AUDITORIA TI TCU.pdf

A importncia do

planejamento para a

realizao de uma boa

contratao de TI

realizao de uma boa

contratao de TI

Andr Luiz Furtado Pacheco, CISA

CNASI-DF maio de 2010

Graduado em Processamento de Dados pelaUniversidade Catlica de Braslia;

MBA em Controle Externo pela FGV; Certified Information Systems Auditor CISA, Auditor de TI h mais de 16 anos, Assessor do Secretrio de

Fiscalizao de TI do TCU; Realizou a superviso e a reviso do Manual de Auditoria de

Sistemas e da Cartilha de Boas Prticas de Segurana da

Andr Luiz Furtado Pacheco, CISA

2

Sistemas e da Cartilha de Boas Prticas de Segurana da Informao do TCU;

Instrutor de Auditoria de TI nos cursos da Organizao Latino-Americana e do Caribe das Entidades de Fiscalizao Superior OLACEFS, do TCU e da UniDF;

Possui larga experincia nas reas de auditoria,docncia e TI; Secretrio do Captulo ISACA de Braslia.

Governana de TI

Governana de TI uma estrutura derelacionamentos e processos para dirigir econtrolar a TI a fim de alcanar as metas dainstituio pela agregao de valor, enquanto semantm o equilbrio dos riscos versusretorno sobre esta funo e seus processos.retorno sobre esta funo e seus processos.

(traduo livre de texto do ITGI IT Governance Institute)

Sistema pelo qual o uso atual e futuro da TI dirigido e controlado.

(NBR ISO/IEC 38500:2009, item 1.6.3)

3

Objetivos da Governana de TI

assegurar que as aes de TI estejam alinhadas com o negcio da organizao, agregando-lhe valor;

medir o desempenho da rea de TI, alocar propriamente os recursos e mitigar os riscos inerentes;

4

inerentes; gerenciar e controlar as iniciativas de TI nas

organizaes para garantir o retorno de investimentos e a adoo de melhorias nos processos organizacionais

Responsabilidade sobre a

Governana de TI

Alta administrao das organizaes

5

Planejar e Organizar

Domnios Cobit

6

Monitorar eAvaliar

Entregar eSuportar

Adquirir eImplementar

Planejar e Organizar (PO)

PO1 Definir um plano estratgico de TI PO2 Definir a arquitetura de informao PO3 Determinar a direcionamento tecnolgico PO4 Definir processos, organizao e relacionamentos PO5 Gerenciar o investimento em TI PO6 Comunicar diretrizes e expectativas da diretoria

7

PO6 Comunicar diretrizes e expectativas da diretoria PO7 Gerenciar recursos humanos de TI PO8 Gerenciar qualidade PO9 Avaliar e gerenciar riscos de TI PO10 Gerenciar projetos

Adquirir e Implementar (AI)

AI1 Identificar solues automatizadas AI2 Adquirir e manter software aplicativo AI3 Adquirir e manter infraestrutura tecnolgica AI4 Habilitar operao e uso AI5 Adquirir recursos de TI

8

AI5 Adquirir recursos de TI AI6 Gerenciar mudanas AI7 Instalar e homologar solues e mudanas

Entregar e Suportar (DS) DS1 Definir e gerenciar nveis de servios DS2 Gerenciar servios de terceiros DS3 Gerenciar capacidade e desempenho DS4 Assegurar continuidade dos servios DS5 Assegurar segurana dos sistemas DS6 Identificar e alocar custos DS7 Educar e treinar usurios

9

DS7 Educar e treinar usurios DS8 Gerenciar a central de servios e os incidentes DS9 Gerenciar a configurao DS10 Gerenciar problemas DS11 Gerenciar dados DS12 Gerenciar o ambiente fsico DS13 Gerenciar as operaes

Monitorar e Avaliar (ME)

ME1 Monitorar e avaliar o desempenho da TIME2 Monitorar e avaliar os controles internosME3 Assegurar conformidade com requisitos

externos

10

ME4 Prover governana de TI

Planejamento de TI

Benefcio do Planejamento Estratgico de TI:

O planejamento estratgico torna-se umaimportante ferramenta para a tomada dedeciso e faz com que os gestores estejamaptos a agir com iniciativa, de forma pr-ativa,

11

aptos a agir com iniciativa, de forma pr-ativa,contra as ameaas e a favor das oportunidadesidentificadas nas constantes mudanas queocorrem. (Acrdo 1.603/2008-Plenrio TCU)

Planejamento de TI

Necessidade de Planejamento de TI:

Constituio Federal, art. 37; Decreto-Lei 200/1967, art. 6, I; IN-4/2008 SLTI/MP, art. 3;

12

IN-4/2008 SLTI/MP, art. 3; Acrdo 1.558/2003-Plenrio TCU, item 9.3.9; Acrdo 1.603/2008-Plenrio TCU, item 9.4.1; Cobit 4.1 PO1.4 Plano Estratgico de TI.

