andr luiz pacheco - auditoria de ti

7/26/2019 Andr Luiz Pacheco - Auditoria de TI

1/96

41 FonaiTec

Joo Pessoa, 26 e 27 de novembro de 2014

Andr Luiz Furtado Pacheco, CISA

Auditoria de TI:

questes a serem

respondidas


2/96

2

Agenda

1. Introduo

2. Estrutura de Governana de TI

3. Processo de Planejamento de TI

4. Processo de Contratao de TI

5. Segurana da Informao

6. Concluso


3/96

1. Introduo

3


4/96

Matriz de Planejamento

Instrumento para organizar as informaesrelevantes do planejamento de uma auditoria

Homogeneizao do entendimento da equipe, edemais envolvidos, quanto:

ao objetivo do trabalho;

aos passos a serem seguidos;

estratgia metodolgica a ser adotada.

Orienta os integrantes da equipe nas fases deexecuo e de elaborao do relatrio

4


5/96

5

Objetivo: Enunciar de forma clara e resumida o aspecto a ser enfocado pela auditoria, de acordo com olevantamento de auditoria previamente realizado.

Matriz de Planejamento

Questes de

AuditoriaInformaes

RequeridasFontes de

InformaoDetalhamento do

ProcedimentoObjetos Membro

ResponsvelPerodo Possveis

Achados

Apresentar, em

forma de

perguntas, os

diferentes

aspectos quecompem o

escopo da

fiscalizao e

que devem ser

investigados

com vistas

satisfao do

objetivo

Identificar as

informaes

necessrias

para

responder aquesto de

auditoria

Identificar as

fontes de cada

item de

informao

requerida da

coluna anterior.

Estas fontes

esto

relacionadas

com as tcnicas

empregadas

Descrever as

tarefas que sero

realizadas, de

forma clara,

esclarecendo os

aspectos a serem

abordados (itens

de verificao ou

check list)

Indicar o

documento, o

projeto, o

programa, o

processo, ou o

sistema no qual o

procedimento ser

aplicado.

Exemplos:

contrato, folha de

pagamento, base

de dados, ata,

edital, ficha

financeira,

processo

licitatrio,

oramento

Pessoa(s) da

equipe

encarregada(s) da

execuo de cada

procedimento

Dia(s) em

que o

procedi-

mento

ser

executado

Esclarecer

com preciso

que

concluses

ou

resultados

podem ser

alcanados


6/96

Elaborao da Matriz de Planejamento

elaborar o objetivo da auditoria, aps odiagnstico da situao, e determinar a linhade investigao, mediante a formulao dasquestes de auditoria

determinar, para cada questo de auditoria,possveis achados, ou seja, onde se desejachegar com a investigao

identificar as informaes requeridas e ondeas obter (fontes de informao)

6


7/96

Elaborao da Matriz de Planejamento

elaborar os procedimentos, e descrev-lospasso a passo, para colher as informaes,analis-las e obter as evidncias com objetivode responder as questes de auditoria

identificar o membro da equipe responsvelpelo procedimento

especificar o perodo de realizao doprocedimento (cronograma)

identificar os objetos que foram analisados (*)

(*) coluna a ser preenchida na fase de execuo da auditoria

7


8/96

Questes de Auditoria

8

1. Estruturas de Governana Cobit 5(EDM e APO)

2. Processo de Planejamento de TI

Cobit 5 (APO)

3. Processo de Aquisio Cobit 5 (BAI)

4. Segurana da Informao Cobit 5(APO e DSS) e ISO 27002


9/96

2. Estrutura de

Governana

9


10/96

Governana de TI Definio

Governana de TI uma estrutura derelac ionamentos e processospara dir ig i r econtro lar a TI a fim de alcanar as metas dains t itu iopelaag regao de valo r, enquantose mantm o equ ilbrio dos ris co s vers us

retorno sobre esta funo e seus processos.(ITGI IT Governance Institute)

OSistema pelo qual ouso atual e futu ro d a TI di r ig idoe contro lado.

