as seguintes atribuies para o comit de TI: a) acompanhar o estado dos projetos; b) resolver conflitos por recursos; e c) monitorar os nveis de servio e as melhorias implantadas. 2.4 Inexistncia de avaliao do quadro de pessoal de TI 2.4.1 Situao encontrada: Por meio do item 2.7 do Anexo I do Ofcio 1-849/2010-Sefti, solicitaram-se informaes acerca da avaliao do quadro de pessoal de TI do MP (fl. 20). Como resposta, o Gestor encaminhou evidncias de algumas reas de TI do Ministrio Seges, SPU, SOF e DSTI com as seguintes observaes: a) o setor de TI da Seges afirma que no tem informaes suficientes para embasar uma resposta neste sentido (Anexo 1, arquivo \3.7\SEGES resposta tcu 3.7.odt no CD, fl. 18); b) a Coordenao-Geral de Tecnologia da Informao da SPU afirma que a estrutura alocada no suficiente para o desempenho das necessidades da Secretaria, e aduz que baseou a resposta em estudo contido no plano diretor de tecnologia da informao da SPU, elaborado em 2008, citando trecho desse PDTI quanto ao assunto, sem, contudo, apresentar cpia do citado documento (Anexo 1, arquivo \3.7\SPU 3.7.odt no CD, fl. 18); c) a Coordenao-Geral de Tecnologia da Informao da SOF aduz que no foi consolidado estudo que identificasse a demanda por profissionais na rea de TI para a Secretaria. Afirma tambm que foram abertas vagas especficas para a rea de TI em 2009, mas que ainda persiste a demanda por mais profissionais dessa rea (Anexo 1, arquivo \3.7\SOF Item 3.7\SOF 3.7.odt no CD, fl. 18); e d) o DSTI afirmou que existe um projeto de governana de TI em fase final de elaborao, o qual propor nova estrutura organizacional do departamento, identificando as carncias e definindo qualificao (Anexo 1, arquivo \3.7\Item 3.7.odt no CD, fl. 18). Durante a execuo dos trabalhos, o Gestor encaminhou, como resposta complementar, um relatrio sobre anlise quantitativa de pessoal do DSTI (Anexo 1, v. 3, fl. 631), o qual sugere como quantitativo ideal de pessoal para o DSTI um nmero de servidores superior ao informado na resposta do MP ao item 2.4 do Anexo I do Ofcio 1-849/2010-Sefti (Anexo 1, fl. 18). Ocorre que essa anlise quantitativa de pessoal de TI est restrita ao escopo do DSTI e no ao do Ministrio como um todo (Anexo 1, v. 3, fl. 631). 2.4.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.4.3 Efeitos/Consequncias do achado: a) dependncia do servio de empresas terceirizadas (efeito potencial); b) recursos humanos de TI insuficientes para atender s necessidades do negcio (efeito potencial); c) falta de competncias apropriadas na rea de TI (efeito potencial). 2.4.4 Critrios: a) Decreto 5.707/2006, art. 1, inciso III; b) Norma Tcnica ITGI Cobit 4.1, PO4.12 Pessoal de TI. 2.4.5 Evidncias: a) resposta do MP ao questionamento 2.7 do Anexo I ao Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); b) anlise quantitativa de pessoal de TI alinhada proposta do novo organograma do DSTI (Anexo 1 Volume 3 fls. 626-632); c) relatrio executivo de governana de TI Estrutura Organizacional DSTI (Anexo 1 Volume 3 fls. 603-625); d) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710);

6



TC 024.956/2010-4

e) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.4.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP, por meio do Anexo 2 do Ofcio SE/MP 678/2010, mencionou novamente a anlise quantitativa de pessoal de TI realizada para o DSTI, afirmando que cerca de 50% dos 115 analistas de TI que tiveram sua chamada autorizada no segundo semestre de 2010 foram empossados no MP a partir da citada avaliao. Manifestou tambm que o projeto de governana de TI com a UnB previu a definio de atribuies das novas equipes do DSTI, o que embasou a alocao dos profissionais admitidos nas referidas equipes de TI (Anexo 1, v. 3, fl. 684). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o MP envidar esforos para realizar avaliao do quadro de pessoal de TI, nos moldes da realizada no DSTI, com abrangncia para todo o Ministrio (Anexo 1, v. 6, fl. 1006v). 2.4.7 Concluso da equipe: No obstante as declaraes da SPU e da SOF indiquem a necessidade de servidores para as referidas reas, bem como o fato de a realizao de estudo quantitativo do quadro de pessoal para o DSTI ter embasado a alocao dos profissionais das equipes de TI do DSTI, no foi apresentada evidncia de realizao de avaliao do quadro de pessoal de TI no mbito de todo o Ministrio que justifique o quadro de pessoal adequado para toda a rea de TI do MP. Por oportuno, os comentrios do Gestor no sentido de que o MP envidar esforos para realizar avaliao do quadro de pessoal de TI no mbito de todo o Ministrio confirmam a necessidade de realizao de tal estudo. 2.4.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, em ateno ao Decreto 5.707/2006, art. 1, III, elabore estudo tcnico de avaliao qualitativa e quantitativa do quadro da rea de TI no mbito de todo o Ministrio, com vistas a fundamentar futuros pleitos de ampliao e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando o melhor atendimento das necessidades institucionais, semelhana das prticas contidas no Cobit 4.1, PO4.12 Pessoal de TI. 2.5 Inexistncia de processo de software 2.5.1 Situao encontrada: Por meio do item 4 do Anexo I do Ofcio1-849/2010-Sefti (fl. 20), o qual faz meno pergunta 7.3 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do processo de software que apoie a administrao da qualidade dos produtos de software. Como resposta, o Gestor declarou no questionrio que h um processo informal repetido vrias vezes e que implementa conceitos de qualidade de processo (Anexo 1, fl. 16v). Dentre as evidncias encaminhadas pelo MP, h uma proposta de metodologia de desenvolvimento de sistemas (MDS), elaborada por grupo de trabalho formado por membros de alguns setores do rgo: SLTI, Dest, SOF, SPI, SPOA/CGTI (Anexo 1, \5.1\Proposta de MDS para Comit de TI do MP v15.doc no CD, fl. 18) e um registro em ata de reunio do comit estratgico de TI, de 23/9/2009, afirmando que A MDS foi aprovada pelos participantes, devendo ser formalizada em Resoluo do Comit Estratgico de TI... (Anexo 1, v.3, fl. 634). Cumpre destacar que no foram encaminhadas pelo MP evidncias da publicao da referida MDS.7