Planejamento de TI

A Constituio Federal estabelece:

Art. 37. A administrao pblica direta e indireta de qualquer dos Poderes da Unio, dos Estados, do Distrito Federal e dos Municpios obedecer

13

aos princpios de legalidade, impessoalidade, moralidade, publicidade e eficincia...

Planejamento de TI

O Decreto-Lei 200/1967 estabelece:Art. 6. As atividades da Administrao Federal obedecero aos seguintes princpios fundamentais: I - Planejamento. II - Coordenao. III - Descentralizao.

14

III - Descentralizao.IV - Delegao de Competncia.V - Controle.

Planejamento de TI

A IN-4/2008 da SLTI/MP estabelece:

Art. 3 As contrataes de que trata esta Instruo Normativa devero ser precedidas de planejamento, elaborado em harmonia com o Plano Diretor de Tecnologia da Informao - PDTI, alinhado estratgia

15

Tecnologia da Informao - PDTI, alinhado estratgia do rgo ou entidade.

Planejamento de TI

O Acrdo 1.558/2003-Plenrio TCU determina que:

9.3.9. atente para a necessidade de fazer cumprir o princpio constitucional da eficincia e as disposies contidas no art. 6, I, do Decreto-Lei n 200/67, implantando, na rea de informtica, um processo de

16

implantando, na rea de informtica, um processo de planejamento que organize as estratgias, as aes, os prazos, os recursos financeiros, humanos e materiais, a fim de eliminar a possibilidade de desperdcio de recursos pblicos e de prejuzo ao cumprimento dos objetivos institucionais da unidade;

Planejamento de TIO Acrdo 1.603/2008-Plenrio TCU:9.4. recomendar ao Ministrio do Planejamento, Oramento e Gesto - MPOG que, nos rgos/entidades da Administrao Pblica Federal:

9.4.1. promova aes com o objetivo de disseminar a importncia do planejamento estratgico, procedendo,

17

importncia do planejamento estratgico, procedendo, inclusive mediante orientao normativa, execuo de aes voltadas implantao e/ou aperfeioamento de planejamento estratgico institucional, planejamento estratgico de TI e comit diretivo de TI, com vistas a propiciar a alocao dos recursos pblicos conforme as necessidades e prioridades da organizao;

Planejamento de TI

O Cobit 4.1 em seu objetivo de controle PO1.4 Plano Estratgico de TI recomenda:

Criar um plano estratgico que defina, em cooperao com as partes interessadas relevantes, como a TI

18

com as partes interessadas relevantes, como a TI contribuir com os objetivos estratgicos da organizao e quais os custos e riscos relacionados.

Planejamento de TI

Alinhamento entre PEI e PETI:O alinhamento de todos os planos, recursos e unidades organizacionais um fator fundamental para que a estratgia delineada no planejamento possa ser implementada. Assim, o planejamento estratgico de TI tem que estar alinhado com os

19

estratgico de TI tem que estar alinhado com os planos de negcio da organizao para o estabelecimento das prioridades e das aes a serem realizadas na rea de TI (Acrdo 1.603/2008-TCU-Plenrio)

Planejamento de TI

Alinhamento entre PEI e PETI:Cobit 4.1, objetivo de controle PO1.2 Alinhamento entre TI e negcio:Estabelecer processos de educao bidirecional e de envolvimento recproco no planejamento estratgico para obteno de alinhamento e

20

estratgico para obteno de alinhamento e integrao entre o negcio e as aes de TI. As prioridades devem ser acordadas mutuamente a partir da negociao das necessidades do negcio e da rea de TI .

Planejamento de TIComit Diretivo de TI:IN-4/2008 da SLTI/MP estabelece em seu art. 4:Pargrafo nico. A Estratgia Geral de Tecnologia da Informao dever abranger, pelo menos, os seguintes elementos:...

IV - orientao para a formao de Comits de

21

IV - orientao para a formao de Comits de Tecnologia da Informao que envolvam as diversas reas dos rgos e entidades, que se responsabilizem por alinhar os investimentos de Tecnologia da Informao com os objetivos do rgo ou entidade e apoiar a priorizao de projetos a serem atendidos.

Planejamento de TI

Comit Diretivo de TI:

A existncia de um comit diretivo de TI (IT Steering Committee), que determine as prioridades de investimento e alocao de recursos nos diversos projetos e aes de TI, de fundamental importncia para o alinhamento entre as atividades de TI e o negcio da organizao, bem como

22

atividades de TI e o negcio da organizao, bem como para a otimizao dos recursos disponveis e a reduo do desperdcio. O fato desse comit ser composto por dirigentes de TI e de outras reas da organizao possibilita que as decises de investimentos sejam obtidas a partir de uma viso mais abrangente, o que reduz os riscos de erro (Acrdo 1.603/2008-TCU-Plenrio).

