acórdão tcu 592 2011 - dnocs - avaliação de controles de ti

Anterior | Próximo

Pesquisa:

LivreEm Formulário

Quarta-feira, 25 de Maio de 2011.

Pesquisa número: 3Expressão de Pesquisa: "AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO"Bases pesquisadas: Acórdãos; Decisões; Relações; AtasDocumento da base: AcórdãoDocumentos recuperados: 11Documento mostrado: 8Status na Coletânea: Não Selecionado Visualizar este documento no formato: Formato Padrão para Acórdãos

Status do Documento na Coletânea: [Não Selecionado] Coletânea

Voltar à lista de documentos

Identificação

Acórdão 592/2011 - Plenário

Número Interno do Documento

AC-0592-08/11-P

Grupo/Classe/Colegiado

GRUPO I / CLASSE V / Plenário

Processo

019.052/2010-3

Natureza

Relatório de Auditoria

Entidade

Entidade: Departamento Nacional de Obras Contra as Secas - Dnocs

Interessados

Responsável: Elias Fernandes Neto, diretor-geral (CPF 019.792.054-34)

Sumário

RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIADA INFORMAÇÃO. CONSTATAÇÃO DE PRECARIEDADES E OPORTUNIDADES DE MELHORIA.DETERMINAÇÕES E RECOMENDAÇÕES

Assunto

Relatório de Auditoria

Ministro Relator

AROLDO CEDRAZ

Representante do Ministério Público

não atuou

Unidade Técnica

Secretaria de Controle Externo no Estado do Ceará - Secex/CE

Advogado Constituído nos Autos

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=8&...

1 de 26 25/5/2011 13:11

não há

Relatório do Ministro Relator

A Secretaria de Controle Externo no Estado do Ceará - Secex/CE realizou auditoriano Departamento Nacional de Obras Contra as Secas - Dnocs, no período de 26/7 a22/10/2010, com o objetivo de avaliar controles gerais de tecnologia da informação - TI everificar se estão de acordo com a legislação pertinente e com as boas práticas de governançade TI.

2. As ocorrências detectadas foram apresentadas pela equipe de auditoria nosseguintes termos (fls. 7/26):

"2 - ACHADOS DE AUDITORIA2.1 - Auditoria interna não apoia avaliação da TI.2.1.1 - Situação encontrada:O DNOCS informou, por meio de resposta ao item 1.4 do questionário Perfil GovTI

2010 (Anexo I, fl. 22), que foi realizada, por iniciativa própria da instituição, auditoria no uso desoftwares. Porém, verificou-se que tal auditoria tratou-se na verdade de levantamento dossoftwares em uso em todo o DNOCS, por ocasião da edição de portaria que regulamentava ouso de software livre naquela instituição. Dessa forma, não se tratou de participação daauditoria interna nem foi formalmente uma auditoria de TI.

2.1.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 2010Resposta ao OF nº 471/2010-01-Secex/Ce2.1.3 - Causas da ocorrência do achado:Deficiências de controles2.1.4 - Efeitos/Consequências do achado:Deficiências na governança de TI, gestão de riscos e controles internos. (efeito

potencial)2.1.5 - Critérios:Norma Técnica - ITGI - Cobit 4.1, ME2.1 - Monitorar e avaliar os controles

internos.2.1.6 - Evidências:Resposta ao questionário Perfil GovTI 2010 - Item 1.4 (Anexo 1 - Principal - folha

22)Resposta ao item 10.2 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha

16)2.1.7 - Esclarecimentos dos responsáveis:O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor

deste achado. (Anexo 1 - Principal - folha 82)2.1.8 - Conclusão da equipe:A equipe evidenciou que não foram realizadas auditorias de TI no órgão.2.1.9 - Proposta de encaminhamento:Recomendar ao DNOCS que, em atenção ao princípio constitucional da eficiência,

promova ações para que a auditoria interna apoie a avaliação da TI, observando as orientaçõescontidas no Cobit 4.1, ME2 - Monitorar e avaliar os controles internos.

2.2 - Inexistência de avaliação da gestão de TI.2.2.1 - Situação encontrada:O DNOCS informou, por meio de resposta ao item 1.2 do questionário Perfil GovTI

2010 (Anexo I, fl. 21) que a Alta Administração da instituição acompanha os indicadores debenefício dos principais sistemas de informação e toma decisões a respeito quando as metas debenefício não são atingidas. Porém, quando chamado a apresentar evidências, o DNOCSinformou que este acompanhamento é realizado de forma informal (OF 471 OF 471/2010-01-Secex/Ce).

Ademais, em reunião realizada em 10/08/2010, que teve participação da AltaAdministração do DNOCS, evidenciou-se o desconhecimento desta em relação a real situaçãode TI do órgão. Acrescenta-se que a instituição não implementou formalmente indicadores emetas para a gestão de TI, razão pela qual se torna improvável a ocorrência doacompanhamento pela Alta Administração.


2 de 26 25/5/2011 13:11

2.2.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 2010Resposta ao OF nº 471/2010-01-Secex/Ce2.2.3 - Causas da ocorrência do achado:Deficiências de controles2.2.4 - Efeitos/Consequências do achado:Impossibilidade de verificação de possibilidades de melhoria na gestão de TI.

(efeito potencial)2.2.5 - Critérios:Norma Técnica - ITGI - Cobit 4.1, ME1.5 - Relatórios gerenciaisNorma Técnica - ITGI - Cobit 4.1, ME1.4 - Avaliar o desempenhoNorma Técnica - ITGI - Cobit 4.1, ME1.6 - Ações corretivasNorma Técnica - ITGI - Cobit 4.1, ME2 - Monitorar e avaliar os controles internos2.2.6 - Evidências:Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal -

folha 24)Resposta ao item 1.2 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16)2.2.7 - Esclarecimentos dos responsáveis:O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor

deste achado. (Anexo 1 - Principal - folha 82)2.2.8 - Conclusão da equipe:A equipe evidenciou que a Alta Administração do DNOCS não avalia a gestão da TI

daquele órgão.2.2.9 - Proposta de encaminhamento:Recomendar ao DNOCS que, em atenção ao princípio constitucional da eficiência,

estabeleça um processo de avaliação da gestão de TI, observando as orientações contidas noCobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 - Relatórios gerenciais, ME1.6 - Açõescorretivas e ME2 - Monitorar e avaliar os controles internos.

2.3 - Inexistência de avaliação do quadro de pessoal de TI.2.3.1 - Situação encontrada:Conforme resposta ao item 6.1 do questionário Perfil GovTI 2010 (Anexo I, fl. 23),

a força de trabalho da área de TI do DNOCS era composta, em 10/05/2010, por 4 servidores e4 estagiários, sendo que 2 dos servidores eram detentores de funções de confiança,respectivamente Coordenador de Gestão Estratégica e Chefe de Serviço de Informática.Todavia, quando da execução da auditoria, constatou-se que um dos servidores elencados naresposta ao questionário já havia deixado os quadros da instituição, restando assim apenas trêsservidores, sendo que dois deles ocupam função gerencial.

O DNOCS afirmou, em resposta ao item 3.7 do Ofício 471/2010-01-Secex/Ce que"Em relação a Recursos Humanos na área de TI nosso setor encontra-se totalmente deficitário,como descrito no item 3.4, item 2.2.3 e nas páginas 19 a 22 do PDTI, salientamos que nomomento não existe contrato para a prestação de serviços na área de TI. Necessitamos comurgência recompor nossa equipe . Em relação ao item 3.6 do referido Ofício, o DNOCSargumentou ainda que com o término do contrato de terceirização (vide item 2.2.3 destequestionário) as áreas de Banco de Dados, Segurança da Informação entre outras seencontram carentes de especialistas".

A auditoria confirmou a grave precariedade em que se encontra a área de TI doDNOCS, que tem equipe insuficiente para atender às demandas. O quadro agrava-se aindamais em virtude de não haver prepostos da área de TI nas Coordenações Estaduais. Nessescasos, segundo informado pelo Coordenador de Gestão Estratégica, as demandas de TI nasunidades fora da Sede acumulam-se até que, pelo menos uma vez por ano, em visita da equipede TI, são solucionados os problemas.

A situação da área de TI também é sentida nos sistemas de informação daqueleórgão. Conforme evidenciado às folhas 28/31, poucas são as unidades organizacionais quedispões de solução corporativa de TI que atenda às suas necessidades de negócio. São muitosos casos em que o controle das atividades cruciais do negócio é feito de forma nãoautomatizada, com o auxílio de planilhas eletrônicas e até com relatórios em papel, os quaisapresentam sério risco de comprometimento da integridade, disponibilidade e confidencialidade


3 de 26 25/5/2011 13:11

das informações tratadas naquela autarquia.No documento apresentado pelo DNOCS como Plano Diretor de Tecnologia da

Informação (Arquivo PDTI.pdf, Anexo I, fl. 19), consta, à página 22, a tabela 5 que indica, paraa área de TI, a quantidade existente de pessoal e a desejável. Conforme se observa, à épocada elaboração do PDTI, no 1º semestre de 2009, o DNOCS apontou na coluna Desejável aquantidade de técnicos necessários para o desenvolvimento das atividades da área de TI.Todavia, não são apresentados os critérios ou métodos utilizados pelo órgão para chegar a taisnúmeros. Além disso, o órgão apresenta apenas a demanda de cargos técnicos, não fazendoreferência à necessidade de servidores efetivos para as atividades de gestão (planejamento,organização, supervisão e controle). Ressalta-se ainda que a situação exposta na tabela acimareflete momento anterior do DNOCS que contava com a prestação de serviços terceirizados.

Dessa forma, não há evidências de que o quantitativo de técnicos solicitado peloDNOCS de fato seja o adequado para o pleno funcionamento da área de TI daquela instituição,nem de que, caso sejam providos os técnicos solicitados, haverá estrutura de pessoal suficientepara as atividades de gestão.

2.3.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 2010Resposta ao OF nº 471/2010-01-Secex/CeArquivo eletrônico PDTI.pdf2.3.3 - Causas da ocorrência do achado:Deficiências de controles2.3.4 - Efeitos/Consequências do achado:Recursos humanos de TI insuficientes para atender às necessidades do negócio.