TC 024.956/2010-4

Da anlise da MDS, constatou-se que no contempla todos os elementos essenciais de um processo de software, haja vista que: a) no descreve os papis do cliente e do usurio; b) no prev artefatos para aceite de requisitos, nem registro de histrico de mudanas de requisitos, e nem para acompanhamento de projetos; c) no apresenta os modelos dos artefatos da metodologia, limitando-se a indicar que os modelos de artefatos constam de documento complementar, e os citados artefatos no constam da documentao enviada pelo Gestor. Impende citar que no foram encaminhadas evidncias de que a MDS esteja sendo utilizada, visto que o Gestor encaminhou artefatos que no se referem ao processo, quais sejam: especificaes de regras de negcio, especificaes de caso de uso e plano de testes utilizados pela SOF no projeto SIOP (Anexo 1, arquivos da pasta \5.1\SOF\ no CD, fl. 18) e especificaes de regras de negcio, evidncia de homologao e documentos contendo telas de sistema e resultado de homologao utilizados pela SPI em um projeto de software no mbito do Contrato 45/2005 (Anexo 1, arquivos da pasta \5.1\SPI 5.1\ no CD, fl. 18). Analisando-se esses artefatos luz das fases do ciclo de desenvolvimento de software previstas na MDS, constatou-se que no contemplam o previsto nessa metodologia, visto que, a uma, no projeto da SOF foram apresentados somente artefatos que poderiam ser usados na anlise funcional e apenas trs deles, enquanto a MDS elenca pelo menos oito artefatos para essa fase (documento de viso, diagrama de casos de uso, especificao de casos de uso, requisitos de software, regras de negcio, plano de testes, glossrio, documento de mensurao) (fl. 11 do arquivo \5.1\Proposta de MDS para Comit de TI do MP v15.doc no CD, fl. 18), a duas, no projeto da SPI foram encaminhados apenas um artefato que poderia ser considerado na fase de anlise funcional e um na fase de implementao, ao passo que a MDS elenca inmeros outros artefatos nas referidas fases do ciclo de desenvolvimento (fls. 11; 13, do arquivo \5.1\Proposta de MDS para Comit de TI do MP v15.doc no CD, fl. 18). Alm disso, as evidncias revelam que no seguido um modelo nico pelo Ministrio, uma vez que o modelo de artefato para especificao de regras de negcio usado pela SOF distinto do adotado pela SPI. Por fim, cumpre destacar que a MDS no mencionada no quarto e ltimo termo aditivo do Contrato 45/2005 (Anexo 2, v. 8, fls. 1739-1742), o qual abrange a maior parte dos servios de desenvolvimento/manuteno de software prestados ao MP, e foi celebrado posteriormente aprovao da multicitada MDS, e nem no Contrato 74/2010 (Anexo 1, v. 3, fls. 655-676), que sucedeu o Contrato 45/2005. 2.5.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.5.3 Efeitos/Consequncias do achado: a) impropriedade nos contratos 45/2005 e 74/2010, decorrente de que parte do objeto (desenvolvimento e manuteno de software) no est suficientemente definido, pois o processo de software que o definiria (efeito real); b) inexistncia de parmetros de aferio de qualidade para contratao de desenvolvimento de sistemas (efeito real). 2.5.4 Critrios: a) Instruo Normativa SLTI/MP 4/2008, art. 12, inciso II; b) Lei 8.666/1993, art. 6, inciso IX; c) Norma Tcnica ITGI Cobit 4.1, PO8.3 Padres de desenvolvimento e de aquisies; d) Norma Tcnica NBR ISO/IEC 12.207 e 15.504. 2.5.5 Evidncias: a) resposta do MP ao item 7.3 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17);8



TC 024.956/2010-4

b) resposta do MP ao questionamento 4 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) ata da 16 reunio do comit estratgico de TI do MP, de XX/XX/2009 (Anexo 1 Volume 3 fls. 633-635); d) Quarto termo aditivo ao Contrato 45/2005 (Anexo 2 Volume 8 fls. 1739-1742); e) Contrato 47/2010 (Anexo 1, v. 3, fls. 655-676); f) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); g) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.5.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP, por meio do Anexo 2 do Ofcio SE/MP 678/2010, mencionou novamente a metodologia de desenvolvimento de sistemas (Anexo 1, v. 3, fl. 684), aprovada em reunio do comit estratgico de TI do Ministrio, de 23/9/2009 (Anexo 1, v. 3, fl. 634), j analisada na seo situao encontrada. Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que estaria em andamento projeto no sentido de garantir a aplicabilidade e a formalizao do uso da MDS, com previso de implantao em dezembro de 2011, e que desta forma, entenderia que existe processo de software (Anexo 1, v. 6, fl. 1006v). 2.5.7 Concluso da equipe: A despeito das manifestaes do Gestor, a MDS aprovada em ata de reunio do comit estratgico de TI do MP no contm os elementos essenciais de um processo de software, bem como no foram apresentadas evidncias de que esteja sendo utilizada no rgo, provocando deficincias nos processos de contratao e aferio da qualidade dos artefatos produzidos nessas contrataes. Ademais, o comentrio do Gestor no sentido do andamento de projeto para garantir a aplicabilidade e a formalizao do uso da MDS a ser implantado at dezembro de 2011, confirma que a metodologia ainda no aplicada e no tem seu uso formalizado no Ministrio. Salienta-se que a iniciativa se materializou aps a ao de controle e, portanto, seus resultados no puderam ser comprovados pela equipe no presente trabalho, o que poder ser realizado em futuro monitoramento das deliberaes do acrdo que vier a ser proferido. 2.5.8 Propostas de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, em ateno ao disposto na Lei 8.666/1993, art. 6, IX, e s disposies contidas na Instruo Normativa SLTI/MP 4/2010, art. 13, II, defina um processo de software previamente s futuras contrataes de servios de desenvolvimento ou manuteno de software, vinculando o contrato com o processo de software, sem o qual o objeto no estar precisamente definido. Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, quando do estabelecimento de seu processo de software, considere as Normas NBR ISO/IEC 12.207 e 15.504. 2.6 Inexistncia de processo de gerenciamento de projetos 2.6.1 Situao encontrada: Por meio do item 5 do Anexo I do Ofcio 1-849/2010-Sefti (fls. 20/21), o qual faz meno pergunta 7.4 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do processo de9



TC 024.956/2010-4

gerenciamento de projetos. Como resposta, o Gestor declarou no questionrio que pratica gerenciamento de projetos, mas no adota qualquer padro interno ou de mercado (Anexo 1, fl. 16v) e encaminhou alguns artefatos que evidenciariam algumas prticas de gerenciamento de projetos implementadas por setores do rgo (SOF, SLTI, SPI e SPU) (Anexo 1, arquivos da pasta \6.1 no CD, fl. 18). Alm disso, o prprio diagnstico do PDTI do Ministrio registra Gerenciamento de processos e de projetos de TI feitos de maneira ad hoc e aponta como soluo a Sistematizao de uma metodologia de gesto de projetos (Anexo 1, fl. 91). 2.6.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.6.3 Efeito/Consequncia do achado: a) elevao do risco de insucesso de projetos relevantes (efeito potencial). 2.6.4 Critrio: a) Norma Tcnica ITGI Cobit 4.1, PO10.2 Estrutura de gerncia de projetos. 2.6.5 Evidncias: a) resposta do MP ao item 7.4 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 5 do Anexo I do Ofcio 1-849/2010-Sefti. (Anexo 1 Principal fl. 18); c) PDTI-MP, Anexo I da Nota Tcnica DSTI/SLTI/MP 173/2010 (Anexo 1 Principal fls. 89-91); d) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); e) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.6.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010, que na proposta de novo modelo organizacional da TI do Ministrio foi recomendada a criao do escritrio de projetos de TI, a qual foi viabilizada com a posse dos novos analistas de TI, estando o escritrio em funcionamento desde novembro de 2010. O representante do auditado afirmou ainda que a descrio dos processos de trabalho do escritrio e o incio do uso de ferramenta de gesto de portflio de projetos estavam em fase final de implantao poca da concluso do relatrio preliminar do presente trabalho (Anexo 1, v. 3, fl. 684). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o escritrio de projetos do DSTI, no formalizado no Regimento Interno do MP poca dos trabalhos de campo, estaria implantando, desde novembro de 2010, processo de gerenciamento de projetos, acompanhando todos os projetos de TI do Ministrio (Anexo 1, v. 6, fl. 1006v). 2.6.7 Concluso da equipe: O MP no possui um processo de gerenciamento de projetos, o que confirmado no diagnstico constante do PDTI do prprio rgo e nos esclarecimentos acima, sob risco de comprometimento da gesto de cada projeto corporativo do rgo. A partir da manifestao do Gestor sobre o relatrio preliminar, verifica-se que o MP j vem adotando providncias no sentido de implantar um processo de gerenciamento de projetos de TI, o que est em consonncia com a proposta sugerida no relatrio preliminar.10



