AUDITORIA TI TCU.pdf
-
Upload
fabiano-penha-barbosa-pinto -
Category
Documents
-
view
44 -
download
0
Transcript of AUDITORIA TI TCU.pdf
-
A importncia do
planejamento para a
realizao de uma boa
contratao de TI
realizao de uma boa
contratao de TI
Andr Luiz Furtado Pacheco, CISA
CNASI-DF maio de 2010
-
Graduado em Processamento de Dados pelaUniversidade Catlica de Braslia;
MBA em Controle Externo pela FGV; Certified Information Systems Auditor CISA, Auditor de TI h mais de 16 anos, Assessor do Secretrio de
Fiscalizao de TI do TCU; Realizou a superviso e a reviso do Manual de Auditoria de
Sistemas e da Cartilha de Boas Prticas de Segurana da
Andr Luiz Furtado Pacheco, CISA
2
Sistemas e da Cartilha de Boas Prticas de Segurana da Informao do TCU;
Instrutor de Auditoria de TI nos cursos da Organizao Latino-Americana e do Caribe das Entidades de Fiscalizao Superior OLACEFS, do TCU e da UniDF;
Possui larga experincia nas reas de auditoria,docncia e TI; Secretrio do Captulo ISACA de Braslia.
-
Governana de TI
Governana de TI uma estrutura derelacionamentos e processos para dirigir econtrolar a TI a fim de alcanar as metas dainstituio pela agregao de valor, enquanto semantm o equilbrio dos riscos versusretorno sobre esta funo e seus processos.retorno sobre esta funo e seus processos.
(traduo livre de texto do ITGI IT Governance Institute)
Sistema pelo qual o uso atual e futuro da TI dirigido e controlado.
(NBR ISO/IEC 38500:2009, item 1.6.3)
3
-
Objetivos da Governana de TI
assegurar que as aes de TI estejam alinhadas com o negcio da organizao, agregando-lhe valor;
medir o desempenho da rea de TI, alocar propriamente os recursos e mitigar os riscos inerentes;
4
inerentes; gerenciar e controlar as iniciativas de TI nas
organizaes para garantir o retorno de investimentos e a adoo de melhorias nos processos organizacionais
-
Responsabilidade sobre a
Governana de TI
Alta administrao das organizaes
5
-
Planejar e Organizar
Domnios Cobit
6
Monitorar eAvaliar
Entregar eSuportar
Adquirir eImplementar
-
Planejar e Organizar (PO)
PO1 Definir um plano estratgico de TI PO2 Definir a arquitetura de informao PO3 Determinar a direcionamento tecnolgico PO4 Definir processos, organizao e relacionamentos PO5 Gerenciar o investimento em TI PO6 Comunicar diretrizes e expectativas da diretoria
7
PO6 Comunicar diretrizes e expectativas da diretoria PO7 Gerenciar recursos humanos de TI PO8 Gerenciar qualidade PO9 Avaliar e gerenciar riscos de TI PO10 Gerenciar projetos
-
Adquirir e Implementar (AI)
AI1 Identificar solues automatizadas AI2 Adquirir e manter software aplicativo AI3 Adquirir e manter infraestrutura tecnolgica AI4 Habilitar operao e uso AI5 Adquirir recursos de TI
8
AI5 Adquirir recursos de TI AI6 Gerenciar mudanas AI7 Instalar e homologar solues e mudanas
-
Entregar e Suportar (DS) DS1 Definir e gerenciar nveis de servios DS2 Gerenciar servios de terceiros DS3 Gerenciar capacidade e desempenho DS4 Assegurar continuidade dos servios DS5 Assegurar segurana dos sistemas DS6 Identificar e alocar custos DS7 Educar e treinar usurios
9
DS7 Educar e treinar usurios DS8 Gerenciar a central de servios e os incidentes DS9 Gerenciar a configurao DS10 Gerenciar problemas DS11 Gerenciar dados DS12 Gerenciar o ambiente fsico DS13 Gerenciar as operaes
-
Monitorar e Avaliar (ME)
ME1 Monitorar e avaliar o desempenho da TIME2 Monitorar e avaliar os controles internosME3 Assegurar conformidade com requisitos
externos
10
ME4 Prover governana de TI
-
Planejamento de TI
Benefcio do Planejamento Estratgico de TI:
O planejamento estratgico torna-se umaimportante ferramenta para a tomada dedeciso e faz com que os gestores estejamaptos a agir com iniciativa, de forma pr-ativa,
11
aptos a agir com iniciativa, de forma pr-ativa,contra as ameaas e a favor das oportunidadesidentificadas nas constantes mudanas queocorrem. (Acrdo 1.603/2008-Plenrio TCU)
-
Planejamento de TI
Necessidade de Planejamento de TI:
Constituio Federal, art. 37; Decreto-Lei 200/1967, art. 6, I; IN-4/2008 SLTI/MP, art. 3;
12
IN-4/2008 SLTI/MP, art. 3; Acrdo 1.558/2003-Plenrio TCU, item 9.3.9; Acrdo 1.603/2008-Plenrio TCU, item 9.4.1; Cobit 4.1 PO1.4 Plano Estratgico de TI.