(efeito real)Falta de competências apropriadas na área de TI. (efeito real)2.3.5 - Critérios:ACÓRDÃO 71/2007, item 9.2.23, Tribunal de Contas da União, PlenárioConstituição Federal, art. 37, caputDecreto 5707/2006, art. 1º, inciso IIINorma Técnica - ITGI - Cobit 4.1, PO4.12 - Pessoal de TI2.3.6 - Evidências:Arquivo PDTI.PDF no CD (Anexo 1 - Principal - folha 19)Resposta ao questionário Perfil GovTI 2010 - Item 6 (Anexo 1 - Principal - folhas

23/24)Resposta ao item 3.7 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 13)2.3.7 - Esclarecimentos dos responsáveis:O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor

deste achado. (Anexo 1 - Principal - folha 82)2.3.8 - Conclusão da equipe:Com base nas respostas do DNOCS, em reuniões realizadas no curso da auditoria

e na observação direta, a equipe constatou a inexistência de avaliação do atual quadro de TIque aponte a real necessidade de pessoal naquele órgão.

2.3.9 - Proposta de encaminhamento:Recomendar ao DNOCS que, em atenção ao disposto na Constituição Federal, art.

37, caput (princípio da eficiência) e ao Decreto 5707/2006, art. 1º, inciso III, elabore estudotécnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas afundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivosdevidamente qualificados, objetivando o melhor atendimento das necessidades institucionais,observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI.

2.4 - Inexistência de classificação da informação.2.4.1 - Situação encontrada:Conforme resposta ao questionário Perfil GovTI 2010 (Anexo I, fl. 24), item 7.1, O

DNOCS informou que a instituição não realiza classificação das informações produzidas oumanuseadas pela instituição.

2.4.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 2010Resposta ao OF nº 471/2010-01-Secex/Ce


4 de 26 25/5/2011 13:11

2.4.3 - Causas da ocorrência do achado:Deficiências de controles2.4.4 - Efeitos/Consequências do achado:Risco de divulgação indevida de informação restrita. (efeito potencial)2.4.5 - Critérios:ACÓRDÃO 2023/2005, item 9.1.4, Tribunal de Contas da União, PlenárioDecreto 4553/2002, art. 6º, § 2º, inciso I; art. 6º, § 2º, inciso II; art. 67Norma Técnica - NBR - ISO/IEC 27002, item 7.2 - Classificação da informação.2.4.6 - Evidências:Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal -

folha 24)Resposta ao item 8 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16)2.4.7 - Esclarecimentos dos responsáveis:O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor

deste achado. (Anexo 1 - Principal - folha 82)2.4.8 - Conclusão da equipe:A equipe evidenciou que o DNOCS não dispõe de norma institucional de

classificação da informação.2.4.9 - Proposta de encaminhamento:Determinar, com fulcro no art. 43, I, da Lei nº 8.443/1992, ao DNOCS que, em

atenção ao disposto no Decreto nº 4553/2002, art. 6º, § 2º, inciso II e art. 67, crie critérios declassificação das informações a fim de que possam ter tratamento diferenciado conforme seugrau de importância, criticidade e sensibilidade, observando o disposto pelo item 7.2 da NBRISO/IEC 27002.

2.5 - Inexistência de Comitê de Segurança da Informação e Comunicações.2.5.1 - Situação encontrada:A Instrução Normativa nº 1/2008, do GSI/PR, norma que aprova orientações para

a Gestão da Segurança da Informação e Comunicações para órgãos e entidades daAdministração Pública Federal, direta e indireta, conceitua a Gestão de Segurança daInformação e Comunicações como ações e métodos que visam à integração das atividades degestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento dainformação, conformidade, credenciamento, segurança cibernética, segurança física, segurançalógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos,operacionais e táticos, não se limitando, portanto, à tecnologia da informação e comunicações.

A norma define ainda a necessidade de que os órgãos e entidades constituamComitê de Segurança da Informação, que deve ter entre suas atribuições assessorar naimplementação das ações de segurança da informação e comunicações e propor normasrelativas à segurança da informação e comunicações.

Conforme resposta ao OF 471/2010-01-Secex/Ce (Anexo I, fl. 13), item 8.3, oDNOCS não apresentou evidências de existência de Comitê de Segurança da Informaçãonaquele órgão, situação comprovada quando da realização da auditoria por meio de entrevistaaos gestores.

2.5.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 2010Resposta ao OF nº 471/2010-01-Secex/Ce2.5.3 - Causas da ocorrência do achado:Deficiências de controles2.5.4 - Efeitos/Consequências do achado:Não otimização das ações de segurança da informação. (efeito potencial)2.5.5 - Critérios:Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da

República, art. 5º, inciso VINorma Técnica - Gabinete de Segurança Institucional - Presidência da República -

Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3Norma Técnica - NBR - ISO/IEC 27002, item 6.1.2 - Coordenação de segurança da

informação2.5.6 - Evidências:


5 de 26 25/5/2011 13:11

Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal -folha 24)

Resposta ao item 8 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16)2.5.7 - Esclarecimentos dos responsáveis:O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor

deste achado. (Anexo 1 - Principal - folha 82)2.5.8 - Conclusão da equipe:O DNOCS não constituiu formalmente Comitê Segurança da Informação e

Comunicações, conforme evidências apresentadas.2.5.9 - Proposta de encaminhamento:Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em

atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VI c/c NormaComplementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança daInformação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item6.1.2 - Coordenação de segurança da informação.

2.6 - Inexistência de comitê de TI2.6.1 - Situação encontrada:Conforme resposta à questão 1.1 do questionário PerfilGovTI 2010 (Anexo I, fl.

21), a Administração do DNOCS não constituiu um Comitê de TI para auxiliá-la nas decisõesrelativas à gestão e ao uso corporativos de TI

2.6.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 2010Resposta ao OF nº 471/2010-01-Secex/Ce2.6.3 - Causas da ocorrência do achado:Deficiências de controles2.6.4 - Efeitos/Consequências do achado:Sobreposição de ações de TI por parte das áreas de negócio que integrariam o

comitê de TI. (efeito potencial)Priorização inadequada das ações de TI devido à ausência da participação das

áreas de negócio da instituição. (efeito potencial)2.6.5 - Critérios:Constituição Federal, art. 37, caputInstrução Normativa 4/2008, SLTI/MPOG, art. 4º, inciso IVNorma Técnica - ITGI - Cobit 4.1, PO4.3 - Comitê diretor de TINorma Técnica - ITGI - Cobit 4.1, PO4.2 - Comitê estratégico de TI2.6.6 - Evidências:Resposta ao questionário Perfil GovTI 2010 - Item 1.1 (Anexo 1 - Principal - folha

21)Resposta ao item 3.2 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 13)2.6.7 - Esclarecimentos dos responsáveis:O DNOCS informou que após a reunião realizada dia 10/08/2010, na qual foi

confirmada à equipe de auditoria que não havia Comitê de TI no DNOCS, a Coordenação deGestão Estratégica em conjunto com a Direção Geral e demais Diretorias elaborou a Portaria decriação do Comitê de Tecnologia da Informação, que foi assinada pelo Sr. Diretor Geral em 25de Agosto de 2010 (Anexo I - Fls. 83/86). No momento, a Coordenação de Gestão Estratégicaestá aguardando a indicação dos membros para efetiva atuação do comitê.

Dessa forma, entende-se que, apesar de formalmente constituído, não houvenenhuma reunião do Comitê, razão pela qual se mantêm o teor do achado. (Anexo 1 - Principal- folha 82)

2.6.8 - Conclusão da equipe:Diante do exposto, a equipe concluiu que a alta administração do DNOCS não

constituiu plenamente um Comitê de TI na organização.2.6.9 - Proposta de encaminhamento:Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em

atenção ao disposto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4º, IV, implanteComitê de Tecnologia da Informação que envolva as diversas áreas do DNOCS, que seresponsabilize por alinhar os investimentos de Tecnologia da Informação com os objetivos


6 de 26 25/5/2011 13:11

institucionais e apoiar a priorização de projetos a serem implantados, considerando ainda asdiretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor de TI.

2.7 - Inexistência de controles que promovam a regular gestão contratual2.7.1 - Situação encontrada:O DNOCS, em resposta ao item 12 do OF nº 471/2010-01-Secex/Ce, informou

apenas que não houve contratação de TI nos anos de 2009/2010 . Informou ainda, no item 7.11do questionário Perfil GovTI 2010 que, na fase de gestão dos contratos de TI, as diretrizeslegais são observadas, mas há grande variação nos procedimentos adotados.

Dessa forma, constatou-se que inexiste um procedimento uniforme normatizadopela entidade, o que evidencia a ausência daqueles controles de gestão de contratos.

2.7.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 2010Resposta ao OF nº 471/2010-01-Secex/Ce2.7.3 - Causas da ocorrência do achado:Deficiências de controles2.7.4 - Efeitos/Consequências do achado:Risco de ineficiência no acompanhamento da execução contratual, podendo

resultar na qualidade/prazo insatisfatórios de serviços e produtos entregues. (efeito potencial)2.7.5 - Critérios:ACÓRDÃO 669/2008, item 9.4.15, Tribunal de Contas da União, PlenárioInstrução Normativa 4/2008, SLTI/MPOG, art. 20Norma Técnica - ITGI - Cobit 4.1, ME3.3 - Avaliar a conformidade com requisitos

externosNorma Técnica - ITGI - Cobit 4.1, DS2.4 - Monitorar o desempenho do fornecedorNorma Técnica - ITGI - Cobit 4.1, AI5.2 - Gerir contratos com fornecedores2.7.6 - Evidências:Resposta ao questionário Perfil GovTI 2010 - Item 7.11 (Anexo 1 - Principal - folha

26)Resposta ao item 12 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 17)2.7.7 - Esclarecimentos dos responsáveis:O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor

deste achado. (Anexo 1 - Principal - folha 82)2.7.8 - Conclusão da equipe:A equipe evidenciou o Dnocs não implementa controles que promovam a regular

gestão do contrato.2.7.9 - Proposta de encaminhamento:Recomendar ao DNOCS que, em atenção ao disposto na Constituição Federal, art.

37, caput (princípio da eficiência), implemente controles que promovam a regular gestãocontratual e que permitam identificar se todas as obrigações do contratado foram cumpridasantes do ateste do serviço.

2.8 - Inexistência de controles que promovam o cumprimento da IN42.8.1 - Situação encontrada:O DNOCS informou que, visto que não houve contratações na área de TI nos anos

de 2009/2010, não foram implementados controles que promovessem o cumprimento da IN nº4/2008 - SLTI. Atualmente, os controles resumem-se à análise jurídica das solicitações parapublicação de editais.

