auditoria de ti: 4 questões a serem respondidas

41º FonaiTec

João Pessoa, 26 e 27 de novembro de 2014

André Luiz Furtado Pacheco, CISA

Auditoria de TI:

4 questões a serem

respondidas

2

Agenda

1. Introdução

2. Estrutura de Governança de TI

3. Processo de Planejamento de TI

4. Processo de Contratação de TI

5. Segurança da Informação

6. Conclusão

1. Introdução

3

Matriz de Planejamento

Instrumento para organizar as informações

relevantes do planejamento de uma auditoria

Homogeneização do entendimento da equipe, e

demais envolvidos, quanto:

ao objetivo do trabalho;

aos passos a serem seguidos;

à estratégia metodológica a ser adotada.

Orienta os integrantes da equipe nas fases de

execução e de elaboração do relatório

4

5

Objetivo: Enunciar de forma clara e resumida o aspecto a ser enfocado pela auditoria, de acordo com o levantamento de auditoria previamente realizado.

Matriz de Planejamento

Questões de

Auditoria

Informações Requeridas

Fontes de

Informação

Detalhamento do

Procedimento

Objetos

Membro

Responsável

Período

Possíveis Achados

Apresentar, em

forma de

perguntas, os

diferentes

aspectos que

compõem o

escopo da

fiscalização e

que devem ser

investigados

com vistas à

satisfação do

objetivo

Identificar as

informações

necessárias

para

responder a

questão de

auditoria

Identificar as

fontes de cada

item de

informação

requerida da

coluna anterior.

Estas fontes

estão

relacionadas

com as técnicas

empregadas

Descrever as

tarefas que serão

realizadas, de

forma clara,

esclarecendo os

aspectos a serem

abordados (itens

de verificação ou

check list)

Indicar o

documento, o

projeto, o

programa, o

processo, ou o

sistema no qual o

procedimento será

aplicado.

Exemplos:

contrato, folha de

pagamento, base

de dados, ata,

edital, ficha

financeira,

processo

licitatório,

orçamento

Pessoa(s) da

equipe

encarregada(s) da

execução de cada

procedimento

Dia(s) em

que o

procedi-

mento

será

executado

Esclarecer

com precisão

que

conclusões

ou

resultados

podem ser

alcançados

Elaboração da Matriz de Planejamento

elaborar o objetivo da auditoria, após o

diagnóstico da situação, e determinar a linha

de investigação, mediante a formulação das

questões de auditoria

determinar, para cada questão de auditoria,

possíveis achados, ou seja, onde se deseja

chegar com a investigação

identificar as informações requeridas e onde

as obter (fontes de informação)

6

Elaboração da Matriz de Planejamento

elaborar os procedimentos, e descrevê-los

passo a passo, para colher as informações,

analisá-las e obter as evidências com objetivo

de responder as questões de auditoria

identificar o membro da equipe responsável

pelo procedimento

especificar o período de realização do

procedimento (cronograma)

identificar os objetos que foram analisados (*)

(*) coluna a ser preenchida na fase de execução da auditoria

7

Questões de Auditoria

8

1. Estruturas de Governança – Cobit 5

(EDM e APO)

2. Processo de Planejamento de TI –

Cobit 5 (APO)

3. Processo de Aquisição – Cobit 5 (BAI)

4. Segurança da Informação – Cobit 5

(APO e DSS) e ISO 27002

2. Estrutura de

Governança

9

Governança de TI – Definição

“Governança de TI é uma estrutura de relacionamentos e processos para dirigir e controlar a TI a fim de alcançar as metas da instituição pela agregação de valor, enquanto se mantém o equilíbrio dos riscos versus retorno sobre esta função e seus processos.”

(ITGI – IT Governance Institute)

“O Sistema pelo qual o uso atual e futuro da TI é dirigido e controlado.” (NBR ISO/IEC 38500, item 1.6.3)