(NBR ISO/IEC 38500, item 1.6.3)

10


11/96

11

Governana de TI Objetivos

assegurar que as aes de TI estejamalinhadas com o negcio daorganizao, agregando-lhe valor;

medir o desempenho da rea de TI,alocar propriamente os recursos emitigar os riscos inerentes;

controlar as iniciativas de TI na

organizao para garantir o retorno deinvestimentos e a adoo de melhoriasnos processos organizacionais


12/96

Governana de TI Cobit 5

12

Fonte: www.isaca.org


13/96

Governana de TI Cobit 5

13 Fonte: COBIT 5, figure 16. 2012 ISACA All rights reserved.


14/96

Levantamentos de Governana de TI

14

Levantamento de Governana de TICiclo 2007

39 questes

255 rgos/entidades da APF

Acrdo n 1.603/2008TCUPlenrio


30 questes

152 itens 301 rgos/entidades da APF

iGovTI

Acrdo n 2.308/2010-TCU-Plenrio

Levantamento de Governana de TI

Ciclo 2012 36 questes494 itens




15/96



Escala de respostas (No se aplica, No adota, Iniciou plano paraadot-la, Adota parcialmente, Adota integralmente)


15


16/96

iGovTI 2014

16

Distribuio das Organizaes por Estgio do iGovTI

Acrdo 3.117/2014-TCU-Plenrio


17/96

Evoluo do iGovTI 2010-2014

17

Distribuio das Organizaes por Estgio do iGovTI



18/96

18

Comit Executivo de TI

A existncia de um comit diretivo de TI (IT SteeringCommittee), que determine as prioridades deinvestimento e alocao de recursos nos diversosprojetos e aes de TI, defundamental impo rtnc iapara o al inhamento entre as at ividades de TI e o

negcio da o rgan izao, bem como para a otimizaodos recursos disponveis e a reduo do desperdcio. Ofato desse comit ser composto por dirigentes de TI ede outras reas da organizao possibilita que as

decises de investimentos sejam obtidas a partir deuma viso mais abrangente, o que reduz os r iscosdeerro(Acrdo 1.603/2008-TCU-Plenrio).


19/96


Acrdo 1233/2012-TCU-Plenrio

9.2. recomendar, (...), Secretaria de Logstica eTecnologia da Informao (SLTI/MP) que:

9.2.1. no rmatize a obr igator iedade de que osentes sob sua jurisdio estabeleam com its deTI, observando as boas prticas sobre o tema, aexemplo do Cobit 4.1, PO4.2 comit estratgicode TI e PO4.3comit diretor de TI;

19


20/96

20

Instruo Normativa - SLTI 04/2014

Art. 4 As con trataes de que trata esta INdevero ser precedidas de planejamento,elaborado em harmonia com o Plano Diretor de

Tecnologia da Informao - PDTI.(...) 7 Inexis t indo o Com it de Tecno log ia daIn fo rmao, o rgo ou en t idade dever in s t i tu-

lo e dar-lhe pleno funcionamento, observando,no que couber, oGu ia de Com itde Tecnologia daInformao do SISP, acessvel no Portal do SISP.



21/96


Cobit 5, processo APO01 Gerenciar a Estrutura deGesto de TI, boa prtica APO01.01 Definir aEstrutura Organizacional, atividade 8:8. Estabelecer um com it executivo de TI (ouequivalente), composto pelas diretor ias execut iva,de negcios e de TIpara: determinar pr ior idades dos programas de

invest imentos em TI em linha com asestratgias e prioridades do negcio;

moni torar o estado atual dos projetos eresolver conflitos de recursos; e

monito rar nveis de serv ioe suas melhorias.

21


22/96

Comit Executivo de TIAcrdo 3.117/2014-TCU-Plenrio

22


23/96

2.1 Estrutura de

Governana Matriz

23


24/96

Governana de TI Questo de

Auditoria

Os mecanismos e estruturas deGovernana de TI foram definidose implementados adequadamenteno mbito da instituio ?

24


25/96

3. Processo de

Planejamento de TI

25


26/96

26

O planejamento uma ferramentaadminist rat iva que possibilita perceber arealidade, avaliar os caminhos, const ru ir umreferencial futuro, estruturando o trmite

adequado, e reavaliar todo o processo a que oplanejamento se destina. (...) o lado racional daao. Trata-se de um processo de deliberaoabstrato e explcito que escolhe e organiza

aes, antecipando os resultados esperados.(Wikipdia)

Conceito de Planejamento


27/96

27

A elaborao dePlanejamento pelo gestor

pblico seria apenas umafaculdade?

Planejamento


28/96

28

No, o Planejamento

obrigatrio.

Planejar deverdo gestor

pblico.

Planejamento


29/96

29

O Planejamento dever poltico do

administrador pblico.