Planejamento de TI

Comit Diretivo de TI:Cobit 4.1, objetivo de controle PO4.3 Comit Executivo de TI:Estabelecer um comit executivo de TI (ou equivalente) composto pelas diretorias executivas, de negcios e de TI, para: Determinar prioridades dos programas de investimentos

23

Determinar prioridades dos programas de investimentos em TI em linha com as estratgias e prioridades do negcio; Monitorar o estado atual dos projetos e resolver conflitos de recursos; Monitorar nveis de servio e suas melhorias.

Objetivosestratgicos

institucionais

Objetivosestratgicos

Desmembrados nos

Operacionalizados p/

Planejamento de TI

24

estratgicosde TI

Contrataes de TI

Alinhados com

Meio para alcanar

Na contratao de bens e servios de TI essencial aadoo de processo de trabalho formalizado,padronizado e judicioso quanto ao custo, oportunidade e aos benefcios advindos para aorganizao. Esse processo melhora o relacionamentocom os fornecedores e prestadores de servios, maximizaa utilizao dos recursos financeiros alocados rea de TI

Processo de Contratao de TI

25

a utilizao dos recursos financeiros alocados rea de TIe contribui decisivamente para que os servios de TI demo necessrio suporte s aes da organizao noalcance de seus objetivos e suas metas. (Acrdo1.603/2008-TCU-Plenrio)

Planejamento de Contrataes de TI

O Cobit 4.1 em seu objetivo de controle AI5.1 Procurement Control (Controle sobre aquisies) recomenda:Desenvolver e seguir um conjunto de procedimentos epadres consistente com o processo de licitao e a

26

padres consistente com o processo de licitao e aestratgia de aquisio gerais da organizao para adquiririnfra-estrutura, instalaes, hardware, software e servios deTI necessrios ao negcio.

Planejamento de Contrataes de TI

O Acrdo 1.603/2008-Plenrio TCU:9.1. recomendar ao (rgos/entidades):(...)9.1.6. envidem esforos visando implementao de processo de trabalho

27

implementao de processo de trabalho formalizado de contratao de bens e servios de TI, bem como de gesto de contratos de TI, buscando a uniformizao de procedimentos nos moldes recomendados no item 9.4 do Acrdo 786/2006-TCU-Plenrio;

Instrues Normativas A Secretaria de Logstica e Tecnologia da Informao - SLTI

do Ministrio do Planejamento editou as Instrues Normativas02/2008 e 04/2008, contendo a maior parte dasrecomendaes do TCU quanto implementao do novomodelo de contratao de servios de TI (Acrdos 786/2006-TCU-Plenrio; 1480/2007-TCU-Plenrio e 1999/2007-TCU-Plenrio).

A IN/SLTI 04/2008 dispe sobre o processo de contratao deservios de Tecnologia da Informao pela Administrao

28

servios de Tecnologia da Informao pela AdministraoPblica Federal direta, autrquica e fundacional. Sua vignciainiciou-se em 2 de janeiro de 2009.

A IN/SLTI 02/2008, que substitui a IN/MARE 18/1997, dispesobre regras e diretrizes para a contratao de servios,continuados ou no. Essa norma aplica-se subsidiariamente IN/SLTI 04/2008.

Desvantagens desse Modelo(Vide Acrdo 786/2006-TCU-Plenrio): Ausncia de parcelamento do objeto

Potencial limitao competioRisco de onerar indevidamente o contratoRisco estratgico (dependncia)

Antigo modelo de contratao de TI

29

Risco estratgico (dependncia)Risco na segurana da informao

Pagamento por homem-hora (HH)Risco exclusivo do contratanteAnti-economicidade: Paradoxo lucro-incompetnciaRisco de remunerao de horas improdutivas

Fases da Contratao


Art. 7 As contrataes de servios de Tecnologia da Informao devero seguir trs fases: Planejamento da Contratao,

30

Planejamento da Contratao, Seleo do Fornecedor, e Gerenciamento do Contrato.

Planejamento da Contratao


Art. 9 A fase de Planejamento da Contratao consiste nas seguintes etapas: I - Anlise de Viabilidade da Contratao;

31

II - Plano de Sustentao; III - Estratgia de Contratao; eIV - Anlise de Riscos.

Anlise de Viabilidade da Contratao

A IN-4/2008 da SLTI/MP estabelece:Art. 10. A Anlise de Viabilidade da Contratao, observado o disposto nos arts. 11 e 12 desta instruo normativa, compreende as seguintes tarefas: Avaliao da necessidade (Requisitante e TI);

32

Motivao da contratao (Requisitante); Especificao dos requisitos (TI); Identificao das diferentes solues (TI e Requisitante); Justificativa da soluo escolhida (TI).