10

11

Governança de TI – Objetivos

assegurar que as ações de TI estejam

alinhadas com o negócio da

organização, agregando-lhe valor;

medir o desempenho da área de TI,

alocar propriamente os recursos e

mitigar os riscos inerentes;

controlar as iniciativas de TI na

organização para garantir o retorno de

investimentos e a adoção de melhorias

nos processos organizacionais

Governança de TI – Cobit 5

12

Fonte: www.isaca.org

Governança de TI – Cobit 5

13 Fonte: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.

Levantamentos de Governança de TI

14

Levantamento de Governança de TI – Ciclo 2007

• 39 questões

• 255 órgãos/entidades da APF

• Acórdão nº 1.603/2008–TCU–Plenário

Levantamento de Governança de TI – Ciclo 2010

• 30 questões – 152 itens

• 301 órgãos/entidades da APF

• iGovTI

• Acórdão nº 2.308/2010-TCU-Plenário

Levantamento de Governança de TI – Ciclo 2012

• 36 questões – 494 itens

• 350 órgãos/entidades da APF

• Acórdão nº 2.585/2012-TCU-Plenário

Levantamento de Governança de TI – Ciclo 2014

• 355 órgãos/entidades da APF

• Escala de respostas (Não se aplica, Não adota, Iniciou plano para adotá-la, Adota parcialmente, Adota integralmente)

• Acórdão nº 3.117/2014-TCU-Plenário

15

iGovTI 2014

16

Distribuição das Organizações por Estágio do iGovTI

Acórdão 3.117/2014-TCU-Plenário

Evolução do iGovTI 2010-2014

17

Distribuição das Organizações por Estágio do iGovTI

Acórdão 3.117/2014-TCU-Plenário

18

Comitê Executivo de TI

“A existência de um comitê diretivo de TI (IT Steering

Committee), que determine as prioridades de

investimento e alocação de recursos nos diversos

projetos e ações de TI, é de fundamental importância

para o alinhamento entre as atividades de TI e o

negócio da organização, bem como para a otimização

dos recursos disponíveis e a redução do desperdício. O

fato desse comitê ser composto por dirigentes de TI e

de outras áreas da organização possibilita que as

decisões de investimentos sejam obtidas a partir de

uma visão mais abrangente, o que reduz os riscos de

erro” (Acórdão 1.603/2008-TCU-Plenário).

Comitê Executivo de TI

Acórdão 1233/2012-TCU-Plenário

“9.2. recomendar, (...), à Secretaria de Logística e

Tecnologia da Informação (SLTI/MP) que:

9.2.1. normatize a obrigatoriedade de que os

entes sob sua jurisdição estabeleçam comitês de

TI, observando as boas práticas sobre o tema, a

exemplo do Cobit 4.1, PO4.2 – comitê estratégico

de TI e PO4.3 – comitê diretor de TI;”

19

20

Instrução Normativa - SLTI 04/2014

“Art. 4º As contratações de que trata esta IN

deverão ser precedidas de planejamento,

elaborado em harmonia com o Plano Diretor de

Tecnologia da Informação - PDTI.

(...)

§ 7º Inexistindo o Comitê de Tecnologia da

Informação, o órgão ou entidade deverá instituí-

lo e dar-lhe pleno funcionamento, observando,

no que couber, o Guia de Comitê de Tecnologia da

Informação do SISP, acessível no Portal do SISP.”

Comitê Executivo de TI

Comitê Executivo de TI

Cobit 5, processo APO01 Gerenciar a Estrutura de

Gestão de TI, boa prática APO01.01 Definir a

Estrutura Organizacional, atividade 8:

“8. Estabelecer um comitê executivo de TI (ou

equivalente), composto pelas diretorias executiva,

de negócios e de TI para:

determinar prioridades dos programas de

investimentos em TI em linha com as

estratégias e prioridades do negócio;

monitorar o estado atual dos projetos e

resolver conflitos de recursos; e

monitorar níveis de serviço e suas melhorias.”

21

Comitê Executivo de TI Acórdão 3.117/2014-TCU-Plenário

22

2.1 Estrutura de

Governança – Matriz

23

Governança de TI – Questão de

Auditoria

Os mecanismos e estruturas de

Governança de TI foram definidos

e implementados adequadamente

no âmbito da instituição ?

24

3. Processo de

Planejamento de TI

25

26

“O planejamento é uma ferramenta

administrativa que possibilita perceber a

realidade, avaliar os caminhos, construir um

referencial futuro, estruturando o trâmite

adequado, e reavaliar todo o processo a que o

planejamento se destina. (...) o lado racional da

ação. Trata-se de um processo de deliberação

abstrato e explícito que escolhe e organiza

ações, antecipando os resultados esperados.”

(Wikipédia)

Conceito de Planejamento

27

A elaboração de

Planejamento pelo gestor

público seria apenas uma

faculdade?

Planejamento

28

Não, o Planejamento é

obrigatório.

Planejar é dever do gestor

público.