-
Planejamento de TI
A Constituio Federal estabelece:
Art. 37. A administrao pblica direta e indireta de qualquer dos Poderes da Unio, dos Estados, do Distrito Federal e dos Municpios obedecer
13
aos princpios de legalidade, impessoalidade, moralidade, publicidade e eficincia...
-
Planejamento de TI
O Decreto-Lei 200/1967 estabelece:Art. 6. As atividades da Administrao Federal obedecero aos seguintes princpios fundamentais: I - Planejamento. II - Coordenao. III - Descentralizao.
14
III - Descentralizao.IV - Delegao de Competncia.V - Controle.
-
Planejamento de TI
A IN-4/2008 da SLTI/MP estabelece:
Art. 3 As contrataes de que trata esta Instruo Normativa devero ser precedidas de planejamento, elaborado em harmonia com o Plano Diretor de Tecnologia da Informao - PDTI, alinhado estratgia
15
Tecnologia da Informao - PDTI, alinhado estratgia do rgo ou entidade.
-
Planejamento de TI
O Acrdo 1.558/2003-Plenrio TCU determina que:
9.3.9. atente para a necessidade de fazer cumprir o princpio constitucional da eficincia e as disposies contidas no art. 6, I, do Decreto-Lei n 200/67, implantando, na rea de informtica, um processo de
16
implantando, na rea de informtica, um processo de planejamento que organize as estratgias, as aes, os prazos, os recursos financeiros, humanos e materiais, a fim de eliminar a possibilidade de desperdcio de recursos pblicos e de prejuzo ao cumprimento dos objetivos institucionais da unidade;
-
Planejamento de TIO Acrdo 1.603/2008-Plenrio TCU:9.4. recomendar ao Ministrio do Planejamento, Oramento e Gesto - MPOG que, nos rgos/entidades da Administrao Pblica Federal:
9.4.1. promova aes com o objetivo de disseminar a importncia do planejamento estratgico, procedendo,
17
importncia do planejamento estratgico, procedendo, inclusive mediante orientao normativa, execuo de aes voltadas implantao e/ou aperfeioamento de planejamento estratgico institucional, planejamento estratgico de TI e comit diretivo de TI, com vistas a propiciar a alocao dos recursos pblicos conforme as necessidades e prioridades da organizao;
-
Planejamento de TI
O Cobit 4.1 em seu objetivo de controle PO1.4 Plano Estratgico de TI recomenda:
Criar um plano estratgico que defina, em cooperao com as partes interessadas relevantes, como a TI
18
com as partes interessadas relevantes, como a TI contribuir com os objetivos estratgicos da organizao e quais os custos e riscos relacionados.
-
Planejamento de TI
Alinhamento entre PEI e PETI:O alinhamento de todos os planos, recursos e unidades organizacionais um fator fundamental para que a estratgia delineada no planejamento possa ser implementada. Assim, o planejamento estratgico de TI tem que estar alinhado com os
19
estratgico de TI tem que estar alinhado com os planos de negcio da organizao para o estabelecimento das prioridades e das aes a serem realizadas na rea de TI (Acrdo 1.603/2008-TCU-Plenrio)
-
Planejamento de TI
Alinhamento entre PEI e PETI:Cobit 4.1, objetivo de controle PO1.2 Alinhamento entre TI e negcio:Estabelecer processos de educao bidirecional e de envolvimento recproco no planejamento estratgico para obteno de alinhamento e
20
estratgico para obteno de alinhamento e integrao entre o negcio e as aes de TI. As prioridades devem ser acordadas mutuamente a partir da negociao das necessidades do negcio e da rea de TI .
-
Planejamento de TIComit Diretivo de TI:IN-4/2008 da SLTI/MP estabelece em seu art. 4:Pargrafo nico. A Estratgia Geral de Tecnologia da Informao dever abranger, pelo menos, os seguintes elementos:...
IV - orientao para a formao de Comits de
21
IV - orientao para a formao de Comits de Tecnologia da Informao que envolvam as diversas reas dos rgos e entidades, que se responsabilizem por alinhar os investimentos de Tecnologia da Informao com os objetivos do rgo ou entidade e apoiar a priorizao de projetos a serem atendidos.
-
Planejamento de TI
Comit Diretivo de TI:
A existncia de um comit diretivo de TI (IT Steering Committee), que determine as prioridades de investimento e alocao de recursos nos diversos projetos e aes de TI, de fundamental importncia para o alinhamento entre as atividades de TI e o negcio da organizao, bem como
22
atividades de TI e o negcio da organizao, bem como para a otimizao dos recursos disponveis e a reduo do desperdcio. O fato desse comit ser composto por dirigentes de TI e de outras reas da organizao possibilita que as decises de investimentos sejam obtidas a partir de uma viso mais abrangente, o que reduz os riscos de erro (Acrdo 1.603/2008-TCU-Plenrio).