O gestor pblico tem o dever manejar osrecursos pblicos da forma mais eficaz eeficientepossvel, de modo a gerar o maiorbenefcio possvel sociedade;

Esse dever s pode ser cumprido complanejamento efetivo do qu, para qu e

como fazer com os recursos pblicosdisponveis.

O Dever de Planejar


30/96

30

Planejar tambm dever jurdico:

Quem no planeja incorre em inobservnciajurdica do disposto no caput do art. 37 daCF/1988, pois age contra o princpio da

eficincia:Art. 37. A administrao pblica direta eindireta de qualquer dos Poderes da Unio,dos Estados, do Distrito Federal e dos

Municpios obedeceraos princpios delegalidade, impessoalidade, moralidade,

publicidade e ef ic inc iae, (...)

O Dever de Planejar


31/96

31

Planejar tambm dever jurdico:

Quem no planeja tambm incorre eminobservncia jurdica do disposto no artigo 6,inciso I do Decreto-Lei 200/1967, e ofende,

portanto, o princpio da legalidade:Art. 6 As atividades da Administrao Federalobedecero aos seguintes princpiosfundamentais:I - Planejamento.(...)

O Dever de Planejar


32/96

32


9.1. recomendar (...) que:9.1.1. em ateno ao princpio constitucional da

eficincia e s disposies contidas no art. 6, I, do

Decreto-Lei n 200/1967, aperfeioe o processo de

planejamento institucional no Ministrio, de forma aorganizar estratgias, aes, prazos e recursos financeiros,

humanos e materiais, a fim de minimizar a possibilidade

de desperdcio de recursos pblicos e de prejuzo ao

cumprimento dos objetivos institucionais do rgo,observando as prticas contidas no critrio 2 - Estratgias

e Planos do Gespblica (Programa Nacional de Gesto

Pblica e Desburocratizao);

O Dever de Planejar


33/96

Nveis de Planejamento

33

Fonte: Guia para Elaborao de PDTI do SISP


34/96


Segundo o Guia para Elaborao de PDTI do SISP:

Asorganizaes adotam usualmente trs nveis deplanejamento, conforme a hierarquia:Planejam en to Es tratgic o: o nvel estratgico

compreende a al ta adm in is trao da

organizao, responsvel pela definio dosobjetivos e planos da instituio e pela tomadade decises relativas s questes de longoprazo, tais como so brevivncia, cresc imento eefet ividade geral. o processo administrativoque proporciona sustentao para se estabelecera melhor direo a ser seguida pela organizao.

34


35/96


Planejamen to Ttico

: o planejamento, nonvel ttico, traduz os objetivos gerais e asestratgias da alta administrao emobjetivos e atividades mais especficos. O

principal desafio nesse nvel e promover umcon tato efic ien te e eficaz entre o nvel

es tratgico e o nvel operac io nal.

Portanto, trabalha com decompos io dosob jet ivos , es tratgias e po lticas

estabelecidas no planejamento estratgico.

35


36/96

Nveis de Planejamento Planejamento Operacional: nesse planejamento, o

processo de menor amplitude, no qual o foco trabalharjunto aos funcionrios envolvidos nas operaes daorgan izao, im plementando os p lanos especficos

defin idos no p lanejamento ttico. Pode ser consideradocomo a formalizao, principalmente atravs de documentos

escritos, das metodologias de desenvolvimento eimplantao estabelecidas. Portanto, nessa situao tem-se,basicamente, os p lanos de ao ou plano s operacionais,os quais descrevem em detalhes os recurso snecessrios

para seu desenvo lv im ento e implan tao, osproced imentos bsic os a serem adotados; os resul tadosf inais esperados; os prazos estabelecidos; osresponsveispor sua execuo e implantao, etc.