TC 024.956/2010-4

A despeito disso, a iniciativa manifestada pelo Gestor iniciou-se posteriormente ao perodo da ao de controle e no pde ser comprovada pela equipe no presente trabalho, o que poder ser realizado em futuro monitoramento das deliberaes do acrdo que vier a ser proferido. 2.6.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que implante uma estrutura formal de gerncia de projetos, semelhana das orientaes contidas no Cobit 4.1, processo PO10.2 Estruturas de Gerncia de Projetos e no PMBOK, entre outras boas prticas de mercado. 2.7 Inexistncia do processo de gesto de mudanas 2.7.1 Situao encontrada: Por meio dos itens 6.1 e 6.2 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 21) e da pergunta 7.6 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do processo de gesto de mudanas de TI estabelecido. Como resposta, o Gestor declarou no questionrio que a instituio no implementou corporativamente processo de gesto de mudanas (Anexo 1, fl. 17) e no encaminhou evidncias correspondentes ao referido processo (Anexo 1, fl. 18). 2.7.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.7.3 Efeitos/Consequncias do achado: a) no avaliao do impacto de eventuais mudanas (efeito potencial); b) incidentes de segurana no ambiente de TI do Ministrio (efeito potencial). 2.7.4 Critrios: a) Norma Tcnica ITGI Cobit 4.1, AI6 Gerenciar mudanas; b) Norma Tcnica NBR ISO/IEC 27002, 12.5.1 Procedimentos para controle de mudanas; c) Norma Tcnica NBR ISO/IEC 20000, item 9.2 Gerenciamento de mudanas; d) Norma Tcnica OGC ITIL verso 2 Livro Suporte a Servios. 2.7.5 Evidncias: a) resposta do MP ao item 7.6 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 6.1 do Anexo I do Ofcio 1-849/2010-Sefti. (arquivos em CD) (Anexo 1 Principal fl. 18); c) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); d) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.7.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010- SE/MP 678/2010, que o modelo de contratao com o Serpro define que os servios e processos de gesto de mudanas sejam conduzidos pela contratada, tendo em vista que produo, manuteno e evoluo dos servios estratgicos de TI so integralmente prestados pelo Serpro (Anexo 1, v. 3, fl. 684v). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o processo de gesto de demandas ao Serpro, que controlado pelas unidades do MP, garante que seu atendimento no interrompa os negcios, e que o processo de gesto de mudanas na infraestrutura de TI do MP conduzido pelo DSTI (Anexo 1, v. 6, fl. 1006v).11



TC 024.956/2010-4

2.7.7 Concluso da equipe: Em relao manifestao do Gestor encaminhada por meio do Ofcio SE/MP 678/2010, ressalta-se que ainda que os servios sejam contratados com o Serpro, o controle e a responsabilidade pelos processos de gesto e governana de TI so dos gestores do MP. Especificamente em relao ao processo de gesto de demandas citado pelo Gestor, destaca-se que a existncia de processo estanque de gesto de demandas a uma das prestadoras de servios de TI, qual seja, o Serpro, difere do processo de gesto de demandas a outra prestadora, por exemplo, a empresa Calandra Solues S.A., conforme ordens de servio utilizadas no Contrato 58/2009 (Anexo 1, v. 3, fl. 600), demonstrando que no h um processo corporativo de gesto das mudanas relacionadas s demandas de servios de TI. Acrescenta-se que a infraestrutura constitui apenas um dos objetos (aplicaes, procedimentos, processos, parmetros de sistema, parmetros de servio e plataformas subjacentes) que devem ter suas mudanas geridas em um processo de gesto de mudanas. Alm disso, o MP no apresentou em sua manifestao evidncia de qualquer dos elementos essenciais de um processo de gesto de mudanas (descrio dos papis dos profissionais envolvidos, bem como atividades e artefatos previstos) no tocante infraestrutura de TI. Portanto, como declarado inicialmente pelo Gestor, o MP no possui processo de gesto de mudanas. 2.7.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que estabelea procedimentos formais de gesto de mudanas, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 27002, semelhana das orientaes contidas no Cobit 4.1, processo AI6 Gerenciar mudanas, e em outras boas prticas de mercado (tais como ITIL e NBR ISO/IEC 20000). 2.8 Inexistncia do processo de gesto de incidentes 2.8.1 Situao encontrada: Por meio dos itens 6.1 e 6.3 do Anexo I do Ofcio 1-849/2010-Sefti e da pergunta 7.6 do Questionrio PerfilGovTI-2010 (fl. 21), solicitaram-se informaes acerca do processo de gesto de incidentes de TI estabelecido. Como resposta, o Gestor declarou no questionrio que a instituio no implementou corporativamente processo de gesto de incidentes (Anexo 1, fl. 17) e no encaminhou evidncias correspondentes ao referido processo (Anexo 1, fl. 18). 2.8.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.8.3 Efeitos/Consequncias do achado: a) ocorrncia de incidentes sem o devido gerenciamento (efeito potencial); b) paralisao dos servios de TI (efeito potencial); c) paralisao das atividades da organizao (efeito potencial). 2.8.4 Critrios: a) Norma Tcnica ITGI Cobit 4.1, DS8 Gerenciar a Central de Servio e os Incidentes; b) Norma Tcnica NBR ISO/IEC 27002, item 13 Gesto de incidentes de segurana da informao; c) Norma Tcnica NBR ISO/IEC 20000, item 8.2 Gerenciamento de incidentes; d) Norma Tcnica OGC ITIL verso 2 Livro Suporte a Servios. 2.8.5 Evidncias: a) resposta do MP ao item 7.6 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 6.1 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710);12