Avaliao da Necessidade

A rea Requisitante, com apoio da rea de TI, deve avaliar necessidade de acordo com: Objetivos estratgicos; e Necessidades corporativas da instituio.

Considerar:

33

Considerar: Alinhamento com PEI e PETI ou PDTI; Decreto n 2.271/1997, art. 2, inciso I; Acrdo 2.471/2008Plenrio TCU, item 9.1.2; Cobit 4.1 PO1.2 Alinhamento entre TI e Negcio.


Motivao da Contratao

A rea Requisitante deve explicitar a motivao da contratao levando em considerao: Gestor deve motivar seus atos; Acrdo n 2.094/2004-TCU-Plenrio, item 9.1.1; Acrdo n 838/2004-TCU-Plenrio, item 9.2.2; Cobit 4.1 PO5.2 Priorizao Dentro do Oramento de TI: Implementar um processo de tomada de deciso para

34

Implementar um processo de tomada de deciso para priorizar a alocao de recursos de TI em operaes, projetos e manuteno visando maximizar a contribuio da TI para otimizar o retorno de investimentos no portfolio de sistemas e outros servios e bens de TI.


Especificao dos Requisitos

A rea de TI deve levantar: demandas dos potenciais gestores e usurios do servio; solues disponveis no mercado; e anlise de projetos similares realizados por outras instituies.

35

Considerar: Cobit 4.1 AI1 Identificar Solues Automatizadas, focando em identificar solues efetivas e tecnicamente viveis.


Identificao das Diferentes Solues

A rea de TI, com apoio da rea Requisitante, deve identificar solues de acordo com: disponibilidade soluo similar em outro rgo/entidade APF; solues Portal do Software Pblico Brasileiro; capacidade e alternativas do mercado (inclusive software livre ou pblico); observncia s polticas, premissas e especificaes e-Ping

36

observncia s polticas, premissas e especificaes e-Ping (interoperabilidade) e e-Mag (acessibilidade); aderncia ICP-Brasil, quando houver certificao digital; custo financeiro estimado; Cobit 4.1 AI1 Identificar Solues Automatizadas: A necessidade para uma nova aplicao ou funo requer uma pr-anlise de aquisio ou criao visando assegurar que requisitos de negcio sejam satisfeitos em uma abordagem eficaz e eficiente.


Justificativa da Soluo Escolhida

A rea de TI deve elaborar justificativa: descrio sucinta, precisa, suficiente e clara da Soluo de Tecnologia da Informao escolhida, indicando os servios que a compem; alinhamento em relao s necessidades; identificao dos benefcios que sero alcanados com a

37

identificao dos benefcios que sero alcanados com a efetivao da contratao em termos de eficcia, eficincia, efetividade e economicidade.

(1) IN-4, art. 2, inciso IV: Soluo de TI: todos os servios, produtos e outros elementos necessrios que se integram para o alcance dos resultados pretendidos com a contratao;



Descrio sucinta, precisa, suficiente e clara da Soluo de TI

Considerar: Acrdo n 1.558/2003-TCU-Plenrio, item

9.3.10;

38

9.3.10; Cobit 4.1 AI1.3 Estudo de viabilidade e

formulao de solues alternativas



Alinhamento em relao s necessidadesConsiderar: Decreto n 2.271/1997, art. 2, inciso II; Acrdo n 2.094/2004-TCU-Plenrio, item 9.1.1; Acrdo n 1.558/2003-TCU-Plenrio, item 9.3.11;

39

Cobit 4.1, PO1.2 Alinhamento de TI com Negcio



Identificao dos benefcios que sero alcanados com a efetivao da contratao em termos de eficcia, eficincia, efetividade e economicidade

Considerar: Decreto n 2.271/1997, art. 2, inciso III; Acrdo n 2.471/2008-TCU-Plenrio, item 9.1.2;

40

Acrdo n 2.471/2008-TCU-Plenrio, item 9.1.2; Cobit 4.1 PO5.2 Priorizao Dentro do Oramento de TI


A IN-4 no nico art. 10 estabelece que a Anlise de Viabilidade da Contratao ser aprovada e assinada pela rea

41

ser aprovada e assinada pela rea Requisitante e pela rea de TI.


No art. 11, os requisitos definidos pela rea Requisitante:

I - de software, que independem de arquitetura tecnolgica e definem os aspectos funcionais do software; II - de treinamento, com o apoio da rea de TI, que definem a necessidade de treinamento presencial ou distncia, carga horria e entrega de materiais didticos; III - legais, que definem as normas s quais a Soluo de TI

42

III - legais, que definem as normas s quais a Soluo de TI deve respeitar; IV - de manuteno, que independem de configurao tecnolgica e definem a necessidade de servios de manuteno preventiva, corretiva, evolutiva e adaptativa;

Anlise de Viabilidade da Contratao (cont.)