36


37/96

Acrdo 1.603/2008-Plenrio

9.4. recomendar ao Min is trio do Planejamento ,

Oramen to e Ges to MPOG que, nosrgos/entidades da Administrao Pblica Federal:9.4.1. promovam aes com o objetivo de disseminara importncia do p lanejam en to es tratgico,

procedendo, inclusive mediante orientaonormativa, aes voltadas implantao e/ouaperfeioamento de p lanejamento estratgicoinst i tuc ional, p lanejamento estr atgico de TI ecomit diretivo de TI, com vistas a propiciar aalocao dos recursos pblicos conforme asnecessidades e prioridades da organizao;

37


38/96

Planejamento Estratgico Institucional


9.1. recomendar, (...), Cmara de Poltic as deGesto, Desempenho e Competit ivid ade

(CGDC) do Conselho de Governo que:9.1.1 em ateno Decreto-Lei 200/1967, art. 6,

inciso I, e art. 7, normatize a obrigatoriedade deque todos os entes sob sua jurisdioes tabeleam processo de planejamento

estratgico in s ti tuc ional, observando as boas

prticas sobre o tema, a exemplo do critrio deavaliao 2 do Gespblica, contemplando, pelomenos (subitem II.1):

38


39/96



9.1.1.1. elaborao, com participao derepresentantes dos diversos setores da organizao,de um documento que materialize o planoest ratgico ins tituc ional de longo prazo,

contemplando, pelo menos, ob jet ivos, ind icadorese metaspara a organizao;

9.1.1.2. apro vao, pela mais alta auto ridade da

organ izao, do plano estratgico institucional;9.1.1.3. desdobramentodo plano estratgico pelasunidades executoras;

39


40/96



9.1.1.4. d ivu lgao do plano estratgicoinstitucional para conhecimento dos cidadosbrasileiros, exceto nos aspectos formalmentedeclarados sigilosos ou restritos;

9.1.1.5. acompanhamento per idico do alcancedas metas estabelecidas, para correo dedesvios;

9.1.1.6. d ivu lgao in terna e ex terna do alcancedas metas, ou dos motivos de no as teralcanado;

40


41/96



9.1.3. em ateno ao Decreto-Lei 200/1967, art.6, V, estabelea, normativamente para todos osentes sob sua jurisdio, a obrigatoriedade de a

alta administrao implantar um a estru tura decontro les internos, mediante a definio deatividades de controle em todos os nveis daorganizao para mit igar os r iscos de suas

at iv idades no processo de planejamentoestratgico ins ti tu c ional(subitem II.11);

41


42/96

Planejamento Estratgico InstitucionalAcrdo 3.117/2014-TCU-Plenrio

42


43/96

Planejamento Estratgico de TI


9.1.2. em ateno Decreto-Lei 200/1967, art. 6,inciso I, e art. 7, normatize a obrigatoriedade de

que todos os entes sob sua jurisdio es tabeleamprocess o de p lanejamento est ratgico de TI,

observando as boas prticas sobre o tema, aexemplo do processo PO1 PlanejamentoEstratgico de TIdo Cobit 4.1, contemplando, pelomenos (subitem II.2):

43


44/96



9.1.2.1. elaborao, com participao derepresentantes dos diversos setores da organizao,de um documento que materialize o p lano es tratgicode TI, contemplando, pelo menos:

9.1.2.1.1. ob jet ivos, ind icado res e metas para a TIorganizacional, sendo que os objetivos devem estarexplicitamente alinhados aos objetivos de negcioconstantes do plano estratgico institucional;

9.1.2.1.2. alocao de recursos (financeiros, humanos,materiais etc);

9.1.2.1.3. es tratgia de terceir izao;

44


45/96



9.1.2.2. apro vao, pela mais alta auto ridade daorgan izao, do plano estratgico de TI;

9.1.2.3. desdobramento do p lano estratgico de TIpelas unidades executoras;

9.1.2.4. d ivu lgaodo plano estratgico de TI paraconhecimento dos cidados brasileiros, exceto nosaspectos formalmente declarados sigilosos ou restritos;

9.1.2.5. acompanhamento per idico do alcance dasmetasestabelecidas, para correo de desvios;9.1.2.6. d ivu lgao in terna e externa do alcance dasmetas, ou os motivos de no as ter alcanado;

45


46/96


Definir misso

Objetivos, indicadores, metas da TIAlinhamentocom o negcio Iniciativas, estratgias

Estratgia de terceirizaoDesdobramento

Divulgao

Alocao de recursos(financeiros,humanos, materiais)Acompanhamentoperidico

46


47/96

Planejamento Estratgico de TI (PETI)Acrdo 3.117/2014-TCU-Plenrio

47


48/96


48

Fonte: Guia de Elaborao de PDTI do SISP

Estratgico Estratgia de PEI

Negcio

Estratgia Estratgia Estratgia PETI

de TI de RH de ...

Ttico Planejamento Planejamento Planejamento PDTI

Ttico de TI Ttico de RH Ttico de ...