2.8.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 2010Resposta ao OF nº 471/2010-01-Secex/Ce2.8.3 - Causas da ocorrência do achado:Deficiências de controles2.8.4 - Efeitos/Consequências do achado:Descumprimento do processo de planejamento previsto na IN4/2008 -

SLTI/MPOG. (efeito potencial)2.8.5 - Critérios:Constituição Federal, art. 37, caput2.8.6 - Evidências:


7 de 26 25/5/2011 13:11

Resposta ao questionário Perfil GovTI 2010 - Item 7.10 (Anexo 1 - Principal - folha25)

Resposta ao item 11 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 17)2.8.7 - Esclarecimentos dos responsáveis:O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor

deste achado. (Anexo 1 - Principal - folha 82)2.8.8 - Conclusão da equipe:A equipe evidenciou o Dnocs não implementa controles que promovam o

cumprimento da IN nº 4/2008 - SLTI.2.8.9 - Proposta de encaminhamento:Recomendar ao DNOCS que, em atenção ao princípio constitucional da eficiência,

implemente controles que promovam o cumprimento do processo de planejamento previsto naInstrução Normativa nº 4/2008 - SLTI/MPOG.

2.9 - Inexistência de equipe de tratamento e resposta a incidentes em redescomputacionais (ETRI).

2.9.1 - Situação encontrada:Conforme resposta ao questionário Perfil GovTI 2010 (Anexo I, fl. 24), item 7.2, O

DNOCS informou que a instituição não tem uma equipe específica de gestão de tratamento eresposta a incidentes em redes computacionais.

2.9.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 2010Resposta ao OF nº 471/2010-01-Secex/Ce2.9.3 - Causas da ocorrência do achado:Deficiências de controles2.9.4 - Efeitos/Consequências do achado:Falhas relativas às notificações e às atividades relacionadas a incidentes de

segurança em redes de computadores. (efeito potencial)2.9.5 - Critérios:Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da

República, art. 5º, inciso VNorma Técnica - Gabinete de Segurança Institucional - Presidência da República -

Norma Complementar 05/IN01/DSIC/GSIPR2.9.6 - Evidências:Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal -


deste achado. (Anexo 1 - Principal - folha 82)2.9.8 - Conclusão da equipe:A equipe evidenciou que o DNOCS não dispõe de equipe de tratamento e resposta

a incidentes em redes computacionais.2.9.9 - Proposta de encaminhamento:Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em

atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, V, institua equipe detratamento e resposta a incidentes em redes computacionais, observando as práticas contidasna Norma Complementar 05/IN01/DSIC/GSIPR.

2.10 - Inexistência de Gestor de Segurança da Informação e Comunicações.2.10.1 - Situação encontrada:Conforme informado pelo DNOCS, em resposta ao OF 471/2010-01-Secex/Ce

(Anexo I, fl. 16), Item 8, não há no órgão gestor de segurança da informação por falta depessoal especializado. Conforme constatado, a atual equipe não dispõe de servidor com osconhecimentos necessários à atuação no papel de gestor de segurança da informação.

2.10.2 - Objetos nos quais o achado foi constatado:Arquivo eletrônico PEI.pdfQuestionário: Perfil GovTI 2010Resposta ao OF nº 471/2010-01-Secex/Ce


8 de 26 25/5/2011 13:11

2.10.3 - Causas da ocorrência do achado:Deficiências de controles2.10.4 - Efeitos/Consequências do achado:Não otimização das ações de segurança da informação. (efeito potencial)2.10.5 - Critérios:Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da

República, art. 5º, inciso IV; art. 7ºNorma Técnica - Gabinete de Segurança Institucional - Presidência da República -

Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2Norma Técnica - NBR - ISO/IEC 27002, 6.1.3 - Atribuição de responsabilidade para

segurança da informação.2.10.6 - Evidências:Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal -


deste achado. (Anexo 1 - Principal - folha 82)2.10.8 - Conclusão da equipe:O DNOCS não tem designação formal de gestor de segurança da informação,

situação que faz com que eventuais atividades de segurança da informação, quando feitas, nãoocorrem de forma coordenada.

2.10.9 - Proposta de encaminhamento:Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em

atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, IV e art. 7º, c/cNorma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie Gestor de Segurança daInformação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item6.1.3 - Atribuição de responsabilidade para segurança da informação.

2.11 - Inexistência de inventário dos ativos de informação.2.11.1 - Situação encontrada:Com relação ao inventário dos ativos de informação, o DNOCS informou, em

resposta ao item 7.1 do questionário Perfil GovTI 2010 (Anexo I, fl. 24) que implementouformalmente o processo de inventariar todos os ativos de informação, aí incluindo dados,hardware, software e instalações. Todavia, apresentou como evidência um inventário dos benspatrimoniais da área de TI relativo apenas a equipamentos, evidenciado por meio do arquivorelação de ativos de TI (CD-ROM, Anexo I, fl. 19). O documento apresentado é um relatórioextraído do Sistema de Controle Patrimonial do DNOCS que traz apenas informações referentesa equipamentos de TI do DNOCS, mas não se trata de um inventário de ativos de informação.

Conforme dispõe a Norma Técnica NBR-ISSO/IEC 27002, no item 7.1.2, convémque todos os ativos sejam claramente identificados e um inventário de todos os ativosimportantes seja estruturado e mantido. Segundo a norma 27002-2 (item 7.1), o inventário deativos deve incluir todas as informações necessárias que permitam recuperar de um desastre,não se tratando apenas de bens constantes no patrimônio. Ainda segundo a referida norma, porAtivo entende-se qualquer componente (seja humano, tecnológico, software ou etc,) quesustenta um ou mais processos de negócio de uma unidade ou área de negócio. Dessa forma,os ativos englobam, além dos itens de hardware, os programas aplicativos, os sistemasoperacionais, as instalações físicas e as pessoas, entre outros. São considerados elementosessenciais de inventário de ativos:

a) lista de ativos;b) tipo do ativo:c) formato;d) localização;e) informações sobre cópia de segurança;f) importância do ativo para o negócio;g) proprietário do ativo.Dessa forma, verifica-se que o DNOCS, ao contrário do apresentado, não dispõe

de um inventário de ativos de informação, conforme prevê a norma.


9 de 26 25/5/2011 13:11

2.11.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 2010Resposta ao OF nº 471/2010-01-Secex/CeArquivo eletrônico "relação de ativos de TI"2.11.3 - Causas da ocorrência do achado:Deficiências de controles2.11.4 - Efeitos/Consequências do achado:Dificuldade de recuperação de ativo de informação. (efeito potencial)2.11.5 - Critérios:Norma Técnica - NBR - ISO/IEC 27002, item 7.1.1 - inventário de ativos.Norma Técnica - Gabinete de Segurança Institucional - Presidência da República -

Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1.2.11.6 - Evidências:Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal -

folha 24)Resposta ao item 8 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16)Arquivo eletrônico "relação de ativos de informação.pdf" (Anexo 1 - Principal -

folha 19)2.11.7 - Esclarecimentos dos responsáveis:O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor

deste achado. (Anexo 1 - Principal - folha 82)2.11.8 - Conclusão da equipe:A equipe evidenciou que o DNOCS não implementou formalmente processo

corporativo de inventário de ativos de informação.2.11.9 - Proposta de encaminhamento:Determinar ao DNOCS que, em atenção ao disposto na Norma Complementar

04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos deinformação, de maneira que todos os ativos de informação sejam inventariados e tenham umproprietário responsável, observando as práticas contidas no item 7.1 da NBR ISO/IEC 27002.

2.12 - Inexistência de plano anual de capacitação.2.12.1 - Situação encontrada:O DNOCS informou, por meio de resposta ao item 9 do OF 471/2010-01-Secex/Ce

(Anexo I, fl. 17) que está elaborando um plano para capacitação em governança de TI.Todavia, não apresentou evidências deste processo de elaboração. Esclarece-se que o Plano decapacitação é documento oficial que deve ser publicado até 31/12 do ano anterior (Portaria208/2006, Ministério do Planejamento, art. 4º), contendo todas as capacitações previstas paraa entidade.

A equipe constatou durante os trabalhos de execução de auditoria que existeefetivamente uma servidora do quadro efetivo do órgão que está sendo treinada emgovernança de TI. O DNOCS informou também que apesar de haver no órgão uma comissão decapacitação, esta não cuida das questões de TI nas devidas especificidades.

2.12.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 2010Resposta ao OF nº 471/2010-01-Secex/Ce2.12.3 - Causas da ocorrência do achado:Deficiências de controles2.12.4 - Efeitos/Consequências do achado:Não otimização do potencial dos recursos humanos. (efeito potencial)Desatualização do quadro de pessoal em termos de conhecimento/capacitação.

(efeito potencial)2.12.5 - Critérios:Decreto 5707/2006, art. 5º, § 2ºNorma Técnica - ITGI - Cobit 4.1, PO7.2-Competências PessoaisNorma Técnica - ITGI - Cobit 4.1, PO7.4 - Treinamento do PessoalPortaria 208/2006, Ministério do Planejamento, art. 2º, inciso I; art. 4º2.12.6 - Evidências:Resposta ao item 9 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 16)


10 de 26 25/5/2011 13:11

2.12.7 - Esclarecimentos dos responsáveis:O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor

deste achado. (Anexo 1 - Principal - folha 82)2.12.8 - Conclusão da equipe:A equipe evidenciou que o DNOCS não implementou formalmente processo para

elaboração e acompanhamento de plano anual de capacitação.2.12.9 - Proposta de encaminhamento:Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em

atenção às disposições contidas no Decreto nº 5.707/2006, art. 5º, 2º, c/c Portaria MP nº208/2006, art. 2º, I e art. 4º, elabore Plano Anual de Capacitação, o qual compreenderá asdefinições dos temas, as metodologias de capacitação a serem implementadas, bem como asações de capacitação voltadas à habilitação de seus servidores.

2.13 - Inexistência de Política de Segurança da Informação e Comunicações(POSIC).

2.13.1 - Situação encontrada:Conforme resposta ao questionário Perfil GovTI 2010 (Anexo I, fl. 24), item 7.2, o

DNOCS informou que a instituição não formalizou uma POSIC. Já na resposta ao OF471/2010-01-Secex/Ce (Anexo I, fl. 16), o órgão informou que está aguardando arecomposição do quadro de pessoal para implementar todas essas políticas.

Durante a execução da auditoria, a equipe constatou que não há nenhumaatividade em andamento para elaboração de uma POSIC no DNOCS.

2.13.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 2010Resposta ao OF nº 471/2010-01-Secex/Ce2.13.3 - Causas da ocorrência do achado:Deficiências de controles2.13.4 - Efeitos/Consequências do achado:Falhas nos procedimentos de segurança. (efeito potencial)2.13.5 - Critérios:Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da

República, art. 5º, inciso VIINorma Técnica - Gabinete de Segurança Institucional - Presidência da República -

Norma Complementar 03/IN01/DSIC/GSIPRNorma Técnica - NBR - ISO/IEC 27002, item 5.1 - Política de segurança da

informação2.13.6 - Evidências:Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal -


deste achado. (Anexo 1 - Principal - folha 82)2.13.8 - Conclusão da equipe:A equipe evidenciou que o DNOCS não dispõe de uma Política de Segurança da

Informação e Comunicações formalizada.2.13.9 - Proposta de encaminhamento:Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em

atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII, implante Políticade Segurança da Informação e Comunicações, observando as práticas contidas na NormaComplementar 03/IN01/DSIC/GSIPR.