Planejamento

29

O Planejamento é dever político do

administrador público.

O gestor público tem o dever manejar os

recursos públicos da forma mais eficaz e

eficiente possível, de modo a gerar o maior

benefício possível à sociedade;

Esse dever só pode ser cumprido com

planejamento efetivo do quê, para quê e

como fazer com os recursos públicos

disponíveis.

O Dever de Planejar

30

Planejar é também dever jurídico:

Quem não planeja incorre em inobservância

jurídica do disposto no caput do art. 37 da

CF/1988, pois age contra o princípio da

eficiência:

“Art. 37. A administração pública direta e

indireta de qualquer dos Poderes da União,

dos Estados, do Distrito Federal e dos

Municípios obedecerá aos princípios de

legalidade, impessoalidade, moralidade,

publicidade e eficiência e, (...)”

O Dever de Planejar

31

Planejar é também dever jurídico:

Quem não planeja também incorre em

inobservância jurídica do disposto no artigo 6º,

inciso I do Decreto-Lei 200/1967, e ofende,

portanto, o princípio da legalidade:

“Art. 6º As atividades da Administração Federal

obedecerão aos seguintes princípios

fundamentais:

I - Planejamento.

(...)”

O Dever de Planejar

32

Acórdão 669/2008-TCU-Plenário

“9.1. recomendar (...) que: 9.1.1. em atenção ao princípio constitucional da eficiência e às disposições contidas no art. 6º, I, do Decreto-Lei nº 200/1967, aperfeiçoe o processo de planejamento institucional no Ministério, de forma a organizar estratégias, ações, prazos e recursos financeiros, humanos e materiais, a fim de minimizar a possibilidade de desperdício de recursos públicos e de prejuízo ao cumprimento dos objetivos institucionais do órgão, observando as práticas contidas no critério 2 - Estratégias e Planos do Gespública (Programa Nacional de Gestão Pública e Desburocratização);”

O Dever de Planejar

Níveis de Planejamento

33

Fonte: Guia para Elaboração de PDTI do SISP

Níveis de Planejamento

Segundo o Guia para Elaboração de PDTI do SISP:

“As organizações adotam usualmente três níveis de

planejamento, conforme a hierarquia:

Planejamento Estratégico: o nível estratégico

compreende a alta administração da

organização, responsável pela definição dos

objetivos e planos da instituição e pela tomada

de decisões relativas às questões de longo

prazo, tais como sobrevivência, crescimento e

efetividade geral. É o processo administrativo

que proporciona sustentação para se estabelecer

a melhor direção a ser seguida pela organização.”

34

Níveis de Planejamento

“Planejamento Tático: o planejamento, no

nível tático, traduz os objetivos gerais e as

estratégias da alta administração em

objetivos e atividades mais específicos. O

principal desafio nesse nível e promover um

contato eficiente e eficaz entre o nível

estratégico e o nível operacional.

Portanto, trabalha com decomposição dos

objetivos, estratégias e políticas

estabelecidas no planejamento estratégico.”

35

Níveis de Planejamento “Planejamento Operacional: nesse planejamento, o

processo é de menor amplitude, no qual o foco é trabalhar

junto aos funcionários envolvidos nas operações da

organização, implementando os planos específicos

definidos no planejamento tático. Pode ser considerado

como a formalização, principalmente através de documentos

escritos, das metodologias de desenvolvimento e

implantação estabelecidas. Portanto, nessa situação tem-se,

basicamente, os planos de ação ou planos operacionais,

os quais descrevem em detalhes os recursos necessários

para seu desenvolvimento e implantação, os

procedimentos básicos a serem adotados; os resultados

finais esperados; os prazos estabelecidos; os

responsáveis por sua execução e implantação, etc.”

36

Acórdão 1.603/2008-Plenário

“9.4. recomendar ao Ministério do Planejamento,

Orçamento e Gestão – MPOG que, nos

órgãos/entidades da Administração Pública Federal:

9.4.1. promovam ações com o objetivo de disseminar

a importância do planejamento estratégico,

procedendo, inclusive mediante orientação

normativa, ações voltadas à implantação e/ou

aperfeiçoamento de planejamento estratégico

institucional, planejamento estratégico de TI e

comitê diretivo de TI, com vistas a propiciar a

alocação dos recursos públicos conforme as

necessidades e prioridades da organização;”

