Identificao

Acrdo 1603/2008 - Plenrio

Nmero Interno do Documento
AC-1603-32/08-P
Grupo/Classe/Colegiado
GRUPO I / CLASSE V / Plenrio
Processo
008.380/2007-1
Natureza
Levantamento de Auditoria
Entidade
rgo: Diversos rgos e entidades da Administrao Pblica Federal
Interessados
Interessado: Congresso Nacional
Sumrio
LEVANTAMENTO DE AUDITORIA. SITUAO DA GOVERNANA DE TECNOLOGIA DA INFORMAO TI NA ADMINISTRAO PBLICA FEDERAL. AUSNCIA DE PLANEJAMENTO ESTRATGICO INSTITUCIONAL.
DEFICINCIA NA ESTRUTURA DE PESSOAL. TRATAMENTO INADEQUADO CONFIDENCIALIDADE, INTEGRIDADE E
DISPONIBILIDADE DAS INFORMAES. RECOMENDAES
Assunto
Levantamento de Auditoria
Ministro Relator
Guilherme Palmeira
Representante do Ministrio Pblico
no atuou
Unidade Tcnica
Secretaria de Fiscalizao de Tecnologia da Informao - Sefti
Advogado Constitudo nos Autos
no h
Dados Materiais
(com 9 anexos)
Relatrio do Ministro Relator

Reproduzo, no essencial, o Relatrio da equipe da Secretaria de Fiscalizao de Tecnologia da

Informao - Sefti encarregada dos trabalhos, com cujas concluses manifestaram-se de acordo a Diretora e o
Secretrio:
"2. Introduo
1. Este levantamento foi autorizado pelo Acrdo 435/2007 - Plenrio com o objetivo de "coletar
informaes acerca dos processos de aquisio de bens e servios de TI, de segurana da informao, de gesto
de recursos humanos de TI, e das principais bases de dados e sistemas da Administrao Pblica Federal".
Viso geral
2. O objetivo da governana de TI assegurar que as aes de TI estejam alinhadas com o negcio
da organizao, agregando-lhe valor. O desempenho da rea de TI deve ser medido, os recursos propriamente
alocados e os riscos inerentes, mitigados. Assim, possvel gerenciar e controlar as iniciativas de TI nas
organizaes para garantir o retorno de investimentos e a adoo de melhorias nos processos organizacionais.
3. A governana adequada da rea de tecnologia da informao na Administrao Pblica Federal
promove a proteo a informaes crticas e contribui para que essas organizaes atinjam seus objetivos
institucionais. Alm disso, garantir a correta aplicao dos recursos empregados em tecnologia da informao se
torna cada vez mais importante, tendo em vista que somente na Administrao Federal o gasto em TI ultrapassa
seis bilhes de reais por ano, segundo dados do Sistema Integrado de Administrao Financeira (Siafi) e do
Departamento de Coordenao e Governana das Empresas Estatais (Dest), obtidos pela Sefti em levantamento
realizado em 2007 (TC-007.972/2007-8).
Objetivos e questes de Auditoria
4. O objetivo principal deste levantamento foi obter informaes para elaborao de mapa com a
situao da governana de TI na Administrao Pblica Federal. Em paralelo, foram identificados os principais
sistemas e bases de dados da Administrao Pblica Federal. Com essa gama de informaes ser possvel
verificar onde a situao da governana de TI est mais crtica e identificar as reas onde o TCU pode, e deve,
atuar como indutor do processo de aperfeioamento da governana de TI. Alm disso, o planejamento das
fiscalizaes da Sefti contar com subsdios valiosos para seu aprimoramento.
5. Durante a fase de planejamento, a equipe do levantamento realizou diversas reunies com a
equipe de analistas da Sefti e formulou as seguintes questes de Auditoria:
Q1. feito planejamento estratgico institucional e de TI nos rgos/entidades?
Q2. Qual o perfil dos recursos humanos da rea de TI quanto formao, vnculo com a organizao
e pr-requisitos para ocupao de funes comissionadas?
Q3. So efetuadas aes e procedimentos que contribuam para a minimizao dos riscos e o
aumento no nvel de segurana das informaes dos rgos/entidades?
Q4. O desenvolvimento de sistemas segue alguma metodologia? Os rgos/entidades mantm
inventrio dos principais sistemas e bases de dados?
Q5. Os rgos/entidades gerenciam os acordos de nveis de servio tanto quando prestam
internamente como quando contratam externamente servios de TI?
Q6. O processo de contratao de bens e servios de TI formalizado, padronizado e judicioso
quanto ao custo, oportunidade e aos benefcios advindos das contrataes de TI?
Q7. O processo de gesto dos contratos de TI formalizado, padronizado e executado?
Q8. Os rgos/entidades solicitam o oramento de TI com base no planejamento da rea e
controlam os gastos com TI ao longo do exerccio financeiro?
Q9. Os rgos/entidades realizam Auditorias de TI nas suas organizaes?
Estratgia metodolgica e limitaes

6. Durante a fase de planejamento foi elaborada matriz de planejamento com intuito de definir as
reas da governana de TI a serem pesquisadas e organizar a execuo do trabalho.
7. Foram selecionados, como amostra, 333 rgos/entidades representativos da Administrao
Pblica Federal. Desses rgos/entidades, 29 responderam em conjunto com outros rgos/entidades e 14 no se
consideram integrantes da Administrao Pblica Federal, apesar de jurisdicionados ao Tribunal, em especial os
que fazem parte do Sistema "S" (Apndice IV, fl. 42). Outros 25 rgos/entidades no responderam pesquisa e
10 no completaram a quantidade mnima estabelecida de respostas (Apndice III, fl. 41-v). Assim, 255
rgos/entidades participaram efetivamente do levantamento. Dessa relao constaram ministrios, universidades
federais, tribunais federais, agncias reguladoras, autarquias, secretarias, departamentos e empresas estatais.
Ainda no planejamento, para ser submetido aos rgos e s entidades da amostra, foi elaborado questionrio
composto de 39 perguntas baseadas nas normas tcnicas brasileiras NBR ISO/IEC 17799:2005, NBR ISO/IEC
15999-1:2007 e no "Control Objectives for Information and related Technology 4.1 (Cobit 4.1)".
8. A norma NBR ISO/IEC 17799:2005 o cdigo de prtica para a gesto da segurana da
informao mais adotado em todo o mundo. Essa norma teve sua primeira verso internalizada pela Associao
Brasileira de Normas Tcnicas (ABNT) em setembro de 2001, e conta com a segunda verso em vigor desde
setembro de 2005. Essa norma fornece recomendaes em gesto da segurana da informao para uso dos
responsveis pela implementao e manuteno da segurana em suas organizaes. Tem como propsito prover
uma base comum para o desenvolvimento de normas de segurana organizacional e das prticas efetivas de
gesto da segurana, e prover confiana nos relacionamentos entre as organizaes.
9. A norma NBR 15999-1:2007 o cdigo de prtica para a gesto de continuidade de negcios,
baseada na norma inglesa BSI 25999:2006 e internalizada no Brasil pela ABNT em outubro de 2007. Seu objetivo
fornecer um sistema baseado nas boas prticas de gesto de continuidade de negcios.
10. O Cobit, por sua vez, um modelo de gesto orientado a processos e est dividido em quatro
grandes grupos: Planejar e Organizar (Plan & Organise - PO), Adquirir e Implementar (Acquire & Implement - AI),
Entregar e Assistir (Deliver & Support - DS) e Monitorar e Avaliar (Monitor & Evaluate - ME), cujas iniciais sero
utilizadas no decorrer do relatrio para fins de referncia como critrios de Auditoria. O Cobit se encontra
disponvel no site www.isaca.org. Vale salientar que se trata de modelo j amplamente reconhecido e utilizado, no
Brasil e no mundo, no mbito da tecnologia da informao, tanto por gerentes de informtica quanto por
Auditores de TI.
11. Na fase de execuo do levantamento, os rgos e entidades selecionados receberam, por meio
de correspondncia oficial, a identificao e a senha individual para acesso ao questionrio e, posteriormente, via
mensagem eletrnica, o link para o questionrio on-line. O software Risk Manager apoiou o envio, a coleta e a
tabulao das informaes do questionrio.
12. Durante o preenchimento do questionrio, foi solicitado aos gestores de TI dos rgos e
entidades que anexassem documentos eletrnicos para servirem de evidncias s respostas apresentadas. Em
geral, esses documentos solicitados so atos normativos formais da organizao, mas poderiam ser tambm atas
de reunio ou outras publicaes internas aceitas e reconhecidas pelo rgo/entidade. Deve-se observar que as
informaes coletadas foram declaradas pelos gestores e no verificadas pela equipe junto aos rgos/entidades.
Alm disso, nesse primeiro momento, no foi avaliada a pertinncia e a qualidade dos documentos produzidos e
anexados pelos rgos/entidades.
13. Ao final da coleta de informaes, as respostas apresentadas nos questionrios foram tabuladas
e as evidncias organizadas em pastas eletrnicas para consulta e tratamento posterior.
14. Como limitao execuo dos trabalhos, deve-se destacar que alguns rgos/entidades no
dispunham de todas as informaes solicitadas e fizeram muito esforo para obt-las. Mesmo assim, alguns

rgos/entidades no conseguiram obter todas as informaes e as questes relativas a elas ficaram sem
resposta.
Volume de recursos fiscalizados
15. Conforme a Portaria n. 222, de 10 de novembro de 2003, a mensurao do volume de recursos
fiscalizados no se aplica a este instrumento de fiscalizao.
Benefcios estimados
16. Os benefcios estimados do presente trabalho so a possibilidade da Sefti planejar aes a serem
realizadas com intuito de aperfeioar a governana de TI nos principais rgos/entidades da APF e a
disponibilidade de informaes importantes nessa rea s equipes de futuras fiscalizaes. Alm disso, a Sefti
contar com um repositrio com os contatos dos gestores de TI dos rgos/entidades participantes do
levantamento.
3. Planejamento estratgico institucional e de TI
17. O contexto atual de intensas mudanas faz com que as organizaes tenham que se adaptar
rapidamente s alteraes do ambiente em que atuam. No entanto, h organizaes que ainda atuam de maneira
reativa, apenas respondendo s demandas geradas por essas mudanas. H gestores que ainda acreditam ser
impossvel definir estratgias de ao devido rapidez e constncia dessas mudanas.
18. Dentro desse cenrio de instabilidade, o planejamento tem se tornado cada vez mais importante
e vital e deve ser construdo de maneira flexvel, com o engajamento e comprometimento de todos os
colaboradores da organizao. As organizaes que no planejam correm riscos de no alcanarem os objetivos
desejados. Com uma viso de futuro estabelecida, as organizaes podero se adaptar s constantes mudanas
que ocorrem na sua rea de atuao e agilizar seu processo de tomada de decises.
19. O planejamento estratgico torna-se uma importante ferramenta para a tomada de deciso e faz
com que os gestores estejam aptos a agir com iniciativa, de forma pr-ativa, contra as ameaas e a favor das
oportunidades identificadas nas constantes mudanas que ocorrem.
20. O alinhamento de todos os planos, recursos e unidades organizacionais um fator fundamental
para que a estratgia delineada no planejamento possa ser implementada. Assim, o planejamento estratgico de
TI tem que estar alinhado com os planos de negcio da organizao para o estabelecimento das prioridades e das
aes a serem realizadas na rea de TI.
Achado I. Ausncia de planejamento estratgico institucional em vigor
21. Um percentual expressivo dos 255 rgos/entidades pesquisados (47%) no tem planejamento
estratgico institucional em vigor. Esse fato demonstra que quase metade das organizaes pesquisadas no
possuem a cultura de planejar estrategicamente suas aes e apenas reagem s demandas e s mudanas
ocorridas no seu mbito de atuao. Essa forma de atuao dificulta o planejamento das aes de TI.
22. O confronto desses dados com a informao de que 59% das organizaes pesquisadas no
fazem planejamento estratgico de TI (Achado II), permite algumas anlises. Dos 47% dos rgos/entidades que
afirmaram no possuir planejamento estratgico institucional, 81%, isto , 97 rgos/entidades no possuem
planejamento estratgico de TI (Grfico 1).
23. Por outro lado, o fato de haver planejamento estratgico institucional, por si s, no garante que
haver planejamento estratgico de TI. Em 40% das organizaes que dispunham do primeiro, no havia o
segundo (Grfico 1).
24. Deve-se destacar, mais uma vez, a importncia do planejamento estratgico institucional para a
governana de TI. Para que o planejamento estratgico de TI seja efetivo e proporcione os resultados esperados,
ele deve estar alinhado ao planejamento estratgico institucional. A falta deste impede o alinhamento desejado e
ainda dificulta o estabelecimento de diretrizes para a rea de TI.

Planejamento Estratgico de TI
Grfico 1 - Planejamento estratgico
Critrios
a) Cobit 4.1 PO1.2 Business-IT Alignment (Alinhamento de TI com negcio - Estabelecer processos
de educao bidirecional e de envolvimento recproco no planejamento estratgico para obteno de alinhamento
e integrao entre o negcio e as aes de TI. As prioridades devem ser acordadas mutuamente a partir da
negociao das necessidades do negcio e da rea de TI);
b) Acrdo 1.558/2003-TCU-Plenrio, item 9.3.9.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 1. H planejamento institucional em vigor? (fl. 37).
Efeitos potenciais
a) Suporte ineficaz da rea de TI na consecuo da misso da organizao;
b) Decises dos gestores de TI incompatveis com as necessidades da organizao;
c) Alocao indevida de recursos de TI por falta de entendimento sobre as prioridades da
organizao;
d) Desperdcio de recursos devido a decises erradas acerca da alocao de recursos de TI.
Achado II. Ausncia de planejamento estratgico de TI em vigor
25. Por sua magnitude, o percentual de rgos/entidades que no dispem de planejamento
estratgico de TI em vigor, 59 %, chama a ateno. Evidentemente, no se deve confundir o fato de no possuir
planejamento estratgico com o fato de no possuir planejamento algum. Os rgos/entidades podem possuir
algum tipo de planejamento, normalmente um plano de ao anual. Apesar de necessrios, os planos de ao
anuais so insuficientes porque no conseguem indicar caminhos e estratgias, apenas prevem como sero
alocados os recursos disponveis naquele ano. Alm disso, esses planos no so bons instrumentos para
acompanhar e apoiar os projetos de mdia e longa duraes, comuns na rea de TI. Outro problema normalmente
observado quando da ausncia de planejamento estratgico a descontinuidade desses projetos e o conseqente
desperdcio de recursos.
26. O planejamento estratgico de TI deve indicar os projetos e servios de TI que recebero
recursos, os custos, as fontes de recursos e as metas a serem alcanadas. Deve ser uma atividade regular e os
documentos resultantes devem ser aprovados pela alta administrao.
27. Alm disso, ao analisar superficialmente algumas das evidncias apresentadas como planos
estratgicos de TI por rgos/entidades participantes do levantamento, a equipe observou que vrios desses
documentos eram cartas de inteno internas da rea de TI e/ou projetos de planos, e no propriamente planos
estratgicos de TI.
Critrios
a) Cobit 4.1 PO1.4 IT Strategic Plan (Plano Estratgico de TI - Criar um plano estratgico que defina,
em cooperao com os principais interessados, como as metas de TI contribuiro para os objetivos estratgicos
da organizao e quais os custos e riscos associados. O plano deve incluir os servios de TI, os ativos de TI e
como a rea de TI dar suporte aos projetos dependentes de tecnologia da informao. A rea de TI deve definir
como os objetivos sero alcanados, as mtricas a serem usadas e os procedimentos para obter a aprovao
formal dos interessados. O plano estratgico de TI deve conter oramento para investimentos e custeio de TI,
fontes de recursos, estratgia de aquisies, e requisitos legais e regulatrios. O plano estratgico deve ser
suficientemente detalhado para permitir a definio de planos tticos de TI);
b) Acrdo 1.558/2003-TCU-Plenrio, item 9.3.9.
Evidncias