TC 024.956/2010-4

d) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.8.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010- SE/MP 678/2010, que o modelo de contratao com o Serpro define que os servios e processos de gesto de incidentes sejam conduzidos pela contratada, tendo em vista que produo, manuteno e evoluo dos servios estratgicos de TI so integralmente prestados pelo Serpro (Anexo 1, v.3 , fl. 684v). Por meio da citada comunicao, o Gestor da Secretaria-executiva do MP tambm afirmou que o MP cumpre a Instruo Normativa GSI/PR 1/2008 no que se refere criao da equipe de tratamento e resposta a incidentes em redes computacionais, e atua em parceria com o Serpro conforme processo de trabalho definido (Anexo 1, v. 6, fl. 1013). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que existe equipe setorial na SLTI com atribuio de atender acionamentos relacionados a incidentes nos sistemas setoriais do MP e que as secretarias gestoras dos sistemas estruturantes tm o mesmo papel quanto a incidentes nesses sistemas. Acrescentou que a equipe setorial do DSTI contrata suporte junto ao Serpro para atendimento de incidentes de primeiro e segundo nveis (Anexo 1, v. 6, fls. 1006v-1007). 2.8.7 Concluso da equipe: No que tange manifestao do Gestor encaminhada por meio do Ofcio SE/MP 678/2010, convm ressaltar que os incidentes tratados por equipe de tratamento e resposta a incidentes em redes computacionais so incidentes de segurana da informao, e no incidentes sob a tica de gesto de servios de TI, que trata de uma gama mais ampla de incidentes (vide NBR 20.000). Portanto, como declarado inicialmente pelo Gestor, o MP no possui processo de gesto de incidentes no contexto da gesto de servios de TI. Novamente registra-se que ainda que os servios sejam contratados com o Serpro, o controle e a responsabilidade pelos processos de gesto e governana de TI so dos gestores do MP. A existncia de equipes para atender acionamentos de incidentes em sistemas, no constitui, por si s, um processo de gesto de incidentes no contexto da gesto de servios de TI, o qual demandaria a descrio dos papis dos profissionais envolvidos, das atividades e dos artefatos previstos, tal como a lista de incidentes, que deve conter pelo menos a classificao dos incidentes, datas de abertura e de fechamento do incidente e histrico das aes realizadas em virtude do incidente. 2.8.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que implemente processo de gesto de incidentes de servios de tecnologia da informao, semelhana das orientaes contidas no Cobit 4.1, processo DS8 Gerenciar a central de servios e incidentes, e de outras boas prticas de mercado (tais como NBR ISO/IEC 20000, ITIL e NBR 27002). 2.9 Inexistncia do processo de gesto de configurao 2.9.1 Situao encontrada: Por meio dos itens 6.1 e 6.4 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 21) e da pergunta 7.6 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do processo de gesto de configurao de TI estabelecido. Como resposta, o Gestor declarou no questionrio que a instituio13



TC 024.956/2010-4

no implementou corporativamente processo de gesto de configurao (Anexo 1, fl. 17) e no encaminhou evidncias correspondentes ao referido processo (Anexo 1, fl. 18). Alm disso, o prprio diagnstico do PDTI do Ministrio registra a Ausncia de sistemtica de gesto dos itens de configurao e aponta como soluo a Gesto sistmica dos itens de configurao de TI (Anexo 1, fl. 91). 2.9.2 Causas da ocorrncia do achado: a) deficincias de controles. 2.9.3 Efeito/Consequncia do achado: a) desatualizao ou deficincia da configurao de TI (efeito potencial); b) incidentes de segurana no ambiente de TI do Ministrio (efeito potencial). 2.9.4 Critrios: a) Norma Tcnica ITGI Cobit 4.1, DS9 Gerenciar configuraes; b) Norma Tcnica NBR ISO/IEC 20000, item 9.1 Gerenciamento de configurao; c) Norma Tcnica OGC ITIL verso 2 Livro Suporte a Servios. 2.9.5 Evidncias: a) resposta do MP ao item 7.6 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 6.1 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) PDTI-MP, Anexo I da Nota Tcnica DSTI/SLTI/MP 173/2010 (Anexo 1 Principal fls. 89-91); d) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); e) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.9.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o MP manifestou, por meio do Ofcio SE/MP 678/2010- SE/MP 678/2010, que o modelo de contratao com o Serpro define que os servios e processos de gesto de configurao sejam conduzidos pela contratada, tendo em vista que produo, manuteno e evoluo dos servios estratgicos de TI so integralmente prestadas pelo Serpro (Anexo 1, v. 3, fl. 684v). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a definio da configurao da infraestrutura de TI do MP gerida pelo DSTI com o apoio do Serpro no mbito do Contrato 74/2010 (Anexo 1, v. 6, fl. 1007). 2.9.7 Concluso da equipe: Em relao manifestao do Gestor encaminhada por meio do Ofcio SE/MP 678/2010, novamente cabe o comentrio sobre impossibilidade de transferncia aos contratados do controle e responsabilidade dos processos de gesto e governana de TI. No que concerne manifestao do Gestor sobre o relatrio preliminar, a configurao da infraestrutura de TI que seria gerida pelo DSTI se refere ao mbito dos itens de configurao dos servios prestados em um contrato especfico, celebrado posteriormente ao perodo da ao de controle e, isoladamente, no constitui um processo corporativo de gesto de configurao. Demais disso, o Gestor no afirmou existir um processo corporativo de gesto de configurao, nem apresentou evidncias da existncia de qualquer dos elementos essenciais desse14



TC 024.956/2010-4

processo no MP (descrio dos papis envolvidos, das atividades e dos artefatos previstos, tais como base de dados de configurao e ferramenta de gesto de configurao). Dessarte, como declarado inicialmente pelo Gestor, o MP no possui processo de gesto de configurao no contexto da gesto de servios de TI. 2.9.8 Proposta de encaminhamento: Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que implemente processo de gesto de configurao de servios de tecnologia da informao, semelhana das orientaes contidas no Cobit 4.1, processo DS9 Gerenciar configurao e em outras boas prticas de mercado (como ITIL e NBR ISO/IEC 20000). 2.10 Inexistncia de gestor de segurana da informao e comunicaes 2.10.1 Situao encontrada: Por meio do item 7.2 do Anexo I do Ofcio 1-849/2010-Sefti, solicitaram-se informaes acerca da designao formal e evidncias de atuao do gestor de segurana da informao (fl. 22). Da documentao apresentada, a ata da 2 reunio do comit de segurana da informao e comunicaes (CSIC) do rgo menciona que Com a publicao da primeira verso da Posic, ser tambm atribudo o cargo de gestor de segurana... (Anexo 1, fl. 1 do arquivo \8.2 e 8.3\Oficio452nexoI-item8.3\CSIC-2Reuniao.pdf no CD, fl. 18). No entanto, no foram apresentadas evidncias de designao formal nem atuao do gestor de segurana de informao e comunicaes. 2.10.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.10.3 Efeito/Consequncia do achado: a) no otimizao das aes de segurana da informao (efeito potencial). 2.10.4 Critrios: a) Instruo Normativa 1/2008 do Gabinete de Segurana Institucional Presidncia da Repblica, art. 5, inciso IV; art. 7; b) Norma Tcnica Gabinete de Segurana Institucional Presidncia da Repblica Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2; c) Norma Tcnica NBR ISO/IEC 27002, 6.1.3 Atribuio de responsabilidade para segurana da informao. 2.10.5 Evidncias: a) resposta do MP ao questionamento 7.2 do Anexo I do Ofcio 1-849/2010-Sefti (Anexo 1 Principal fl. 18); b) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); c) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.10.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010- SE/MP 678/2010, de 20/12/2010, que estava prevista a publicao da designao do diretor do DSTI para a funo de gestor de segurana da informao e comunicaes (Anexo 1, v. 3 , fl. 684v). Posteriormente, em 4/3/2011, um dos gestores do MP encaminhou mensagem eletrnica (Anexo 1, v. 3, fl. 711) informando que a impropriedade havia sido sanada, por meio da publicao da Portaria SE/MP 56/2011, de 23/2/2011, que designou o diretor do DSTI/SLTI/MP como gestor de segurana da informao e comunicaes no mbito do MP (Anexo 1, v. 3, fl. 712). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da15