37

Planejamento Estratégico Institucional

Acórdão 1233/2012-TCU-Plenário

“9.1. recomendar, (...), à Câmara de Políticas de

Gestão, Desempenho e Competitividade

(CGDC) do Conselho de Governo que:

9.1.1 em atenção Decreto-Lei 200/1967, art. 6º,

inciso I, e art. 7º, normatize a obrigatoriedade de

que todos os entes sob sua jurisdição

estabeleçam processo de planejamento

estratégico institucional, observando as boas

práticas sobre o tema, a exemplo do critério de

avaliação 2 do Gespública, contemplando, pelo

menos (subitem II.1):”

38

Planejamento Estratégico Institucional

Acórdão 1233/2012-TCU-Plenário

“9.1.1.1. elaboração, com participação de

representantes dos diversos setores da organização,

de um documento que materialize o plano

estratégico institucional de longo prazo,

contemplando, pelo menos, objetivos, indicadores

e metas para a organização;

9.1.1.2. aprovação, pela mais alta autoridade da

organização, do plano estratégico institucional;

9.1.1.3. desdobramento do plano estratégico pelas

unidades executoras;”

39

Planejamento Estratégico Institucional

Acórdão 1233/2012-TCU-Plenário

“9.1.1.4. divulgação do plano estratégico

institucional para conhecimento dos cidadãos

brasileiros, exceto nos aspectos formalmente

declarados sigilosos ou restritos;

9.1.1.5. acompanhamento periódico do alcance

das metas estabelecidas, para correção de

desvios;

9.1.1.6. divulgação interna e externa do alcance

das metas, ou dos motivos de não as ter

alcançado;”

40

Planejamento Estratégico Institucional

Acórdão 1233/2012-TCU-Plenário

“9.1.3. em atenção ao Decreto-Lei 200/1967, art.

6º, V, estabeleça, normativamente para todos os

entes sob sua jurisdição, a obrigatoriedade de a

alta administração implantar uma estrutura de

controles internos, mediante a definição de

atividades de controle em todos os níveis da

organização para mitigar os riscos de suas

atividades no processo de planejamento

estratégico institucional (subitem II.11);”

41

Planejamento Estratégico Institucional Acórdão 3.117/2014-TCU-Plenário

42

Planejamento Estratégico de TI

Acórdão 1233/2012-TCU-Plenário

“9.1.2. em atenção Decreto-Lei 200/1967, art. 6º,

inciso I, e art. 7º, normatize a obrigatoriedade de

que todos os entes sob sua jurisdição estabeleçam

processo de planejamento estratégico de TI,

observando as boas práticas sobre o tema, a

exemplo do processo “PO1 – Planejamento

Estratégico de TI” do Cobit 4.1, contemplando, pelo

menos (subitem II.2):”

43

Planejamento Estratégico de TI

Acórdão 1233/2012-TCU-Plenário

“9.1.2.1. elaboração, com participação de

representantes dos diversos setores da organização,

de um documento que materialize o plano estratégico

de TI, contemplando, pelo menos:

9.1.2.1.1. objetivos, indicadores e metas para a TI

organizacional, sendo que os objetivos devem estar

explicitamente alinhados aos objetivos de negócio

constantes do plano estratégico institucional;

9.1.2.1.2. alocação de recursos (financeiros, humanos,

materiais etc);

9.1.2.1.3. estratégia de terceirização;”

44

Planejamento Estratégico de TI

Acórdão 1233/2012-TCU-Plenário

“9.1.2.2. aprovação, pela mais alta autoridade da

organização, do plano estratégico de TI;

9.1.2.3. desdobramento do plano estratégico de TI

pelas unidades executoras;

9.1.2.4. divulgação do plano estratégico de TI para

conhecimento dos cidadãos brasileiros, exceto nos

aspectos formalmente declarados sigilosos ou restritos;

9.1.2.5. acompanhamento periódico do alcance das

metas estabelecidas, para correção de desvios;

9.1.2.6. divulgação interna e externa do alcance das

metas, ou os motivos de não as ter alcançado;”

45

Planejamento Estratégico de TI

Definir missão

Objetivos, indicadores, metas da TI

Alinhamento com o negócio

Iniciativas, estratégias

Estratégia de terceirização

Desdobramento

Divulgação

Alocação de recursos (financeiros,

humanos, materiais)

Acompanhamento periódico

46

Planejamento Estratégico de TI (PETI) Acórdão 3.117/2014-TCU-Plenário

47

Planejamento Estratégico de TI

48

Fonte: Guia de Elaboração de PDTI do SISP

Estratégico Estratégia de PEI Negócio

Estratégia Estratégia Estratégia PETI de TI de RH de ...