2.14 - Inexistência de processo de gerenciamento de projetos.2.14.1 - Situação encontrada:Conforme resposta ao questionário Perfil GovTI 2010 (Anexo I, fl. 24), item 7.4, o

DNOCS informou que a instituição não pratica o gerenciamento de projetos. Acrescenta aindaque formalmente a instituição ainda não elaborou, por falta de pessoal, um estudo para quefosse avaliado qual processo seria o mais adequado à realidade do órgão.

De fato, verificou-se em reunião junto à área de TI da instituição que o atual


11 de 26 25/5/2011 13:11

quadro de pessoal, além de insuficiente, não tem nenhum profissional com conhecimentosnecessários em gestão

2.14.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 2010Resposta ao OF nº 471/2010-01-Secex/Ce2.14.3 - Causas da ocorrência do achado:Deficiências de controles2.14.4 - Efeitos/Consequências do achado:Risco de insucesso de projetos relevantes, pela falta de estrutura de gestão de

projetos. (efeito potencial)2.14.5 - Critérios:Norma Técnica - ITGI - Cobit 4.1, PO10.2 - Estrutura de gerência de projetos2.14.6 - Evidências:Resposta ao questionário Perfil GovTI 2010 - Item 7.4 (Anexo 1 - Principal - folha


deste achado. (Anexo 1 - Principal - folha 82)2.14.8 - Conclusão da equipe:Conforme evidenciado, constatou-se que o DNOCS não dispõe de processo para

gerenciamento de projetos de TI.2.14.9 - Proposta de encaminhamento:Recomendar ao DNOCS que implante uma estrutura formal de gerência de

projetos, observando as orientações contidas no Cobit 4.1, processo PO10.2 - Estruturas deGerência de Projetos e do PmBok, dentre outras boas práticas de mercado.

2.15 - Inexistência de processo de gestão de riscos de segurança da informação(GRSIC).

2.15.1 - Situação encontrada:O DNOCS informou, por meio de resposta ao questionário Perfil GovTI 2010, item

7, que não implementou processo para análise dos riscos aos quais a informação crítica para onegócio está submetida. Complementou ainda que aguarda recomposição do quadro de pessoalpara implementar todas este e outros processos de segurança da informação.

2.15.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 2010Resposta ao OF nº 471/2010-01-Secex/Ce2.15.3 - Causas da ocorrência do achado:Deficiências de controles2.15.4 - Efeitos/Consequências do achado:Desconhecimento das ameaças e respectivos impactos relacionados à segurança

da informação. (efeito potencial)2.15.5 - Critérios:Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da

República, art. 5º, inciso VIINorma Técnica - Gabinete de Segurança Institucional - Presidência da República -

Norma Complementar 04/IN01/DSIC/GSIPRNorma Técnica - ITGI - Cobit 4.1, PO9.4 - Avaliação de riscos.Norma Técnica - NBR - 27005 - Gestão de riscos de segurança da informação2.15.6 - Evidências:Resposta ao questionário Perfil GovTI 2010 - Item 7.1 e 7.2 (Anexo 1 - Principal -


deste achado. (Anexo 1 - Principal - folha 82)2.15.8 - Conclusão da equipe:A equipe evidenciou que o DNOCS não implementou formalmente processo


12 de 26 25/5/2011 13:11

corporativo de gestão de riscos de segurança da informação e comunicações.2.15.9 - Proposta de encaminhamento:Determinar ao DNOCS que, em atenção ao disposto na Norma Complementar

04/IN01/DSIC/GSIPR, implemente processo de gestão de riscos de segurança da informação afim de, entre outros objetivos, avaliar regularmente a probabilidade e o impacto dos riscosidentificados, utilizando métodos qualitativos e quantitativos, observando as práticas contidasno Cobit 4.1, processo PO9 - Avaliar e gerenciar riscos de TI e na NBR 27005 - Gestão de Riscosde Segurança da Informação.

2.16 - Inexistência de processo de software.2.16.1 - Situação encontrada:O DNOCS informou que não há na instituição um processo formal de

desenvolvimento e de garantia de qualidade do software, conforme resposta ao item 7.3 doquestionário Perfil GovTI 2010 (Anexo I, fl. 24). Além disso, em complemento à resposta doquestionário, informou no item 5 do OF 471/2010-01-Secex/Ce (Anexo I, fl. 14) que "ametodologia de desenvolvimento necessita ser mais bem definida. Hoje não é utilizado nenhumprocesso de qualidade de software. A área de desenvolvimento de sistemas está resumida hojea uma única pessoa"

O DNOCS dispõe de uma solução de sistema de informação denominada SISTEMAAPOENA, o qual é composto por vários módulos e subsistemas que deveriam atender todas asáreas de negócio da organização. Conforme documentação apresentada referente a julho de2010 (Fls. 27/36), o Apoena é composto de 34 módulos que abrangem tanto áreas fins doórgão, como gestão de obras e de recursos hídricos, quanto áreas meio como folha depagamento e contabilidade.

Segundo informou o Coordenador de Gestão Estratégica, os módulos do sistemaApoena estão em diferentes estágios de desenvolvimento, sendo que alguns estão finalizadosmas não são utilizados pelos respectivos gestores, outros ainda em fase inicial dedesenvolvimento e os demais já têm desenvolvimento avançado. O Coordenador de GestãoEstratégica afirmou ainda em reunião realizada em 10/08/2010, da qual também participou aDiretoria do DNOCS, de que nenhum dos módulos do Apoena estava efetivamente sendoutilizado pelas áreas de negócio da instituição. Todavia, em reuniões posteriores com as áreasde negócio do DNOCS, evidenciou-se que alguns dos módulos do Apoena são efetivamenteutilizados pelos gestores, até sem o conhecimento da Coordenação de Gestão Estratégica.

Observou-se ainda que existe no DNOCS solução de TI, no caso o Sistema deMonitoramento Eletrônico de Reservatórios, no qual a solução foi implementada pela área fim,sem participação da Coordenação de Gestão Estratégica, unidade esta que, de acordo com oRegimento Interno do órgão, deveria ser responsável pela mesma. Apenas após aimplementação a área de TI do DNOCS passou a participar do projeto.

Um dos argumentos apresentados pela Coordenação de Gestão Estratégica para aausência de um processo de software foi a existência de apenas um servidor do DNOCS naequipe destinado, entre outras funções, ao desenvolvimento de software. Conforme observaçãodireta realizada, a equipe constatou a situação de extrema gravidade em que se encontra aárea de desenvolvimento de sistemas, entendendo ser urgente para o órgão a estruturação deuma equipe de TI com as competências necessárias para a implementação de um processo desoftware que atenda à instituição.

Acrescenta-se ainda que a definição e implementação de um processo desoftware, com a previsão dos artefatos a serem produzidos neste processo, é indispensávelpara que se possa realizar uma contratação de empresa prestadora de serviços dedesenvolvimento de software (Lei 8.666/93, art, 6º, inciso IX).

2.16.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 2010Resposta ao OF nº 471/2010-01-Secex/CeSistema Apoena - Relação de Módulos e Subsistemas2.16.3 - Causas da ocorrência do achado:Deficiências de controles2.16.4 - Efeitos/Consequências do achado:Deficiência no processo de contratação, decorrente da inexistência de metodologia

que assegure boa contratação de desenvolvimento de sistemas. (efeito potencial)


13 de 26 25/5/2011 13:11

Inexistência de parâmetros de aferição de qualidade para contratação dedesenvolvimento de sistemas. (efeito potencial)

2.16.5 - Critérios:Instrução Normativa 4/2008, SLTI/MPOG, art. 12, inciso IILei 8666/1993, art. 6º, inciso IXNorma Técnica - ITGI - Cobit 4.1, PO8.3 - Padrões de desenvolvimento e de

aquisições.2.16.6 - Evidências:Resposta ao questionário Perfil GovTI 2010 - Item 7.3 (Anexo 1 - Principal - folha


deste achado, contudo esclareceu que o que havia informado inicialmente à equipe de auditoriaera que alguns módulos do alguns módulos do APOENA foram desenvolvidos, mas estão sendoutilizados apenas na Administração Central, como por exemplo, o Sistema de ControlePatrimonial, outros foram desenvolvidos, mas nunca foram utilizados como o Sistema deVeículos e alguns foram desenvolvidos parcialmente como o Sistema de Acompanhamento deObras, Sistema de Acompanhamento de Produção dos Perímetros Irrigados, dentre outros, queforam interrompidos após o término do contrato de serviços executivos para a área de TI. Nãoprocede assim a informação apresentada pela equipe de que a área de TI havia informado quenão havia nenhum sistema em produção. (Anexo 1 - Principal - folha 82)

2.16.8 - Conclusão da equipe:Diante do exposto, concluiu-se da inexistência de qualquer processo formal para o

processo de produção de software, evidenciando a irregularidade apontada.2.16.9 - Proposta de encaminhamento:Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em

atenção ao disposto na Lei nº 8.666/1993, art. 6º, inc. IX, e às disposições contidas naInstrução Normativa nº 04/2008 - SLTI/MPOG, art. 12, II, defina um processo de softwarepreviamente às futuras contratações de serviços de desenvolvimento ou manutenção desoftware, vinculando o contrato com o processo de software, sem o qual o objeto não estaráprecisamente definido.

Recomendar ao DNOCS que, quando do estabelecimento de seu processo desoftware, considere as Normas NBR ISO/IEC 12207 e 15504.

2.17 - Inexistência do PDTI2.17.1 - Situação encontrada:Na resposta no item 2.2 do questionário Perfil GovTI 2010 (Anexo I - Fl. 22), o

DNOCS informou que a instituição desenvolve alguns planos estratégicos de TI, mas não demaneira periódica. Como evidência, o DNOCS respondeu no item 2.1 da resposta ao OF471/2010-01-Secex/CE (Anexo I, Fl. 12) que "dentro do PEI existe o planejamento daCoordenação de Gestão Estratégica que contempla os Serviços de Informática".