a) Apndice I, planilha de resultados, pergunta: 2. H planejamento estratgico para a rea de TI

em vigor? (fl. 37).
Efeitos potenciais
a) Suporte ineficaz da rea de TI na consecuo da misso da organizao;
b) Planos de TI no alinhados s necessidades do negcio;
c) Inexistncia de consultas regulares entre gerente de TI e demais gerentes acerca dos projetos e
servios de TI;
d) Enfraquecimento das aes de TI;
e) Descontinuidade dos projetos de TI;
f) Insatisfao dos usurios;
g) Viso negativa da rea de TI;
h) Resultados da rea de TI abaixo do esperado;
i) Dificuldade de obteno de recursos para a rea de TI;
j) Investimentos desnecessrios em TI;
k) Desperdcio de recursos.
Achado III. Ausncia de comit diretivo sobre aes e investimentos em TI
28. A existncia de um comit diretivo de TI (IT Steering Committee), que determine as prioridades
de investimento e alocao de recursos nos diversos projetos e aes de TI, de fundamental importncia para o
alinhamento entre as atividades de TI e o negcio da organizao, bem como para a otimizao dos recursos
disponveis e a reduo do desperdcio. O fato desse comit ser composto por dirigentes de TI e de outras reas
da organizao possibilita que as decises de investimentos sejam obtidas a partir de uma viso mais abrangente,
o que reduz os riscos de erro.
29. Menos de um tero (32 %) dos rgos/entidades pesquisados declararam possuir um comit
diretivo de TI ou algo equivalente. Por no haver um frum competente para discusso, as decises sobre
investimentos em TI correm maior risco de serem equivocadas e levarem ao desperdcio de recursos, e ainda de
no estarem alinhadas aos objetivos da organizao.
Critrios
a) Cobit 4.1 PO4.3 IT Steering Committee (Comit Diretivo de TI - Criar um comit diretivo de TI (ou
equivalente) composto de gerentes executivos, de negcios e de TI, para: determinar as prioridades de
investimento e alocao de recursos nas aes de TI, alinhadas s estratgias e prioridades da organizao;
acompanhar o estgio de desenvolvimento dos projetos e resolver conflitos relativos a recursos; e monitorar os
nveis de servio de TI e suas melhorias).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 3. H comit que decida sobre a priorizao das
aes e investimentos de TI? (fl. 37).
Efeitos potenciais
a) Estratgia de TI no alinhada com a estratgia da organizao;
b) Apoio inexistente ou insuficiente dos projetos baseados em TI aos objetivos institucionais;
c) Apoio e envolvimento insuficientes da administrao nas decises essenciais da rea de TI.
Concluso
30. Tendo em vista os dados apresentados, pode-se inferir que a falta de planejamento estratgico
institucional inibe e/ou prejudica o planejamento das aes de TI. Desse fato podem decorrer aes de TI
equivocadas que levam a desperdcio de recursos. O estmulo elaborao de planejamento estratgico
institucional deve ser a primeira ao para a melhoria da governana de TI. O segundo passo deve ser o estmulo

a que, em consonncia com o planejamento estratgico institucional, seja elaborado o planejamento estratgico
de TI.
31. O planejamento estratgico de TI essencial para que as organizaes possam identificar e
alocar corretamente os recursos da rea de TI de acordo com as prioridades institucionais e com os resultados
esperados. O percentual de 59% de rgos/entidades pesquisados sem planejamento estratgico de TI
preocupante porque a ausncia de planejamento estratgico leva ao enfraquecimento das aes e da prpria rea
de TI devido descontinuidade dos projetos e conseqente insatisfao dos usurios e resultados abaixo do
esperado. Isso pode comprometer toda a rea de TI e influenciar negativamente o desempenho do
rgo/entidade na sua misso institucional j que a TI representa importante ferramenta para o desenvolvimento
das aes previstas.
32. O fato de menos de um tero dos rgos/entidades pesquisados terem um comit diretivo de TI
funcionando demonstra a pouca importncia dada participao de todos os setores da organizao nas decises
estratgicas de TI. A existncia do comit diretivo de TI, aliada aos planejamentos estratgicos institucionais e de
TI, constitui instrumento valioso no direcionamento dos investimentos de TI e no combate ao desperdcio de
recursos.
Proposta de encaminhamento
33. Recomendar Secretaria de Logstica e Tecnologia da Informao (SLTI) do Ministrio do
Planejamento, Oramento e Gesto, ao Conselho Nacional de Justia e ao Conselho Nacional do Ministrio Pblico
que promovam aes com objetivo de disseminar a importncia do planejamento estratgico e induzir, mediante
orientao normativa, os rgos/entidades da Administrao Pblica Federal a realizarem aes para implantao
e/ou aperfeioamento de planejamento estratgico institucional, planejamento estratgico de TI e comit diretivo
de TI.
4. Estrutura de pessoal de TI
34. Em qualquer rea de atuao tcnica da organizao crtica a adequao da estrutura de
pessoal - e no diferente quando nos referimos tecnologia da informao. O TCU tem observado esse requisito
na administrao pblica brasileira a fim de fornecer orientaes adequadas com base em observaes feitas em
Auditorias relacionadas TI (exemplos: Acrdo 667/2005-TCU-Plenrio ; Acrdo 2.023/2005-TCU-Plenrio ; e
Acrdo 786/2006-TCU-Plenrio ).
35. Um marco importante o Acrdo 140/2005-TCU-Plenrio, no qual o Relator expressa sua
preocupao com os recursos humanos da rea de TI de toda a administrao pblica:
III III - "Existe, pois, um ncleo de atividades de informtica que so estratgicas: ou porque lidam com
informaes privilegiadas, ou porque tratam da fiscalizao dos contratos, ou porque delas depende o
funcionamento do prprio setor e das demais unidades que utilizam seus servios, ou porque envolvem a tomada
de deciso sobre a realizao de despesas de vulto na aquisio de bens e contratao de servios. Quando essas
atividades no so regularmente executadas, as chances de serem causados prejuzos Administrao aumentam
consideravelmente. Portanto, no razovel que esses encargos sejam exercidos por servidores sem qualificao
ou, dado o conflito de interesses, sejam "delegados" a pessoal terceirizado em razo das deficincias no quadro
do rgo pblico.
IV - No me parece que a situao constatada no Ministrio da Agricultura seja um caso isolado,
visto que a carncia de recursos humanos na Administrao Pblica Federal fato notrio".
VVI -

36. Uma das determinaes desse Acrdo foi a realizao de Auditoria para avaliar a adequao da
estrutura de pessoal de TI , que motivou a incluso, no presente trabalho, de questes sobre aspectos de recursos
humanos apontados no Acrdo.
37. A necessidade de haver uma quantidade mnima de servidores da rea de TI do rgo/entidade,
em relao quantidade daqueles que atuam na rea mas no so servidores efetivos, foi uma das preocupaes
do Acrdo para evitar que aes crticas ou estratgicas de TI sejam delegadas a pessoal terceirizado em funo
da ausncia de quadro mnimo. Para avaliar essa situao na Administrao Pblica Federal, os gestores
participantes deste levantamento foram questionados quanto composio do seu quadro de TI, no que diz
respeito ao vnculo com a administrao, considerando os profissionais que trabalham nas dependncias do rgo
(servidores, comissionados e terceirizados). importante ressaltar que no foram computados aqui os
profissionais que trabalham na execuo de servios para projetos especficos, executados primordialmente no
ambiente da contratada.
38. Outro aspecto importante a qualificao dos profissionais em relao s atividades que deve
desempenhar a rea de TI dos rgos/entidades. Nesse caso, h duas preocupaes: qualificao gerencial e
qualificao tcnica em TI. Quanto qualidade dos gerentes, a estratgia utilizada foi levantar, no presente
questionrio, se h critrios para concesso das funes comissionadas de TI nos rgos/entidades. J a
qualificao tcnica foi examinada a partir do nvel de formao dos profissionais em TI, desde a graduao - que
no obrigatria para a investidura em cargo de TI, por no haver regulamentao da profisso - at psgraduaes formais. Optou-se, nesse primeiro momento, por no levantar treinamentos tcnicos especficos
(certificaes, cursos de atualizao, congressos) que, apesar de extremamente necessrios para a rea, no
permitiriam uma tabulao em funo da diversidade. Finalmente, foi verificado tambm se os rgos/entidades
possuem carreira especfica para a rea de TI.
39. Vale ressaltar que as verificaes realizadas quanto quantidade dos profissionais e sua
qualificao no so exaustivas para traar o perfil do corpo tcnico de TI dos rgos/entidades, mas apenas um
ponto de partida para fornecer subsdios ao direcionamento de aes de Auditoria especficas. Alm disso, outros
indicadores de qualidade, como o nvel de rotatividade do pessoal, porcentagem de certificaes tcnicas,
existncia de planos de treinamento regulares, aderncia do corpo tcnico a esses planos, nvel de satisfao dos
clientes com a qualidade do corpo tcnico e outros, apontados pelo Cobit na gesto de pessoal, foram deixados
para prximas edies deste levantamento.
Achado IV. Quantidade reduzida de servidores na rea de TI
40. Uma quantidade expressiva de rgos/entidades (95%) informou que possui algum servidor do
seu quadro atuando na rea de TI. Contudo, ao verificar-se a proporo entre servidores do quadro e
colaboradores externos a ele, possvel observar ainda a ocorrncia de muitos colaboradores externos em alguns
rgos/entidades. O Grfico 2 mostra trs grupos de rgos/entidades: aqueles com mais de 2/3 do seu quadro
composto por servidores, aqueles nos quais esse valor est entre 1/3 e 2/3, e aqueles onde os servidores
constituem menos de 1/3 do quadro.
Grfico 2 - Servidores/terceirizados na rea de TI
41. importante ressaltar que no h uma resposta definitiva, nem na literatura especializada, nem
em estatsticas, para a questo: "o quanto podemos terceirizar?". Uma grande quantidade de terceirizados e de
outros colaboradores externos representa um aumento do risco organizacional, especialmente se associado a
controles fracos, terceirizao da "inteligncia" da organizao ou de atividades estratgicas. Sozinha, entretanto,
apenas um indcio de que pode haver dificuldade na gesto desses colaboradores e um alerta para o Auditor
sobre a necessidade de considerar crtica a inexistncia de controles sobre eles.

42. Seguindo esse raciocnio, verificou-se que dentre os 70 rgos pesquisados (29%) com rea de
TI composta de menos de 1/3 de servidores do quadro, 63% tambm no tm planejamento estratgico de TI
(Grfico 2). Ao mesmo tempo em que aumenta o risco de ausncia de controles, a ausncia de planejamento
aponta uma potencial dificuldade de alocao de recursos humanos necessrios realizao das aes de TI.
43. Finalmente, a maior quantidade de colaboradores externos ao quadro dos rgos/entidades
pesquisados aumenta o risco de perda de conhecimento organizacional, na medida em que esse conhecimento
esteja depositado em indivduos sem vnculo e menos compromissados com a organizao. Quanto menor o
quadro de servidores, maior a probabilidade de que algum conhecimento fique somente entre os colaboradores
externos e, portanto, maior o risco de que esse conhecimento se perca.
Critrios
a) Acrdo 140/2005-TCU-Plenrio;
b) Cobit 4.1 PO7.5 Dependence Upon Individuals (Dependncia em Indivduos - Minimizar a
ocorrncia de dependncia crtica em indivduos chave por meio de aquisio de conhecimento (documentao),
compartilhamento de conhecimento, planejamento de sucesso e equipe reserva).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 4. H servidores/empregados do quadro que atuam
na rea de TI desse rgo/entidade? (fl. 37)
Efeitos potenciais
a) Dependncia do rgo/entidade de servidores/empregados alheios ao quadro para execuo de
atividades crticas para o negcio;
b) Aumento de custo para a Administrao em contratos onde o contratado no pode ser facilmente
substitudo sem perda de continuidade de servios de TI;
c) Inobservncia da poltica de segurana da informao da empresa em funo da necessidade de
manipulao de informaes sigilosas por terceirizados;
d) Conflito de interesses na fiscalizao de contratos, quando feita por outros terceirizados.
Achado V. Ausncia de formao especfica em TI
44. Segundo as informaes levantadas no questionrio, somente 37% dos servidores que atuam
nas reas de TI dos rgos/entidades pesquisados possuem formao especfica em TI (incluindo aqui doutorado,
mestrado, ps-graduao lato sensu e nvel superior). A falta de especializao preocupa em funo do aumento
da importncia estratgica da TI para as organizaes, pois um quadro menos especializado tende a produzir
resultados de mais baixa qualidade.
45. Outra preocupao que tal perfil leve a organizao a buscar no mercado a competncia
pessoal que lhe falta em seu quadro, seja por meio de terceirizados, seja por meio de requisies/comisses. De
acordo com as informaes coletadas, entre os colaboradores requisitados h um percentual maior (48%) com
formao especfica em TI. No foram coletadas informaes sobre a formao de terceirizados.
46. De todo modo, apenas buscar a formao na seleo de colaboradores externos no resolve o
problema, pois a equipe interna continua com dificuldades na execuo de aes estratgicas e tarefas de
fiscalizao de contratos terceirizados.
47. Finalmente, h que se considerar que a profisso de analista de sistemas no regulamentada e,
portanto, no h restrio legal para a atuao em TI. Alm disso, pode haver dificuldade em especificar nos
editais de concurso qual o universo de cursos superiores da rea de TI que so aceitveis para o perfil profissional
desejado.
Critrios
a) Acrdo 140/2005-Plenrio;