TC 024.956/2010-4

Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), ratificou que a impropriedade havia sido sanada (Anexo 1, v. 6, fl. 1007). 2.10.7 Concluso da equipe: A medida promovida pelo Gestor aps a ao de controle est em conformidade com o disposto na Instruo Normativa GSI/PR 1/2008, art. 5, IV, e art. 7, c/c Norma Complementar 3/IN01/DSIC/GSIPR, item 5.3.7.2, e observa as prticas contidas na NBR ISO/IEC 27.002, item 6.1.3 Atribuio de responsabilidade para segurana da informao, de modo que deixa-se de propor comando Secretaria-executiva do MP quanto a essa questo no presente relatrio. Tendo vista que um dos meios de se atingir o cumprimento tempestivo e eficiente da misso da rea de TI se d a partir do monitoramento dos controles implantados, ser proposta determinao Sefti para que avalie a atuao do gestor de segurana da informao e comunicaes do MP, por ocasio do monitoramento das deliberaes do acrdo que vier a ser proferido. 2.10.8 Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, Secretaria de Fiscalizao de Tecnologia da Informao Sefti que, por ocasio do monitoramento das deliberaes do acrdo que vier a ser proferido, avalie se a atuao do gestor de segurana da informao e comunicaes do MP est em conformidade com o disposto na Instruo Normativa GSI/PR 1/2008, art. 7 2.11 Falhas na poltica de segurana da informao e comunicaes (Posic) 2.11.1 Situao encontrada: Por meio do item 7.1 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 22), o qual faz meno pergunta 7.2 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca da poltica corporativa de segurana da informao (Posic). Como resposta, o Gestor declarou no questionrio que a instituio formalizou aprovou e publicou a Posic do rgo (Anexo 1, fl. 16v) e encaminhou cpia da referida poltica (Anexo 1, fl. 1 do arquivo \8.1\Oficio452nexoIitem8.1_Ref.Quest-item7.2\Posic.pdf no CD, fl. 18). Ocorre que h falhas na Posic/MP, por no conter os seguintes elementos essenciais (referncia a itens da Norma Complementar 03/IN01/DSIC/GSIPR): a) no institui o papel de gestor de segurana da informao e comunicaes e suas responsabilidades (5.3.7.2); b) no estabelece diretrizes gerais sobre auditoria e conformidade, uso de e-mail e acesso internet (5.3.5, letras e, f e g); c) no estabelece competncias e responsabilidades, com procedimentos que definam a estrutura para a gesto da segurana da informao e comunicaes (5.3.7.1); d) no define responsabilidades pela edio de normas especficas, tais como as referentes a penalidades (5.3.6). Apenas menciona genericamente a possibilidade de sanes administrativas, penais e civis por descumprimento ou violao da Posic e a responsabilidade de usurios por atos que comprometam a segurana do sistema da informao (Posic/MP, item 4, inciso V, e item 8, inciso III); e) no estabelece diretrizes gerais sobre tratamento de incidentes de rede (5.3.5, letra b), embora haja disposio no item Regras Gerais prevendo normatizao de procedimentos especficos relacionados ao tema incidentes (Posic/MP, item 6, inciso V); f) no estabelece diretrizes gerais sobre gesto de riscos e controle de acesso (5.3.5, letras c e f). Apenas h a previso de elaborao de procedimentos especficos sobre o primeiro. Para o segundo, no h previso de normas especficas para o tema, mas somente para o tema segurana lgica (Posic/MP, item 6, inciso V); e g) no institui o papel do comit de segurana da informao e comunicaes (CSIC), suas competncias e responsabilidades (item 5.3.7.3), embora a sua publicao (do CSIC) tenha sido enviada como parte da resposta ao item 7.1 anteriormente mencionado. A Posic apenas define16



TC 024.956/2010-4

o termo CSIC (Posic/MP, item 2, inciso IV) e determina que responsvel por procedimentos especficos (Posic/MP, item 6, inciso V). 2.11.2 Causas da ocorrncia do achado: a) deficincias de controles; b) inexistncia ou insuficincia de gesto de riscos. 2.11.3 Efeitos/Consequncias do achado: a) incompletude das diretrizes mnimas sobre segurana da informao (efeito real); b) falhas nos procedimentos de segurana (efeito potencial). 2.11.4 Critrios: a) Instruo Normativa 1/2008, Gabinete de Segurana Institucional Presidncia da Repblica, art. 5, inciso VII; b) Norma Tcnica Gabinete de Segurana Institucional Presidncia da Repblica Norma Complementar 03/IN01/DSIC/GSIPR; c) Norma Tcnica NBR ISO/IEC 27002, item 5.1 Poltica de segurana da informao. 2.11.5 Evidncias: a) resposta do MP ao item 7.2 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 7.1 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); d) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.11.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010, que foi institudo grupo de trabalho, no mbito do CSIC, com o intuito de elaborar nova verso da poltica de segurana da informao e comunicaes (Anexo 1, v. 3, fl. 684v). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a publicao da Posic revisada, conforme apontamentos do TCU durante a auditoria, estava em fase final de concluso (Anexo 1, v. 6, fl. 1007). 2.11.7 Concluso da equipe: No obstante o MP dispor de uma poltica de segurana da informao e comunicaes (Posic) formalizada (aprovada e publicada), constatou-se que a norma no contempla elementos essenciais, constituindo-se em falhas a serem corrigidas pelo Ministrio. A iniciativa de reviso da Posic do MP informada nas manifestaes do Gestor no foi concluda at o trmino da ao de controle e no pde ser comprovada pela equipe no presente trabalho, o que poder ser realizado em futuro monitoramento das deliberaes do acrdo que vier a ser proferido. 2.11.8 Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, em ateno ao disposto na Instruo Normativa GSI/PR 1/2008, art. 5, VII, adeque a poltica de segurana da informao e comunicaes s prticas contidas na Norma Complementar 3/IN01/DSIC/GSIPR.17



TC 024.956/2010-4

2.12 Inexistncia de classificao da informao 2.12.1 Situao encontrada: Por meio do item 7.6 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 22), o qual faz meno pergunta 7.1 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca da classificao de informaes para o negcio. Como resposta, o Gestor declarou no questionrio que a instituio no classifica a informao (Anexo 1, fl. 16v) e no encaminhou evidncias correspondentes ao item 7.6 do referido ofcio (Anexo 1, fl. 18). 2.12.2 Causas da ocorrncia do achado: a) deficincias de controles; b) inexistncia ou insuficincia de gesto de riscos. 2.12.3 Efeito/Consequncia do achado: a) risco de divulgao indevida de informao restrita (efeito potencial). 2.12.4 Critrios: a) Decreto 4.553/2002, art. 6, 2, inciso II; art. 67; b) Norma Tcnica NBR ISO/IEC 27002, item 7.2 Classificao da informao. 2.12.5 Evidncias: a) resposta do MP ao item 7.1 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 7.6 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); d) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.12.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010, que o processo de classificao da informao est em elaborao, sob conduo da Coordenao de Documentao e Informao (Codin/CGDAP/SPOA) e acompanhamento pelo comit de segurana da informao e comunicaes do MP (Anexo 1, v.3, fl. 684v). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o comit de segurana da informao e comunicaes do MP em conjunto com a CODIN/CGDAP/SPOA/SE/MP ir elaborar agenda de implementao da poltica de classificao da informao no mbito do Ministrio (Anexo 1, v. 6, fl. 1007). 2.12.7 Concluso da equipe: O MP no possui processo de classificao da informao, a fim de propiciar tratamento diferenciado conforme importncia, criticidade e sensibilidade, no observando o comando do Decreto 4.553/2002 e as boas prticas de segurana da informao do item 7.2 da NBR ISO/IEC 27002. Por oportuno, os comentrios do Gestor no sentido de que o MP ir elaborar agenda de implementao da poltica de classificao da informao no mbito do Ministrio confirmam a necessidade de sua implementao. 2.12.8 Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, em ateno ao disposto no Decreto 4.553/2002, art. 6, 2, II, e art. 67, estabelea critrios de classificao das informaes a fim de que possam ter18