No art. 11, os requisitos definidos pela rea Requisitante:...

V - de prazo, que definem a prioridade da entrega da Soluo de TI contratada; VI - de segurana, com o apoio da rea de TI; e VII - sociais, ambientais e culturais, que definem requisitos que a Soluo de TI deve atender para respeitar

43

requisitos que a Soluo de TI deve atender para respeitar necessidades especficas relacionadas a costumes e idiomas, e ao meio-ambiente


No art. 12, os requisitos definidos pela rea de TI:

I - de arquitetura tecnolgica, composta de hardware, softwares bsicos, padres de interoperabilidade, linguagem de programao e interface; II - de projeto, que estabelecem o processo de desenvolvimento de software, tcnicas, mtodos, forma de gesto e de documentao;

44

de gesto e de documentao; III - de implantao, que definem o processo de disponibilizao da soluo em produo; IV - de garantia e manuteno, que definem a forma como ser conduzida a manuteno e a comunicao entre as partes envolvidas;


No art. 12, os requisitos definidos pela rea de TI:...

V - de treinamento, que definem o ambiente tecnolgico de treinamentos ministrados e perfil do instrutor; VI - de experincia profissional; VII - de formao, que definem cursos acadmicos e tcnicos, certificao profissional e forma de comprovao;

45

tcnicos, certificao profissional e forma de comprovao; e VIII - de metodologia de trabalho.

Plano de Sustentao

A IN-4/2008 estabelece no art. 13:O Plano de Sustentao, a cargo da rea de TI, com o apoio do Requisitante, abrange:

I - segurana da informao; II - recursos materiais e humanos;

46

III - transferncia de conhecimento; IV - transio contratual; e V - continuidade dos servios em eventual interrupo contratual.

Segurana da Informao

NBR ISO/IEC 27002Cdigo de prtica de segurana da informaoEspecial ateno para: Competncia definida em Segurana da Informao (SI); Poltica de Segurana da Informao (PSI);

47

Classificao da Informao; Poltica de Controle de Acesso (PCA); Plano de Continuidade de Negcios (PCN).

Devem constar dos editais e contratos !!

Segurana da Informao

Legislao, Jurisprudncia e Boas Prticas Decreto n 3.505/2000 (PSI); IN-01 GSI/PR de 13.06.2008 (PSI e SI); Acrdo n 1.603/2008-TCU-Plenrio; Acrdo n 1.092/2007-TCU-Plenrio (PSI, PCA, Classificao da Informao, SI e PCN); Acrdo n 2.023/2005-TCU-Plenrio (PSI, PCA,

48

Acrdo n 2.023/2005-TCU-Plenrio (PSI, PCA, Classificao da Informao e SI); Acrdo n 71/2007-TCU-Plenrio (PSI, PCA e SI); Cobit 4.1, objetivo de controle DS5.2 Plano de Segurana de TI.

Recursos Materiais e Humanos

Levantamento e definio dos recursos materiais e humanos prprios necessrios para dar suporte contratao.

49

Transferncia de Conhecimentos

Manuteno do conhecimento no rgo/EntidadeEspecial ateno para: Contratao dos Servios; Gesto do Contrato; Acrdo n 1.603/2008-TCU-Plenrio;

50

Cobit 4.1 AI4.4 Transferncia de Conhecimentos para Equipes de Operao e Suporte

Deve constar dos editais e contratos !!

Transio Contratual

Previso das atividades necessrias para a execuo da transio contratual sem traumas. Observar que: fase essencial; h superposio de contratos; contrato vigente somente deve ser encerrado quando novo contrato estiver em vigor;

51

quando novo contrato estiver em vigor; deve haver definio de responsabilidades.


Continuidade dos Servios

Garantia de que os servios providos e/ou suportados pela soluo de TI tero continuidade mesmo que haja interrupo da execuo contratual; Deve estar inserido na Gesto de Continuidade de Negcios;

52

Negcios; Aderente ao Plano de Continuidade de Negcios;



Acrdo n 1.603/2008-TCU-Plenrio:

... ausncia de plano de continuidade de negcios(PCN) em cerca de 88% dos pesquisados. Sem planejamento dessa natureza, a organizao ficavulnervel quando da (...) interrupes de servios.

53

vulnervel quando da (...) interrupes de servios.Eventos que poderiam ser resolvidos sem grande perda,acabam por comprometer toda a base atual e histrica deinformaes da organizao.