b) Cobit 4.1 PO7.2 Personnel Competencies (Competncias Pessoais - Regularmente verificar que os
profissionais de TI tm as competncias necessrias para exercer sua funo com base em sua formao,
treinamento e/ou experincia. Definir as competncias de TI bsicas e verificar que so mantidas, por meio de
programas de qualificao e certificao quando apropriados).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 6. Esse rgo/entidade conhece o grau de formao
das pessoas que atuam na rea de TI? (fl. 37)
Efeitos potenciais
a) Baixa qualidade dos servios de TI em funo da baixa qualificao da equipe de TI;
b) rgo/entidade dependente de prestadora de servios de TI.
Achado VI. Inobservncia das competncias necessrias para funes comissionadas
48. Um total de 60% dos pesquisados declarou que no considera as competncias gerenciais,
tcnicas e resultados produzidos anteriormente na seleo de pessoas para funes comissionadas na rea de TI.
O risco nesse caso uma baixa qualificao do corpo gerencial de TI e o comprometimento dos resultados da
rea, desde a falta de alinhamento com os negcios at a perda de produtividade da equipe por m gesto.
Critrios
a) Decreto no 5.707, de 23 de fevereiro de 2006, art. 3o, incisos VI e VII.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 8. So consideradas as competncias gerenciais,
tcnicas e resultados produzidos anteriormente na seleo de pessoas para funes comissionadas na rea de TI?
(fl. 37).
Efeitos potenciais
a) Baixa produtividade da equipe de TI em funo da baixa qualidade do corpo gerencial;
b) Falta de alinhamento da TI com o negcio da organizao.
Achado VII. Ausncia de carreira especfica para a rea de TI
49. Um total de 57% dos pesquisados informou que no possui carreira especfica para a rea de TI.
Segundo os dados do questionrio, os 43% dos rgos/entidades que tm carreira de TI possuem 2/3 do total de
pessoal alocado para TI entre os pesquisados. Em valores absolutos, tambm h mais profissionais com formao
em TI (incluindo doutorado, mestrado, ps-graduao lato sensu e nvel superior) nas organizaes com carreira
especfica: 58% dos profissionais com formao em TI esto nessas organizaes. Contudo, h que se registrar
que, em valores proporcionais, no h diferena significativa entre a formao em TI dos servidores em rgos
com e sem carreira especfica (37% e 38% respectivamente - Grfico 3). Ou seja, mesmo nos rgos com
carreira especfica, ainda h muitos servidores sem formao superior em TI ou com formao em nvel mdio.
Grfico 3 - Formao dos profissionais de TI
Critrios
a) Cobit 4.1 PO7.1 Personnel Recruitment and Retention (Recrutamento e Reteno de Pessoal Manter processos de recrutamento de pessoal de TI em linha com as polticas e os procedimentos de pessoal
gerais da organizao, isto , contratao, ambiente positivo para o trabalho, orientao. Implementar processos
que garantam que a organizao tenha fora de trabalho de TI apropriadamente preparada com as habilidades
necessrias para atingir os objetivos organizacionais).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 4. H servidores/empregados do quadro que atuam
na rea de TI desse rgo/entidade? (fl. 37)

b) Apndice I, planilha de resultados, pergunta: 6. Esse rgo/entidade conhece o grau de formao

das pessoas que atuam na rea de TI? (fl. 37)
c) Apndice I, planilha de resultados, pergunta: 7. H carreiras especficas para a rea de TI no
plano de cargos do rgo/entidade? (fl. 37)
Efeitos potenciais
a) Insuficincia de servidores para atuar na rea de TI.
Concluso
50. Conforme o Grfico 2, um total de 29% dos pesquisados possui menos de 1/3 de sua rea de TI
composta por servidores, o que pode acarretar risco de dependncia de indivduos sem vnculo com o
rgo/entidade para a execuo de atividades crticas ao negcio, alm de perda do conhecimento organizacional.
51. Segundo as informaes levantadas no questionrio, somente 37% dos servidores que atuam na
rea de TI dos rgos/entidades possuem formao especfica em TI (incluindo aqui doutorado, mestrado, psgraduao lato sensu e nvel superior). Alm disso, 43% dos rgos/entidades possuem carreira especfica para a
rea. Esse resultado preocupa em funo do aumento da importncia estratgica da TI para as organizaes, que
correm o risco de no terem pessoal qualificado suficiente nem para executar as atividades bsicas nem para
fiscalizar eventuais contratados.
52. De acordo com as respostas ao questionrio, 60% dos pesquisados no consideram
competncias gerenciais, tcnicas e resultados produzidos anteriormente na seleo de gerentes de TI. Com esse
resultado, no se pde verificar se a escolha de chefias nos rgos/entidades participantes objetiva e baseada
no mrito.
Proposta de encaminhamento
53. Enviar as concluses acerca de estrutura de pessoal de TI ao Ministrio do Planejamento,
Oramento e Gesto, ao Conselho Nacional de Justia e ao Conselho Nacional do Ministrio Pblico para cincia e
promoo das aes cabveis.
5. Segurana da informao
54. Neste tpico, o objetivo delinear a qualidade do tratamento dado pelos rgos pblicos
segurana das informaes sob sua responsabilidade.
55. A importncia do correto tratamento para a confidencialidade, a integridade e a disponibilidade
das informaes de rgos pblicos evidente, sem falar na autenticidade, na responsabilidade pelos dados e na
garantia de no-repdio . A prpria prestao do servio de uma instituio pblica aos cidados depende da
confiabilidade das informaes por ela tratadas e ofertadas.
56. Foram solicitados como evidncias os documentos sobre a Poltica de Segurana da Informao
(PSI), o Plano de Continuidade de Negcios (PCN), normas/procedimentos relacionados classificao de
informaes e as normas/procedimentos de controle de acesso, que devem orientar o tratamento da segurana
das informaes.
57. A poltica de segurana da informao o documento que contm as diretrizes da instituio
quanto ao tratamento da segurana da informao. De acordo com as orientaes da norma NBR ISO/IEC
17799:2005 da ABNT, a poltica deve declarar explicitamente o comprometimento da direo da instituio com a
segurana da informao. Alm disso, deve tambm conter definies dos termos relacionados dentro do escopo
da instituio e apontar os objetivos de controle, os controles, as estruturas que implementam esses controles, as
responsabilidades e tambm as polticas e normas que disciplinam e complementam esse documento de
diretrizes, incluindo referncias legislao e aos requisitos regulamentares e contratuais . Em geral, esse o
documento da gesto da segurana da informao a partir do qual derivam os documentos especficos para cada
meio de armazenamento, transporte, manipulao ou tratamento especfico da segurana da informao em TI.

58. A gesto da continuidade do negcio, por sua vez, o processo que objetiva minimizar um
impacto sobre a organizao e recuperar perdas de informaes a um nvel aceitvel, por meio da combinao de
aes de preveno e recuperao. O plano de continuidade de negcios um documento ou conjunto de
documentos que, tipicamente, contm as condies para sua ativao, as responsabilidades individuais, os
procedimentos de emergncia, os procedimentos operacionais temporrios e os procedimentos de recuperao. O
plano (ou planos) de continuidade deve(m) ser periodicamente testado(s) e avaliado(s), para garantir que
funcione(m) quando necessrio.
59. A classificao de informaes, por sua vez, o processo que visa garantir que cada informao
tenha o tratamento de segurana adequado ao seu valor, aos requisitos legais, sensibilidade e ao risco de sua
perda para a organizao. Nesse processo devem existir, pelo menos, dois documentos de referncia: o esquema
de classificao, que contm as definies dos nveis de proteo considerados, e um conjunto apropriado de
procedimentos para rotulao e tratamento da informao segundo esse esquema.
60. A gesto do controle de acesso, por fim, o processo que visa garantir que o acesso
informao seja controlado com base nos requisitos de negcio e na adequada segurana da informao. O
principal documento relacionado a esse processo a poltica de controle de acesso, que contm as regras de
controle de acesso e direitos para cada usurio ou grupos de usurios, e relaciona claramente os requisitos de
negcio e os controles associados.
61. Os rgos foram tambm questionados sobre algumas estruturas organizacionais para assistir a
execuo das diretrizes de segurana: rea especfica para tratamento de segurana, rea especfica para
tratamento de incidentes, evidncias de gesto centralizada para mudanas, capacidade e compatibilidade de
solues de TI.
62. A infra-estrutura para a adequada gesto da segurana da informao na organizao tratada
no item 6.1 da NBR ISO/IEC 17799:2005. Cada rgo/entidade deve adotar a estrutura organizacional que mais
se adeqe cultura e ao tamanho da instituio, assegurando, contudo, que a implementao dos controles de
segurana da informao tenha uma coordenao que permeie toda a organizao. Assim, as organizaes podem
at usar um frum j existente (por exemplo, um conselho de diretores), desde que este assuma tambm, de
forma explcita, as atividades de gesto da segurana da informao. O mais freqente tem sido o uso de um
frum especfico (por exemplo, um grupo especfico para gerenciar a segurana da informao) ou mesmo um
gestor individual (que conhecido no mercado como CSO - Chief Security Officer).
63. O objetivo do processo de gesto de incidentes de segurana assegurar que seja aplicado
tratamento consistente e efetivo para os incidentes, que incluem desde falhas de sistemas at violaes
intencionais da poltica de segurana. Para isso, h que se designar claramente as responsabilidades no
tratamento de incidentes, bem como os procedimentos a serem adotados, em sintonia com outras diretrizes,
como o plano de continuidade de negcio e a classificao das informaes. A existncia de uma rea especfica
uma recomendao para a operacionalizao desses controles, no s pela NBR ISO/IEC 17799:2005, como
tambm por vrias diretrizes para governana de TI.
64. Outros processos de infra-estrutura relacionados com a segurana so a gesto centralizada de
mudanas e a gesto de capacidade e compatibilidade. Na gesto centralizada de mudanas, h controle rgido
das mudanas no ambiente operacional para garantir a estabilidade do ambiente e a Auditoria das alteraes
realizadas. O controle inadequado de modificaes nos sistemas e nos recursos de processamento da informao
uma causa comum de falhas de segurana ou de sistema.
65. J a gesto de capacidade e compatibilidade visa principalmente garantir a disponibilidade das
informaes, ao verificar continuamente se as solues de TI suportam adequadamente a demanda por

informaes sem sobrecarregar os sistemas, gerar descontinuidade de operao e/ou falhas no nvel de servio
acordado.
66. Finalmente, os rgos/entidades foram instados a apresentar as evidncias de que estariam
preocupados em realizar o tratamento dos riscos relacionados ao processamento das informaes sob sua
responsabilidade por meio das solues de TI. O tratamento dos riscos inclui a identificao, a quantificao e a
classificao dos riscos quanto sua prioridade, com base em critrios sintonizados com o negcio da
organizao. Os resultados dessa anlise devem orientar as aes de gesto e as prioridades para o
gerenciamento dos riscos de segurana da informao e para a implementao dos controles selecionados. Por
isso, a anlise de risco estratgica na gesto da segurana e deve ser feita em bases peridicas para garantir a
adequao entre gesto e negcio.
Achado VIII. Ausncia de poltica de segurana da informao em vigor
67. A ausncia de poltica de segurana da informao (PSI) formalmente definida na organizao foi
declarada por 64% dos rgos/entidades pesquisados. Como esse documento de diretrizes um dos primeiros
passos na construo de uma gesto da segurana da informao, tal achado um indcio preocupante de que
essa gesto inexistente ou incipiente na maioria das organizaes da Administrao Pblica Federal.
68. possvel que haja aes em segurana da informao nesses rgos. Porm, a ausncia da
poltica central indica que tais aes no so motivadas por diretrizes institucionais e, portanto, podem ser
conflitantes e/ou incompletas.
Critrios
a) NBR ISO/IEC 17799:2005, item 5.1 - Poltica de segurana da informao: convm que a direo
estabelea uma poltica clara, alinhada com os objetivos do negcio e demonstre apoio e comprometimento com a
segurana da informao por meio da publicao e manuteno de uma poltica de segurana da informao para
toda a organizao;
b) Cobit 4.1 DS5.2 IT Security Plan (Plano de Segurana de TI - Traduzir requisitos de negcio, risco
e conformidade num plano geral de segurana de TI, levando em considerao a infra-estrutura de TI e a cultura
de segurana. Garantir que o plano seja implementado dentro das polticas e dos procedimentos de segurana em
conjunto com investimentos apropriados em servios, pessoal, software e hardware. Comunicar as polticas e
procedimentos de segurana aos interessados e usurios).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 11. Existe poltica de segurana da informao (PSI)
em vigor? (fl. 37).
Efeitos potenciais
a) Enfraquecimento das aes de segurana, por no serem respaldadas por uma poltica
institucional;
b) Descompasso entre a gesto da segurana da informao e os objetivos de negcio;
c) Percepo pelos usurios e clientes de falta de comprometimento da alta administrao da
organizao com a segurana da informao.
Achado IX. Ausncia de plano de continuidade de negcios em vigor
69. A cultura de segurana da informao predominante nas organizaes brasileiras, inclusive na
rea governamental, ainda no est madura o suficiente no que diz respeito preocupao com desastres e
interrupo nos servios. o que pode ser inferido da ausncia de plano de continuidade de negcios (PCN) em
cerca de 88% dos pesquisados. A situao se agrava quando, adicionalmente, observa-se que, dentre os que
possuem PCN em vigor, apenas 30% declararam t-lo revisado em perodo inferior a um ano.

70. A ausncia de PCN na organizao um indcio de falta de conscientizao em nvel estratgico

com os riscos de interrupo dos servios da organizao. Sem planejamento dessa natureza, a organizao fica
vulnervel quando da ocorrncia de desastres (naturais ou por sabotagem) e interrupes de servios. Eventos
que poderiam ser resolvidos sem grande perda, acabam por comprometer toda a base atual e histrica de
informaes da organizao. Pode ser at que o PCN nunca precise ser acionado mas, se houver a necessidade e
ele no existir, isso pode significar risco continuidade da existncia da organizao.
71. Ao considerar os efeitos da perda de informaes como as relacionadas vida, sade,
segurana e histria dos cidados brasileiros, no aceitvel correr riscos elevados que possam comprometer a
prpria finalidade das instituies governamentais.
Critrios
a) NBR 15999-1:2007, item 8.6 - Planos de Continuidade de Negcios: o propsito de um plano de
continuidade de negcios (PCN) permitir que uma organizao recupere ou mantenha suas atividades em caso
de uma interrupo das operaes normais de negcios.
b) Cobit 4.1 DS4 Ensure Continuous Service (Garantir a Continuidade do Servio - A necessidade de
prover servios contnuos de TI requer desenvolvimento, manuteno e teste de planos de continuidade de TI,
armazenamento de cpias de segurana em local alternativo e treinamento peridico de planejamento de
continuidade).
c) NBR ISO/IEC 17799:2005, item 14.1.3 - Desenvolvimento e implementao de planos de
continuidade relativos segurana da informao: convm que os planos sejam desenvolvidos e implementados
para a manuteno ou recuperao das operaes e para assegurar a disponibilidade da informao no nvel
requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do
negcio.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 10. Existe plano de continuidade de negcios em
vigor? (fl. 37).
Efeitos reais e potenciais
a) Vulnerabilidade das organizaes ocorrncia de desastres e interrupo de servios;
b) Perda de dados, inclusive histricos, de difcil recuperao;
c) Dificuldade no restabelecimento das operaes normais quando da ocorrncia de interrupo de
servios;
d) Vulnerabilidade a fraudes e erros durante a interrupo de servios;
e) Paralisao de funes essenciais de governo e/ou de Estado.
Achado X. Ausncia de classificao das informaes
72. Um total de 80% dos rgos/entidades declararam no classificar as informaes. Esse um
processo caro e trabalhoso, que envolve muitas reas da organizao, e essa uma possvel causa para um
percentual to expressivo.
73. A classificao das informaes, porm, de forma semelhante PSI, um dos pilares da
segurana da informao numa organizao. A sua ausncia indica que o tratamento da segurana sobre as
informaes no feito de forma consistente, variando em funo da maior ou menor maturidade das reas que
as armazenam, transportam ou alteram. Assim, pode ser, por exemplo, que uma informao em papel seja
tratada com um nvel maior de sigilo, mas ao ser passada para um sistema informatizado, receba o tratamento
comum dado a outras informaes no-sigilosas, inadequado para suas especificidades. Como no existe um
rtulo de segurana nico para aquela informao, o qual deveria apontar para procedimentos prprios em cada
meio de armazenamento, o tratamento da segurana daquela informao torna-se ineficaz como um todo, j que