TC 024.956/2010-4

tratamento diferenciado conforme seu grau de importncia, criticidade e sensibilidade, observando as prticas contidas no item 7.2 da NBR ISO/IEC 27.002. 2.13 Inexistncia de inventrio dos ativos de informao 2.13.1 Situao encontrada: Por meio do item 7.5 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 22), o qual faz meno pergunta 7.1 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do inventrio de ativos de informao. Como resposta, o Gestor declarou no questionrio que a instituio inventaria todos os ativos de informao (dados, hardware, software e instalaes) (Anexo 1, fl. 16v). As evidncias apresentadas incluem apenas um grfico estatstico sobre a distribuio de estaes de trabalho por sistemas operacionais, elaborado pelo software Cacic, um software pblico do governo federal resultante do consrcio de cooperao entre a SLTI/MP e a Dataprev, que realiza captura de informaes de configurao de estaes de trabalho, tais como os tipos de softwares utilizados e licenciados, configuraes de hardware, entre outras informaes (Anexo 1, arquivo \8.5\Captura_de_tela.png no CD, fl. 18). Ocorre que as evidncias no so suficientes para comprovar a realizao de inventrio de ativos, uma vez que a mera instalao da ferramenta Cacic no significa que as informaes obtidas pela ferramenta estejam sendo utilizadas para a realizao de um inventrio de ativos de informao. Ademais, verifica-se que as informaes fornecidas pela ferramenta Cacic abrangem apenas ativos fsicos e de software (informaes das estaes de trabalho), no contemplando ativos de informao propriamente ditos, segundo o item 7.1.1 da NBR ISO/IEC 27002, tais como base de dados e arquivos, contratos e acordos, documentao de sistema, procedimentos de suporte ou operao, planos de continuidade do negcio, procedimentos de recuperao etc. Alm disso, a ferramenta no fornece algumas das informaes necessrias que permitem recuperar o ativo de um desastre, tais como: a) tipo do ativo; b) formato; c) informaes sobre cpia de segurana; d) a importncia do ativo para o negcio, e no identifica os responsveis por esses ativos. Por fim, cumpre ressaltar ainda que o prprio diagnstico do PDTI do Ministrio alerta sobre a necessidade de padronizao de servios de infraestrutura, incluindo inventrio do parque, realizado de forma automtica e sistmica (Anexo 1, fl. 91). 2.13.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.13.3 Efeito/Consequncia do achado: a) dificuldade de recuperao de ativo de informao (efeito potencial). 2.13.4 Critrios: a) Norma Tcnica NBR ISO/IEC 27002, item 7.1.1 inventrio de ativos; b) Norma Tcnica Gabinete de Segurana Institucional Presidncia da Repblica Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1. 2.13.5 Evidncias: a) resposta do MP ao item 7.1 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 7.5 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) PDTI-MP, Anexo I da Nota Tcnica DSTI/SLTI/MP 173/2010 (Anexo 1 Principal fls. 89-91); d) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); e) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.13.6 Esclarecimentos dos responsveis:19



TC 024.956/2010-4

Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010, que o Ministrio est utilizando em todas as estaes de trabalho de sua rede o software Cacic, no apresentando informaes adicionais (Anexo 1, v.3, fl. 684). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que o uso do software Cacic est sob gesto do DSTI/SLTI/MP e que foi criada rotina para tratamento dos relatrios gerados pela ferramenta. Acrescentou que os procedimentos de recuperao dos ativos de hardware e software passaram a ser conduzidos pela equipe de tratamento e resposta a incidentes de redes computacionais (ETRI) do MP, constituda em 25/3/2011 (Anexo 1, v. 6, fl. 1007). 2.13.7 Concluso da equipe: As informaes fornecidas pela ferramenta Cacic usada pelo MP abrangem apenas ativos fsicos e de software (informaes das estaes de trabalho), no contemplando ativos de informao propriamente ditos. O Cacic tambm no oferece as informaes necessrias que permitem recuperar o ativo de um desastre. Em face do exposto, o MP no realiza inventrio de seus ativos de informao, dificultando o controle e a recuperao desses ativos. Quanto iniciativa de recuperao dos ativos de hardware e software, mencionada pelo Gestor nos comentrios ao relatrio preliminar, no h informao acerca de como esse procedimento seria realizado. Alm disso, essa iniciativa se iniciou aps a ao de controle, no podendo ser comprovada pela equipe no presente trabalho, o que poder ser realizado em futuro monitoramento das deliberaes do acrdo que vier a ser proferido. 2.13.8 Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, em ateno ao disposto na Instruo Normativa GSI/PR 1/2008, art. 5, VII, c/c Norma Complementar 4/IN01/DSIC/GSIPR, item 5.2.1, estabelea procedimento de inventrio de ativos de informao, de maneira que todos os ativos de informao sejam inventariados e tenham um proprietrio responsvel, observando as prticas contidas no item 7.1 da NBR ISO/IEC 27.002. 2.14 Inexistncia de processo de gesto de riscos de segurana da informao (GRSIC) 2.14.1 Situao encontrada: Por meio do item 7.7 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 22), o qual faz meno pergunta 7.1 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca da gesto de riscos de segurana da informao e comunicaes em vigor. Como resposta, o Gestor declarou no questionrio que a instituio no analisa riscos aos quais a informao crtica para o negcio est submetida, considerando, pelo menos, confidencialidade, integridade e disponibilidade (Anexo 1, fl. 16v) e no encaminhou evidncias correspondentes ao item 7.7 do referido ofcio. Cumpre salientar que o item 6, inciso II, da Posic/MP menciona que a gesto de riscos deve ser considerada como critrio para a confidencialidade, integridade, disponibilidade e autenticidade das informaes, servios, sistemas de informao e recursos computacionais (Anexo 1, arquivo \8.1\Oficio452nexoI-item8.1_Ref.Quest-item7.2\Posic.pdf no CD, fl. 18). 2.14.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.14.3 Efeito/Consequncia do achado: a) desconhecimento das ameaas e dos respectivos impactos relacionados segurana da informao (efeito real). 2.14.4 Critrios:20