-
Planejamento de TI
Comit Diretivo de TI:Cobit 4.1, objetivo de controle PO4.3 Comit Executivo de TI:Estabelecer um comit executivo de TI (ou equivalente) composto pelas diretorias executivas, de negcios e de TI, para: Determinar prioridades dos programas de investimentos
23
Determinar prioridades dos programas de investimentos em TI em linha com as estratgias e prioridades do negcio; Monitorar o estado atual dos projetos e resolver conflitos de recursos; Monitorar nveis de servio e suas melhorias.
-
Objetivosestratgicos
institucionais
Objetivosestratgicos
Desmembrados nos
Operacionalizados p/
Planejamento de TI
24
estratgicosde TI
Contrataes de TI
Alinhados com
Meio para alcanar
-
Na contratao de bens e servios de TI essencial aadoo de processo de trabalho formalizado,padronizado e judicioso quanto ao custo, oportunidade e aos benefcios advindos para aorganizao. Esse processo melhora o relacionamentocom os fornecedores e prestadores de servios, maximizaa utilizao dos recursos financeiros alocados rea de TI
Processo de Contratao de TI
25
a utilizao dos recursos financeiros alocados rea de TIe contribui decisivamente para que os servios de TI demo necessrio suporte s aes da organizao noalcance de seus objetivos e suas metas. (Acrdo1.603/2008-TCU-Plenrio)
-
Planejamento de Contrataes de TI
O Cobit 4.1 em seu objetivo de controle AI5.1 Procurement Control (Controle sobre aquisies) recomenda:Desenvolver e seguir um conjunto de procedimentos epadres consistente com o processo de licitao e a
26
padres consistente com o processo de licitao e aestratgia de aquisio gerais da organizao para adquiririnfra-estrutura, instalaes, hardware, software e servios deTI necessrios ao negcio.
-
Planejamento de Contrataes de TI
O Acrdo 1.603/2008-Plenrio TCU:9.1. recomendar ao (rgos/entidades):(...)9.1.6. envidem esforos visando implementao de processo de trabalho
27
implementao de processo de trabalho formalizado de contratao de bens e servios de TI, bem como de gesto de contratos de TI, buscando a uniformizao de procedimentos nos moldes recomendados no item 9.4 do Acrdo 786/2006-TCU-Plenrio;
-
Instrues Normativas A Secretaria de Logstica e Tecnologia da Informao - SLTI
do Ministrio do Planejamento editou as Instrues Normativas02/2008 e 04/2008, contendo a maior parte dasrecomendaes do TCU quanto implementao do novomodelo de contratao de servios de TI (Acrdos 786/2006-TCU-Plenrio; 1480/2007-TCU-Plenrio e 1999/2007-TCU-Plenrio).
A IN/SLTI 04/2008 dispe sobre o processo de contratao deservios de Tecnologia da Informao pela Administrao
28
servios de Tecnologia da Informao pela AdministraoPblica Federal direta, autrquica e fundacional. Sua vignciainiciou-se em 2 de janeiro de 2009.
A IN/SLTI 02/2008, que substitui a IN/MARE 18/1997, dispesobre regras e diretrizes para a contratao de servios,continuados ou no. Essa norma aplica-se subsidiariamente IN/SLTI 04/2008.
-
Desvantagens desse Modelo(Vide Acrdo 786/2006-TCU-Plenrio): Ausncia de parcelamento do objeto
Potencial limitao competioRisco de onerar indevidamente o contratoRisco estratgico (dependncia)
Antigo modelo de contratao de TI
29
Risco estratgico (dependncia)Risco na segurana da informao
Pagamento por homem-hora (HH)Risco exclusivo do contratanteAnti-economicidade: Paradoxo lucro-incompetnciaRisco de remunerao de horas improdutivas
-
Fases da Contratao
A IN-4/2008 da SLTI/MP estabelece:
Art. 7 As contrataes de servios de Tecnologia da Informao devero seguir trs fases: Planejamento da Contratao,
30
Planejamento da Contratao, Seleo do Fornecedor, e Gerenciamento do Contrato.
-
Planejamento da Contratao
A IN-4/2008 da SLTI/MP estabelece:
Art. 9 A fase de Planejamento da Contratao consiste nas seguintes etapas: I - Anlise de Viabilidade da Contratao;
31
II - Plano de Sustentao; III - Estratgia de Contratao; eIV - Anlise de Riscos.
-
Anlise de Viabilidade da Contratao
A IN-4/2008 da SLTI/MP estabelece:Art. 10. A Anlise de Viabilidade da Contratao, observado o disposto nos arts. 11 e 12 desta instruo normativa, compreende as seguintes tarefas: Avaliao da necessidade (Requisitante e TI);
32
Motivao da contratao (Requisitante); Especificao dos requisitos (TI); Identificao das diferentes solues (TI e Requisitante); Justificativa da soluo escolhida (TI).
-
Anlise de Viabilidade da Contratao
Avaliao da Necessidade
A rea Requisitante, com apoio da rea de TI, deve avaliar necessidade de acordo com: Objetivos estratgicos; e Necessidades corporativas da instituio.