 uma mxima da segurana da informao que a segurana de um conjunto igual segurana do elo mais
fraco.
74. Alm disso, difcil responsabilizar algum por um tratamento indevido sem uma classificao da
informao. A declarao expressa de que um dado ativo de informao deve ser tratado com um determinado
nvel de proteo (e nisso que consiste a atribuio dos rtulos de segurana s informaes) o subsdio de
que dispe o gestor para avaliar se uma dada ao foi ou no adequada ao nvel de proteo da informao e,
caso no tenha sido, propor a responsabilizao, bem como a correo da situao.
Critrios
a) Cobit 4.1 PO2.3 Data Classification Scheme (Esquema de Classificao da Informao Estabelecer um esquema de classificao aplicvel em toda organizao baseado na criticidade e na sensibilidade
- isto , pblica, reservada ou sigilosa - das informaes institucionais. Esse esquema deve incluir detalhes sobre
propriedade da informao; definio de nveis de segurana e controles de proteo adequados; e uma breve
descrio dos requisitos de reteno e destruio de dados, criticidade e sensibilidade. Deve ser usado como a
base para a aplicao de controles tais como controles de acesso, armazenamento ou encriptao);
b) NBR ISO/IEC 17799:2005, item 7.2 - Classificao da informao: convm que a informao seja
classificada para indicar a necessidade, prioridades e o nvel esperado de proteo quando do tratamento da
informao.
Evidncias
a) Apndice I, planilha de resultados, pergunta 12. feita classificao de informaes? (fl. 37).
Efeitos potenciais
a) Informaes tratadas com nvel inadequado de proteo, suscetveis perda de integridade,
confiabilidade e disponibilidade;
b) Tratamento da segurana das informaes de maneira inconsistente e dependente do meio em
que transitam ou so armazenadas;
c) Falta de amparo para responsabilizao por acesso indevido a informaes;
d) Falta de sintonia entre a proteo das informaes e o negcio da organizao.
Achado XI. Ausncia de procedimentos de controle de acesso em vigor
75. De acordo com as respostas fornecidas, procedimentos para disciplinar o controle de acesso a
recursos computacionais existem em 52% dos pesquisados. provvel que esse resultado seja uma conseqncia
da necessidade de controle de acesso lgico em sistemas de informao e sistemas operacionais em geral, que
induz a necessidade de definio de normativos de identificao e de senhas, bem como de direitos de acesso
para cada usurio ou grupo de usurios. Isso faz com que a situao dos 48% restantes seja crtica.
76. A definio de normativos para controle de acesso fundamental para sincronizar o controle de
acesso s informaes com as reais necessidades de acesso dos usurios, garantir o acesso mnimo e necessrio a
cada informao, isto , que s tenha acesso a uma informao quem realmente precisa dela, e que toda
informao realmente necessria esteja disponvel para acesso. A ausncia da formalizao de normativos um
indcio de que o acesso no est definido de forma criteriosa.
77.

ausncia

de

procedimentos

tambm

um

indcio

de

que

processo

de

concesso/manuteno/revogao do acesso conforme definido no devidamente controlado. O risco dessa

ausncia

de

controle

ocorrncia

de

concesso/manuteno/revogao

de

acesso

recursos

em

desconformidade com as reais necessidades de acesso.

Critrios
a) Cobit 4.1 DS5.3 Identity Management (Gerncia de Identidade - Garantir que todos usurios
(internos, externos e temporrios) e sua atividade em sistemas de TI (aplicaes do negcio, sistema operacional,

desenvolvimento e manuteno) devem ser unicamente identificveis. Direitos de acesso do usurio a sistemas e
dados devem estar alinhados com as necessidades do negcio e requisitos do cargo definidos e documentados.
Direitos de acesso do usurio so requisitados pelo gerente do usurio, aprovados pelo proprietrio do sistema e
implementados pelo responsvel pela segurana. Identidades e direitos de acesso do usurio so mantidos num
repositrio central. Medidas tcnicas e procedimentais so alocadas e mantidas correntes para estabelecer
identificao do usurio, implementar autenticao e conceder os direitos de acesso);
b) Cobit 4.1 DS5.4 User Account Management (Gerncia de Contas de Usurios - Garantir que
requisitar, estabelecer, entregar, suspender, modificar e fechar contas de usurios e respectivos privilgios de
usurio realizado pela gerncia de contas de usurio. Deve ser includo um procedimento de aprovao pelo
proprietrio do sistema ou dado delineando a concesso de privilgios de acesso. Esses procedimentos devem ser
aplicados para todos usurios, incluindo administradores (usurios privilegiados), usurios internos e externos,
em uso normal ou em casos de emergncia. Direitos e obrigaes relativos a acessos a sistemas e dados
corporativos so contratualmente ajustados para todos os tipos de usurios. Executar reviso regular gerencial de
todas as contas e respectivos privilgios.
c) Cobit 4.1 DS12.2 Physical Security Measures (Medidas de Segurana Fsica - Definir e implementar
medidas de segurana fsica alinhadas com os requisitos do negcio para assegurar o local e os ativos fsicos.
Medidas de segurana fsica devem ser capazes de eficientemente prevenir, detectar e mitigar riscos relativos a
roubos, temperatura, incndio, fumaa, gua, tremor de terra, terrorismo, vandalismo, interrupes de energia,
produtos qumicos ou explosivos);
d) Cobit 4.1 DS12.3 Physical Access (Acesso Fsico - Definir e implementar procedimentos para
permitir, limitar e revogar acesso aos terrenos, edifcios e reas de acordo com as necessidades do negcio,
inclusive emergncias. Acesso aos terrenos, edifcios e reas deve ser justificado, autorizado, registrado e
monitorado. Isso deve ser aplicado a todas as pessoas que entrem na propriedade, incluindo funcionrios,
temporrios, clientes, vendedores, visitantes ou qualquer outro terceiro);
e) NBR ISO/IEC 17799:2005, item 11.1.1 - Poltica de controle de acesso: convm que a poltica de
controle de acesso seja estabelecida, documentada e analisada criticamente, tomando-se como base os requisitos
de acesso dos negcios e segurana da informao.
Evidncias
a) Apndice I, planilha de resultados, pergunta 14. Existem procedimentos definidos que disciplinem
o controle de acesso (lgico e fsico) a recursos computacionais? (fl. 37).
Efeitos potenciais
a) Perfil de acesso a informaes excessivamente permissivo para determinados usurios ou grupos
de usurios;
b) Concesso ou alterao do acesso a recurso para pessoas no autorizadas, visando fraudes;
c) Divulgao no autorizada de informao reservada ou sigilosa.
Achado XII. Ausncia de rea especfica para lidar com segurana da informao
78. Um total de 64% dos rgos/entidades informaram que no possuem rea especfica, com
responsabilidades definidas, para lidar estrategicamente com segurana da informao. Sem tal estrutura, h
grande probabilidade de que as questes de segurana no sejam tratadas de maneira consistente. Alm disso,
torna-se difcil para a organizao avaliar se esto sendo endereados de modo adequado os recursos humanos e
de logstica para a implementao dos controles de segurana da informao, ou se tais controles esto
sintonizados com o negcio da organizao. A ausncia de frum adequado, de nvel estratgico e com
representantes de diversas reas da organizao, tambm um indcio de ausncia de um fator considerado

crtico no sucesso da gesto da segurana: a preocupao da direo da organizao com a segurana da

informao.
Critrios
a) Cobit 4.1 DS5.1 Management of IT Security (Gerncia da Segurana de TI - Gerenciar a
segurana de TI no nvel organizacional apropriado mais alto de maneira que a gerncia de aes de segurana
esteja alinhada com os requisitos do negcio);
b) NBR ISO/IEC 17799:2005, item 6.1 - Infra-estrutura da segurana da informao: convm que
uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementao da segurana da
informao dentro da organizao.
Evidncias
a)

Apndice

I,

planilha

de

resultados,

pergunta:

9.

Existe

uma

rea

especfica,

com

responsabilidades definidas, para lidar estrategicamente com segurana da informao? (fl. 37).
Efeitos potenciais
a) Ausncia ou atuao deficiente em segurana da informao na organizao;
c) Aes de segurana da informao da organizao incoerentes e ineficazes;
d) Desperdcio de recursos em aes no-prioritrias.
Achado XIII. Ausncia de rea especfica para gerncia de incidentes
79. Apesar da gerncia centralizada de incidentes ser um dos pontos-chave apontados pela norma
NBR ISO/IEC 17799:2005 para resoluo rpida de incidentes em TI, no existe rea especfica para gerncia de
incidentes em 76% dos rgos/entidades pesquisados, segundo declaraes dos gestores. Tal resultado
representa um risco de que eventuais incidentes envolvendo a disponibilidade, a integridade ou o sigilo das
informaes no tenham tratamento adequado e consistente.
80. Adicionalmente, em outra questo verificou-se que, coincidentemente, apesar de no serem as
mesmas instituies, tambm 76% das organizaes pesquisadas oferecem servios transacionais pela Internet, o
que aumenta a sua exposio a tentativas de acesso indevido e indisponibilidade da informao. Ao cruzar esses
dados, verificou-se que 54% dos pesquisados possuem servios transacionais pela Internet e no possuem rea
prpria para gerncia de incidentes. Nesses casos, o risco associado ausncia do controle aumenta.
81. Outro aspecto a considerar a possibilidade de um incidente em servios da Internet afetar mais
de uma instituio. Nesse caso, a ausncia dessa rea tem efeito multiplicador e pode, inclusive, comprometer o
trabalho dos rgos que a possuem. Existem grupos articuladores de tratamento de incidentes na Internet, como
o Grupo de Resposta a Incidentes de Segurana para a Internet brasileira (CERT.br) e outros grupos localizados,
como o Grupo de Incidentes da Rede Nacional de Pesquisa (RNP) e de outros provedores de rede. Sem um
contato nos rgos da administrao pblica, fica comprometida a atuao de tais entidades na ocorrncia de
incidentes que afetam vrias instituies, inclusive quanto possibilidade de articulao especfica para
tratamento de incidentes de rgos governamentais.
Critrios
a) Cobit 4.1 DS5.5 Security Testing, Surveillance and Monitoring (Teste, Vigilncia e Monitoramento
de Segurana - Testar e monitorar a implementao da segurana de TI de uma forma pr-ativa. A segurana de
TI deve ser formalmente aprovada de uma maneira tempestiva para assegurar a manuteno do padro
estabelecido de segurana da informao da organizao. A funo de registro e monitoramento permitir a
preveno e/ou rpida deteco e o subseqente informe tempestivo de atividades no usuais e/ou anormais que
necessitem de tratamento);

b) Cobit 4.1 DS5.6 Security Incident Definition (Definio de Incidente de Segurana - Definir e
comunicar claramente as caractersticas de potenciais incidentes de segurana para que possam ser corretamente
classificados e tratados pelo processo de gesto de problemas e incidentes);
c) NBR ISO/IEC 17799:2005, item 13.2 - Gesto de incidentes de segurana da informao e
melhorias: convm que responsabilidades e procedimentos estejam definidos para o manuseio efetivo de eventos
de segurana da informao e fragilidades, uma vez que estes tenham sido notificados. Convm que um processo
de melhoria contnua seja aplicado s respostas, monitoramento, avaliao e gesto total de incidentes de
segurana da informao.
Evidncias
a) Apndice I, planilha de resultados, pergunta 15. Existe uma rea especfica para gerncia de
incidentes de segurana? (fl. 37);
b) Apndice I, planilha de resultados, pergunta: 16. O rgo/Entidade oferece servios transacionais
via Internet, ou seja, prestao de servio que pode ser executado do incio ao fim pela Internet com troca
bidirecional de informaes entre o rgo/Entidade e o cliente? (fl. 37-v).
Efeitos potenciais
a) Tratamento de incidentes inexistente, inadequado ou inconsistente;
b) Inexistncia de registro histrico de incidentes, o que dificulta o aprendizado e o tratamento das
causas;
c) Maior risco de que indisponibilidades, perdas de integridade ou acessos indevidos tenham maior
impacto sobre as informaes e, conseqentemente, sobre o negcio da organizao.
Achado XIV. Ausncia de gesto de mudanas
82. No escopo da governana de TI, a gesto de mudanas costuma ser um processo de difcil
implementao, pois requer a colaborao de quase todas as reas de TI, desde o desenvolvimento de sistemas
at o suporte e a produo. No surpresa, ento, que 88% dos pesquisados tenham declarado no gerenciar
mudanas.
83. A realizao de mudanas no ambiente de TI sem o devido controle causa comum de
instabilidade e falhas de segurana. Isso porque h mudanas freqentes e necessrias no ambiente de TI que
oferecem risco disponibilidade das informaes: a atualizao de verses de produtos de software, a oferta de
novos sistemas ou mdulos de sistemas, a atualizao de sistemas operacionais e a atualizao de aplicativos,
dentre outros. Caso um novo produto no adequadamente testado seja disponibilizado no ambiente, h um risco
de comprometer o funcionamento de outras solues de TI. Alm disso, as
mudanas devem ser registradas tanto para possibilitar Auditoria quanto para restaurar situaes
anteriores a uma mudana inadequada.
Critrios
a) Cobit 4.1 AI6 Manage Changes (Gesto de Mudanas - Todas as mudanas, incluindo manuteno
e correes de emergncia, relativas a infra-estrutura e aplicativos do ambiente de produo, devem ser
formalmente geridas de maneira controlada);
b) NBR ISO/IEC 17799:2005, item 10.1.2 - Gesto de mudanas: convm que modificaes nos
recursos de processamento da informao e sistemas sejam controladas;
c) NBR ISO/IEC 17799:2005, item 12.5.1 - Procedimentos para controle de mudanas: convm que
a implementao de mudanas seja controlada utilizando procedimentos formais de controle de mudanas.
Evidncias
a) Apndice I, planilha de resultados, pergunta 17. feita a gesto de mudanas? (fl. 37-v).
Efeitos potenciais

a) Comprometimento da disponibilidade das informaes nos sistemas e da estabilidade do ambiente