O referido PEI (Arquivo PEI.pdf), tratado no item 2.1, é na verdade uma Propostade Plano de Ação para o biênio 2009/2010, elaborada pela administração do DNOCS, quetodavia não foi aprovada formalmente. Na referida Proposta, a Coordenação de GestãoEstratégica incluiu as seguintes ações referentes à área de TI: 1.1 Plano Diretor de Tecnologiada Informação; 1.2 - Contratação de empresa para a área de informática; 1.3 - Aquisição deequipamentos de informática e 1.4 - Novo acesso a internet (tecnologia MPLS). Não há nodocumento referências do alinhamento dessas ações de TI com as diretrizes traçadas pelasdemais diretorias do DNOCS.

Além do disposto do arquivo PEI.pdf, o DNOCS apresentou como evidência darealização de Planejamento de TI pelo DNOCS o documento Plano Diretor de Tecnologia daInformação (Arquivo PDTI.pdf), elaborado para o exercício de 2009 e aprovado pela direção doDNOCS por meio da Portaria nº 330 DG/CRH de 16 de julho de 2009, e publicado no BoletimAdministrativo edição extra de 16 de julho de 2009.

Todavia a análise do Plano Diretor de Tecnologia apresentado evidenciou que omesmo carece de itens essenciais para que possa ser considerado um plano propriamente dito(IN 2/2008-art. 4º, III), entre os quais se destacam:


14 de 26 25/5/2011 13:11

- alinhamento das ações propostas à estratégia do órgão;- estabelecimento de indicadores de desempenho, de acordo com os objetivos

estratégicos, com vistas a avaliar a atuação da área de TI;- plano de investimentos, com o detalhamento financeiro das ações;- necessidade de contratação de serviços, uma vez que o plano apresentado

apresenta a demanda de pessoal técnico, e não de serviços necessários, em desconformidadecom o disposto na IN 2/2008-art. 4º

Finalmente, vale ressaltar que o plano apresentado refere-se ao exercício de2009, e, conforme as respostas do DNOCS ao OF 471/2010-Secex/Ce, itens 2.2.3, 2.2.4 e2.2.5, o plano proposto para 2009 não foi executado em virtude de: "À época da elaboração doPlano estratégico de TI e do Plano Diretor de Tecnologia da Informação - PDTI existia umcontrato com uma empresa de terceirização de mão de obra que supria parcialmente asnecessidades da Instituição na área de TI (vide PDTI, págs. 19 a 22). Em Abril de 2009 foiformalizado o documento em anexo (Mem. 12/CGPE/CGE) com a avaliação de riscos em TI porinsuficiência de recursos humanos na área. Em julho de 2009 o contrato com a empresa citadafoi encerrado por decisão judicial. Desde então a área de TI passou a contar apenas com oquadro de pessoal permanente existente (vide item 3.4 deste questionário). Na tentativa dedar continuidade ao Plano, e suprir minimamente as necessidades da área, foi solicitada acontratação de uma nova empresa para prestação de serviços seguindo as orientações daIN04/2008-SLTI através de processo licitatório (processo 59400.5705/2009-08). Com aanulação do referido procedimento, nova solicitação foi realizada através do processo59400.545/2010-36 iniciado em 26/01/2010. Enquanto o processo citado tramitava, forampesquisados alguns registros de preços no sentido de resolver de maneira emergencial ascarências registradas. Dessa forma foram solicitadas adesões a atas de registro de preçosprocesso 59400.2524/2010-55, nenhuma das solicitações aqui referenciadas foi concretizadasaté esta data." (Anexo I, Fl. 12).

2.17.2 - Objetos nos quais o achado foi constatado:Arquivo eletrônico PEI.pdfQuestionário: Perfil GovTI 2010Resposta ao OF nº 471/2010-01-Secex/CePlano Diretor de Tecnologia da Informação2.17.3 - Causas da ocorrência do achado:Deficiências de controles2.17.4 - Efeitos/Consequências do achado:Ações de TI não alinhadas ao negócio. (efeito potencial)2.17.5 - Critérios:Constituição Federal, art. 37, caputDecreto Lei 200/1967, art. 6º, inciso I; art. 7ºInstrução Normativa 4/2008, SLTI/MPOG, art. 2º, inciso X; art. 3º; art. 4º, inciso

IIINorma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI2.17.6 - Evidências:Arquivo PDTI.PDF no CD (Anexo 1 - Principal - folha 19)Resposta ao item 2 do OF 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 12)2.17.7 - Esclarecimentos dos responsáveis:O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor

deste achado. (Anexo 1 - Principal - folha 82)2.17.8 - Conclusão da equipe:Apesar de ter apresentado um documento intitulado Plano Diretor de Tecnologia

da Informação para o exercício de 2009, tal documento carece de elementos básicos para que omesmo possa ser considerado efetivamente um PDTI, além de não haver versão do documentoválida para o exercício de 2010. Ressalta-se aqui que este achado relaciona-se diretamente aoachado "Inexistência do Plano Estratégico Institucional".

2.17.9 - Proposta de encaminhamento:Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que, em

atenção ao princípio constitucional da eficiência e às disposições contidas no Decreto-Lei nº200/67, art. 6º, inciso I, e na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 3º, implante,


15 de 26 25/5/2011 13:11

na área de tecnologia da informação do DNOCS, um processo de planejamento dePlanejamento Estratégico de TI que organize as estratégias, as ações, os prazos, os recursosfinanceiros, humanos e materiais, tendo como produto a elaboração e aprovação de um PlanoDiretor de Tecnologia da Informação - PDTI, observando as diretrizes constantes na InstruçãoNormativa nº 04/2008 - SLTI/MPOG, art. 4, III, e as práticas contidas no Cobit 4.1, processoPO1 - Planejamento Estratégico de TI.

2.18 - Inexistência do Plano Estratégico Institucional2.18.1 - Situação encontrada:Em resposta ao OF nº 471/2010-01-Secex/Ce (Anexo I, fls. 01/08), o DNOCS

encaminhou o arquivo eletrônico "PEI.PDF" - CD Anexo I, Fl. 19, afirmando que o mesmotratava-se do Plano Estratégico Institucional (PEI) daquela autarquia. Conforme consta naresposta ao item 1.2.1 do OF nº 471/2010-01-Secex/Ce, o DNOCS assim declarou:

"Existe um plano estratégico institucional (PEI), o qual foi dado conhecimento àDiretoria Colegiada, não tendo sido entretanto objeto de nenhum ato de formalização. O PEI seconstitui em um instrumento de trabalho para o encaminhamento das diversas demandas daInstituição junto ao Ministério da Integração Nacional e outros parceiros."

Todavia, a equipe de auditoria verificou que o referido documento eletrônico, quetem, na folha 01 o título "DNOCS - PROPOSTA DE PLANO DE AÇÃO 2009/2010" não se tratavade um PEI, visto que não apresenta itens essenciais como: definição de negócio, missão evisão; declaração e objetivos e as iniciativas estratégicas do ente e estabelecimento deindicadores de desempenho, de acordo com os objetivos estratégicos (Norma Técnica - MPOG -Gespública - Instrumento para Avaliação da Gestão Pública - Ciclo 2010 - critério de avaliação2).

Além do exposto, com relação ao envolvimento das áreas de negócio noplanejamento estratégico institucional, o DNOCS informou em resposta ao item 1.2.2 do OF nº471/2010-01-Secex/Ce que "Foi solicitado a cada Diretoria que elaborasse o seu planejamentoinstitucional. Posteriormente o mesmo foi consolidado em um único documento e encaminhadoà Diretoria Colegiada.". A avaliação do documento apresentado evidencia que houve aelaboração de propostas de cada uma das três Diretorias do DNOCS, contudo não há indícios deque houve interação entre essas áreas organizacionais na elaboração da Proposta. CadaDiretoria elaborou, individualmente, sua proposta as quais foram consolidadas num únicodocumento.

Com relação à divulgação do alegado Plano Estratégico Institucional, o DNOCSinformou que "A divulgação ocorreu de maneira informal tendo sido dado conhecimento aosservidores do conteúdo do mesmo por meio das diversas Diretorias.", porém não apresentounenhuma evidência da forma informal como se deu a divulgação.

2.18.2 - Objetos nos quais o achado foi constatado:Arquivo eletrônico PEI.pdfQuestionário: Perfil GovTI 20102.18.3 - Causas da ocorrência do achado:Deficiências de controles2.18.4 - Efeitos/Consequências do achado:Ausência de referencial para verificar o alinhamento estratégico das ações da área

de TI com o negócio da instituição. (efeito real)Risco de a instituição não conseguir atuar de forma eficiente no atingimento dos

seus objetivos finalísticos. (efeito potencial)2.18.5 - Critérios:Constituição Federal, art. 37, caputDecreto Lei 200/1967, art. 6º, inciso I; art. 7ºNorma Técnica - MPOG - Gespública - Instrumento para Avaliação da Gestão

Pública - Ciclo 2010 - critério de avaliação 22.18.6 - Evidências:Arquivo eletrônico - DNOCS - PROPOSTA DE PLANO DE AÇÃO 2009/2010 -

Resposta ao item 1.2.1 do OF nº 471/2010-01-Secex/Ce (Anexo 1 - Principal - folha 19)2.18.7 - Esclarecimentos dos responsáveis:O DNOCS, por meio da Coordenação de Gestão Estratégica, concordou com o teor

deste achado. (Anexo 1 - Principal - folha 82)


16 de 26 25/5/2011 13:11

2.18.8 - Conclusão da equipe:Embora o DNOCS afirme que existe um plano estratégico institucional (PEI), o

qual foi dado conhecimento à Diretoria Colegiada, não tendo sido entretanto objeto de nenhumato de formalização, a evidência apresentada é um plano de ação que não contempla nenhumdos elementos essenciais previstos no Gespública. Além disso, o DNOCS não apresentouevidências de que existe um processo formal de planejamento estratégico implementado nainstituição.

Frente ao exposto, a equipe de auditoria concluiu que o DNOCS não executa umprocesso de planejamento estratégico institucional.

2.18.9 - Proposta de encaminhamento:Recomendar ao Dnocs que, em atenção ao disposto na Constituição Federal, art.

37, caput (princípio da eficiência) e no Decreto Lei nº 200/1967, art. 6º, inciso I, e art. 7º,elabore um Plano Estratégico Institucional, considerando o previsto no critério de avaliação nº 2do Gespública.

2.19 - Inexistência do processo de gestão de configuração2.19.1 - Situação encontrada:O DNOCS não realiza atividades relativas ao processo de gestão de configuração,

conforme demonstrado na resposta ao item 7.6 do questionário Perfil GovTI 2010 (anexo I, fl.25).