Considerar:
33
Considerar: Alinhamento com PEI e PETI ou PDTI; Decreto n 2.271/1997, art. 2, inciso I; Acrdo 2.471/2008Plenrio TCU, item 9.1.2; Cobit 4.1 PO1.2 Alinhamento entre TI e Negcio.
-
Anlise de Viabilidade da Contratao
Motivao da Contratao
A rea Requisitante deve explicitar a motivao da contratao levando em considerao: Gestor deve motivar seus atos; Acrdo n 2.094/2004-TCU-Plenrio, item 9.1.1; Acrdo n 838/2004-TCU-Plenrio, item 9.2.2; Cobit 4.1 PO5.2 Priorizao Dentro do Oramento de TI: Implementar um processo de tomada de deciso para
34
Implementar um processo de tomada de deciso para priorizar a alocao de recursos de TI em operaes, projetos e manuteno visando maximizar a contribuio da TI para otimizar o retorno de investimentos no portfolio de sistemas e outros servios e bens de TI.
-
Anlise de Viabilidade da Contratao
Especificao dos Requisitos
A rea de TI deve levantar: demandas dos potenciais gestores e usurios do servio; solues disponveis no mercado; e anlise de projetos similares realizados por outras instituies.
35
Considerar: Cobit 4.1 AI1 Identificar Solues Automatizadas, focando em identificar solues efetivas e tecnicamente viveis.
-
Anlise de Viabilidade da Contratao
Identificao das Diferentes Solues
A rea de TI, com apoio da rea Requisitante, deve identificar solues de acordo com: disponibilidade soluo similar em outro rgo/entidade APF; solues Portal do Software Pblico Brasileiro; capacidade e alternativas do mercado (inclusive software livre ou pblico); observncia s polticas, premissas e especificaes e-Ping
36
observncia s polticas, premissas e especificaes e-Ping (interoperabilidade) e e-Mag (acessibilidade); aderncia ICP-Brasil, quando houver certificao digital; custo financeiro estimado; Cobit 4.1 AI1 Identificar Solues Automatizadas: A necessidade para uma nova aplicao ou funo requer uma pr-anlise de aquisio ou criao visando assegurar que requisitos de negcio sejam satisfeitos em uma abordagem eficaz e eficiente.
-
Anlise de Viabilidade da Contratao
Justificativa da Soluo Escolhida
A rea de TI deve elaborar justificativa: descrio sucinta, precisa, suficiente e clara da Soluo de Tecnologia da Informao escolhida, indicando os servios que a compem; alinhamento em relao s necessidades; identificao dos benefcios que sero alcanados com a
37
identificao dos benefcios que sero alcanados com a efetivao da contratao em termos de eficcia, eficincia, efetividade e economicidade.
(1) IN-4, art. 2, inciso IV: Soluo de TI: todos os servios, produtos e outros elementos necessrios que se integram para o alcance dos resultados pretendidos com a contratao;
-
Anlise de Viabilidade da Contratao
Justificativa da Soluo Escolhida
Descrio sucinta, precisa, suficiente e clara da Soluo de TI
Considerar: Acrdo n 1.558/2003-TCU-Plenrio, item
9.3.10;
38
9.3.10; Cobit 4.1 AI1.3 Estudo de viabilidade e
formulao de solues alternativas
-
Anlise de Viabilidade da Contratao
Justificativa da Soluo Escolhida
Alinhamento em relao s necessidadesConsiderar: Decreto n 2.271/1997, art. 2, inciso II; Acrdo n 2.094/2004-TCU-Plenrio, item 9.1.1; Acrdo n 1.558/2003-TCU-Plenrio, item 9.3.11;
39
Cobit 4.1, PO1.2 Alinhamento de TI com Negcio
-
Anlise de Viabilidade da Contratao
Justificativa da Soluo Escolhida
Identificao dos benefcios que sero alcanados com a efetivao da contratao em termos de eficcia, eficincia, efetividade e economicidade
Considerar: Decreto n 2.271/1997, art. 2, inciso III; Acrdo n 2.471/2008-TCU-Plenrio, item 9.1.2;
40
Acrdo n 2.471/2008-TCU-Plenrio, item 9.1.2; Cobit 4.1 PO5.2 Priorizao Dentro do Oramento de TI
-
Anlise de Viabilidade da Contratao
A IN-4 no nico art. 10 estabelece que a Anlise de Viabilidade da Contratao ser aprovada e assinada pela rea
41
ser aprovada e assinada pela rea Requisitante e pela rea de TI.
-
Anlise de Viabilidade da Contratao
No art. 11, os requisitos definidos pela rea Requisitante:
I - de software, que independem de arquitetura tecnolgica e definem os aspectos funcionais do software; II - de treinamento, com o apoio da rea de TI, que definem a necessidade de treinamento presencial ou distncia, carga horria e entrega de materiais didticos; III - legais, que definem as normas s quais a Soluo de TI
42
III - legais, que definem as normas s quais a Soluo de TI deve respeitar; IV - de manuteno, que independem de configurao tecnolgica e definem a necessidade de servios de manuteno preventiva, corretiva, evolutiva e adaptativa;
-
Anlise de Viabilidade da Contratao (cont.)