Tático Planejamento Planejamento Planejamento PDTI Tático de TI Tático de RH Tático de ...

Operacional

P l a n o s de A ç ã o

49

Plano Diretor de TI – PDTI

A IN-4/2014 da SLTI/MP define no art. 2º:

“XXVII – Plano Diretor de Tecnologia da

Informação (PDTI): instrumento de

diagnóstico, planejamento e gestão dos

recursos e processos de Tecnologia da

Informação que visa atender às

necessidades tecnológicas e de

informação de um órgão ou entidade para

um determinado período.”

Plano Diretor de TI – PDTI

Fases do Processo de Elaboração do PDTI:

Preparação

Diagnóstico

Planejamento

Fonte: Guia de Elaboração de PDTI do SISP

50

Plano Diretor de TI – PDTI – Atores

“Autoridade Máxima, o membro da alta

administração no nível hierárquico mais alto da

organização. Nos ministérios, são os Ministros. Nas

autarquias e fundações, correspondem aos

Presidentes. A autoridade máxima é o principal

patrocinador do projeto de elaboração de PDTI.

Nesse papel, ele deverá prover recursos, aprovar o

Plano de Trabalho, tomar as decisões mais

importantes, definir premissas e diretrizes gerais,

aprovar e publicar o PDTI, formalizando-o. O papel

do patrocinador é crucial no projeto, e pode fazer

toda a diferença em seu sucesso ou fracasso.”

51

Plano Diretor de TI – PDTI – Atores

“Comitê de TI, um mecanismo importante de

Governança de TI, recomendado por modelos de

mercado e indicado na EGTI 2011-2012. O Comitê é

formado por representantes das áreas finalísticas e

da TI e tem a função e o poder de priorizar as ações

e dirigir o alinhamento dessas e dos investimentos

com os objetivos estratégicos da organização, além

de monitorar os resultados do desempenho da TI.

Sobre o Comitê de TI, o SISP disponibiliza o “Guia para

criação e funcionamento do Comitê de TI” , o qual visa

orientar a instituição do Comitê e seu pleno

funcionamento nos órgãos integrantes do SISP, além de

esclarecer responsabilidades e funções.”

52

Plano Diretor de TI – PDTI – Atores “Equipe de Elaboração do PDTI. Responsável por executar

boa parte da elaboração do PDTI, ou seja, é o grupo que

realmente efetua as atividades. Recomenda-se que a

elaboração do PDTI seja trabalhada como um projeto. É a

equipe de elaboração do PDTI quem operacionaliza o projeto

de elaboração do PDTI. Os membros da equipe são

designados pelo Comitê de TI, que deve indicar servidores

tanto das áreas finalísticas quanto da área de TI. Ou seja,

reforça-se a orientação de que os profissionais que vão

participar da elaboração do PDTI não sejam exclusivamente

servidores da área de TI. Outra recomendação é que a equipe

não seja técnica, mas primordialmente negocial, com

conhecimento multidisciplinar, perfil colaborativo e integrador,

domínio da cultura organizacional e do negócio da sua área.”

53

3.1 Processo de

Planejamento de TI – Matriz

54

Processo de Planejamento de TI –

Questão de Auditoria

Existe processo de

Planejamento de TI ?

55

4. Processo de

Contratação de TI

56

57

Cobit 5, MEA 03.01, Atender aos Requisitos legais e regulatórios aplicáveis

Modelo de Contratação

de TI

LC 123/2006

Lei 8.666/1993

Lei 10.520/2002

Decreto 7.174/2010

Decreto 2.271/1997

E outras fontes

Decisões STJ e STF

Enunciado 331 (TST)

Acórdãos TCU

IN-4 e IN-2 – SLTI/MP

Decreto 7.892/2013

58

BAI 03.04 Adquirir componentes da

Solução: “adquirir os componentes da

solução com base no plano de aquisições em

conformidade com os requisitos detalhados,

padrões de arquitetura, procedimentos,

requisitos de controle de qualidade e normas

de homologação. Assegurar que todos os

requisitos legais e contratuais são

identificados e seguidos pelo fornecedor.”

www.isaca.org

Cobit 5

“Na contratação de bens e serviços de TI é essencial a

adoção de processo de trabalho formalizado,

padronizado e judicioso quanto ao custo, à

oportunidade e aos benefícios advindos para a

organização. Esse processo melhora o relacionamento

com os fornecedores e prestadores de serviços,

maximiza a utilização dos recursos financeiros alocados

à área de TI e contribui decisivamente para que os

serviços de TI dêem o necessário suporte às ações da

organização no alcance de seus objetivos e suas

metas.”