Operacional

P l a n o s de A o

Pl Di t d TI PDTI


49/96

49

Plano Diretor de TI PDTI

A IN-4/2014 da SLTI/MP define no art. 2:XXVII Plano Diretor de Tecnologia daInformao (PDTI): inst rumento de

d iagnstico , p lanejamento e ges to dosrecu rsos e processos de Tecnologia da

In fo rmao que visa atender snecessidades tecnolgicas e deinformao de um rgo ou entidade paraum determ inado perodo.

Pl Di t d TI PDTI


50/96

Plano Diretor de TI PDTI

Fases do Processo de Elaborao do PDTI:Preparao

Diagnstico

Planejamento

Fonte: Guia de Elaborao de PDTI do SISP

50

Pl Di t d TI PDTI At


51/96

Plano Diretor de TI PDTI Atores

Autoridade Mxima, o membro da alta

administrao no nvel hierrquico mais alto daorganizao. Nos ministrios, so os Ministros. Nasautarquias e fundaes, correspondem aosPresidentes. A auto rid ade mxima o prin c ipal

patroc inador do pro jeto de elabo rao de PDTI.Nesse papel, ele dever prover recursos, aprovar oPlano de Trabalho, tomar as decises mais

impo rtantes, def in i r p remissas e d iretr izes gerais,

aprovar e publ icar o PDTI, fo rmal izando -o. O papeldo patrocinador crucial no projeto, e pode fazertoda a diferena em seu sucesso ou fracasso.

51



52/96

Plano Diretor de TI PDTI Atores

Comit de TI, um mecanismo importante de

Governana de TI, recomendado por modelos demercado e indicado na EGTI 2011-2012. O Com it fo rmado por representan tes das reas finalstic as e

da TI e tem a funo e o poder de p rio ri zar as aes

e dir ig i r o alinhamento dessas e dos invest imentoscom os ob jet iv os es tratgicos da o rgan izao, alm

de mon i torar os resu l tados do desempenho da TI.

Sobre o Comit de TI, o SISP disponibiliza o Guiaparacriao e funcionamento do Comit de TI, o qual visaorientar a instituio do Comit e seu plenofuncionamento nos rgos integrantes do SISP, alm deesclarecer responsabilidades e funes.

52



53/96

Plano Diretor de TI PDTI AtoresEquipede Elaborao do PDTI. Responsvel por executarboa parte da elaborao do PDTI, ou seja, o grupo querealmente efetua as atividades. Recomenda-se que aelaborao do PDTI seja trabalhada como um pro jeto . aequipe de elaborao do PDTI quem operacionaliza o projetode elaborao do PDTI. Os m embros da equ ipe so

desig nados pelo Com it de TI, que deve ind icar servidorestan to das reas finalsticas quan to da rea de TI. Ou seja,refora-se a orientao de que os profissionais que vo

participar da elaborao do PDTI no sejam exclusivamente

servidores da rea de TI. Outra recomendao que a equ ipeno seja tcnica, mas primord ialmente negoc ial, comconhecimento multidisciplinar, perfil colaborativo e integrador,domnio da cultura organizacional e do negcio da sua rea.

53


54/96

3.1 Processo de

Planejamento de TI Matriz

54

Processo de Planejamento de TI


55/96

Processo de Planejamento de TI

Questo de Auditoria

Existe processo de

Planejamento de TI ?

55


56/96

4. Processo de

Contratao de TI

56

Cobit 5 MEA 03 01 Atender aos


57/96

57

Cobit 5, MEA 03.01, Atender aosRequisitos legais e regulatrios aplicveis

Modelo deContrataode TI

LC 123/2006

Lei 8.666/1993

Lei 10.520/2002

Decreto7.174/2010

Decreto2.271/1997

E outras fontes

Decises

STJ e STF

Enunciado331 (TST)

AcrdosTCU

IN-4 e IN-2 SLTI/MP

Decreto7.892/2013

C bit 5


58/96

58

BAI 03.04 Adquirir componentes da

Soluo: adquirir os componentes dasoluo com base no plano de aquisies emconformidade com os requ is i tos detalhados,

padres de arquitetura, procedimentos,requisitos de controle de qual idadee normasde homologao. Assegu rar que todos os

requ is itos legais e contratuais soident i f icados e seguidos pelo fornecedo r.

www.isaca.org

Cobit 5

Processo de Contratao de TI


59/96

Na contratao de bens e servios de TI essencial a

adoo de processo de trabalho formal izado,pad ronizado e jud icio so quanto ao cus to , opor tunidade e aos benefcio s advin dos para a

organ izao. Esse processo melhora o relacionamentocom os fornecedores e prestadores de servios,

maximiza a utilizao dos recursos financeiros alocados rea de TI e contribui decisivamente para que osservios de TI dem o necessrio suporte s aes daorgan izao no alcance de seus objetivos e suas

metas.