No art. 11, os requisitos definidos pela rea Requisitante:...
V - de prazo, que definem a prioridade da entrega da Soluo de TI contratada; VI - de segurana, com o apoio da rea de TI; e VII - sociais, ambientais e culturais, que definem requisitos que a Soluo de TI deve atender para respeitar
43
requisitos que a Soluo de TI deve atender para respeitar necessidades especficas relacionadas a costumes e idiomas, e ao meio-ambiente
-
Anlise de Viabilidade da Contratao
No art. 12, os requisitos definidos pela rea de TI:
I - de arquitetura tecnolgica, composta de hardware, softwares bsicos, padres de interoperabilidade, linguagem de programao e interface; II - de projeto, que estabelecem o processo de desenvolvimento de software, tcnicas, mtodos, forma de gesto e de documentao;
44
de gesto e de documentao; III - de implantao, que definem o processo de disponibilizao da soluo em produo; IV - de garantia e manuteno, que definem a forma como ser conduzida a manuteno e a comunicao entre as partes envolvidas;
-
Anlise de Viabilidade da Contratao
No art. 12, os requisitos definidos pela rea de TI:...
V - de treinamento, que definem o ambiente tecnolgico de treinamentos ministrados e perfil do instrutor; VI - de experincia profissional; VII - de formao, que definem cursos acadmicos e tcnicos, certificao profissional e forma de comprovao;
45
tcnicos, certificao profissional e forma de comprovao; e VIII - de metodologia de trabalho.
-
Plano de Sustentao
A IN-4/2008 estabelece no art. 13:O Plano de Sustentao, a cargo da rea de TI, com o apoio do Requisitante, abrange:
I - segurana da informao; II - recursos materiais e humanos;
46
III - transferncia de conhecimento; IV - transio contratual; e V - continuidade dos servios em eventual interrupo contratual.
-
Segurana da Informao
NBR ISO/IEC 27002Cdigo de prtica de segurana da informaoEspecial ateno para: Competncia definida em Segurana da Informao (SI); Poltica de Segurana da Informao (PSI);
47
Classificao da Informao; Poltica de Controle de Acesso (PCA); Plano de Continuidade de Negcios (PCN).
Devem constar dos editais e contratos !!
-
Segurana da Informao
Legislao, Jurisprudncia e Boas Prticas Decreto n 3.505/2000 (PSI); IN-01 GSI/PR de 13.06.2008 (PSI e SI); Acrdo n 1.603/2008-TCU-Plenrio; Acrdo n 1.092/2007-TCU-Plenrio (PSI, PCA, Classificao da Informao, SI e PCN); Acrdo n 2.023/2005-TCU-Plenrio (PSI, PCA,
48
Acrdo n 2.023/2005-TCU-Plenrio (PSI, PCA, Classificao da Informao e SI); Acrdo n 71/2007-TCU-Plenrio (PSI, PCA e SI); Cobit 4.1, objetivo de controle DS5.2 Plano de Segurana de TI.
-
Recursos Materiais e Humanos
Levantamento e definio dos recursos materiais e humanos prprios necessrios para dar suporte contratao.
49
-
Transferncia de Conhecimentos
Manuteno do conhecimento no rgo/EntidadeEspecial ateno para: Contratao dos Servios; Gesto do Contrato; Acrdo n 1.603/2008-TCU-Plenrio;
50
Cobit 4.1 AI4.4 Transferncia de Conhecimentos para Equipes de Operao e Suporte
Deve constar dos editais e contratos !!
-
Transio Contratual
Previso das atividades necessrias para a execuo da transio contratual sem traumas. Observar que: fase essencial; h superposio de contratos; contrato vigente somente deve ser encerrado quando novo contrato estiver em vigor;
51
quando novo contrato estiver em vigor; deve haver definio de responsabilidades.
Deve constar dos editais e contratos !!
-
Continuidade dos Servios
Garantia de que os servios providos e/ou suportados pela soluo de TI tero continuidade mesmo que haja interrupo da execuo contratual; Deve estar inserido na Gesto de Continuidade de Negcios;
52
Negcios; Aderente ao Plano de Continuidade de Negcios;
Deve constar dos editais e contratos !!
-
Continuidade dos Servios
Acrdo n 1.603/2008-TCU-Plenrio:
... ausncia de plano de continuidade de negcios(PCN) em cerca de 88% dos pesquisados. Sem planejamento dessa natureza, a organizao ficavulnervel quando da (...) interrupes de servios.
53
vulnervel quando da (...) interrupes de servios.Eventos que poderiam ser resolvidos sem grande perda,acabam por comprometer toda a base atual e histrica deinformaes da organizao.