de TI devido realizao de mudanas no-criteriosas;
b) Impossibilidade de restaurar uma situao anterior a uma mudana malsucedida, pela falta de
cuidado com a preservao do estado anterior e de registro preciso dos passos executados;
c) Alterao do nvel de proteo de uma ou vrias informaes de forma no avaliada, no prevista
ou no aprovada pelo gestor da informao como efeito de mudana em um recurso de TI.
Achado XV. Ausncia de gesto de capacidade e compatibilidade das solues de TI
84. De acordo com as respostas recebidas, a gesto de capacidade e compatibilidade no feita em
84% dos rgos/entidades pesquisados. Tal processo est ligado ao monitoramento do ambiente de TI e sua
ausncia indica que esse monitoramento no executado adequadamente. A principal conseqncia o aumento
do risco de descontinuidade na prestao dos servios de TI, o que afeta diretamente a disponibilidade das
informaes.
85. Adicionalmente, a ausncia desse processo priva os gerentes de uma importante ferramenta
para direcionar os investimentos necessrios na manuteno da qualidade da infra-estrutura de TI, de acordo com
os requisitos do negcio.
Critrios
a) Cobit 4.1 PO3.4 Technology Standards (Padres Tecnolgicos - Para prover solues tecnolgicas
consistentes, efetivas e seguras para toda a organizao, estabelecer um frum de tecnologia para prover
diretrizes tecnolgicas, pareceres e indicao sobre produtos de infra-estrutura e seleo de tecnologias, e
verificar a conformidade com esses padres e diretrizes. Esse frum deve direcionar as prticas e padres
tecnolgicos com base na relevncia para o negcio, riscos e conformidade com requisitos externos);
b) Cobit 4.1 DS3 Manage Performance and Capacity (Gesto de Capacidade e Desempenho - A
necessidade de gerir a capacidade e o desempenho dos recursos de TI requer um processo de avaliao peridica
do desempenho atual e da capacidade desses recursos. Esse processo inclui prever futuras necessidades com base
na carga de trabalho e nos requisitos de armazenamento e de contingncia. Esse processo garante que as fontes
de informao que suportam os requisitos de negcio estejam continuamente disponveis);
c) NBR ISO/IEC 17799:2005, item 10.3.1 - Gesto de capacidade: convm que a utilizao dos
recursos seja monitorada e sincronizada e as projees feitas para necessidades de capacidade futura, para
garantir o desempenho requerido do sistema.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 18. efetuada a gesto de capacidade e
compatibilidade das solues de TI do rgo/entidade? (fl. 37-v).
Efeitos potenciais
a) Interrupes nos sistemas de informao por sobrecarga no processamento e indisponibilidade
das informaes;
b) Inadequao de investimentos em infra-estrutura de TI, por desconhecimento da real capacidade
do ambiente e das necessidades de ampliao/atualizao;
c) Desperdcio provocado pela aquisio de produtos de TI incompatveis com o ambiente existente.
Achado XVI. Ausncia de anlise de riscos na rea de TI
86. A ausncia da anlise de riscos na rea de TI, informada por 75% dos rgos/entidades
pesquisados, um indcio de que as aes de segurana no so executadas de maneira sintonizada com as
necessidades do negcio dessas organizaes. Isto porque, sem anlise de riscos, no h como o gestor priorizar
aes e investimentos com base em critrios claros e relacionados com o negcio da organizao. O resultado
pode ser desperdcio, uso ineficaz de recursos, carncia de aes prioritrias.

87. Alm disso, o desconhecimento dos riscos na rea de TI aumenta a exposio s ameaas de
acesso indevido, indisponibilidade e perda de integridade (intencional, como no caso das fraudes, ou por falhas)
das informaes sob responsabilidade dessas organizaes.
Critrios
a) Cobit 4.1 PO9.4 Risk Assessment (Anlise de Riscos - Avaliar periodicamente a probabilidade e o
impacto de todos os riscos identificados, usando mtodos qualitativos e quantitativos. A probabilidade e o impacto
associados com o risco inerente e residual devem ser determinados individualmente por categoria);
b) NBR ISO/IEC 17799:2005, item 4.1 - Analisando/avaliando os riscos de segurana da informao:
convm que as anlises/avaliaes de riscos identifiquem, quantifiquem e priorizem os riscos com base em
critrios relevantes para a organizao, e que os resultados orientem e determinem as aes de gesto
apropriadas e as prioridades para o gerenciamento dos riscos de segurana da informao, e para a
implementao dos controles selecionados, de maneira a proteger contra estes riscos.
Evidncias
a) Apndice I, planilha de resultados, pergunta 13. efetuada anlise de riscos na rea de TI? (fl.
37).
Efeitos potenciais
a) Estabelecimento inadequado de prioridades para aes de segurana;
b) Desperdcio de recursos em aes no-prioritrias, enquanto outras mais crticas deixam de ser
realizadas.
Concluso
87.1. As respostas fornecidas pelos rgos/entidades pesquisados s questes sobre o tratamento
dado segurana das informaes sob sua responsabilidade indicam que preciso mais ateno ao tema. Dentre
as nove questes sobre esse assunto, apenas uma obteve mais de 50% de resposta positiva. O Grfico 4 resume
as deficincias encontradas no tratamento de segurana da informao, indicando para cada questo qual o
percentual de rgos/entidades que informaram no executar o controle associado. O resultado preocupa, pois a
prpria prestao do servio de uma instituio pblica aos cidados depende da confiabilidade das informaes
por ela tratadas e ofertadas.
87.2. A ausncia de plano de continuidade de negcios (PCN) em 88% dos rgos/entidades
pesquisados aponta para a falta de cultura acerca de continuidade de negcios. Isso constitui um alto risco para a
segurana das informaes tratadas por essas instituies governamentais, ao deix-las vulnerveis perda ou ao
comprometimento de informaes em caso de interrupo de servios por causas naturais ou intencionais.
Grfico 4 - Deficincias na segurana da informao
87.3. A seu turno, a ausncia de uma gesto de mudanas em 88% dos pesquisados declarada pelos
prprios pesquisados indica que a maior parte desses rgos/entidades corre risco de instabilidade e falhas de
segurana no tratamento das informaes no seu ambiente de TI quando da ocorrncia de mudanas. Alm disso,
h o risco de enfrentar dificuldades quando for realizar Auditoria ou investigao por ocasio de problemas
ocorridos em mudanas no ambiente de TI.
87.4. Sobre a gesto de capacidade e compatibilidade do ambiente de TI, vale ressaltar que sua
ausncia em 84% dos pesquisados expe o risco de indisponibilidade em quantidade significativa dessas
organizaes da Administrao Pblica Federal. Alm disso, um indcio de que os gerentes de TI dessas
entidades no dispem de instrumentos adequados para embasar as necessidades de investimento em infraestrutura de TI.
87.5. A classificao das informaes, por sua vez, um dos pilares da gesto da segurana da
informao numa organizao. A declarao de sua ausncia por um percentual to expressivo de pesquisados

(80%) indcio de que o tratamento da segurana sobre as informaes no feito de forma consistente e
independente do meio que as armazenam nesses rgos/entidades da Administrao Pblica Federal. Alm disso,
essa ausncia aumenta o risco de que a proteo das informaes no esteja adequada s necessidades do
negcio.
87.6. A existncia de rea especfica para gerncia de incidentes no garante que um incidente no
ocorra, mas promove o melhor tratamento possvel aos incidentes. Assim, o fato de que 76% dos pesquisados
declararam no possuir tal rea acarreta risco para o negcio dessas organizaes. Alm disso, a ausncia dessa
rea inviabiliza a articulao do governo para o tratamento de incidentes que envolvam vrios rgos e dificulta o
trabalho de grupos de resposta a incidentes existentes. Dessa forma, essa falha pode prejudicar, inclusive,
aqueles que possuem grupo constitudo.
87.7. A anlise de riscos de TI outra importante ferramenta de gesto da segurana da informao.
Sua ausncia em 75% dos rgos/entidades pesquisados indica falha significativa que pode resultar em
desperdcio, aes ineficazes e lacunas no tratamento da segurana.
87.8. Apenas 36% dos pesquisados declararam ter rea especfica para lidar estrategicamente com
segurana da informao. A inexistncia dessa rea representa um risco de ausncia de aes de segurana da
informao ou ocorrncia de aes ineficazes, descoordenadas e sem alinhamento com o negcio.
87.9. J a poltica de segurana da informao (PSI) foi declarada inexistente nas organizaes de
64% dos pesquisados. Como a definio dessa poltica um dos primeiros passos para o reconhecimento da
importncia da segurana da informao na organizao e seu tratamento, isso um indcio de que a gesto de
segurana da informao inexistente ou incipiente na maior parte desses rgos/entidades da administrao
pblica.
87.10. Finalmente, dentre os itens relacionados diretamente com a segurana da informao, a
existncia de procedimentos de controle de acesso apresentou o resultado mais positivo, pois 52% dos
rgos/entidades pesquisados declararam possuir tais procedimentos. Entretanto, 48% ainda um percentual
preocupante de ausncia, pois a falta desses procedimentos um indcio de que, nessas organizaes, o controle
de acesso implementado no est adequado ao nvel de proteo necessrio para a informao.
87.11. Esses resultados delineiam um cenrio no qual o Auditor de TI tem papel fundamental no
incentivo governana da segurana de informao por meio da indicao de controles para apoiar estruturas e
processos organizacionais com vistas proteo das informaes, tendo como referncia modelos apropriados.
Para tanto, h necessidade do aperfeioamento constante das competncias do Auditor de TI nos principais
modelos de gesto e controle na rea de TI, tais como a Information Technology Infrastructure Library (ITIL) e
modelos de anlise de riscos.
Proposta de encaminhamento
88. Recomendar ao Gabinete de Segurana Institucional da Presidncia da Repblica, ao Conselho
Nacional de Justia e ao Conselho Nacional do Ministrio Pblico que promovam aes com objetivo de disseminar
a importncia do gerenciamento da segurana da informao e induzir, mediante orientao normativa, os
rgos/entidades da Administrao Pblica Federal a realizarem aes para implantao e/ou aperfeioamento da
gesto da continuidade do negcio, da gesto de mudanas, da gesto de capacidade, da classificao da
informao, da gerncia de incidentes, da anlise de riscos de TI, da rea especfica para gerenciamento da
segurana da informao, da poltica de segurana da informao e dos procedimentos de controle de acesso.
6. Desenvolvimento de sistemas de informao
89. Embora haja uma conscincia relativamente generalizada de que as reas de TI nas organizaes
no so simplesmente produtoras de software , o desenvolvimento de sistemas de informao , sem dvida,
uma de suas principais atividades. A qualidade desse desenvolvimento interfere diretamente na qualidade do

servio prestado pela rea de TI. A necessidade de conectividade com a Internet e com sistemas em outras
organizaes faz da segurana da informao um requisito de projeto. Os clientes, cada vez mais exigentes,
esperam sistemas rpidos, fceis de usar, robustos e que realmente atendam s suas necessidades. Alm disso, a
parceria com o cliente deve ocorrer j no prprio processo de desenvolvimento, que no pode ser mais lento do
que a velocidade com que mudam as necessidades, e no pode ser obscuro quanto a prioridades, prazos,
qualidade e segurana.
90. A aplicao de modelos de gesto para qualidade de software vem, exatamente, ao encontro
desses requisitos, e o desenvolvimento de sistemas pautado em uma metodologia um requisito bsico de
quaisquer desses modelos. A metodologia de desenvolvimento define "como fazer do jeito certo", enquanto a
gesto da qualidade se concentra em avaliar e aprimorar o processo de uso dessa metodologia de
desenvolvimento na organizao.
91. O uso de metodologia para desenvolvimento de sistemas no um tema novo e vem,
progressivamente,

incorporando

os

conceitos

de

engenharia

de

software

para

tornar

processo

de

desenvolvimento de sistemas mais controlvel, mensurvel e eficaz. Com a metodologia, busca-se no s garantir
que as vrias etapas tpicas do desenvolvimento (levantamento, projeto, programao, testes e homologao)
sejam executadas de forma sistemtica e documentada, mas tambm permitir a avaliao e melhoria do
processo, com vistas produo de software de qualidade.
92. O governo brasileiro tem mostrado preocupao com a qualidade do software produzido no Brasil
ao instituir programas e aes de incentivo busca de melhorias. Como exemplo disso, h o Programa Brasileiro
de Qualidade e Produtividade do Software (PBQP-Sw) e o Modelo de Melhoria de Processos de Software
(MPS.BR) . Nessas orientaes, a existncia de metodologia requisito fundamental na construo de software de
qualidade.
92.1. Alm das informaes sobre metodologia de desenvolvimento, outra informao solicitada aos
rgos/entidades sobre os seus sistemas foi a existncia de servios transacionais via Internet (pergunta 16 do
questionrio). Sobre esse assunto, 76% dos pesquisados informaram que prestam servios pela Internet com
troca bidirecional de informaes entre o rgo/entidade e seus clientes. Esse percentual expressivo chama
ateno para o uso, por rgos/entidades da Administrao Pblica, de sistemas web na execuo da sua misso
de prestao de servios aos cidados.
92.2. Finalmente, foi solicitado aos rgos/entidades que participaram do levantamento o envio de
dados acerca dos principais sistemas utilizados e suas bases de dados associadas (pergunta 20 do questionrio).
Ao final, 205 organizaes enviaram informaes sobre 9.494 sistemas. Essa base de dados ficar organizada e
disponvel na Sefti para utilizao em futuras fiscalizaes e levantamentos.
Achado XVII. No-adoo de metodologia de desenvolvimento de sistemas
92.3. Segundo as declaraes fornecidas, adotada uma metodologia de desenvolvimento de
sistemas em quase metade dos pesquisados (49%). um resultado ainda modesto, se considerarmos a tendncia
de sistemas cada vez mais complexos e interligados, requerendo sempre mais qualidade dos sistemas aplicativos
produzidos.
92.4. A ausncia de metodologia em 51% dos pesquisados aumenta o risco de construir sistemas
pouco robustos, suscetveis a falhas, sem testes adequados e com documentao deficiente, ou seja, aumenta o
risco de que etapas mal conduzidas do processo produzam resultados inadequados para a organizao. Um
levantamento malfeito, por exemplo, gera um produto que no o esperado pelo cliente; um sistema mal
documentado ou cuja documentao no segue um padro ou, ainda, cuja documentao no atualizada
corretamente, fica dependente da manuteno pelo(s) desenvolvedor(es); um teste mal realizado permite que
programas no adequadamente homologados pelo cliente sejam dados como concludos.