(Relatrio do Acrdo 1.603/2008-TCU-Plenrio)


59

A t d t d IN 04/2014 SLTI


60/96

60

Antecedentes da IN 04/2014 - SLTI

Estudo desenvolvido pela Segecex/TCU

item 9.7 do Acrdo 1.558/2003-TCU- Plenrio,

QRN Quadro Referencial Normativo

(http://portal2.tcu.gov.br/portal/page/portal/ticontrole/leg

islacao/repositorio_contratacao_ti/ManualOnLine.html)

Srie de Acrdos relativos ao MDIC:

1.094/2004, 667/2005, 2.103/2005, 2.171/2005,2.172/2005, 786/2006, todos do Plenrio.

Hi t i d IN 04/2014 SLTI


61/96

61

Histrico da IN 04/2014 - SLTI

Recomendao Secretaria de Logstica e Tecnologia daInformao SLTI: item 9.4 do Acrdo 786/2006-TCU-Plenrio:

(...) a partir das diretrizes expostas na seo III do votoantecedente e nos Acrdos deste Tribunal, sobretudo osde nmero 667/2005, 2.103/2005, 2.171/2005 e

2.172/2005, todos do Plenrio, elabore um modelo delic itao e con tratao de serv ios de in fo rmticapara a Adm in is tr ao Pblica Federal e promova aimplementao dele nos diversos rgos e entidades sobsua coordenao mediante orientao normativa (...)

Monitoramentos no TC 006.030/2007-4 Acrdo 1.480/2007-TCU-Plenrio Acrdo 1.999/2007-TCU-Plenrio

Histrico da IN 04/2014 SLTI


62/96

62

Histrico da IN 04/2014 - SLTI

Audincia pblica em abril de 2008;

IN 04/2008 SLTI, de 19 de maio de 2008;Entrou em vigor em 02.01.2009;Acrdo 1.915/2010-Plenrio: ...subsdios

evoluo das normas que regem as contrataes

de bens e servios de tecnologia de informao...Audincia pblica em agosto de 2010; IN 04/2010 SLTI, de 12 de novembro de 2010;Entrou em vigor em 02.01.2011;

Audincia pblica em maio de 2014; IN 04/2014 SLTI, de 11 de setembro de 2014;Entrar em vigor em 02.01.2015

Instrues Normativas


63/96

63

A Secretaria de Logstica e Tecnologia da Informao SLTI do Ministrio do Planejamento editou asInstrues Normativas 02/2008 e 04/2008, as quaiscontemplaram a maior parte das recomendaes doTCU quanto implementao do modelo decontratao de solues de TI (Acrdos 786/2006-

TCU-Plenrio, item 9.4, 1480/2007-TCU-Plenrio, item9.1.2.6 e 1999/2007-TCU-Plenrio, item 9.4.1.1).

Acrdo 1.915/2010-Plenrio: 9.1. considerar que aIns truo No rmativ a 04/2008, da Secretaria de

Logstica e Tecnologia da Informao - SLTI/MP,implementa, ainda que parcialmente, mas em suamaior parte, as recomendaes mon ito radas;

Instrues Normativas

Instrues Normativas


64/96

64

A IN/SLTI 04/2014 dispe sobre o processo de

contratao de Solues de Tecnologia daInformao pelos rgos integrantes doSistema de Administrao dos Recursos deTecnologia da Informao (SISP) do Poder

Executivo Federal.

A IN/SLTI 02/2008, que substitui a IN/MARE18/1997, dispe sobre regras e diretrizes para a

contratao de servios, continuados ouno. Essa norma aplica-se subsidiariamente IN/SLTI 04/2014 (IN-04/2014, art. 38).