-
Continuidade dos Servios
Deve ser observado: Acrdo n 1.603/2008-TCU-Plenrio; Cobit 4.1 DS4 Garantir a Continuidade do Servio A necessidade de prover servios contnuos de TI requer desenvolvimento, manuteno e teste de planos de continuidade de TI, armazenamento de cpias de
54
continuidade de TI, armazenamento de cpias de segurana em local alternativo e treinamento peridico de planejamento de continuidade;
-
Continuidade dos ServiosDeve ser observado ainda: NBR 15999-1:2007, item 8.6 Planos de Continuidade de Negcios: o propsito de um plano de continuidade de negcios (PCN) permitir que uma organizao recupere ou mantenha suas atividades em caso de uma interrupo das operaes normais de negcios; NBR ISO/IEC 27002, item 14.1.3 Desenvolvimento e
55
NBR ISO/IEC 27002, item 14.1.3 Desenvolvimento e implementao de planos de continuidade relativos segurana da informao: convm que os planos sejam desenvolvidos e implementados para a manuteno ou recuperao das operaes e para assegurar a disponibilidade da informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio.
-
Continuidade dos Servios
Efeitos reais e potenciais Vulnerabilidade ocorrncia de interrupo de servios; Perda de dados, inclusive histricos, de difcilrecuperao; Dificuldade no restabelecimento das operaes normaisquando da ocorrncia de interrupo de servios;
56
quando da ocorrncia de interrupo de servios; Vulnerabilidade a fraudes e erros durante a interrupode servios; Paralisao de funes essenciais de governo e/ou de Estado.
-
Estratgia de ContrataoA IN-4/2008 em seu art.14 estabelece as seguintes tarefas:I indicao do tipo de servio, considerando o mercado e as solues existentes no momento da licitao (TI); II indicao dos termos contratuais (TI e
57
II indicao dos termos contratuais (TI e Requisitante);III definio da estratgia de independncia do rgo ou entidade contratante com relao contratada (TI);IV indicao do Gestor do Contrato (TI);
-
Estratgia de Contratao
A IN-4/2008 em seu art.14 estabelece as seguintes tarefas:V definio das responsabilidades da contratada, que no poder se eximir do cumprimento integral do contrato no caso de subcontratao (TI); VI elaborao do oramento detalhado (TI e rea competente);
58
competente);VII indicao da fonte de recursos para a contratao e a estimativa do impacto econmico-financeiro no oramento do rgo/Entidade (Requisitante);VIII definio dos critrios tcnicos de julgamento da proposta para a fase de Seleo do Fornecedor (TI).
-
Estratgia de Contratao
A IN-4/2008 estabelece: Restries quanto aferio de esforo por meio da mtrica homens-hora ( 1) Que vedado contratar por postos de trabalho alocados ( 2)
59
Vedaes e recomendaes quanto s licitaes do tipo tcnica e preo (s 3 e 4) A Estratgia de Contratao dever ser aprovada e assinada pelo Requisitante e pela rea de TI ( 5)
-
Anlise de Riscos
A IN-4/2008 estabelece no art. 16. que a Anlise de Riscos dever ser elaborada pelo Gestor do Contrato, com o apoio da rea de TI e do Requisitante observando: I - identificao dos principais riscos que possam comprometer o sucesso do processo de contratao; II - identificao dos principais riscos que possam fazer com que os servios prestados no atendam s
60
com que os servios prestados no atendam s necessidades do contratante, podendo resultar em nova contratao; III - identificao das possibilidades de ocorrncia e dos danos potenciais de cada risco identificado;
-
Anlise de Riscos
A IN-4/2008 estabelece no art. 16. que a Anlise de Riscos dever ser elaborada pelo Gestor do Contrato, com o apoio da rea de TI e do Requisitante observando: ...
IV - definio das aes a serem tomadas para amenizar ou eliminar as chances de ocorrncia do risco;
61
V - definio das aes de contingncia a serem tomadas caso o risco se concretize; e VI - definio dos responsveis pelas aes de prevenodos riscos e dos procedimentos de contingncia.
-
Anlise de RiscosAcrdo n 1.603/2008-TCU-Plenrio: A ausncia da anlise de riscos na rea de TI, informadapor 75% dos rgos/entidades pesquisados, um indcio deque as aes de segurana no so executadas de maneirasintonizada com as necessidades do negcio dessasorganizaes. Isto porque, sem anlise de riscos, no hcomo o gestor priorizar aes e investimentos com base em
62
como o gestor priorizar aes e investimentos com base emcritrios claros e relacionados com o negcio daorganizao. Alm disso, o desconhecimento dos riscos na rea de TI aumenta a exposio s ameaas de acesso indevido, indisponibilidade e perda de integridade (intencional, como no caso das fraudes, ou por falhas) das informaes sob responsabilidade dessas organizaes.