Deve ser observado: Acrdo n 1.603/2008-TCU-Plenrio; Cobit 4.1 DS4 Garantir a Continuidade do Servio A necessidade de prover servios contnuos de TI requer desenvolvimento, manuteno e teste de planos de continuidade de TI, armazenamento de cpias de

54

continuidade de TI, armazenamento de cpias de segurana em local alternativo e treinamento peridico de planejamento de continuidade;

Continuidade dos ServiosDeve ser observado ainda: NBR 15999-1:2007, item 8.6 Planos de Continuidade de Negcios: o propsito de um plano de continuidade de negcios (PCN) permitir que uma organizao recupere ou mantenha suas atividades em caso de uma interrupo das operaes normais de negcios; NBR ISO/IEC 27002, item 14.1.3 Desenvolvimento e

55

NBR ISO/IEC 27002, item 14.1.3 Desenvolvimento e implementao de planos de continuidade relativos segurana da informao: convm que os planos sejam desenvolvidos e implementados para a manuteno ou recuperao das operaes e para assegurar a disponibilidade da informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio.


Efeitos reais e potenciais Vulnerabilidade ocorrncia de interrupo de servios; Perda de dados, inclusive histricos, de difcilrecuperao; Dificuldade no restabelecimento das operaes normaisquando da ocorrncia de interrupo de servios;

56

quando da ocorrncia de interrupo de servios; Vulnerabilidade a fraudes e erros durante a interrupode servios; Paralisao de funes essenciais de governo e/ou de Estado.

Estratgia de ContrataoA IN-4/2008 em seu art.14 estabelece as seguintes tarefas:I indicao do tipo de servio, considerando o mercado e as solues existentes no momento da licitao (TI); II indicao dos termos contratuais (TI e

57

II indicao dos termos contratuais (TI e Requisitante);III definio da estratgia de independncia do rgo ou entidade contratante com relao contratada (TI);IV indicao do Gestor do Contrato (TI);

Estratgia de Contratao

A IN-4/2008 em seu art.14 estabelece as seguintes tarefas:V definio das responsabilidades da contratada, que no poder se eximir do cumprimento integral do contrato no caso de subcontratao (TI); VI elaborao do oramento detalhado (TI e rea competente);

58

competente);VII indicao da fonte de recursos para a contratao e a estimativa do impacto econmico-financeiro no oramento do rgo/Entidade (Requisitante);VIII definio dos critrios tcnicos de julgamento da proposta para a fase de Seleo do Fornecedor (TI).

Estratgia de Contratao

A IN-4/2008 estabelece: Restries quanto aferio de esforo por meio da mtrica homens-hora ( 1) Que vedado contratar por postos de trabalho alocados ( 2)

59

Vedaes e recomendaes quanto s licitaes do tipo tcnica e preo (s 3 e 4) A Estratgia de Contratao dever ser aprovada e assinada pelo Requisitante e pela rea de TI ( 5)

Anlise de Riscos

A IN-4/2008 estabelece no art. 16. que a Anlise de Riscos dever ser elaborada pelo Gestor do Contrato, com o apoio da rea de TI e do Requisitante observando: I - identificao dos principais riscos que possam comprometer o sucesso do processo de contratao; II - identificao dos principais riscos que possam fazer com que os servios prestados no atendam s

60

com que os servios prestados no atendam s necessidades do contratante, podendo resultar em nova contratao; III - identificao das possibilidades de ocorrncia e dos danos potenciais de cada risco identificado;

Anlise de Riscos

A IN-4/2008 estabelece no art. 16. que a Anlise de Riscos dever ser elaborada pelo Gestor do Contrato, com o apoio da rea de TI e do Requisitante observando: ...

IV - definio das aes a serem tomadas para amenizar ou eliminar as chances de ocorrncia do risco;

61

V - definio das aes de contingncia a serem tomadas caso o risco se concretize; e VI - definio dos responsveis pelas aes de prevenodos riscos e dos procedimentos de contingncia.

Anlise de RiscosAcrdo n 1.603/2008-TCU-Plenrio: A ausncia da anlise de riscos na rea de TI, informadapor 75% dos rgos/entidades pesquisados, um indcio deque as aes de segurana no so executadas de maneirasintonizada com as necessidades do negcio dessasorganizaes. Isto porque, sem anlise de riscos, no hcomo o gestor priorizar aes e investimentos com base em

62

como o gestor priorizar aes e investimentos com base emcritrios claros e relacionados com o negcio daorganizao. Alm disso, o desconhecimento dos riscos na rea de TI aumenta a exposio s ameaas de acesso indevido, indisponibilidade e perda de integridade (intencional, como no caso das fraudes, ou por falhas) das informaes sob responsabilidade dessas organizaes.

Anlise de RiscosDeve ser observado: Acrdo n 1.603/2008-TCU-Plenrio; Cobit 4.1 PO9.4 de Riscos Avaliar periodicamente a probabilidade e o impacto de todos os riscos identificados, usando mtodos qualitativos e quantitativos. A probabilidade e o impacto associados com o risco inerente e residual devem ser determinados individualmente por categoria; NBR ISO/IEC 27002, item 4.1 Analisando/avaliando os riscos de

63

NBR ISO/IEC 27002, item 4.1 Analisando/avaliando os riscos de segurana da informao: convm que as anlises/avaliaes de riscos identifiquem, quantifiquem e priorizem os riscos com base em critrios relevantes para a organizao, e que os resultados orientem e determinem as aes de gesto apropriadas e as prioridades para o gerenciamento dos riscos de segurana da informao, e para a implementao dos controles selecionados, de maneira a proteger contra estes riscos.