2.19.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 2010Resposta ao OF nº 471/2010-01-Secex/Ce2.19.3 - Causas da ocorrência do achado:Deficiências de controles2.19.4 - Efeitos/Consequências do achado:Desatualização ou deficiência da configuração de TI. (efeito potencial)2.19.5 - Critérios:Constituição Federal, art. 37, caputNorma Técnica - ITGI - Cobit 4.1, DS9 - Gerenciar Configurações.2.19.6 - Evidências:Resposta ao questionário Perfil GovTI 2010 - Item 7.6 (Anexo 1 - Principal - folha


deste achado. (Anexo 1 - Principal - folha 82)2.19.8 - Conclusão da equipe:A equipe evidenciou que o DNOCS não implementa processo de Gestão de

Configuração.2.19.9 - Proposta de encaminhamento:Recomendar ao DNOCS que, em atenção ao princípio constitucional da eficiência,

implemente processo de gestão de configuração de serviços de tecnologia da informação, àsemelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciar configuração.

2.20 - Inexistência do processo de gestão de incidentes.2.20.1 - Situação encontrada:O DNOCS não realiza atividades relativas ao processo de gestão de incidentes

conforme demonstrado na resposta ao item 7.6 do questionário PerfilGovTI 2010 (Anexo I, fl.25). Conforme já abordado anteriormente,a atual equipe de TI é composta de três servidores,dos quais dois ocupam cargo gerencial. Dessa forma, há uma carência de recursos humanos,efetivos ou terceirizados, em número e em especialização.

A situação atual do órgão faz com que a maioria dos incidentes seja tratados àmedida que ocorrem, não havendo um processo preventivo de atuação. Como exemplo dasdificuldades encontradas pela atual equipe de TI, cita-se o fato de indisponibilidade total darede do DNOCS por três dias, de 24 a 28 de setembro, devido a problemas de refrigeração nasala onde estão localizados os diversos equipamentos servidores da instituição, o que só nãocomprometeu mais as atividades da organização em virtude do baixo uso de sistemas deinformação corporativos que hoje se faz no DNOCS.


17 de 26 25/5/2011 13:11

2.20.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 2010Resposta ao OF nº 471/2010-01-Secex/Ce2.20.3 - Causas da ocorrência do achado:Deficiências de controles2.20.4 - Efeitos/Consequências do achado:Ocorrência de incidentes sem o devido gerenciamento. (efeito potencial)Paralisação dos serviços de TI. (efeito potencial)Paralisação das atividades da organização. (efeito potencial)2.20.5 - Critérios:Constituição Federal, art. 37, caputNorma Técnica - NBR - ISO/IEC 27002, item 10.1.2 - Gestão de mudanças.Norma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar a central de serviços e

incidentes.2.20.6 - Evidências:Resposta ao questionário Perfil GovTI 2010 - Item 7.6 (Anexo 1 - Principal - folha


deste achado. (Anexo 1 - Principal - folha 82)2.20.8 - Conclusão da equipe:A equipe evidenciou que o DNOCS não implementa processo de gestão de

incidentes.2.20.9 - Proposta de encaminhamento:Recomendar ao DNOCS que, em atenção ao princípio constitucional da eficiência,

implemente processo de gestão de incidentes de serviços de tecnologia da informação, àsemelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar a central deserviços e incidentes e de outras boas práticas de mercado (como a NBR 26.000 e a NBR27.002).

2.21 - Inexistência do processo de gestão de mudanças.2.21.1 - Situação encontrada:O DNOCS não realiza atividades relativas ao processo de gestão de mudanças,

conforme demonstrado na resposta ao item 7.6 do questionário Perfil GovTI 2010.2.21.2 - Objetos nos quais o achado foi constatado:Questionário: Perfil GovTI 2010Resposta ao OF nº 471/2010-01-Secex/Ce2.21.3 - Causas da ocorrência do achado:Deficiências de controles2.21.4 - Efeitos/Consequências do achado:Não avaliação do impacto de eventuais mudanças. (efeito potencial)Solicitações de mudanças não controladas. (efeito potencial)2.21.5 - Critérios:Constituição Federal, art. 37, caputNorma Técnica - ITGI - Cobit 4.1, AI6 - Gerenciar mudanças.Norma Técnica - NBR - ISO/IEC 27002, 12.5.1 - Procedimentos para controle de

mudanças2.21.6 - Evidências:Resposta ao questionário Perfil GovTI 2010 - Item 7.6 (Anexo 1 - Principal - folha


deste achado. (Anexo 1 - Principal - folha 82)2.21.8 - Conclusão da equipe:A equipe de auditoria evidenciou que o DNOVS não implementa processo de

gestão de mudanças.


18 de 26 25/5/2011 13:11

2.21.9 - Proposta de encaminhamento:Recomendar ao DNOCS que, em atenção ao princípio constitucional da eficiência,

estabeleça procedimentos formais de gestão de mudanças, de acordo com o previsto no item12.5.1 da NBR ISO/IEC 17799:2005, à semelhança das orientações contidas no Cobit 4.1,processo AI6 - Gerenciar mudanças.

4 - OUTROS FATOS RELEVANTESA equipe de auditoria, por meio de análise das respostas ao questionário Perfil

GovTI 2010 e ao OF 471/2010-01-Secex/Ce (Anexo I, Fl. 13), identificou no DNOCS ainexistência ou inadequação dos sistemas de informação que dão suporte às atividades dasáreas-fim daquele órgão. Esta situação foi confirmada pelo Coordenador de Gestão Estratégica.

Em virtude desta constatação, buscou-se verificar como as áreas de negócio doDNOCS geriam suas atividades sem o apoio de uma solução de TI. Em reunião com a AuditoriaInterna do DNOCS, foram selecionadas para verificação as áreas de gestão de obras, gestão debarragens, gestão de perímetros irrigados e gestão de convênios. A equipe realizou, de 28 a30/10/2010, reuniões com os responsáveis por essas áreas.

Em reunião realizada em 28/09/2010 com representantes da Diretoria deInfraestrutura Hídrica, especificamente do Serviço de Execução e Segurança de Obras e doServiço de Monitoramento Hidrológico, foram verificadas as condições gerais do uso de TI nocontrole das atividades pertinentes às áreas.

Gestão de ObrasEm relação ao Serviço de Execução e Segurança de Obras, conforme apresentado

pelo representante da área, Sr. Marcos Rangel, foram prestadas as seguintes informações:- atualmente, o acompanhamento e controle das obras do DNOCS é realizado com

a utilização de planilhas eletrônicas no Excel, alguns módulos do Sistema APOENA e sistemas deinformação disponibilizados pelas empresas responsáveis pela execução das obras;

- os sistemas do DNOCS para controle de obras, em virtude do cancelamento em2009 do contrato de terceirização para desenvolvimento dos sistemas, foram feitosparcialmente e não estão sendo utilizados, sendo que os poucos módulo utilizados estão semmanutenção;

- em virtude de diferenças entre a forma de tratamento das ordens bancárias peloSIAFI e do sistema utilizado pelo DNOCS, há diferença nas informações. Ressalta-se ainda queas informações são

digitadas em duplicidade no SIAFI e no sistema APOENA, o que pode causarinconsistências;

- A inserção de dados no Sistema APOENA está toda atrasada, porque houve paneno sistema e ainda está sendo identificado onde ocorreu o problema, havendo uma previsão dosistema volta a operar no final do ano de 2010;

- somente os dados relativos aos contratos celebrados na Sede do DNOCS é quesão inseridos no sistema, não sendo incluídos, portanto, os celebrados pelas CoordenadoriasEstaduais;

- há atualmente um módulo que trata da digitalização dos contratos edocumentação complementar;

- o acompanhamento das obras é feito semanalmente por meio de planilhaseletrônicas. Tais planilhas são enviadas ao DNOCS e inseridas no sistema;

- no Sistema APOENA, não são utilizados os módulos de engenharia e financeiro,pois os mesmos não estão finalizados;

Já em relação ao Serviço de Monitoramento Hidrológico, que cuida dogerenciamento das barragens, a equipe verificou o sério estado em que se encontra aquelaárea do DNOCS, que, apesar de ter alguns módulos do Sistema APOENA que dão suporte àssuas atividades, ainda enfrenta limitações técnicas para um pleno funcionamento. Conformeapresentado pelo Sr. André Mavigner:

- atualmente a maioria dos módulos do Sistema APOENA relativos a essa áreaestá em produção e são utilizados normalmente. No entanto, alguns módulos necessitam dealterações e complementações e outros precisam apenas de alimentação de dados ou deatualização. Os módulos parcialmente desenvolvidos são Pluviometria, Poços e Fluviometria eencontram-se num estágio de conclusão de 60 a 70%, de acordo com estimativa do Setor deInformática;


19 de 26 25/5/2011 13:11

- os seguintes módulos do Sistema APOENA são efetivamente utilizados: Cadastrode Reservatórios; Armazenamento das Características dos Reservatórios; Armazenamento dasImagens dos Reservatórios; Cadastro de Tabela Padrão de Cota área e Volume; Cadastro deLeituras e Monitoramento dos Níveis dos Reservatórios; Gráfico de Monitoramento dos Açudes;Cadastro dos Poços;

- os dados são disponibilizados no sítio do DNOCS na Internet;- as informações são captadas manualmente nos reservatórios e repassadas às

Coordenadorias Regionais por telefone, que então faz a inserção das informações no SistemaAPOENA;

- há sistema de monitoramento eletrônico de reservatórios em apenas trêsaçudes, de um total de 326;

- não há definição de periodicidade para inserção pelos responsáveis dos dadosrelativos aos açudes, em razão das variáveis que influenciam no monitoramento dos açudes,tais como dificuldade de acesso e necessidade obtenção de muitos dados.

- há planejamento para ser implantada uma Sala de Situação para monitoramentodos açudes. O local já foi definido e há computadores, mas ainda não entrou em operação porproblemas orçamentários e de pessoal;

- ainda não há previsão de quando serão alocados recursos no orçamento paraimplantação de monitoramento eletrônico em novos reservatórios, fiscalização e manutenção.No orçamento do DNCOS, há grande disponibilização de recursos para o gerenciamento doPrograma de Aceleração do Crescimento do Governo Federal, todavia, para atender àsnecessidades da autarquia, os recursos são escassos.

Conforme se vê, apesar do incremento no valor do orçamento de obras doDNOCS, que é da ordem de R$ 1,02 bilhão em 2010, a carência de soluções de TI que atendamessas áreas faz com que os controles implementados, manuais ou de formas não integradas,apresentam sérios riscos ao alcance dos objetivos institucionais daquela autarquia.