-
Anlise de RiscosDeve ser observado: Acrdo n 1.603/2008-TCU-Plenrio; Cobit 4.1 PO9.4 de Riscos Avaliar periodicamente a probabilidade e o impacto de todos os riscos identificados, usando mtodos qualitativos e quantitativos. A probabilidade e o impacto associados com o risco inerente e residual devem ser determinados individualmente por categoria; NBR ISO/IEC 27002, item 4.1 Analisando/avaliando os riscos de
63
NBR ISO/IEC 27002, item 4.1 Analisando/avaliando os riscos de segurana da informao: convm que as anlises/avaliaes de riscos identifiquem, quantifiquem e priorizem os riscos com base em critrios relevantes para a organizao, e que os resultados orientem e determinem as aes de gesto apropriadas e as prioridades para o gerenciamento dos riscos de segurana da informao, e para a implementao dos controles selecionados, de maneira a proteger contra estes riscos.
-
Anlise de Riscos
Identificao dos principais riscos:que possam comprometer o sucesso do processo de contratao; que possam fazer com que os servios prestados no atendam s necessidades do contratante, podendo resultar em nova
64
contratante, podendo resultar em nova contratao;
Identificao das possibilidades de ocorrncia e dos danos potenciais de cada risco identificado;
-
Anlise de Riscos
definio das aes a serem tomadas:para amenizar ou eliminar as chances de ocorrncia do risco; caso o risco se concretize; e
definio dos responsveis pelas aes de
65
definio dos responsveis pelas aes de preveno dos riscos e dos procedimentos de contingncia.
-
Os servios somente podero ser licitados quando houverprojeto bsico aprovado pela autoridade competente (Lei8.666/93, art. 7, I e 2, I e IN/SLTI 02/2008, art. 14).
O objeto da contratao deve estar precisamentecaracterizado e quantificado no projeto bsico (Lei 8.666/93,arts. 7, 4; 8; 14; 15, 7; 55).
O projeto bsico deve conter, no que couber, o detalhamento
Projeto Bsico
66
O projeto bsico deve conter, no que couber, o detalhamentoprevisto no art. 6, IX, da Lei 8.666/93, devendo a suadefinio ser precisa, suficiente e clara.
So vedadas especificaes excessivas, irrelevantes oudesnecessrias que limitem ou frustrem a competio ou arealizao do fornecimento (Decreto 3.555/2000, art. 8, I eIN/SLTI 02/2008, art. 16).
-
Nos projetos bsicos de servios sero considerados principalmente os seguintes requisitos (art. 12 da Lei 8.666/1993):
segurana; funcionalidade e adequao ao interesse pblico; economia na execuo, conservao e operao; possibilidade de emprego de mo-de-obra, materiais,
Projeto Bsico
67
tecnologia e matrias-primas existentes no local paraexecuo, conservao e operao;
facilidade na execuo, conservao e operao, semprejuzo da durabilidade do servio;
adoo das normas tcnicas, de sade e de seguranaadequadas.
-
A IN/SLTI 04/2008, que cuida especificamente dacontratao de servios da rea de TI, prev, em seu art.17, que o Projeto Bsico dever conter, no mnimo, asseguintes informaes:
definio do objeto; fundamentao da contratao; requisitos do servio; modelo de prestao dos servios;
Projeto Bsico
68
modelo de prestao dos servios; elementos para gesto do contrato; estimativa de preos; indicao do tipo de servio; critrios de seleo do fornecedor; e adequao oramentria.
(Vide Acrdo 2.471/2008-Plenrio, item 9.1.1)
-
Art. 19. A fase de Seleo do Fornecedorobservar as normas pertinentes, incluindo odisposto na Lei n 8.666, de 1993, na Lei n 10.520, de 2002, no Decreto n 2.271, de 1997,
Seleo de Fornecedor
69
no Decreto n 2.271, de 1997, no Decreto n 3.555, de 2000, no Decreto n 3.931, de 2001, e no Decreto n 5.450, de 2005.
-
Encerrado o procedimento licitatrio e contratado o vencedor do certame para o fornecimento do objeto, inicia-se a fase de execuo contratual.
Nessa fase, compete Administrao garantir
Gerenciamento do Contrato
70
Nessa fase, compete Administrao garantir que o contratado cumpra os termos contratuais, de forma que o objeto do contrato seja fornecido nas condies e prazos estabelecidos..
-
A gesto contratual compreende uma sriede atividades envolvendo:
solicitao dos servios; acompanhamento; fiscalizao da execuo; avaliao da qualidade e aderncia s
Gerenciamento do Contrato
71
avaliao da qualidade e aderncia s especificaes;
ateste da realizao dos trabalhos; aplicao de penalidades; pagamento.
-
Processo de Gesto Contratual
Acrdo 1.603/2008-TCU-Plenrio:
Para se gerir adequadamente os riscos inerentes s atividades de TI, a adoo de processo formal de trabalho de suma
72
processo formal de trabalho de suma importncia. Esse processo de trabalho deve ser definido, padronizado, documentado, aprovado e divulgado para toda a organizao.
-
Processo de Gesto Contratual
Lei n 8.666/1993, Captulo III; IN-04/2008, Seo III; Acrdo 1.603/2008-TCU-Plenrio; Cobit 4.1 AI5.1 Controle sobre aquisies
desenvolver e seguir um conjunto de procedimentos e padres consistente com o
73
procedimentos e padres consistente com o processo de licitao e a estratgia de aquisio gerais da organizao para adquirir infra-estrutura, instalaes, hardware, software e servios de TI necessrios ao negcio.