Anlise de Riscos

Identificao dos principais riscos:que possam comprometer o sucesso do processo de contratao; que possam fazer com que os servios prestados no atendam s necessidades do contratante, podendo resultar em nova

64

contratante, podendo resultar em nova contratao;

Identificao das possibilidades de ocorrncia e dos danos potenciais de cada risco identificado;

Anlise de Riscos

definio das aes a serem tomadas:para amenizar ou eliminar as chances de ocorrncia do risco; caso o risco se concretize; e

definio dos responsveis pelas aes de

65

definio dos responsveis pelas aes de preveno dos riscos e dos procedimentos de contingncia.

Os servios somente podero ser licitados quando houverprojeto bsico aprovado pela autoridade competente (Lei8.666/93, art. 7, I e 2, I e IN/SLTI 02/2008, art. 14).

O objeto da contratao deve estar precisamentecaracterizado e quantificado no projeto bsico (Lei 8.666/93,arts. 7, 4; 8; 14; 15, 7; 55).

O projeto bsico deve conter, no que couber, o detalhamento

Projeto Bsico

66

O projeto bsico deve conter, no que couber, o detalhamentoprevisto no art. 6, IX, da Lei 8.666/93, devendo a suadefinio ser precisa, suficiente e clara.

So vedadas especificaes excessivas, irrelevantes oudesnecessrias que limitem ou frustrem a competio ou arealizao do fornecimento (Decreto 3.555/2000, art. 8, I eIN/SLTI 02/2008, art. 16).

Nos projetos bsicos de servios sero considerados principalmente os seguintes requisitos (art. 12 da Lei 8.666/1993):

segurana; funcionalidade e adequao ao interesse pblico; economia na execuo, conservao e operao; possibilidade de emprego de mo-de-obra, materiais,

Projeto Bsico

67

tecnologia e matrias-primas existentes no local paraexecuo, conservao e operao;

facilidade na execuo, conservao e operao, semprejuzo da durabilidade do servio;

adoo das normas tcnicas, de sade e de seguranaadequadas.

A IN/SLTI 04/2008, que cuida especificamente dacontratao de servios da rea de TI, prev, em seu art.17, que o Projeto Bsico dever conter, no mnimo, asseguintes informaes:

definio do objeto; fundamentao da contratao; requisitos do servio; modelo de prestao dos servios;

Projeto Bsico

68

modelo de prestao dos servios; elementos para gesto do contrato; estimativa de preos; indicao do tipo de servio; critrios de seleo do fornecedor; e adequao oramentria.

(Vide Acrdo 2.471/2008-Plenrio, item 9.1.1)

Art. 19. A fase de Seleo do Fornecedorobservar as normas pertinentes, incluindo odisposto na Lei n 8.666, de 1993, na Lei n 10.520, de 2002, no Decreto n 2.271, de 1997,

Seleo de Fornecedor

69

no Decreto n 2.271, de 1997, no Decreto n 3.555, de 2000, no Decreto n 3.931, de 2001, e no Decreto n 5.450, de 2005.

Encerrado o procedimento licitatrio e contratado o vencedor do certame para o fornecimento do objeto, inicia-se a fase de execuo contratual.

Nessa fase, compete Administrao garantir

Gerenciamento do Contrato

70

Nessa fase, compete Administrao garantir que o contratado cumpra os termos contratuais, de forma que o objeto do contrato seja fornecido nas condies e prazos estabelecidos..

A gesto contratual compreende uma sriede atividades envolvendo:

solicitao dos servios; acompanhamento; fiscalizao da execuo; avaliao da qualidade e aderncia s

Gerenciamento do Contrato

71

avaliao da qualidade e aderncia s especificaes;

ateste da realizao dos trabalhos; aplicao de penalidades; pagamento.

Processo de Gesto Contratual

Acrdo 1.603/2008-TCU-Plenrio:

Para se gerir adequadamente os riscos inerentes s atividades de TI, a adoo de processo formal de trabalho de suma

72

processo formal de trabalho de suma importncia. Esse processo de trabalho deve ser definido, padronizado, documentado, aprovado e divulgado para toda a organizao.


Lei n 8.666/1993, Captulo III; IN-04/2008, Seo III; Acrdo 1.603/2008-TCU-Plenrio; Cobit 4.1 AI5.1 Controle sobre aquisies

desenvolver e seguir um conjunto de procedimentos e padres consistente com o

73

procedimentos e padres consistente com o processo de licitao e a estratgia de aquisio gerais da organizao para adquirir infra-estrutura, instalaes, hardware, software e servios de TI necessrios ao negcio.