Gestão de Perímetros IrrigadosCom relação à gestão de perímetros irrigados o representante da área, Sr. Aloísio

Gomes, informou que não há nenhuma solução de TI que atenda a área. À área da qual fazparte, a Coordenação de Tecnologia e Operações Agrícolas, compete segundo o RegimentoInterno do DNOCS: promover, coordenar e supervisionar as ações de operações com base noemprego da irrigação, no aproveitamento das áreas de montante dos açudes públicos e dasáreas de sequeiro considerados os aspectos tecnológicos, socioeconômicos e ambientais.

Assim, essa área é responsável por prover instrumentos que permitam gerenciara alocação das terras que envolvem os recursos hídricos implementados pelo DNOCS e autilização produtiva dessas terras. Atualmente, existem 38 perímetros irrigados coordenadospelo DNOCS, dos quais 30 são gerenciados diretamente por associações de irrigantes.

Tem-se aqui situação crítica, em que a gestão dos 38 perímetros irrigados é feitacom base em relatórios mensais elaborados em papel e encaminhados à Administração Centraldo DNOCS. Os relatórios em papel trazem informações referentes ao percentual de áreaatendido por irrigação, qual a área de plantio de cada tipo de cultura, a produção agrícola,pecuária e pesqueira alcançada e de que forma a área é aproveitada.

Conforme informado pelo gestor, há grande dificuldade na consolidação dessasinformações e na verificação da veracidade dos dados informados. Não há no DNOCS sistemade informação disponível para recebimento, validação e consolidação dessa informação.

Gestão de ConvêniosCom relação à gestão dos convênios firmados pelo DNOCS, verificou-se que não

há sistema de informação que atenda ao Serviço de Monitoramento de Convênios, ao qualcompete analisar as solicitações de convênios que tenham por objeto a execução de obras eserviços de engenharia, acompanhar a análise técnica dos projetos e promover oacompanhamento e avaliação da execução dos convênios de obras e serviços celebrados pelaautarquia. Assim, conforme informado pela representante da área, não há sistema deinformação os prazos, aditivos e repasses realizados são controlados por meio de planilhaeletrônica. Acrescentou ainda que o Sistema SICONV, acessado por meio da Rede Serpro, nãoatende plenamente às necessidades da área nem a equipe foi treinada no mesmo.

Verificou-se que apenas o controle financeiro dos repasses aos convênios,realizada pelo Serviço de Contabilidade, subordinado à Coordenação de Recursos Financeiros, é


20 de 26 25/5/2011 13:11

realizado por meio da utilização de módulos do Sistema APOENA. Conforme informou arepresentante deste setor:

- anteriormente, para realizar o controle dos convênios, fazia-se uma planilha,datilografada, a cada no final do ano. A partir de 2006 foi criado um programa no APOENA quecontem o resumo da ficha utilizada para realizar o controle dos convênios. O programa édisponibilizado para o Setor de Auditoria, para as Diretorias de Produção e de InfraestruturaHídrica, a fim de estes realizem consulta.

- o sistema ainda está necessita do desenvolvimento de novas funcionalidadespara atendimento à área;

- a partir do Sistema APOENA, as informações são consolidadas anualmente paraelaboração da prestação anual de contas do DNOCS.Não foram constatadas impropriedades ouirregularidades para a questão de auditoria nº 4 formulada para esta fiscalização.

A ausência de uma solução de TI que dê suporte à área de gestão de convêniosfaz com que os controle s sejam implementados manualmente e por meio de planilhaseletrônicas, o que evidencia a fragilidade deste processo crítico ao negócio do DNOCS."

3. Por tais motivos, a Secex/CE, em pareceres uniformes (fls. 27/32), sugeriu aesta Corte formular ao Dnocs as seguintes determinações e recomendações e alertas:

"Determinação ao DNOCS:Determinar, com fulcro na Lei nº 8.443/1992, art. 43, I, ao DNOCS que:Em atenção ao disposto no Decreto nº 4553/2002, art. 6º, § 2º, inciso II e art. 67,

crie critérios de classificação das informações a fim de que possam ter tratamento diferenciadoconforme seu grau de importância, criticidade e sensibilidade, observando o disposto pelo item7.2 da NBR ISO/IEC 27002.

Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VIc/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança daInformação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item6.1.2 Coordenação de segurança da informação.

Em atenção ao disposto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4º,IV, implante Comitê de Tecnologia da Informação que envolva as diversas áreas do DNOCS,que se responsabilize por alinhar os investimentos de Tecnologia da Informação com osobjetivos institucionais e apoiar a priorização de projetos a serem implantados, considerandoainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor deTI.

Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, V,institua equipe de tratamento e resposta a incidentes em redes computacionais, observando aspráticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR.

Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, IV eart. 7º, c/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie Gestor deSegurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC27002, item 6.1.3 Atribuição de responsabilidade para segurança da informação.

Em atenção ao disposto na Norma Complementar 04/IN01/DSIC/GSIPR, item5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira que todos osativos de informação sejam inventariados e tenham um proprietário responsável, observandoas práticas contidas no item 7.1 da NBR ISO/IEC 27002.

Em atenção às disposições contidas no Decreto nº 5.707/2006, art. 5º, 2º, c/cPortaria MP nº 208/2006, art. 2º, I e art. 4º, elabore Plano Anual de Capacitação, o qualcompreenderá as definições dos temas, as metodologias de capacitação a seremimplementadas, bem como as ações de capacitação voltadas à habilitação de seus servidores.

Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII,implante Política de Segurança da Informação e Comunicações, observando as práticas contidasna Norma Complementar 03/IN01/DSIC/GSIPR.

Em atenção ao disposto na Norma Complementar 04/IN01/DSIC/GSIPR,implemente processo de gestão de riscos de segurança da informação a fim de, entre outrosobjetivos, avaliar regularmente a probabilidade e o impacto dos riscos identificados, utilizandométodos qualitativos e quantitativos, observando as práticas contidas no Cobit 4.1, processoPO9 - Avaliar e gerenciar riscos de TI e na NBR 27005 - Gestão de Riscos de Segurança daInformação.


21 de 26 25/5/2011 13:11

Em atenção ao disposto na Lei nº 8.666/1993, art. 6º, inc. IX, e às disposiçõescontidas na Instrução Normativa nº 04/2008 -SLTI/MPOG, art. 12, II, defina um processo desoftware previamente às futuras contratações de serviços de desenvolvimento ou manutençãode software, vinculando o contrato com o processo de software, sem o qual o objeto não estaráprecisamente definido.

Em atenção ao princípio constitucional da eficiência e às disposições contidas noDecreto-Lei nº 200/67, art. 6º, inciso I, e na Instrução Normativa nº 04/2008 - SLTI/MPOG, art.3º, implante, na área de tecnologia da informação do DNOCS, um processo de planejamento dePlanejamento Estratégico de TI que organize as estratégias, as ações, os prazos, os recursosfinanceiros, humanos e materiais, tendo como produto a elaboração e aprovação de um PlanoDiretor de Tecnologia da Informação - PDTI, observando as diretrizes constantes na InstruçãoNormativa nº 04/2008 - SLTI/MPOG, art. 4, III, e as práticas contidas no Cobit 4.1, processoPO1 - Planejamento Estratégico de TI.

Em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VIc/c Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança daInformação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item6.1.2 Coordenação de segurança da informação.

Encaminhe, no prazo de 30 (trinta) dias a contar da ciência do Acórdão que vier aser proferido, plano de ação para a implementação das medidas contidas do Decisum,contendo:

a) Para cada determinação, o prazo e o responsável (nome, cargo e CPF) pelodesenvolvimento das ações;

b) Para cada recomendação, cuja implementação seja considerada conveniente ouoportuna, justificativa da decisão.

Recomendação ao DNOCS:Recomendar ao Departamento Nacional de Obras Contra as Secas (DNOCS) que,

em atenção ao princípio constitucional da eficiência:Promova ações para que a auditoria interna apoie a avaliação da TI, observando

as orientações contidas no Cobit 4.1, ME2 Monitorar e avaliar os controles internos.Estabeleça um processo de avaliação da gestão de TI, observando as orientações

contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 Relatórios gerenciais,ME1.6 Ações corretivas e ME2 Monitorar e avaliar os controles internos.

Em atenção ao Decreto 5707/2006, art. 1º, inciso III, elabore estudo técnico deavaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futurospleitos de ampliação e preenchimento de vagas de servidores efetivos devidamentequalificados, objetivando o melhor atendimento das necessidades institucionais, observando aspráticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI.

Implemente controles que promovam a regular gestão contratual e que permitamidentificar se todas as obrigações do contratado foram cumpridas antes do ateste do serviço.

Implemente controles que promovam o cumprimento do processo deplanejamento previsto na Instrução Normativa nº 4/2008 - SLTI/MPOG.

Implante uma estrutura formal de gerência de projetos, observando asorientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos e doPmBok, dentre outras boas práticas de mercado.

Em atenção ao Decreto Lei nº 200/1967, art. 6º, inciso I, e art. 7º, elabore umPlano Estratégico Institucional, considerando o previsto no critério de avaliação nº 2 doGespública.

Implemente processo de gestão de configuração de serviços de tecnologia dainformação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciarconfiguração.

Implemente processo de gestão de incidentes de serviços de tecnologia dainformação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar acentral de serviços e incidentes e de outras boas práticas de mercado (como a NBR 26.000 e aNBR 27.002).

Estabeleça procedimentos formais de gestão de mudanças, de acordo com oprevisto no item 12.5.1 da NBR ISO/IEC 17799:2005, à semelhança das orientações contidas noCobit 4.1, processo AI6 - Gerenciar mudanças.


22 de 26 25/5/2011 13:11

Determinação de Providências Internas ao TCU:Encaminhar cópia do Acórdão a ser proferido ao Ministério da Integração Nacional

e à Comissão Mista de Orçamento do Congresso Nacional, a fim de dar ciência àqueles Órgãosda situação em que se encontra a àrea de Tecnologia da Informação do DNOCS. (2.18)"

É o Relatório

Voto do Ministro Relator

VOTONa sessão de 8/9/2010 (acórdão 2.308/2010 - Plenário), apresentei a este

colegiado o resultado consolidado do levantamento efetuado pela Secretaria de Fiscalização deTecnologia da Informação - Sefti, em 2010, para avaliar a governança de tecnologia dainformação em 315 órgãos e entidades das administrações direta e indireta dos três poderes daUnião.

2. Destaquei, naquela oportunidade, a importância da atuação desta Corte comrelação à matéria, que, a partir da identificação de pontos vulneráveis, será possível aoTribunal, em primeiro lugar, atuar como indutor do aperfeiçoamento da governança de TI nosetor público e, em segundo lugar, identificar e disseminar entre as unidades jurisdicionadas osbons exemplos e modelos identificados.