(Relatório do Acórdão 1.603/2008-TCU-Plenário)

Processo de Contratação de TI

59

60

Antecedentes da IN 04/2014 - SLTI

Estudo desenvolvido pela Segecex/TCU

• item 9.7 do Acórdão 1.558/2003-TCU- Plenário,

QRN – Quadro Referencial Normativo

(http://portal2.tcu.gov.br/portal/page/portal/ticontrole/leg

islacao/repositorio_contratacao_ti/ManualOnLine.html)

Série de Acórdãos relativos ao MDIC:

• 1.094/2004, 667/2005, 2.103/2005, 2.171/2005,

2.172/2005, 786/2006, todos do Plenário.

61

Histórico da IN 04/2014 - SLTI

Recomendação à Secretaria de Logística e Tecnologia da Informação – SLTI:

• item 9.4 do Acórdão 786/2006-TCU-Plenário:

“(...) a partir das diretrizes expostas na seção III do voto antecedente e nos Acórdãos deste Tribunal, sobretudo os de número 667/2005, 2.103/2005, 2.171/2005 e 2.172/2005, todos do Plenário, elabore um modelo de licitação e contratação de serviços de informática para a Administração Pública Federal e promova a implementação dele nos diversos órgãos e entidades sob sua coordenação mediante orientação normativa (...)”

Monitoramentos no TC 006.030/2007-4

• Acórdão 1.480/2007-TCU-Plenário

• Acórdão 1.999/2007-TCU-Plenário

62

Histórico da IN 04/2014 - SLTI

Audiência pública em abril de 2008;

IN 04/2008 SLTI, de 19 de maio de 2008;

Entrou em vigor em 02.01.2009;

Acórdão 1.915/2010-Plenário: “...subsídios à

evolução das normas que regem as contratações

de bens e serviços de tecnologia de informação...”

Audiência pública em agosto de 2010;

IN 04/2010 SLTI, de 12 de novembro de 2010;

Entrou em vigor em 02.01.2011;

Audiência pública em maio de 2014;

IN 04/2014 SLTI, de 11 de setembro de 2014;

Entrará em vigor em 02.01.2015

63

A Secretaria de Logística e Tecnologia da Informação – SLTI do Ministério do Planejamento editou as Instruções Normativas 02/2008 e 04/2008, as quais contemplaram a maior parte das recomendações do TCU quanto à implementação do modelo de contratação de soluções de TI (Acórdãos 786/2006-TCU-Plenário, item 9.4, 1480/2007-TCU-Plenário, item 9.1.2.6 e 1999/2007-TCU-Plenário, item 9.4.1.1).

Acórdão 1.915/2010-Plenário: “9.1. considerar que a Instrução Normativa 04/2008, da Secretaria de Logística e Tecnologia da Informação - SLTI/MP, implementa, ainda que parcialmente, mas em sua maior parte, as recomendações monitoradas;”

Instruções Normativas

64

A IN/SLTI 04/2014 dispõe sobre o processo de

contratação de Soluções de Tecnologia da

Informação pelos órgãos integrantes do

Sistema de Administração dos Recursos de

Tecnologia da Informação (SISP) do Poder

Executivo Federal.

A IN/SLTI 02/2008, que substitui a IN/MARE

18/1997, dispõe sobre regras e diretrizes para a

contratação de serviços, continuados ou

não. Essa norma aplica-se subsidiariamente à

IN/SLTI 04/2014 (IN-04/2014, art. 38).