92.5. Alm disso, o risco para a organizao ainda maior quando se verifica que, dentre os 130
pesquisados que declararam no ter metodologia, 68% informaram que oferecem servio transacional pela
Internet e, portanto, possuem sistemas expostos a aes indevidas, intencionais ou no. Tal exposio
significativa pois, na Internet brasileira, os ataques a servidores web no primeiro trimestre de 2008 aumentaram
34% em relao ao trimestre anterior, e 519% em relao ao mesmo perodo de 2007 .
92.6. Outro aspecto importante a considerar a terceirizao do servio de desenvolvimento: sem
uma metodologia, no possvel terceirizar todo o processo ou mesmo parte dele sem que isso represente um
risco para a organizao. Como o processo em si no bem definido, no h como medir o servio prestado ou
garantir que no haver perda de conhecimento ou ainda que o resultado seja o adequado para a organizao.
92.7. Finalmente, a falta de metodologia dificulta a Auditoria do processo de desenvolvimento em si
tanto quanto dos seus produtos, ou seja, aumenta o risco de Auditoria. Em ltima instncia, esse aumento do
risco de Auditoria representa aumento de risco para a proteo de informaes e dificulta a melhoria do processo.
Nesse contexto, o Auditor de TI pode funcionar como indutor da adoo de metodologia por meio das
recomendaes de Auditoria. Para isso, necessria a capacitao constante desse Auditor em metodologias de
gesto e qualidade em desenvolvimento de sistemas, tais como CMMI, Rational Unified Process (RUP) e MPS.BR.
Critrios
a) Cobit 4.1 AI2.7 Development of Application Software (Desenvolvimento de Software Aplicativo Assegurar que os aplicativos sejam desenvolvidos de acordo com as especificaes de projeto, padres de
desenvolvimento e documentao, requisitos de qualidade e padres de aprovao. Assegurar que todos os
aspectos legais e contratuais estejam identificados e tratados para software aplicativo desenvolvido por terceiros).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 16. O rgo/entidade oferece servios transacionais
via Internet, ou seja, prestao de servio que pode ser executado do incio ao fim pela Internet com troca
bidirecional de informaes entre o rgo/entidade e o cliente? (fl. 37-v);
b) Apndice I, planilha de resultados, pergunta: 19. O desenvolvimento de sistemas segue alguma
metodologia? (fl. 37-v);
c) Apndice I, planilha de resultados, pergunta: 20. O rgo/entidade possui e mantm inventrio
dos principais sistemas informatizados e suas bases de dados? (fl. 37-v).
Efeitos potenciais
a) Processo de desenvolvimento de sistemas lento e sistemas de informao ineficazes;
b) Perda de informaes por causa de sistemas pouco robustos, sujeitos a falhas de segurana, seja
por fraude, seja por uso incorreto;
c) Execuo de contratos de prestao de servios de desenvolvimento sem mtricas adequadas nem
etapas claras com produtos para cada etapa;
d) Sistemas de difcil manuteno, sem documentao, em que apenas quem desenvolveu detm o
conhecimento. Esse caso pode ser ainda mais srio se o desenvolvedor for contratado externamente.
Concluso
93. O uso de metodologia de desenvolvimento de sistemas um requisito fundamental para a
produo de software de qualidade. A sua ausncia declarada por 51% dos pesquisados preocupa pelo risco que
representam, para a segurana da informao, produtos de software de baixa qualidade. Alm disso, outras
conseqncias, como maior dificuldade no gerenciamento do processo de desenvolvimento, seja ele interno ou
terceirizado, representa risco de m gesto dos recursos dos rgos/entidades da Administrao Pblica Federal.
93.1. Adicionalmente, h que se considerar o perfil delineado por 76% das organizaes que
declararam possuir sistemas transacionais via Internet. Tais sistemas apresentam um risco inerente relacionado

maior exposio a aes indevidas que podem afetar a integridade, a disponibilidade e a confidencialidade das
informaes por eles tratadas. Esse risco aumentado na presena de controles fracos que afetem diretamente
esses sistemas, como o caso da ausncia de metodologia para desenvolvimento de sistemas ou deficincias nos
controles de segurana da informao, ambos identificados no presente levantamento. Nesse cenrio, a atuao
da Auditoria de TI pode colaborar diretamente por meio da recomendao de controles, inclusive aqueles
especficos para sistemas transacionais via Internet. Para tanto, imperativo que o Auditor esteja familiarizado
com tais tecnologias, seus riscos e as boas prticas e ferramentas que auxiliam a mitigao desses riscos.
Propostas de encaminhamento
94. Recomendar Secretaria de Logstica e Tecnologia da Informao (SLTI) do Ministrio do
Planejamento, Oramento e Gesto, ao Conselho Nacional de Justia e ao Conselho Nacional do Ministrio Pblico
que promovam aes com objetivo de disseminar a importncia da adoo de metodologia de desenvolvimento de
sistemas e induzir os rgos/entidades da Administrao Pblica Federal a realizarem aes para implantao
e/ou aperfeioamento dessa metodologia.
7. Gesto de acordos de nveis de servio
95. A prestao de um bom servio para os cidados , em ltima instncia, o negcio de toda
instituio pblica. A definio do que um "bom servio", sintonizando as expectativas dos clientes com a oferta,
exatamente o que constitui um acordo de nvel de servio (SLA, sigla do ingls Service Level Agreement).
96. No caso de um acordo de nvel de servio de TI, ento, definida a qualidade dos servios de TI
em funo das necessidades da organizao, quantificada e especificada para cada servio. Assim, a
disponibilidade da infra-estrutura de rede, o desempenho dos sistemas, o tempo de soluo de problemas e
outros dados semelhantes costumam constituir indicadores dos documentos de acordos de nveis de servio, e
devem ser adequadamente verificados e tratados quando detectadas falhas, de modo a atender s necessidades
do negcio. Sem a definio de tais indicadores, fica difcil responder questo: "os servios de TI da minha
organizao esto adequados s necessidades do negcio?". Igualmente, fica difcil priorizar investimentos e
aes na rea de TI sem saber onde o desempenho est mais no limite do esperado ou mais crtico para o
negcio.
97. Um aspecto particularmente importante a gesto de nveis de servio tambm para servios
contratados. A especificao formal de tais indicadores pode ser o principal instrumento dos gestores para garantir
o cumprimento dos contratos de TI e possibilitar a aplicao de penalidades em casos de no-atendimento. A
necessidade de acordo prvio e mensurao da qualidade de servios de TI citada, inclusive, em trechos de
Acrdos do TCU, como o Acrdo 2.172/2005-TCU-Plenrio e o Acrdo 786/2006-TCU-Plenrio . O termo
"acordo de nvel de servio" para contratos de TI tambm j conhecido do TCU, e foi mencionado no Acrdo
1.878/2005-TCU-Plenrio .
Achado XVIII. Ausncia de gesto de acordos de nveis de servios prestados internamente
98. A gesto de nveis de servios foi a questo com mais alto percentual de resposta negativa: 89%
dos pesquisados informaram no executar a gesto de nveis de servio de TI ofertados aos seus clientes. Essa
resposta coerente com o resultado obtido na verificao de alguns dos processos de trabalho que apiam a
gesto de nveis de servio: o plano de continuidade de negcios (Achado IX - 88% de respostas negativas), a
gesto de mudanas (Achado XIV - 88% de respostas negativas) e a gesto de capacidade e compatibilidade
(Achado XV - 84% de respostas negativas).
99. A ausncia da gesto de acordo de nveis de servio em percentual to expressivo indica que
grande parte dos pesquisados no realiza a negociao da qualidade dos servios de TI com os seus clientes. A
conseqncia disso uma dificuldade em ajustar expectativas: as reas de TI no sabem se esto atendendo s
necessidades de qualidade de servio dos seus clientes, nem tampouco os clientes sabem, ao pedir um servio de

TI, qual o nvel de qualidade que podem esperar. Os resultados podem ser reas de TI cujos esforos e
investimentos no esto sintonizados com as necessidades e expectativas dos seus clientes.
Critrios
a) Cobit 4.1 DS1 Define and Manage Service Levels (Definir e Gerenciar Nveis de Servio - A
comunicao efetiva entre gerente de TI e usurios sobre requisitos de servio possvel por meio de acordo
definido e documentado acerca dos servios de TI e nveis de servio. Esse processo tambm inclui
monitoramento e divulgao tempestiva aos interessados do cumprimento dos nveis de servio. Esse processo
permite um alinhamento entre os servios de TI e os requisitos de negcio relacionados).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 21. efetuada a gesto de acordos de nveis de
servio das solues de TI do rgo/entidade oferecidas a seus clientes? (fl. 37).
Efeitos potenciais
a) Insatisfao dos clientes com a qualidade e desempenho das solues ofertadas por sua rea de
TI;
b) Ausncia de informaes para os gerentes de TI sobre as reais expectativas dos seus clientes;
c) Inadequao da distribuio dos investimentos em TI em relao s necessidades dos clientes.
Achado XIX. Ausncia de gesto de acordos de nveis de servios contratados externamente
100. Um total de 74% dos pesquisados informaram que no executam a gesto de nveis de servio
dos servios contratados, ou seja, mesmo quando o rgo/entidade cliente e no fornecedor, no h
preocupao com a avaliao e o controle dos resultados.
101. Na verdade, a administrao precisa, por fora da lei, monitorar os seus contratos de TI. De
fato, as questes 31 (sobre verificao de itens predefinidos para atestao das faturas, com 56% de resposta
positiva) e 33 (sobre monitorao tcnica dos contratos, com 90% de resposta positiva) obtiveram resultados
melhores do que a questo sobre nveis de servio. Uma possvel explicao para esses resultados que talvez
exista algum monitoramento dos servios contratados, mas ele nem sempre se d em funo de um indicador de
desempenho. Ou, ainda, quando h tal indicador, ele no estratgico e sintonizado com o negcio, como o
caso do acordo de nvel de servio.
102. Assim, por exemplo, exige-se no contrato que a provedora de link para Internet fornea servio
velocidade de 4MB/s, em regime 24x7, com 99% de qualidade do servio (isto , tolerado 1% de falha no
fornecimento). Em alguns casos, a falha consiste em no verificar relatrios comprobatrios do ndice de
qualidade para atestao de fatura. Porm, mesmo quando tal ndice verificado, isso no garantia de que o
usurio final foi atendido em suas necessidades, pois no houve verificao nem acordo prvio de que tais
velocidade e qualidade seriam suficientes para o negcio da organizao. Nesse caso, as organizaes se arriscam
a manter contratos de servios que no so efetivos para o seu negcio, mesmo quando cumprem metas
contratuais.
103. Adicionalmente, como em ltima instncia um servio contratado pela rea de TI visa atender
necessidade dos seus clientes, a ausncia da gesto externa tem as mesmas conseqncias da sua ausncia da
gesto interna dos nveis de servio.
104. necessrio destacar que o art. 14 da recm publicada IN-4 da Secretaria de Logstica
Tecnologia da Informao (SLTI) do Ministrio do Planejamento, Oramento e Gesto indica o mnimo que deve
constar nos contratos com objetivo de estabelecer nveis de servio.
Critrios
a) Cobit 4.1 DS1 Define and Manage Service Levels (Definir e Gerenciar Nveis de Servio - A
comunicao efetiva entre gerente de TI e usurios sobre requisitos de servio possvel por meio de acordo

definido e documentado acerca dos servios de TI e nveis de servio. Esse processo tambm inclui
monitoramento e divulgao tempestiva aos interessados do cumprimento dos nveis de servio. Esse processo
permite um alinhamento entre os servios de TI e os requisitos de negcio relacionados).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 22. efetuada a gesto dos nveis de servio
acordados para os servios de TI prestados ao rgo/entidade? (fl. 37-v).
Efeitos potenciais
a) Insatisfao dos clientes com a qualidade e desempenho das solues de TI contratadas;
b) Realizao e manuteno de contratos de qualidade inadequada e pouco efetivos para o negcio
da organizao;
c) Inadequao da distribuio dos investimentos em TI em relao s necessidades da organizao;
d) No-aplicao de multas contratuais e pagamento de valores indevidos aos fornecedores.
Concluso
105. A gesto de acordos de nveis de servio o principal instrumento de negociao de qualidade
de servio entre as gerncias de TI e os seus clientes. A sua ausncia em 89% dos pesquisados um indcio de
que as reas de TI desses rgos/entidades ainda esto distantes dos seus usurios e no negociam
adequadamente com eles sobre a qualidade dos seus servios. As conseqncias mais provveis para tal cenrio
so clientes insatisfeitos e investimentos inadequados.
106. Alm disso, 74% dos pesquisados informaram que no executam a gesto de nveis de servio
dos servios contratados, ou seja, mesmo quando o rgo/entidade cliente e no fornecedor, no h
preocupao com a avaliao e o controle dos resultados. Assim, como em ltima instncia um servio contratado
pela rea de TI visa atender necessidade dos seus clientes, a ausncia da gesto externa tem as mesmas
conseqncias da sua ausncia da gesto interna dos nveis de servio.
Proposta de encaminhamento
107. Recomendar Secretaria de Logstica e Tecnologia da Informao (SLTI) do Ministrio do
Planejamento, Oramento e Gesto, ao Conselho Nacional de Justia e ao Conselho Nacional do Ministrio Pblico
que promovam aes com objetivo de disseminar a importncia de gesto de nveis de servio e induzir os
rgos/entidades da Administrao Pblica Federal a realizarem aes para implantao e/ou aperfeioamento de
acordos de nveis de servio.
8. Processo de contratao de bens e servios de TI
108. Na contratao de bens e servios de TI essencial a adoo de processo de trabalho
formalizado, padronizado e judicioso quanto ao custo, oportunidade e aos benefcios advindos para a
organizao. Esse processo melhora o relacionamento com os fornecedores e prestadores de servios, maximiza a
utilizao dos recursos financeiros alocados rea de TI e contribui decisivamente para que os servios de TI
dem o necessrio suporte s aes da organizao no alcance de seus objetivos e suas metas.
Achado XX. Ausncia de processo formal de trabalho para contrataes de TI
109. Mesmo que a maioria (54%) dos rgos/entidades pesquisados tenha informado que adota
processo formal de trabalho para contrataes de TI, a situao est longe do ideal, j que um percentual
expressivo de organizaes (46%) no adota processo formal de trabalho para contrataes de TI.
110. Deve-se observar que isso no significa deixar de cumprir a legislao especfica. Entretanto, a
falta de um processo de trabalho definido, padronizado, documentado e aprovado para realizar as contrataes de
TI pode trazer conseqncias danosas organizao. Como no existe um padro oficial e disseminado pela
organizao, cada rea pode adquirir os recursos de que necessita de uma forma diferente. Dessa maneira, a

organizao se expe a riscos desnecessrios e que poderiam ser evitados com a adoo de um processo de
trabalho formalizado.
111. Devido complexidade da legislao de licitaes vigente, o primeiro risco de que,
eventualmente, no sejam observados todos os dispositivos legais e normativos. Provavelmente, nem todos os
responsveis pelas contrataes de TI so especialistas no assunto e, caso no haja um processo formal de
trabalho, em algumas aquisies, dispositivos legais podem deixar de ser observados. Alm disso, improvvel
que todos os responsveis acompanhem as alteraes normativas e estejam atualizados sobre as mudanas na
interpretao da legislao e na jurisprudncia da rea. O mais seguro para a organizao que o processo de
contratao esteja padronizado e disponvel para todos os responsveis para minorar a ocorrncia de dvidas e
falhas nas aquisies de TI. Deve-se reforar que muitas falhas no processo de aquisio tm srias repercusses
no processo de gesto dos contratos durante sua vigncia e, em alguns casos, mesmo aps seu encerramento
devido a pendncias judiciais.
112. Outro risco decorrente da no-existncia de processo formal a realizao de aquisies
desnecessrias, com baixa qualidade ou que no estejam alinhadas s necessidades do negcio a mdio e longo
prazos. Dessas situaes decorrem, normalmente, desperdcio de recursos. Em alguns casos, inclusive, a
ocorrncia de fraudes e desvios fica facilitada exatamente pela falta ou dificuldade de controle sobre processos
no padronizados.
113. O item 9.4 do Acrdo 786/2006-TCU-Plenrio recomendou Secretaria de Logstica e
Tecnologia da Informao do Ministrio do Planejamento, Oramento e Gesto (SLTI) que elaborasse "um modelo
de licitao e contratao de servios de informtica para a Administrao Pblica Federal" e promovesse "a
implantao dele nos diversos rgos e entidades sob sua coordenao mediante orientao normativa". Em
atendimento a esse acrdo, durante o processo de reviso deste relatrio, a SLTI publicou a Instruo Normativa
n. 4, de 19 de maio de 2008. A IN-4 da SLTI dispe sobre o processo de contratao de servios de TI pela
Administrao Pblica Federal direta, autrquica e fundacional. A norma contempla as fases de planejamento da
contratao, seleo do fornecedor e gerenciamento do contrato e entrar em vigor no dia 2 de janeiro de 2009.
Critrios
a) Cobit 4.1 AI5.1 Procurement Control (Controle sobre aquisies - Desenvolver e seguir um
conjunto de procedimentos e padres consistente com o processo de licitao e a estratgia de aquisio gerais
da organizao para adquirir infra-estrutura, instalaes, hardware, software e servios de TI necessrios ao
negcio).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 23. O rgo/entidade adota processo formal de
trabalho na contratao de bens e servios de TI? (fl. 37-v).
Efeitos potenciais
a) Aquisies de TI no alinhadas s necessidades de mdio e longo prazos da organizao;
b) Contratao de bens e servios de TI que no atendem qualidade necessria ao bom
desenvolvimento do negcio do rgo/entidade;
c) Descumprimento de leis e normas relativas s licitaes de TI;
d) Problemas na gesto dos contratos decorrentes de aquisies de TI por falta de requisitos
previamente estabelecidos na licitao;
e) Desperdcio de recursos.
Achado XXI. Ausncia de anlise de custo/benefcio da soluo de TI contratada
114. Para se obter uma boa gesto necessria a otimizao dos recursos disponveis. No caso
especfico da rea de TI, essa preocupao se torna essencial tendo em vista as rpidas e constantes mudanas