TC 024.956/2010-4

a) Instruo Normativa 1/2008, Gabinete de Segurana Institucional Presidncia da Repblica, art. 5, inciso VII; b) Norma Tcnica Gabinete de Segurana Institucional Presidncia da Repblica Norma Complementar 04/IN01/DSIC/GSIPR; c) Norma Tcnica ITGI Cobit 4.1, PO9.4 Avaliao de riscos; d) Norma Tcnica NBR 27005 Gesto de riscos de segurana da informao. 2.14.5 Evidncias: a) resposta do MP ao item 7.1 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) Posic/MP (Anexo 1, arquivo \8.1\Oficio452nexoI-item8.1_Ref.Questitem7.2\Posic.pdf no CD, fl. 18) (Anexo 1 Principal fl. 18); c) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); d) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.14.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010, que a gesto de riscos de segurana da informao est em discusso no mbito do comit de segurana da informao e comunicaes do Ministrio (Anexo 1, v.3, fl. 684v). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a gesto de riscos de segurana da informao realizada desde julho de 2010 pelo Centro de Tratamento e Resposta a Ataques na Rede do MP Cetra, institudo formalmente pela Portaria SLTI 13/2011, e acompanhada pelo comit de segurana da informao e comunicaes do Ministrio (Anexo 1, v. 6, fl. 1007). 2.14.7 Concluso da equipe: Em que pese o Gestor ter manifestado nos comentrios ao relatrio preliminar que o MP realiza gesto de riscos de segurana da informao desde julho de 2010, no foram apresentadas evidncias de qualquer dos elementos essenciais de um processo de gesto de riscos de segurana da informao (descrio dos papis envolvidos no GRSIC, bem como atividades e artefatos previstos, tais como plano de anlise e avaliao de risco ou plano de tratamento de riscos). Ademais, o Gestor j havia manifestado aps a apresentao dos resultados da auditoria, que a gesto de riscos de segurana da informao estava apenas em discusso no mbito do comit de segurana da informao e comunicaes do Ministrio. Portanto, ante a contradio nas manifestaes e ausncia de evidncias em contrrio, conclui-se que o MP no dispe de processo de gesto de riscos de segurana da informao e comunicaes. Por oportuno, registra-se que a instituio do Cetra no MP, em 25/3/2011, evidencia adoo de medida que poder contribuir para a realizao da gesto de riscos de segurana da informao no Ministrio. 2.14.8 Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, em ateno ao disposto na Instruo Normativa GSI/PR 1/2008, art. 5, VII, c/c Norma Complementar 4/IN01/DSIC/GSIPR, implemente processo de gesto de riscos de segurana da informao. 2.15 Falhas na equipe de tratamento e resposta a incidentes em redes computacionais (ETRI)21



TC 024.956/2010-4

2.15.1 Situao encontrada: Por meio do item 7.8 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 22), o qual faz meno pergunta 7.1 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca da existncia de uma equipe de tratamento e resposta a incidentes em redes computacionais (ETRI). Como resposta, o Gestor declarou gerenciar os incidentes de segurana da informao (Anexo 1, fl. 16v). Os documentos apresentados evidenciam que a ETRI do MP, chamada de Cetra.MP, foi criada (Anexo 1, fls. 92/95; 100) e est em atuao (Anexo 1, arquivo \8.8\Oficio452nexoIitem8.8_Ref.Quest-item7.2\folder cetra_20100721.pdf no CD, fl. 18; fls. 96-99). Todavia, sua criao no havia sido formalizada. 2.15.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.15.3 Efeito/Consequncia do achado: a) falhas relativas s notificaes e s atividades relacionadas a incidentes de segurana em redes de computadores (efeito potencial). 2.15.4 Critrios: a) Instruo Normativa 1/2008, Gabinete de Segurana Institucional Presidncia da Repblica, art. 5, inciso V; b) Norma Tcnica Gabinete de Segurana Institucional Presidncia da Repblica Norma Complementar 05/IN01/DSIC/GSIPR. 2.15.5 Evidncias: a) resposta do MP ao item 7.1 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 7.8 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) cpia de documento, no formalizado, de criao da ETRI, Anexo II da Nota Tcnica DSTI/SLTI/MP 173/2010 (Anexo 1 Principal fls. 92-95; 100); d) ata da 2 reunio do CSIC, Anexo II da Nota Tcnica DSTI/SLTI/MP 173/2010 (Anexo 1 Principal fls. 95-98); e) informaes do Comit de Segurana da Informao e Comunicaes do MP (Anexo 1 Principal fl. 99); f) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); g) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010); h) Ofcio SLTI/MP 1113/2011, que encaminhou documentos em complementao ao Ofcio SE/MP 152/2011 (Anexo 1 Volume 6 fls. 1011-1054). 2.15.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010, que a publicao da ETRI estava em trmite interno (Anexo 1, v.3, fl. 684v). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a ETRI do MP existe desde julho/2010 e sua formalizao foi realizada pela Portaria 13, de 25 de maro de 2011 (Anexo 1, v. 6, fls. 1007; 1013). 2.15.7 Concluso da equipe: Conquanto existam evidncias da existncia e estruturao da ETRI do MP, ela foi formalmente constituda somente aps a ao de controle.22



TC 024.956/2010-4

A medida promovida pelo Gestor abrange a proposta sugerida no relatrio preliminar, atendendo ao disposto na Instruo Normativa GSI/PR 1/2008, art. 5, V, e observando as prticas contidas na Norma Complementar 5/IN01/DSIC/GSIPR, motivo pelo qual, deixa-se de propor comando Secretaria-executiva do MP quanto a essa questo no presente relatrio. Tendo em vista que um dos meios de se atingir o cumprimento tempestivo e eficiente da misso da rea de TI se d a partir do acompanhamento dos controles implantados, ser proposta determinao Sefti para que avalie a atuao da ETRI do MP, por ocasio do monitoramento das deliberaes do acrdo que vier a ser proferido. 2.15.8 Proposta de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, Secretaria de Fiscalizao de Tecnologia da Informao Sefti que, por ocasio do monitoramento das deliberaes do acrdo que vier a ser proferido, avalie a conformidade da atuao da equipe de tratamento e resposta a incidentes em redes computacionais do MP com o disposto na Norma Complementar 05/IN01/DSIC/GSIPR. 2.16 Inexistncia de plano anual de capacitao 2.16.1 Situao encontrada: Por intermdio dos itens 8.2 e 8.4 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 22), os quais fazem meno pergunta 6.3 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do processo de capacitao de profissionais de TI. Como resposta, o Gestor declarou no questionrio que a instituio elabora e executa um plano de capacitao para atender s necessidades de capacitao em gesto de TI (Anexo 1, fl. 16v). Quatro setores do rgo encaminharam evidncias: a) DSTI: encaminhou um plano anual de capacitao do DSTI para 2010 (Anexo 1, fls. 102-119); b) SOF: encaminhou um plano de capacitao anual (PCA) constitudo de apenas uma lista de cursos e quantidade de vagas (Anexo 1, arquivo \9.4\SOF 9.4.odt no CD, fl. 18); c) SPU: afirmou que no existe um plano formal de capacitao de funcionrios de TI para o setor (Anexo 1, arquivo \9.2\SPU 9.odt no CD, fl. 18); e d) Seges: afirmou que no conta com um plano anual de capacitao especfico para seus profissionais de tecnologia da informao (Anexo 1, arquivo \9.4\ SEGES resposta tcu 9.4.odt no CD, fl. 18). Tambm foi recebido relatrio de execuo de capacitaes que no identifica o perodo a que se refere (Anexo 1, fls. 120-129) nem o plano de capacitao a que se refere. Nenhum dos documentos acima, nem a unio deles, corresponde ao previsto no Decreto 5.707/2006, arts. 5 e 2, c/c Portaria MP 208/2006, art. 2, I, e art. 4 2.16.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.16.3 Efeitos/Consequncias do achado: a) no otimizao do potencial dos recursos humanos (efeito potencial); b) desatualizao do quadro de pessoal em termos de conhecimento/capacitao (efeito potencial). 2.16.4 Critrios: a) Decreto 5.707/2006, art. 5, 2; b) Norma Tcnica ITGI Cobit 4.1, PO7.2 Competncias Pessoais; c) Norma Tcnica ITGI Cobit 4.1, PO7.4 Treinamento do Pessoal; d) Portaria 208/2006, Ministrio do Planejamento, art. 2, inciso I; art. 4 2.16.5 Evidncias: a) cpia de plano anual de capacitao do DSTI, Anexo III da Nota Tcnica DSTI/SLTI/MP 173/2010 (Anexo 1 Principal fls. 102-119);23