Instruções Normativas

Processo de Contratação de TI 2007/2014

65

Acórdão 3.117/2014-TCU-Plenário

Guia de Boas Práticas em

Contratação de Soluções de TI

66

Importância do planejamento das

contratações de soluções de TI

Contexto do planejamento das

contratações de soluções de TI

Processo de planejamento da

contratação de soluções de TI

Guia de Boas Práticas em

Contratação de Soluções de TI

67

Artefatos gerados no processo de

planejamento da contratação de soluções

de TI

• Estudos técnicos preliminares

• Plano de trabalho

• Termo de referência ou projeto básico

Guia de Boas Práticas em

Contratação de Soluções de TI

68

Riscos e sugestões de controles

internos relativos ao processo de

planejamento das contratações como um

todo

Controles internos de caráter

estruturante

Principais falhas encontradas pelo TCU

Guia de Boas Práticas em

Contratação de Soluções de TI

69

Planejamento Institucional

Planejamento de TI

Modelo de Contratação de Soluções de TI

Atores do MCTI

Planejamento da Contratação

Seleção do Fornecedor

Gestão do Contrato

Artefatos

Guia de Boas Práticas em

Contratação de Soluções de TI

70

Fases Processos Atividades Artefatos Atores

Planejamento 4 45 7 8

Seleção 18 - 1 5

Gestão 5 21 8 5

71

“Art. 2º A aquisição de bens e serviços de

tecnologia da informação e automação

deverá ser precedida da elaboração de

planejamento da contratação, incluindo

projeto básico ou termo de referência

contendo as especificações do objeto a ser

contratado...”

Decreto nº 7.174/2010

72

Instrução Normativa - SLTI 04/2014

“Art. 4º As contratações de que trata esta IN

deverão ser precedidas de planejamento,

elaborado em harmonia com o Plano Diretor de

Tecnologia da Informação - PDTI.

§ 1º O PDTI deverá estar alinhado à EGTI e ao

plano estratégico institucional e aprovado pelo

Comitê de Tecnologia da Informação do órgão

ou entidade.”

Planejamento da Contratação

73

Instrução Normativa - SLTI 04/2014

“Art. 4º (...)

§ 2º Inexistindo o PDTI, o órgão ou entidade

deverá proceder à sua elaboração, observando,

no que couber, o Guia de Elaboração de PDTI do

SISP, acessível no Portal do SISP.

§ 3º Inexistindo o plano estratégico

institucional, sua ausência deverá ser registrada

no PDTI e deverá ser utilizado um documento

equivalente, como o Plano Plurianual - PPA.”

Planejamento da Contratação

74

Instrução Normativa - SLTI 04/2014

“Art. 8º As contratações de Soluções de

Tecnologia da Informação deverão seguir três

fases:

I - Planejamento da Contratação;

II - Seleção do Fornecedor; e

III - Gestão do Contrato.”

Planejamento da Contratação

75

Instrução Normativa - SLTI 04/2014

“Art. 9º. (...)

§ 2º É obrigatória a execução da fase de Planejamento

da Contratação, independentemente do tipo de

contratação, inclusive nos casos de:

I - inexigibilidade;

II - dispensa de licitação ou licitação dispensada;

III - criação e adesão à Ata de Registro de Preços; e

IV - contratações com uso de verbas de organismos

internacionais, como Banco Mundial, Banco Internacional

para Reconstrução e Desenvolvimento, e outros.”

Planejamento da Contratação

76

“Art. 1º As contratações de Soluções de

Tecnologia da Informação pelos órgãos e

entidades integrantes do Sistema de

Administração dos Recursos de Tecnologia da

Informação (SISP) serão disciplinadas por esta

Instrução Normativa (IN).

§ 1º Esta IN não se aplica:

I - às contratações cuja estimativa de preços

seja inferior ao disposto no art. 23, inciso II,

alínea "a" da Lei nº 8.666, de 21 de junho de

1993;”

Aplicação da IN - SLTI 04/2014

77

“Art. 1º (...) § 1º Esta IN não se aplica: II - às contratações dos Serviços Estratégicos de Tecnologia da Informação, que deverão observar o Plano de Capacidade, conforme disposto no inciso XIV do art. 2º desta IN, para confecção do Planejamento da Contratação nos termos da Lei, não se aplicando a estes casos os demais dispositivos desta IN, a exceção do disposto no § 2º deste artigo e do disposto no art. 4º desta IN, em que a contratada seja: a) órgão ou entidade, nos termos do art. 24, inciso XVI da Lei nº 8.666, de 1993; b) Empresa Pública, nos termos do art. 2º da Lei nº 5.615, de 13 de outubro de 1970, modificada pela Lei nº 12.249, de 11 de junho de 2010; e c) Empresa Pública, nos termos da Lei nº 6.125, de 4 de novembro de 1974.”