Instrues Normativas

Processo de Contratao de TI 2007/2014


65/96

Processo de Contratao de TI 2007/2014

65


G i d B P ti


66/96

Guia de Boas Prticas em

Contratao de Solues de TI

66

Importnciado planejamento dascontrataes de solues de TI

Contextodo planejamento dascontrataes de solues de TI

Processode planejamento da

contratao de solues de TI

G i d B P ti


67/96



67

Artefatos gerados no processo de

planejamento da contratao de soluesde TI Estudos tcnicos preliminares

Plano de trabalho

Termo de referncia ou projeto bsico

G i d B P ti


68/96



68

Riscos e sugestes de controles

internos relativos ao processo de

planejamento das contrataes como umtodo

Controles internos de carter

estruturantePrincipais falhas encontradas pelo TCU

G ia de Boas Prticas em


69/96



69

Planejamento Institucional

Planejamento de TI

Modelo de Contratao de Solues de TI

Atores do MCTI

Planejamento da Contratao

Seleo do Fornecedor

Gesto do Contrato

Artefatos



70/96



70

Fases Processos Atividades Artefatos Atores

Planejamento

4

45

7

8

Seleo 18 - 1 5

Gesto 5 21 8 5

Decreto n 7 174/2010


71/96

71

Art. 2 A aquisio de bens e servios detecnologia da informao e automaodever ser preced ida da elaborao de

p lanejamen to da contratao, incluindoprojeto bsico ou termo de refernciacontendo as especificaes do objeto a sercontratado...

Decreto n 7.174/2010



72/96

72


Art. 4 As con trataes de que trata esta INdevero ser precedidas de planejamento,elaborado em harmonia com o Plano Diretor de

Tecnologia da Informao - PDTI. 1 O PDTI dever es tar al inhado EGTI e aop lano es tratgico ins tit uc ional e aprovado pelo

Com it de Tecno log ia da Info rmao do rgoou entidade.




73/96

73


Art. 4 (...) 2 Inexist ind o o PDTI, o rgo ou entidadedever proceder sua elab orao, observando,

no que couber, o Guia de Elaborao de PDTI doSISP, acessvel no Portal do SISP.

3 Inex is tindo o p lano estratgicoinst i tuc ional, sua ausnc ia dever ser registrada

no PDTI e dever ser ut i li zado um documentoequivalente, como o Plano Plurianual - PPA.




74/96

74


Art. 8 As contrataes de Solues deTecnologia da Informao devero seguir trs

fases:I - Planejamen to da Contratao;

II - Seleo do Fo rnecedor; e

III - Ges to do Contrato.




75/96

75


Art. 9. (...)

2 obrigatr ia a execuo da fase de Plan ejam entoda Contratao, independentemente do tipo decontratao, inclusive nos casos de:

I - inexigibi l idade;II - d is pensa de l ic it ao ou licitao dispensada;

III - criao e adeso Ata de Reg is tro de Preos; e

IV - cont rataes com uso de verbas de organ ismosinternacionais, como Banco Mundial, Banco Internacional

para Reconstruo e Desenvolvimento, e outros.


Aplicao da IN - SLTI 04/2014


76/96

76

Art. 1 As contrataes de Solues de

Tecnologia da Informao pelos rgos eent idades integrantes do Sistema de

Administrao dos Recursos de Tecnologia daInformao (SISP) sero disciplinadas por estaInstruo Normativa (IN).1 Es ta IN no se ap lica:

I - s con trataes cu ja es tim ativ a de preos

seja infer ior ao dispos to no art. 23, inc iso II,alnea " a" da Lei n 8.666, de 21 de junho de1993;

Aplicao da IN SLTI 04/2014



77/96

77

Art. 1 (...)1 Esta IN no se ap lica:

II - s contrataes dos Serv ios Estratgicos deTecnologia da Informao, que devero observar o Planode Capacidade, conforme disposto no inciso XIV do art. 2desta IN, para con feco do Planejamento daContratao nos termos da Lei, no se aplicando a estes

casos os demais dispositivos desta IN, a exceo dodisposto no 2 deste artigo e do disposto no art. 4 destaIN, em que a contratada seja:a)rgo ou entidade, nos termos do art. 24, incis o XVIda Lei n 8.666, de 1993;b)

Empresa Pblica, nos termos do art. 2 da

Lei n5.615, de 13 de outubro de 1970, modificada pela Lei n12.249, de 11 de junho de 2010; ec) Empresa Pbl ica, nos termos da Lei n 6.125, de 4 denovembro de 1974.