tecnolgicas. Assim, imperativo que qualquer contratao de soluo de TI seja precedida de estudo de
viabilidade e de anlise de custo/benefcio. Apesar dessa mxima no ser contestada, apenas pouco mais da
metade (53%) dos rgos/entidades pesquisados realiza essa anlise.
115. importante notar que toda contratao de TI deve ser anteriormente aprovada levando-se em
conta os aspectos tcnicos, sua funcionalidade, sua viabilidade, seu alinhamento com o planejamento estratgico
e se os benefcios advindos compensam o seu custo. As contrataes de TI, alm de referendadas pela rea de TI,
devem ser aprovadas pelo gestor da rea afetada. Em alguns casos, quando envolverem valores elevados,
assuntos relevantes ou quando envolverem diversas reas da organizao, a contratao deve ser aprovada pelo
comit diretivo de TI (Achado III).
116. Os artigos 10 a 12 da recm publicada IN-4 da SLTI (item 113) indicam atividades que devero
ser executadas para anlise de viabilidade da contratao.
Critrios
a) Cobit 4.1 AI1.3 Feasibility Study and Formulation of Alternative Courses of Action (Estudo de
viabilidade e formulao de solues alternativas - Desenvolver um estudo de viabilidade que examine a
possibilidade da implementao dos requisitos. A gerncia do negcio, apoiada pela gerncia de TI, deve avaliar a
viabilidade e as solues alternativas e fazer uma recomendao ao patrocinador da ao);
b) Cobit 4.1 AI1.4 Requirements and Feasibility Decision and Approval (Deciso e aprovao dos
requisitos e da viabilidade - Verificar se o processo requer que o patrocinador da ao formalize sua aprovao
dos requisitos funcionais e tcnicos e dos relatrios de estudo de viabilidade em etapas chave predeterminadas. O
patrocinador da ao deve tomar a deciso final no que diz respeito escolha da soluo e da forma de sua
aquisio).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 24. Na elaborao do projeto bsico das
contrataes de TI feita anlise de custo/benefcio da soluo a ser contratada ? (fl. 37-v).
Efeitos potenciais
a) Contratao de bens e servios de TI com custos acima do necessrio;
b) Solues alternativas satisfatrias e a um custo mais baixo no identificadas;
c) Desperdcio de recursos.
Achado XXII. Ausncia de explicitao dos benefcios nas contrataes de TI
117. Apesar de seu importante papel na consecuo dos objetivos institucionais nas organizaes, a
tecnologia da informao no pode ser encarada como um fim em si mesma. Todas as aes de TI devem
concorrer para que a organizao alcance seus objetivos e metas.
118. O Tribunal, em diversos acrdos, tem destacado a importncia e determinado a necessidade
da harmonia entre as contrataes de TI e o planejamento estratgico dos rgos/entidades federais. O item
9.3.11 do Acrdo 1.558/2003-TCU-Plenrio taxativo: "ao proceder a licitao de bens e servios de
informtica, elabore previamente minucioso planejamento, realizado em harmonia com o planejamento
estratgico da unidade e com o seu plano diretor de informtica, (...)". Na mesma direo o item 9.1.1 do
Acrdo 2.094/2004-TCU-Plenrio: "todas as aquisies devem ser realizadas em harmonia com o planejamento
estratgico da instituio (...)".
119. Assim, toda contratao de TI deve ter seus benefcios para a organizao explicitados, ou seja,
deve ser justificada em que medida ir colaborar para a consecuo dos objetivos institucionais. Apesar desse
entendimento j consolidado, 40% dos rgos e entidades pesquisados ainda no se preocupam em justificar e
destacar os benefcios esperados para a organizao. Por outro lado, a letra "c" do inciso V do art. 10 da recm
publicada IN-4 da SLTI (item 113) determina que a justificativa da soluo escolhida contenha a "identificao dos

benefcios que sero alcanados com a efetivao da contratao em termos de eficcia, eficincia, efetividade e
economicidade".
Critrios
a) Cobit 4.1 AI1.3 Feasibility Study and Formulation of Alternative Courses of Action (Estudo de
viabilidade e formulao de solues alternativas - Desenvolver um estudo de viabilidade que examine a
possibilidade da implementao dos requisitos. A gerncia do negcio, apoiada pela gerncia de TI, deve avaliar a
viabilidade e as solues alternativas e fazer uma recomendao ao patrocinador da ao);
b) Cobit 4.1 AI1.4 Requirements and Feasibility Decision and Approval (Deciso e aprovao dos
requisitos e da viabilidade - Verificar se o processo requer que o patrocinador da ao formalize sua aprovao
dos requisitos funcionais e tcnicos e dos relatrios de estudo de viabilidade em etapas chave predeterminadas. O
patrocinador da ao deve tomar a deciso final no que diz respeito escolha da soluo e da forma de sua
aquisio);
c) Acrdo 1.558/2003-TCU-Plenrio, item 9.3.11;
d) Acrdo 2.094/2004-TCU-Plenrio, item 9.1.1.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 25. Na elaborao do projeto bsico das
contrataes de TI so explicitados os benefcios da contratao em termos de negcio do rgo/entidade e no
somente em termos de TI? (fl. 37-v).
Efeitos potenciais
a) Aquisies de TI no alinhadas s necessidades de mdio e longo prazos da organizao;
b) Contratao de bens e servios de TI com desempenho abaixo do esperado e/ou requerido;
c) Contratao de bens e servios de TI no integrados infra-estrutura de TI existente;
d) Desperdcio de recursos.
Achado XXIII. No-exigncia de demonstrativo de formao de preo antes da adjudicao
120. O valor de muitas contrataes de TI resultado da soma de valores de diversos componentes.
Especialmente na contratao de uma soluo de TI, os custos dos componentes podem variar ao longo do tempo
de durao do contrato de maneira diferente. Tome-se como exemplo uma soluo de TI que envolva recursos
humanos, aluguel de equipamentos e recursos de telecomunicao. Pode ser necessrio, para se manter o
equilbrio econmico-financeiro do contrato, que haja a repactuao com a assinatura de termo aditivo por
questes econmicas, de mercado ou tecnolgicas. Se no se souber o quanto cada componente representa na
formao do valor final, no se poder repactuar o contrato de maneira justa e no lesiva aos interesses pblicos.
121. Diante dessa situao, torna-se importante a exigncia de que, antes da adjudicao do
contrato, seja apresentado o demonstrativo de formao de preo. De acordo com as respostas dos gestores, essa
prtica somente observada por metade dos rgos/entidades participantes do levantamento, apesar da Lei n.
8.666/1993 j recomend-la, mesmo que implicitamente, em seus artigos 7 e 46.
Critrios
a) Lei n. 8.666/1993, art. 7, 2, inciso II, e art. 46, 1, inciso II.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 27. exigido o demonstrativo de formao de preo
antes da adjudicao? (fl. 37-v).
Efeitos potenciais
a) Problemas na gesto dos contratos decorrentes de aquisies de TI por falta de parmetros para
renegociao de valores, caso seja necessrio;
b) Dificuldade de se identificar a prtica de "jogo de planilhas" .

Concluso
122. Uma quantidade expressiva (46%), pouco menos que a metade dos rgos/entidades
pesquisados, no dispe de processo formal de trabalho. Essa uma situao que merece ateno especial dos
rgos/entidades no sentido da implantao de processo formal de contratao de TI, para evitar falhas, fraudes e
desperdcios de recursos. Em atendimento ao item 9.4 do Acrdo 786/2006-TCU-Plenrio, a SLTI editou a IN-4,
que entrar em vigor em janeiro de 2009 e pode ser considerada um bom comeo para mudana do quadro atual.
123. A despeito das dificuldades enfrentadas, como falta de recursos humanos e outras condies
fundamentais para o bom funcionamento das reas de TI, o fato de 47% do universo pesquisado no realizarem
anlise de custo/benefcio das contrataes de TI demonstra que a melhor utilizao dos recursos pblicos ainda
no uma preocupao para boa parte dos gestores de TI.
124. Apesar da maioria dos rgos/entidades pesquisados explicitarem os benefcios para a obteno
dos resultados institucionais esperados com cada contratao de TI, um percentual ainda muito expressivo no
adota tal prtica (40%). Essa situao, em conjunto com os achados XXIV e XXV, mostra que muito ainda precisa
ser feito para que haja controle efetivo de que as contrataes de TI so convenientes para a organizao.
125. O fato de metade dos rgos/entidades pesquisados no exigir o demonstrativo de formao de
preo antes da adjudicao indica que uma quantidade significativa de gestores no est atenta para os
problemas que poder enfrentar na gesto dos contratos decorrentes das aquisies de bens e servios TI. Essa
viso imediatista poder trazer riscos concluso do contrato e/ou prejuzos organizao.
Proposta de encaminhamento
126. Recomendar ao Conselho Nacional de Justia e ao Conselho Nacional do Ministrio Pblico que
promovam aes com objetivo de disseminar a importncia de processo de trabalho formalizado de contratao
de bens e servios de TI e induzir, mediante orientao normativa nos moldes recomendados pelo item 9.4 do
Acrdo 786/2006-TCU-Plenrio, os rgos do Poder Judicirio e do Ministrio Pblico a realizarem aes para
implantao e/ou aperfeioamento do processo de contratao de TI.
9. Processo de gesto de contratos de TI
127. Da mesma forma que importante que haja processo de trabalho formalizado para contratao
de bens e servios de TI, essencial que os contratos advindos dessas aquisies sejam bem geridos.
128. Apesar da Lei n. 8.666/1993 determinar algumas aes que devem ser obrigatoriamente
realizadas, no h a indicao do que deve constar de processo de trabalho para gesto dos contratos.
Entretanto, para todos os contratos e, especialmente, para os contratos de TI, a sua boa gesto essencial para
se atingir os objetivos esperados. Para se gerir adequadamente os riscos inerentes s atividades de TI, a adoo
de processo formal de trabalho de suma importncia. Esse processo de trabalho deve ser definido, padronizado,
documentado, aprovado e divulgado para toda a organizao.
Achado XXIV. Ausncia de processo formal de trabalho para gesto de contratos de TI
129. A maioria (55%) dos rgos/entidades participantes do levantamento afirmou que no adota
processo formal de trabalho para gesto de contratos de TI. Essa situao merece ser observada com ateno.
130. A ausncia desse processo de trabalho pode causar problemas ao bom funcionamento da rea
de TI da organizao. Se os contratos de TI, que garantem os servios de infra-estrutura de TI, o
desenvolvimento de aplicativos e o atendimento aos usurios, por exemplo, no forem bem geridos, todas as
atividades de TI sero afetadas. Alm disso, todas as atividades da organizao que dependem de servios de TI
podero sofrer com interrupes ou nveis de servio abaixo do desejado e comprometer metas e objetivos da
instituio.
131. Caso a organizao no consiga exigir dos seus fornecedores uma prestao de servio
adequada sua necessidade, muitos projetos e atividades correm risco de no serem realizados no prazo

necessrio, acarretando perdas ou desperdcio de recursos. Eventualmente, tambm, alguma determinao legal
poder deixar de ser cumprida, o que tornar a organizao vulnervel em termos jurdicos e na prestao de
contas.
132. interessante notar que 78% das organizaes consultadas afirmaram que designam
formalmente um gestor para cada contrato de TI. Esse gestor pode, eventualmente, ser a mesma pessoa do
"representante da administrao" previsto no art. 67 da Lei n. 8.666/1993. Entretanto, observa-se que, apesar
de 78% das organizaes pesquisadas terem um gestor designado para o contrato, boa parte desses gestores no
dispe de um processo de trabalho formalmente definido. Assim, o bom desempenho da funo depende da
capacidade e conhecimento individual do gestor, quando deveria ser uma atividade impessoal que qualquer
funcionrio habilitado pudesse exercer de acordo com o processo de trabalho padro.
133. A recm publicada IN-4 da SLTI dedica toda a Seo III ao gerenciamento do contrato (item
113).
Critrios
a) Lei n. 8.666/1993, Captulo III - Dos Contratos;
b) Cobit 4.1 AI5.1 Procurement Control (Controle sobre aquisies - Desenvolver e seguir um
conjunto de procedimentos e padres consistente com o processo de licitao e a estratgia de aquisio gerais
da organizao para adquirir infra-estrutura, instalaes, hardware, software e servios de TI necessrios ao
negcio).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 28. O rgo/entidade adota processo formal de
trabalho na gesto de contratos de bens e servios de TI? (fl. 37-v);
b) Apndice I, planilha de resultados, pergunta: 29. H designao formal do gestor de cada contrato
relativo a bens e servios de TI? (fl. 37-v).
Efeitos potenciais
a) Descumprimento de leis e normas relativas gesto de contratos de TI;
b) Problemas na gesto dos contratos de TI;
c) Baixa qualidade dos servios prestados;
d) No-aplicao de multas previstas nos contratos;
e) Interrupes na execuo de contratos de TI;
f) Interrupo de processos que sustentam o negcio da organizao;
g) No-concluso de projetos importantes para se atingir as metas da organizao;
h) Desperdcio de recursos.
Achado XXV. No-realizao de reunies peridicas para avaliar o andamento dos contratos de TI
134. Causa preocupao o fato de 65% dos rgos/entidades que participaram do levantamento no
realizarem reunies peridicas com os contratados para avaliar o desempenho de cada contrato de TI. Esse
procedimento deve fazer parte do processo formal de trabalho para gesto dos contratos de TI.
135. O art. 67 da Lei n. 8.666/1993 no determina explicitamente a realizao de reunies
peridicas com os fornecedores, entretanto, determina que "a execuo do contrato dever ser acompanhada e
fiscalizada por um representante da Administrao especialmente designado" que "anotar em registro prprio
todas as ocorrncias relacionadas com a execuo do contrato, determinando o que for necessrio regularizao
das faltas ou defeitos observados".
136. A forma mais simples e eficiente para o cumprimento desse dispositivo legal , sem dvida
alguma, a realizao de reunies com a periodicidade adequada para avaliar o andamento do servio, bem como
os problemas enfrentados e as decises a serem tomadas para solucion-los. Outra vantagem significativa da

realizao de reunies com os contratados a possibilidade de anteviso de problemas futuros baseada na

evoluo do desempenho e outros indicadores que, eventualmente, podem apontar degradao do nvel de
servios ou outros riscos iminentes.
Critrios
a) Art. 67 da Lei n. 8.666/1993;
b) Cobit 4.1 AI5.2 Supplier Contract Management (Gerenciamento de Contratos de Fornecedores Definir um procedimento para estabelecimento, modificao e concluso de contratos com todos os fornecedores.
O procedimento deve cobrir, no mnimo, responsabilidades, obrigaes e penalidades legais, financeiras,
organizacionais, documentais, de desempenho, de segurana, de propriedade intelectual e de concluso. Todos os
contratos e aditivos devem ser revisados por consultores jurdicos);
c) Cobit 4.1 DS2.2 Supplier Relationship Management (Gerenciamento de Relacionamento com
Fornecedores - Formalizar o processo de gerenciamento e relacionamento com cada fornecedor. O contato com o
fornecedor deve tratar dos assuntos relativos a clientes e fornecedores e garantir a qualidade do relacionamento
baseado na confiana e transparncia, isto , por meio de acordos de nvel de servio (SLA));
d) Cobit 4.1 DS2.3 Supplier Risk Management (Gerenciamento de Riscos com Fornecedores Identificar e mitigar riscos relacionados capacidade dos fornecedores de continuarem efetivamente a entregar os
produtos de uma maneira segura, eficiente e contnua. Garantir que os contratos estejam de acordo com os
padres gerais do negcio e requisitos legais e regulatrios. O gerenciamento de riscos deve considerar
antecipadamente acordos de no-divulgao de informaes, contratos de garantia, viabilidade de continuidade do
fornecedor, conformidade com requisitos de segurana, fornecedores alternativos, penalidades, recompensas
etc.);
e)