Aplicação da IN - SLTI 04/2014

78

“Art. 1º (...) § 1º Esta IN não se aplica: III - às contratações de Soluções de Tecnologia da Informação que possam comprometer a segurança nacional, em que deverá ser observado o disposto no Decreto nº 8.135, de 4 de novembro de 2013, e suas regulamentações específicas. § 2º O art. 4º desta IN deverá ser sempre observado, mesmo nos casos enquadrados nos parágrafos anteriores deste artigo. § 3º Os órgãos e entidades integrantes do SISP deverão observar, no que couber, os dispositivos introduzidos por esta IN, sendo-lhes permitida harmonização para melhor adequação à sua estrutura funcional, conforme disposto no art. 115 da Lei nº 8.666, de 1993.”

Aplicação da IN - SLTI 04/2014

79

Questionamentos:

Neste caso, o que realmente significa não se

aplica?

A IN-04/2014 trouxe novidades ou

simplesmente consolidou o que já existia?

Quais são os dispositivos da IN-04/2014 que

estão previstos na Constituição, na Lei ou em

Decretos? E a jurisprudência?

Como é feita a fiscalização do TCU e dos

outros órgãos de controle?

Aplicação da IN - SLTI 04/2014

80

Conclusões

Deve-se utilizar o princípio da precaução;

Se há necessidade de “simplificar” o

processo de contratação devem ser buscados

outros meios;

A contratação de empresas públicas de TI

por dispensa de licitação não permite aos

órgãos e entidades deixar de seguir o restante

da legislação.

Aplicação da IN - SLTI 04/2014

81

Planejamento da Contratação A IN-04/2014 da SLTI/MP estabelece:

“Art. 9º A fase de Planejamento da Contratação

consiste nas seguintes etapas:

I - Instituição da Equipe de Planejamento da

Contratação;

II - Estudo Técnico Preliminar da Contratação;

III - Análise de Riscos; e

IV - Termo de Referência ou Projeto Básico.

§ 1º Os documentos resultantes das etapas

elencadas nos incisos II e III deste artigo poderão

ser consolidados em um único documento, a

critério da Equipe de Planejamento da Contratação.”

4.1 Processo de

Contratação de TI – Matriz

82

Processo de Contratação de TI –

Questão de Auditoria

Existe processo para

aquisição de soluções de TI ?

83

5. Segurança da

Informação

84

85

Segurança da Informação

NBR ISO/IEC 27002

(Código de prática de segurança da informação)

Especial atenção para:

Área com competência definida para gestão da Segurança da Informação (GSI);

Política de Segurança da Informação (PSI);

Norma de Classificação da Informação (NCI);

Política de Controle de Acesso (PCA);

Gestão de Continuidade de Negócios (GCN).

86

Segurança da Informação

Legislação e Normas

Lei nº 12.527/2011 (Transparência e acesso a informações de interesse público);

Decreto nº 3.505/2000 (PSI);

Decreto nº 7.845/2012 (Classificação das Informações)

IN-01 GSI/PR de 13.06.2008 (PSI e GSI);

20 Notas Complementares à IN-01 GSI/PR de 2008 a 2014 e mais duas INs.

87

Segurança da Informação

Jurisprudência e Boas Práticas

Acórdão nº 1.603/2008-TCU-Plenário;

Acórdão nº 1.092/2007-TCU-Plenário (PSI, PCA, Classificação da Informação, GSI e PCN);

Acórdão nº 2.023/2005-TCU-Plenário (PSI, PCA, Classificação da Informação e GSI);

Acórdão nº 71/2007-TCU-Plenário (PSI, PCA e GSI);

Cobit 5, APO13.02 Definir e Gerir um Plano de Tratamento aos Riscos de Segurança da Informação.

Segurança da Informação

Acórdão 3.117/2014-TCU-Plenário

88

5.1 Segurança da

Informação – Matriz

89

Segurança da Informação –

Questão de Auditoria

É realizada a Gestão da

Segurança da Informação ?

90

6. Conclusão

91

Alta Dependência de TI

92

Preocupações e Riscos

93

94

10.000,00

100.000,00

1.000.000,00

10.000.000,00

100.000.000,00

1.000.000.000,00

10.000.000.000,00

0,00 0,10 0,20 0,30 0,40 0,50 0,60 0,70 0,80 0,90 1,00

Orç

amen

to d

e TI

20

14

iGovTI2014

iGovTI-2014 x Orçamento de TI 2014

Indução

Do que?

Para onde?

95

Papel do Controle

96

Obrigado !

André Luiz Furtado Pacheco

andrefp@tcu.gov.br

96