78/96

78

Art. 1 (...)1 Esta IN no se ap lica:III - s contrataes de So lues de Tecno log ia daIn formao que possam comprom eter a segurananacional, em que dever ser observado o disposto noDecreto n 8.135, de 4 de novembro de 2013, e suasregulamentaes especficas. 2 O art . 4 desta IN dever ser sempre observado,mesmo nos casos enquadrados nos pargrafos anterioresdeste artigo. 3 Os rgos e entidades integrantes do SISP devero

observar, no que couber, os dispositivos introduzidos poresta IN, sendo-lhes perm itida harmonizao paramelhor adequao sua estr u tu ra func ional, conformedisposto no art. 115 da Lei n 8.666, de 1993.




79/96

79

Questionamentos:

Neste caso, o que realmente significa no seaplica?

A IN-04/2014 trouxe novidades ou

simplesmente consolidou o que j existia?Quais so os dispositivosda IN-04/2014 que

esto previstos na Constituio, na Leiou emDecretos? E ajurisprudncia?

Como feita a fiscalizao do TCU e dosoutros rgos de controle?




80/96

80

Concluses

Deve-se utilizar o princpio da precauo;

Se h necessidade de simplificar oprocesso de contratao devem ser buscados

outros meios;A contratao de empresas pblicas de TI

por dispensa de licitao no permite aosrgos e entidades deixar de seguir o restanteda legislao.




81/96

81

Planejamento da ContrataoA IN-04/2014 da SLTI/MP estabelece:Art. 9 A fase de Planejamento da Contratao

consiste nas seguintes etapas:I - Ins ti tu io da Equ ipe de Planejamento da

Contratao;

II - Es tudo Tcnic o Prel im in ar da Contratao;III - Anlis e de Riscos ; eIV - Term o de Referncia ou Pro jeto Bsico. 1 Os documentos resultantes das etapas

elencadas nos incisos II e III deste artigo poderoser consol idados em um nico documento, acritrio da Equipe de Planejamento da Contratao.


82/96

4.1 Processo de

Contratao de TI Matriz

82



83/96

Questo de Auditoria

Existe processo para

aquisio de solues de TI ?

83


84/96

5. Segurana da

Informao

84

Segurana da Informao


85/96

85


NBR ISO/IEC 27002

(Cdigo de prtica de segurana da informao)

Especial ateno para:

rea com competncia definida para gesto

da Segurana da Informao (GSI);

Poltica de Segurana da Informao (PSI);

Norma de Classificao da Informao (NCI);

Poltica de Controle de Acesso (PCA);

Gesto de Continuidade de Negcios (GCN).



86/96

86

g

Legislao e Normas

Lei n 12.527/2011 (Transparncia e acesso ainformaes de interesse pblico);

Decreto n 3.505/2000 (PSI);

Decreto n 7.845/2012 (Classificao dasInformaes)

IN-01 GSI/PR de 13.06.2008 (PSI e GSI);

20 Notas Complementares IN-01 GSI/PR de2008 a 2014 e mais duas INs.



87/96

87

g

Jurisprudncia e Boas Prticas

Acrdo n 1.603/2008-TCU-Plenrio;Acrdo n 1.092/2007-TCU-Plenrio (PSI, PCA,

Classificao da Informao, GSI e PCN);

Acrdo n 2.023/2005-TCU-Plenrio (PSI, PCA,Classificao da Informao e GSI);

Acrdo n 71/2007-TCU-Plenrio (PSI, PCA e GSI);

Cobit 5, APO13.02 Definir e Gerir um Plano deTratamento aos Riscos de Segurana daInformao.



88/96


88


89/96

5.1 Segurana da

Informao Matriz

89



90/96

Questo de Auditoria

realizada a Gesto da

Segurana da Informao ?

90


91/96

6. Concluso

91

Alta Dependncia de TI


92/96

Alta Dependncia de TI

92

Preocupaes e Riscos


93/96

Preocupaes e Riscos

93

iGovTI-2014 x Oramento de TI 2014


94/96

94

10.000,00

100.000,00

1.000.000,00

10.000.000,00

100.000.000,00

1.000.000.000,00

10.000.000.000,00

0,00 0,10 0,20 0,30 0,40 0,50 0,60 0,70 0,80 0,90 1,00

Oramentod

eTI2014

iGovTI2014

iGovTI 2014 x Oramento de TI 2014

Papel do Controle


95/96

Induo

Do que?

Para onde?

95

Papel do Controle


96/96

andr luiz pacheco - auditoria de ti

Documents