3. Apontei, ainda, as conclusões mais significativas do levantamento, que permitiuconstatar, em síntese, que:

a) mais de 60% das organizações não possui planejamento estratégico de TI;b) algumas organizações continuam a ter sua TI totalmente controlada por

pessoas estranhas a seus quadros de pessoal;c) são graves os problemas de segurança da informação, já que informações

críticas não são protegidas adequadamente;d) metade das organizações não possui método ou processo para desenvolvimento

de softwares e para aquisição de bens e serviços de informática, o que gera riscos deirregularidades em contratações;

e) a atuação sistemática da alta administração com respeito à TI ainda éincipiente;

f) mais da metade das organizações está no estágio inicial de governança de TI, eapenas 5% encontram-se em estágio aprimorado.

4. Neste momento, trago à consideração deste Plenário mais um trabalhoconcernente à matéria: a auditoria realizada pela Secex/CE no Dnocs com o intuito de avaliarcontroles gerais de governança de TI naquela entidade.

5. As principais ocorrências detectadas no presente trabalho assemelham-se àsverificadas no levantamento consolidado e confirmam a precisão daquele estudo. Basicamente,constatou-se no Dnocs a inexistência de:

a) plano estratégico institucional;b) plano diretor de TI;c) avaliação de adequação de quadro de pessoal de TI;d) comitê gestor de TI;e) processo adequado de desenvolvimento de software;f) processo de gerenciamento de projetos de TI;g) processo de gestão de configuração de serviços de TI;h) processo de gestão de incidentes de TI;i) processo de gestão de mudanças;j) classificação da informação;k) comitê de segurança da informação;l) equipe de tratamento e resposta a incidentes em redes computacionais;m) gestor de segurança da informação;n) inventário de ativos de informação;o) política de segurança da informação;p) processo de gestão de riscos de segurança da informação;q) plano anual de capacitação;r) apoio da auditoria interna na avaliação de TI;s) avaliação de gestão de TI;


23 de 26 25/5/2011 13:11

t) controles que promovam o cumprimento da IN SLTI/MPOG 4/2008;u) controles que promovam regular gestão contratual.6. Com respeito às demais falhas acima apontadas, a unidade técnica apresentou

uma série de determinações e recomendações que contribuirão para o saneamento dasocorrências e para o aperfeiçoamento da governança de TI do Dnocs.

9. Assim, por considerar papel deste Tribunal a constante indução de melhoria dagestão estatal e por estar integralmente de acordo com as medidas aventadas pela Secex/CE -especialmente no tocante ao crucial tema da segurança da informação, que reputo essencialpara adequado funcionamento das organizações públicas e para defesa da intimidade doscidadãos que com elas interagem - acolho as manifestações daquela Secretaria e voto pelaadoção da minuta de acórdão que trago ao escrutínio deste colegiado.

Sala das Sessões, em 16 de março de 2011.AROLDO CEDRAZRelator

Acórdão

VISTOS, relatados e discutidos estes autos de relatório de auditoria realizada paraavaliar controles gerais de tecnologia da informação no Dnocs.

ACORDAM os Ministros do Tribunal de Contas da União, reunidos em sessão doPlenário, ante as razões expostas pelo relator e com base nos arts. 42, §1º, e 43, I, da Lei8.443/1992, e nos arts. 245, §1º, e 250, inciso III, do Regimento Interno, em:

9.1. determinar ao Dnocs que:9.1.1. em atenção ao Decreto 4.553/2002, art. 6º, § 2º, inciso II e art. 67, crie

critérios de classificação das informações, a fim de que possam ter tratamento diferenciadoconforme seu grau de importância, criticidade e sensibilidade, observando o item 7.2 da NBRISO/IEC 27002;

9.1.2. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VI, c/c a NormaComplementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança daInformação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item6.1.2 Coordenação de segurança da informação;

9.1.3. em atenção à Instrução Normativa 4/2008 - SLTI/MPOG, art. 4º, IV,implante Comitê de Tecnologia da Informação que envolva as diversas áreas do Dnocs, que seresponsabilize por alinhar os investimentos de tecnologia da informação com os objetivosinstitucionais e por apoiar a priorização de projetos a serem implantados, considerando asdiretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor de TI;

9.1.4. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, V, instituaequipe de tratamento e resposta a incidentes em redes computacionais, observando as práticascontidas na Norma Complementar 05/IN01/DSIC/GSIPR;

9.1.5. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, IV e art. 7º, c/ca Norma Complementar 3/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie Gestor de Segurança daInformação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item6.1.3 Atribuição de responsabilidade para segurança da informação;

9.1.6. em atenção à Norma Complementar 4/IN01/DSIC/GSIPR, item 5.2.1,estabeleça procedimento de inventário de ativos de informação, de maneira a que todos osativos de informação sejam inventariados e tenham um proprietário responsável, observandoas práticas contidas no item 7.1 da NBR ISO/IEC 27002;

9.1.7. em atenção ao Decreto 5.707/2006, art. 5º, 2º, c/c a Portaria MP208/2006, art. 2º, I e art. 4º, elabore Plano Anual de Capacitação, com definições dos temas edas metodologias de capacitação a serem implementadas, bem como das ações de capacitaçãovoltadas à habilitação de seus servidores;

9.1.8. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII, implantePolítica de Segurança da Informação e Comunicações, observando as práticas contidas naNorma Complementar 03/IN01/DSIC/GSIPR;

9.1.9. em atenção à Norma Complementar 4/IN01/DSIC/GSIPR, implementeprocesso de gestão de riscos de segurança da informação a fim de, entre outros objetivos,avaliar regularmente a probabilidade e o impacto dos riscos identificados, utilizando métodosqualitativos e quantitativos e observando as práticas contidas no Cobit 4.1, processo PO9 -


24 de 26 25/5/2011 13:11

Avaliar e gerenciar riscos de TI e na NBR 27005 - Gestão de Riscos de Segurança daInformação;

9.1.10. em atenção à Lei 8.666/1993, art. 6º, inc. IX, e à Instrução Normativa4/2008 -SLTI/MPOG, art. 12, II, defina um processo de software previamente às futurascontratações de serviços de desenvolvimento ou manutenção de software, vinculando ocontrato com o processo de software, sem o qual o objeto não estará precisamente definido;

9.1.11. em atenção ao princípio constitucional da eficiência e ao Decreto-Lei200/67, art. 6º, inciso I, e à Instrução Normativa 4/2008 - SLTI/MPOG, art. 3º, implante, naárea de tecnologia da informação, processo de planejamento estratégico de TI que organizeestratégias, ações, prazos e recursos financeiros, humanos e materiais, tendo como produto aelaboração e aprovação de um Plano Diretor de Tecnologia da Informação - PDTI, observandoas diretrizes constantes da Instrução Normativa 4/2008 - SLTI/MPOG, art. 4, III, e as práticascontidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI.

9.1.12. em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VI c/c a NormaComplementar 03/IN01/DSIC/GSIPR, item 5.3.7.3, institua Comitê de Segurança daInformação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item6.1.2 Coordenação de segurança da informação;

9.1.13. encaminhe a este Tribunal, no prazo de 30 (trinta) dias a contar da ciênciadeste acórdão; plano de ação para implementação das medidas determinadas por esta Corte:

a) para cada determinação, o prazo e o responsável (nome, cargo e CPF) pelodesenvolvimento das ações;

b) para cada recomendação cuja implementação seja considerada conveniente ouoportuna, justificativa da decisão.

9.2. recomendar ao Dnocs que, em atenção ao princípio constitucional daeficiência:

9.2.1. promova ações para que a auditoria interna apoie a avaliação da TI,observando as orientações contidas no Cobit 4.1, ME2 - Monitorar e avaliar os controlesinternos;

9.2.2. estabeleça processo de avaliação da gestão de TI, observando asorientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 Relatóriosgerenciais, ME1.6 Ações corretivas e ME2 - Monitorar e avaliar os controles internos;

9.2.3. em atenção ao Decreto 5707/2006, art. 1º, inciso III, elabore estudotécnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas afundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivosdevidamente qualificados, objetivando melhor atendimento das necessidades institucionais,observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI;

9.2.4. implemente controles que promovam a regular gestão contratual e quepermitam identificar se todas as obrigações do contratado foram cumpridas antes da atestaçãodo serviço;

9.2.5. implemente controles que promovam o cumprimento do processo deplanejamento previsto na Instrução Normativa 4/2008 - SLTI/MPOG;

9.2.6. implante estrutura formal de gerência de projetos, observando asorientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos e doPmBok, dentre outras boas práticas de mercado;

9.2.7. em atenção ao Decreto Lei 200/1967, art. 6º, inciso I, e art. 7º, elaborePlano Estratégico Institucional, considerando o previsto no critério de avaliação nº 2 doGespública;

9.2.8. implemente processo de gestão de configuração de serviços de tecnologiada informação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciarconfiguração.

9.2.9. implemente processo de gestão de incidentes de serviços de tecnologia dainformação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar acentral de serviços e incidentes e de outras boas práticas de mercado (como a NBR 26.000 e aNBR 27.002);

9.2.10. estabeleça procedimentos formais de gestão de mudanças, de acordo como item 12.5.1 da NBR ISO/IEC 17799:2005, à semelhança das orientações contidas no Cobit4.1, processo AI6 - Gerenciar mudanças;


25 de 26 25/5/2011 13:11

Anterior | Próximo

9.3. encaminhar cópia deste acórdão, do relatório e do voto que o subsidiaram edo relatório de auditoria ao Ministério da Integração Nacional e à Comissão Mista de Orçamentodo Congresso Nacional

Quorum

13.1. Ministros presentes: Benjamin Zymler (Presidente), Valmir Campelo, WaltonAlencar Rodrigues, Augusto Nardes, Aroldo Cedraz (Relator), José Jorge e José Múcio Monteiro.

13.2. Ministros-Substitutos convocados: Augusto Sherman Cavalcanti e André Luísde Carvalho.

13.3. Ministro-Substituto presente: Weder de Oliveira

Publicação

Ata 08/2011 - PlenárioSessão 16/03/2011Dou 21/03/2011

Referências (HTML)

Documento(s):judoc/Acord/20110321/AC_0592_08_11_P.doc

Status do Documento na Coletânea: [Não Selecionado] Coletânea

Voltar à lista de documentos

Em caso de dúvidas, críticas e sugestões, favor entrar em contato: Jurisprudência Requisição atendida em 0.425 segundo(s).


26 de 26 25/5/2011 13:11

acórdão tcu 592 2011 - dnocs - avaliação de controles de ti

Technology