-
Processo de Gesto Contratual
Incio da Execuo Contratual Execuo Contratual
Monitorao Tcnica (eficincia/efetividade) Atestao Tcnica Monitorao Administrativa
74
Autorizao de Pagamento Encerramento e Transio Contratual O registro das tarefas acima dever compor o Histrico
de Gesto do Contrato
-
Incio da Execuo Contratual Elaborao, pelo Gestor do Contrato, de um plano de
insero da contratada que contemple: o repasse de conhecimentos necessrios para a
execuo dos servios contratada; e a disponibilizao de infraestrutura contratada,
quando couber Reunio inicial entre o Gestor do Contrato, rea de TI,
Requisitante e a contratada, cuja pauta observar, pelo
75
Requisitante e a contratada, cuja pauta observar, pelo menos: assinatura do termo de compromisso de manuteno de
sigilo e cincia das normas de segurana vigentes no rgo ou entidade; e
esclarecimentos relativos a questes operacionais e de gerenciamento do contrato.
-
Incio da Execuo Contratual
Reunio de alinhamento de expectativas Checagem de compreenso do objetivo, do objeto, do
modelo de prestao de servios, do modelo de gesto, das obrigaes e das penalidades
Releitura do Edital, Contrato e termos da proposta vencedora
76
vencedora Manuteno das condies habilitatrias e
pontuadas Confirmao de cronogramas (etapas, faturamento,
etc.)
-
Encaminhamento Formal de Demandas
Encaminhamento formal de demandas pelo Gestor do Contrato ao preposto da contratada por meio de Ordens de Servio, que contero:
definio e especificao dos servios a serem realizados; volume de servios solicitados e realizados segundo as
mtricas definidas; resultados esperados;
77
resultados esperados; o cronograma de realizao dos servios, includas todas as
tarefas significativas e seus respectivos prazos; avaliao da qualidade dos servios realizados e as
justificativas do avaliador; e identificao dos responsveis pela solicitao, avaliao da
qualidade e ateste dos servios realizados, que no podem ter vnculo com a empresa contratada;
-
Monitoramento da Execuo
A cargo do Gestor do Contrato, com apoio Requisitante e da rea de TI, que consiste em:
recebimento mediante anlise da avaliao dos servios, com base nos critrios previamente definidos;
ateste para fins de pagamento; identificao de desvios e encaminhamento de demandas
de correo;
78
de correo; encaminhamento de glosas e sanes; verificao de aderncia s normas do contrato; verificao da manuteno da necessidade, economicidade
e oportunidade da contratao; verificao da manuteno das condies classificatrias,
pontuadas e da habilitao tcnica;
-
Monitoramento da Execuo
(continuao): manuteno do Plano de Sustentao; comunicao s autoridades competentes sobre a
proximidade do trmino do contrato, com pelo menos 60 (sessenta) dias de antecedncia;
manuteno dos registros de aditivos;
79
encaminhamento s autoridades competentes de eventuais pedidos de modificao contratual; e
manuteno de registros formais de todas as ocorrncias da execuo do contrato, por ordem histrica.
-
Processo de Gesto Contratual
Execuo contratual Monitorao tcnica (eficincia e efetividade)
Reunies peridicas, quando conveniente Procedimentos de verificao de nvel de
servio
80
servio Notificao de desvios de normalidade Encaminhamento de proposta de apenao
(glosas e sanes) Capacitao e disponibilidade de
fiscalizadores
-
Processo de Gesto Contratual
Execuo contratual Atestao tcnica
Registro (para eventual auditoria) da verificao de execuo
81
verificao de execuo Registro das notificaes/apenaes e seu
andamento Propostas de glosa
-
penalidades cabveis e valores das multas as penalidades esto previstas no art. 87 da
Lei n 8.666/1993 e art. 7 da Lei n10.520/2002;
Processo de Gesto Contratual
82
o contrato dever especificar as condiesde aplicao da multa e respectivos valores.
-
Processo de Gesto Contratual
Execuo contratual Monitorao Administrativa (legalidade e economicidade)
Aspectos trabalhistas (encargos, subordinao direta, desvio de funo, pessoalidade indevida, ingerncia administrativa)
Aspectos fiscais (regularidade cadastral)
83
Aspectos fiscais (regularidade cadastral) Manuteno das condies habilitatrias/pontuadas Atendimento aos normativos internos Verificao da vantajosidade do preo (estabelecer
periodicidade e mtodo para verificao)
-
Processo de Gesto Contratual
Execuo contratual Autorizao de pagamento
Mensurao do servio prestado Registro (para eventual auditoria) da
84
Registro (para eventual auditoria) da mensurao
-
Obrigado
85
[email protected](61) 3316-5900
www.tcu.gov.br/fiscalizacaoti
-
www.tcu.gov.br
Valores
86
ticaJustia
EfetividadeIndependncia
Profissionalismo