TC 024.956/2010-4

b) cpia de relatrio de execuo de um plano de capacitao, constante do anexo III da Nota Tcnica DSTI/SLTI/MP 173/2010 (Anexo 1 Principal fls. 120-129); c) resposta do MP ao item 6.3 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); d) resposta do MP aos questionamentos 8.2 e 8.4 do Anexo I do Ofcio 1-849/2010Sefti. (arquivos em CD) (Anexo 1 Principal fl. 18); f) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); e) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.16.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP, por meio do Anexo 2 do Ofcio SE/MP 678/2010, trouxe aos autos um relatrio, elaborado pela SPOA/SE/MP, por unidade administrativa do Ministrio, contendo as capacitaes realizadas com e sem nus em 2010 (Anexo 1, v. 3, fls. 687-710), mas no um plano anual de capacitao para o ano de 2010. Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), manifestou que a SPOA encaminha anualmente SRH/MP o relatrio do plano anual de capacitao para o exerccio seguinte, bem como o relatrio de execuo do plano de capacitao do exerccio corrente. Acrescentou que, para o exerccio de 2011, a SRH/MP determinou, por intermdio do SIPEC, que fosse respondido questionrio diretamente em seu portal eletrnico (Anexo 1, v. 6, fl. 1007). 2.16.7 Concluso da equipe: Embora o Gestor da Secretaria-executiva do MP tenha manifestado que anualmente elaborado plano anual de capacitao para o exerccio seguinte, no apresentou evidncias da existncia do plano anual de capacitao de 2010. Dessarte, o MP no apresentou plano anual de capacitao do rgo como um todo, nos moldes preconizados pelo Decreto 5.707/2006, arts. 5 e 2 c/c Portaria MP 208/2006, art. 2, I, e art. 4, criando o risco de no otimizar o potencial de recursos humanos disponveis e desatualizar o quadro de pessoal em termos de conhecimento. 2.16.8 Propostas de encaminhamento: Determinar, com fulcro na Lei 8.443/1992, art. 43, I, Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, em ateno s disposies contidas no Decreto 5.707/2006, art. 5, 2, c/c Portaria MP 208/2006, art. 2, I, e art. 4, elabore plano anual de capacitao. Recomendar Secretaria-executiva do Ministrio do Planejamento, Oramento e Gesto que, quando elaborar o plano anual de capacitao, contemple aes de capacitao voltadas para a gesto de tecnologia da informao, semelhana das prticas contidas no Cobit 4.1, processos PO7.2 Competncias Pessoais e PO7.4 Treinamento do Pessoal. 2.17 Auditoria interna no apoia avaliao da TI 2.17.1 Situao encontrada: Por meio do item 9.2 do Anexo I do Ofcio 1-849/2010-Sefti (fl. 22), o qual faz meno pergunta 1.4 do Questionrio PerfilGovTI-2010, solicitaram-se informaes acerca do processo de monitorao do desempenho da gesto e do uso da TI, em particular sobre a realizao de auditorias de TI por iniciativa da prpria instituio nos ltimos trs anos. Como resposta, o Gestor declarou no questionrio que a instituio realizou auditorias de segurana da informao nos ltimos trs anos (Anexo 1, fl. 15v). Como evidncia, encaminhou24



TC 024.956/2010-4

relatrios de 2009, expedidos pela Coordenao Geral de Tecnologia da Informao (CGTI), rea de TI existente anteriormente publicao do Decreto 7.063/2010 (Anexo 1, arquivos da pasta \10.2\Oficio452nexoI-item10.2_Ref.Quest-item1.4 no CD, fl. 18). Os documentos apresentados evidenciam avaliaes realizadas pelos prprios gestores, prtica conhecida por controle de auto-avaliao (do ingls Control Self Assessement CSA), e no evidenciam apoio da auditoria interna aos trabalhos realizados. 2.17.2 Causa da ocorrncia do achado: a) deficincias de controles. 2.17.3 Efeito/Consequncia do achado: a) deficincias na governana de TI, gesto de riscos e controles internos (efeito real, evidenciado pelos achados descritos neste relatrio). 2.17.4 Critrio: a) Norma Tcnica ITGI Cobit 4.1, E2 Monitorar e avaliar os controles internos. 2.17.5 Evidncias: a) resposta do MP ao item 1.4 do Questionrio PerfilGovTI-2010 (Anexo 1 Principal fls. 15-17); b) resposta do MP ao questionamento 9.2 do Anexo I do Ofcio 1-849/2010-Sefti (arquivos em CD) (Anexo 1 Principal fl. 18); c) Ofcio SE/MP 678/2010 e seus anexos, contendo as consideraes do MP acerca da avaliao preliminar de seus controles gerais de TI (Anexo 1 Volume 3 fls. 679-710); d) Ofcio SE/MP 152/2011, que encaminhou a Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, contendo o pronunciamento do MP acerca das concluses e propostas do relatrio preliminar (Anexo 1 Volume 6 fls. 1005-1010). 2.17.6 Esclarecimentos dos responsveis: Aps reunies realizadas entre a coordenao do TMS 6 Gesto e Uso de TI, a equipe de fiscalizao e os auditados, em que foram discutidos os resultados e apresentados os critrios utilizados, o Gestor da Secretaria-executiva do MP manifestou, por meio do Anexo 2 do Ofcio SE/MP 678/2010, que a estrutura regimental do Ministrio, aprovada pelo Decreto 7.063/2010, no prev a realizao de auditoria pela SLTI, nem por outra unidade/entidade do Ministrio (Anexo 1, v.3, fl. 686). Aps o envio do relatrio preliminar para a SE/MP para conhecimento e apresentao de comentrios sobre as concluses e propostas, o Gestor da Secretaria-executiva do MP, por meio da Nota Tcnica Conjunta DSTI/SPOA/SLTI/SE/MP 70/2011, encaminhada junto ao Ofcio SE/MP 152/2011 (Anexo 1, v. 6, fl. 1005), mencionou que a Controladoria Geral da Unio (CGU) realizou vrias auditorias nos ltimos anos, inclusive com diversas recomendaes que foram incorporadas ao Contrato 74/2010, celebrado com o Serpro (Anexo 1, v. 6, fl. 1007v). 2.17.7 Concluso da equipe: Em que pese o Gestor do MP afirmar que houve auditorias realizadas pelo rgo responsvel pela auditoria interna do MP, a CGU, com incorporao de recomendaes no Contrato 74/2010, no foram trazidas aos autos evidncias da afirmao. Ademais, no se pde evidenciar, segundo as informaes constantes dos autos, que a CGU apoia a avaliao da TI do Ministrio. Registre-se que as boas prticas internacionais (The Institute of Internal Auditors IIA, The International Organisation of Supreme Audit Institutions Intosai, dentre outros) preconizam que a Auditoria Interna um instrumento que deve ser utilizado pelos gestores para avaliar seus processos de governana, riscos e controles internos, incluindo-se na avaliao do processo de governana a avaliao do alcance das metas atribudas gesto da tecnologia da informao. Nas informaes constantes dos autos, no se pde evidenciar a existncia de metas atribudas gesto da tecnologia da informao do MP. Houve uma boa prtica

acÓrdÃo tcu 2613-2011 - mpog - avaliaÇÃo de controles de ti

Documents