Incio da Execuo Contratual Execuo Contratual

Monitorao Tcnica (eficincia/efetividade) Atestao Tcnica Monitorao Administrativa

74

Autorizao de Pagamento Encerramento e Transio Contratual O registro das tarefas acima dever compor o Histrico

de Gesto do Contrato

Incio da Execuo Contratual Elaborao, pelo Gestor do Contrato, de um plano de

insero da contratada que contemple: o repasse de conhecimentos necessrios para a

execuo dos servios contratada; e a disponibilizao de infraestrutura contratada,

quando couber Reunio inicial entre o Gestor do Contrato, rea de TI,

Requisitante e a contratada, cuja pauta observar, pelo

75

Requisitante e a contratada, cuja pauta observar, pelo menos: assinatura do termo de compromisso de manuteno de

sigilo e cincia das normas de segurana vigentes no rgo ou entidade; e

esclarecimentos relativos a questes operacionais e de gerenciamento do contrato.

Incio da Execuo Contratual

Reunio de alinhamento de expectativas Checagem de compreenso do objetivo, do objeto, do

modelo de prestao de servios, do modelo de gesto, das obrigaes e das penalidades

Releitura do Edital, Contrato e termos da proposta vencedora

76

vencedora Manuteno das condies habilitatrias e

pontuadas Confirmao de cronogramas (etapas, faturamento,

etc.)

Encaminhamento Formal de Demandas

Encaminhamento formal de demandas pelo Gestor do Contrato ao preposto da contratada por meio de Ordens de Servio, que contero:

definio e especificao dos servios a serem realizados; volume de servios solicitados e realizados segundo as

mtricas definidas; resultados esperados;

77

resultados esperados; o cronograma de realizao dos servios, includas todas as

tarefas significativas e seus respectivos prazos; avaliao da qualidade dos servios realizados e as

justificativas do avaliador; e identificao dos responsveis pela solicitao, avaliao da

qualidade e ateste dos servios realizados, que no podem ter vnculo com a empresa contratada;

Monitoramento da Execuo

A cargo do Gestor do Contrato, com apoio Requisitante e da rea de TI, que consiste em:

recebimento mediante anlise da avaliao dos servios, com base nos critrios previamente definidos;

ateste para fins de pagamento; identificao de desvios e encaminhamento de demandas

de correo;

78

de correo; encaminhamento de glosas e sanes; verificao de aderncia s normas do contrato; verificao da manuteno da necessidade, economicidade

e oportunidade da contratao; verificao da manuteno das condies classificatrias,

pontuadas e da habilitao tcnica;

Monitoramento da Execuo

(continuao): manuteno do Plano de Sustentao; comunicao s autoridades competentes sobre a

proximidade do trmino do contrato, com pelo menos 60 (sessenta) dias de antecedncia;

manuteno dos registros de aditivos;

79

encaminhamento s autoridades competentes de eventuais pedidos de modificao contratual; e

manuteno de registros formais de todas as ocorrncias da execuo do contrato, por ordem histrica.


Execuo contratual Monitorao tcnica (eficincia e efetividade)

Reunies peridicas, quando conveniente Procedimentos de verificao de nvel de

servio

80

servio Notificao de desvios de normalidade Encaminhamento de proposta de apenao

(glosas e sanes) Capacitao e disponibilidade de

fiscalizadores


Execuo contratual Atestao tcnica

Registro (para eventual auditoria) da verificao de execuo

81

verificao de execuo Registro das notificaes/apenaes e seu

andamento Propostas de glosa

penalidades cabveis e valores das multas as penalidades esto previstas no art. 87 da

Lei n 8.666/1993 e art. 7 da Lei n10.520/2002;


82

o contrato dever especificar as condiesde aplicao da multa e respectivos valores.


Execuo contratual Monitorao Administrativa (legalidade e economicidade)

Aspectos trabalhistas (encargos, subordinao direta, desvio de funo, pessoalidade indevida, ingerncia administrativa)

Aspectos fiscais (regularidade cadastral)

83

Aspectos fiscais (regularidade cadastral) Manuteno das condies habilitatrias/pontuadas Atendimento aos normativos internos Verificao da vantajosidade do preo (estabelecer

periodicidade e mtodo para verificao)


Execuo contratual Autorizao de pagamento

Mensurao do servio prestado Registro (para eventual auditoria) da

84

Registro (para eventual auditoria) da mensurao

Obrigado

85

[email protected](61) 3316-5900

www.tcu.gov.br/fiscalizacaoti

www.tcu.gov.br

Valores

86

ticaJustia

EfetividadeIndependncia

Profissionalismo

AUDITORIA TI TCU.pdf

Documents

Transcript of AUDITORIA TI TCU.pdf