Cobit

4.1

DS2.4

Supplier

Performance

Monitoring

(Monitoramento

de

Desempenho

de

Fornecedores - Estabelecer um processo para monitorar a entrega dos servios de forma a garantir que o
fornecedor esteja cumprindo os requisitos do negcio e continue seguindo os termos acordados no contrato e no
SLA. Esse processo deve garantir, tambm, que o desempenho do fornecedor seja compatvel com o de
fornecedores alternativos e com as condies do mercado);
Evidncias
a) Apndice I, planilha de resultados, pergunta: 30. H realizao de reunio peridica com o
contratado para avaliar o andamento de cada contrato relativo a bens e servios de TI? (fl. 37-v).
Efeitos potenciais
a) Descumprimento de leis e normas relativas gesto de contratos de TI;
b) Problemas na gesto dos contratos de TI;
c) Baixa qualidade dos servios prestados;
d) No-aplicao de multas previstas nos contratos;
e) Interrupes na execuo de contratos de TI;
f) Interrupo de processos que sustentam o negcio da organizao;
g) No-concluso de projetos importantes para se atingir as metas da organizao;
h) Desperdcio de recursos.
Achado XXVI. No-definio prvia de itens para atestao tcnica das faturas de contratos de TI
137. Praticamente metade (53%) dos rgos/entidades que participaram do levantamento afirmou
que atesta as faturas apresentadas com base em itens previamente definidos. Por outro lado, 47% das
organizaes pesquisadas no definem previamente um critrio para avaliao se as faturas apresentadas
correspondem realidade e se no contm erros.

138. Esse procedimento especfico deve constar do processo formal de trabalho para gesto dos
contratos de TI. A sua ausncia pode dificultar o trabalho do responsvel por atestar tecnicamente a realizao do
servio. Caso esse responsvel tenha que atestar muitas faturas e essas faturas tenham muitos itens a serem
verificados, o risco de que sejam aprovados pagamentos indevidos bastante razovel.
139. No levantamento, 90% das organizaes consultadas disseram que fazem o monitoramento
tcnico dos contratos de TI. Foram informadas, tambm, a quantidade de contratos de TI e a quantidade de
profissionais que executam essa tarefa. Em 17% dos rgos/entidades pesquisados cada profissional monitora
tecnicamente, em mdia, mais de cinco contratos de TI. A maior quantidade calculada foi de 14,7 contratos por
pessoa e a menor foi de 0,5 contrato por pessoa. Deve-se ter sempre em mente que essas informaes devem
ser analisadas com cuidado porque esses contratos podem variar do fornecimento de um nico item simples de
ser controlado ao complexo controle de uma fbrica de software.
Critrios
a)

Cobit

4.1

DS2.4

Supplier

Performance

Monitoring

(Monitoramento

de

Desempenho

de

Fornecedores - Estabelecer um processo para monitorar a entrega dos servios de forma a garantir que o
fornecedor esteja cumprindo os requisitos do negcio e continue seguindo os termos acordados no contrato e no
SLA. Esse processo deve garantir, tambm, que o desempenho do fornecedor seja compatvel com o de
fornecedores alternativos e com as condies do mercado).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 31. H verificao de itens predefinidos que
embasem a atestao tcnica dos bens e servios de TI contratados referentes a cada fatura apresentada? (fl. 37v);
b) Apndice I, planilha de resultados, pergunta: 33. feita monitorao tcnica dos contratos
relativos a bens e servios de TI? Quantos funcionrios realizam esta atividade? Quantos contratos relativos a
bens e servios de TI esto em vigor? (fl. 38).
Efeitos potenciais
a) Descumprimento de leis e normas relativas gesto de contratos de TI;
b) Pagamentos indevidos;
c) No-aplicao de multas previstas nos contratos;
d) Desperdcio de recursos.
Achado XXVII. Monitorao administrativa dos contratos de TI feita pela rea de TI
140. A monitorao administrativa dos contratos deve ser feita em cumprimento ao disposto no
inciso XIII do art. 55, c/c o art. 29, da Lei n. 8.666/1993. Tal monitorao envolve a verificao de aspectos
trabalhistas (encargos, subordinao direta, desvio de funo, no-verificao da impessoalidade, ingerncia
administrativa), aspectos fiscais (regularidade cadastral), manuteno das condies de habilitao na licitao,
atendimento aos normativos internos do rgo ou entidade e regularidade dos recolhimentos de contribuies
sociais.
141. Nem todos os profissionais de TI esto aptos a realizar a monitorao administrativa, sem uma
preparao especfica, por ser uma atividade que requer o acompanhamento da legislao e jurisprudncia da
rea de licitaes e contratos. Alm disso, essa atividade pode tomar um tempo elevado devido quantidade de
documentos e requisitos burocrticos a serem observados. Se a atividade for realizada por pessoa no preparada
devidamente ou que no esteja atualizada nessa matria, o risco de problemas futuros para a organizao
considervel. Levando tudo isso em considerao, a monitorao administrativa deve ser realizada por setor
especializado que no precisa necessariamente estar ligado rea de TI.

142. Das organizaes consultadas, em menos da metade (45%) a monitorao administrativa

realizada por setor especializado no vinculado rea de TI. Nos outros 55% dos rgos/entidades pesquisados,
uma parte significativa do tempo de profissionais especializados de TI gasto no desempenho dessa tarefa.
142.1. Esse procedimento especfico deve constar do processo formal de trabalho para gesto dos
contratos de TI e ser realizado por profissionais preparados para tal. Caso contrrio, o risco de serem
descumpridos dispositivos legais que podero acarretar pendncias judiciais para a organizao significativo.
Nesse aspecto, interessante lembrar o caso recentemente julgado pelo Tribunal, em que rgos da
Administrao Pblica Federal pagavam 0,5% a mais de FGTS, em contratos de TI, por no terem observado a
mudana da alquota em 1 de janeiro de 2007, conforme a Lei Complementar n. 110/2001 (Acrdo 353/2008TCU-Plenrio).
Critrios
a) Art. 29 e inciso XIII do art. 55 da Lei n. 8.666/1993;
b) Cobit 4.1 DS2.2 Supplier Relationship Management (Gerenciamento de Relacionamento com
Fornecedores - Formalizar o processo de gerenciamento e relacionamento com cada fornecedor. O contato com o
fornecedor deve tratar dos assuntos relativos a clientes e fornecedores e garantir a qualidade do relacionamento
baseado na confiana e transparncia, isto , por meio de SLA).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 32. A monitorao administrativa dos contratos
relativos a bens e servios de TI feita pela rea de TI? (fl. 38).
Efeitos potenciais
a) Descumprimento de leis e normas relativas gesto de contratos de TI;
b) Pendncias judiciais relativas a encargos trabalhistas e previdencirios;
c) No-aplicao de multas previstas nos contratos.
Achado XXVIII. No-transferncia de conhecimento relativo aos produtos e servios terceirizados
para os servidores dos rgos/entidades
143. Menos da metade (43%) dos rgos/entidades participantes do levantamento informou que
exige a transferncia de conhecimento nos contratos relativos aos produtos e servios de TI terceirizados. O
percentual restante, 57%, significativo, ainda mais quando so analisados alguns dos motivos que levam as
organizaes a terceirizarem servios de TI: necessidade de acesso a tecnologias mais avanadas e reduo de
riscos associados a essas tecnologias.
144. um contra-senso a contratao de servios importantes para a organizao mas para os quais
no h os recursos necessrios para serem realizados internamente, ou servios que usem novas tecnologias e
no ser exigida a transferncia do conhecimento para sua realizao. Deve-se observar que a organizao paga
inclusive pela aquisio do conhecimento por parte do prestador e, em muitos contratos, no assegura, ao seu
trmino, a manuteno do conhecimento na instituio.
145. Esse procedimento especfico deve constar dos processos formais de trabalho para contratao
de TI e para gesto dos contratos de TI. No primeiro caso, necessrio que a transferncia de conhecimento
conste desde o incio da contratao, ou seja, no edital da licitao. No segundo caso, deve haver a verificao se
a transferncia de conhecimento realizada. Caso contrrio, h risco de que os servios terceirizados, aps o final
do contrato, no possam ser realizados pelo pessoal da prpria instituio.
Critrios
a) Cobit 4.1 AI4.4 Knowledge Transfer to Operations and Support Staff (Transferncia de
Conhecimentos para Equipes de Operao e Suporte - Transferir conhecimento e habilidades para permitir que

equipes de operao e suporte tcnico possam executar, dar suporte e manter efetiva e eficientemente o sistema
e a infra-estrutura associada).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 34. H transferncia de conhecimento para
servidores do rgo/entidade referente a produtos e servios de TI terceirizados?
(fl. 38).
Efeitos potenciais
a) Problemas com a continuidade do servio de TI aps o fim do contrato;
b) Documentao insuficiente dos produtos advindos do contrato;
c) Servio de ajuda (help-desk) sobrecarregado;
d) Perda de conhecimento importante para a organizao;
e) Desperdcio de recursos.
Concluso
146. O processo formal de trabalho para gesto dos contratos de TI uma necessidade que menos
da metade (45%) das organizaes consultadas adota. Mesmo a maioria (90%) realizando a monitorao tcnica,
apenas 78% designam formalmente um gestor para cada contrato e somente 53% definem previamente os itens
a serem verificados para atestar as faturas apresentadas. A monitorao administrativa ainda realizada pela
rea de TI em 55% das organizaes pesquisadas.
147. Um percentual pequeno (35%) das organizaes consultadas realiza periodicamente reunies
com os contratados para avaliao da execuo de cada contrato de TI. Somente 43% exigem, em contrato, que
o conhecimento seja transferido pelos prestadores de servio aos servidores do rgo/entidade .
148. Os rgos/entidades da Administrao Pblica Federal devem ser encorajados a adotar
processo formal de trabalho para gesto dos contratos de TI para minimizar os riscos de descumprimento da
legislao, desperdcio de recursos, interrupo de servios de TI, baixa qualidade de servios contratados, entre
outros.
Proposta de encaminhamento
149. Recomendar ao Conselho Nacional de Justia e ao Conselho Nacional do Ministrio Pblico que
promovam aes com objetivo de disseminar a importncia de processo de trabalho formalizado de gesto de
contratos de TI e induzir, mediante orientao normativa nos moldes recomendados pelo item 9.4 do Acrdo
786/2006-TCU-Plenrio, os rgos do Poder Judicirio e do Ministrio Pblico a realizarem aes para implantao
e/ou aperfeioamento desse processo de gesto.
10. Processo oramentrio de TI
150. No Brasil, apesar do processo oramentrio ser regulamentado na rea pblica, para se prever
adequadamente o valor necessrio para a rea de TI, so necessrios dois elementos essenciais: planejamento e
controle.
151. O planejamento estratgico de TI (Achado II), aliado com os planos de ao e as decises do
comit diretivo de TI (Achado III), indica quais gastos devero ser realizados, a prioridade na execuo financeira
e como se dar a expanso dos servios de TI. O controle das atividades de TI, por sua vez, indica as aes que
atingem os resultados esperados e aquelas que precisam ser modificadas para alcanar os objetivos
determinados. O acompanhamento dos gastos de TI um dos componentes essenciais para o controle eficiente
das aes de TI. A partir da anlise das informaes obtidas no acompanhamento do planejamento e das
atividades de TI, pode-se fazer uma previso oramentria apropriada para a rea de TI. Entretanto, a falta do
conhecimento detalhado dos gastos de TI prejudica tal previso.

152. Nesse aspecto, observou-se que uma quantidade razovel de organizaes participantes do
levantamento teve dificuldade de responder rapidamente o total de gastos com TI e como est distribudo esse
gasto. Deve-se ressaltar que, sobre esse assunto, o Tribunal j se manifestou no Acrdo 371/2008-TCU-Plenrio,
com determinaes Secretaria do Tesouro Nacional (STN) do Ministrio da Fazenda, ao Departamento de
Coordenao e Governana das Empresas Estatais (Dest) e Secretaria de Oramento Federal (SOF) do Ministrio
do Planejamento, Oramento e Gesto. Com a finalidade de permitir a identificao clara, objetiva e transparente
da previso e da execuo dos gastos em TI, foi determinado que elaborassem e encaminhassem ao TCU
proposta de alterao do Oramento Geral da Unio e do Programa de Dispndios Globais (PDG). No mesmo
Acrdo, o Tribunal props a criao de uma ou mais aes que agreguem as despesas relacionadas a TI, de
elemento de despesa que identifique execuo de despesas com bens e servios de TI e de rubricas prprias de TI
tanto para despesas correntes como para despesas de capital.
Achado XXIX. No-considerao das aes planejadas para o prximo ano quando da solicitao de
oramento para a rea de TI
153. Apesar da maioria (61%) dos rgos/entidades participantes do levantamento afirmar que, em
2006, foram levadas em considerao as aes previstas para o exerccio seguinte na solicitao do oramento
para 2007, um percentual significativo (39%) no utilizou essas informaes.
154. A partir desses dados, pode-se supor que 39% das organizaes consultadas, quando da
solicitao de oramento para a rea de TI em 2007, ou repetiram os valores do ano anterior ou simplesmente
aplicaram um percentual de aumento linear sobre as despesas realizadas ou, ainda, acrescentaram um valor ao
total do ano anterior sem a utilizao de um critrio transparente.
155. Diante disso, verifica-se que a elaborao do oramento para a rea de TI nem sempre utiliza
os insumos necessrios obteno de resultado mais prximo da realidade.
Critrios
a) Cobit 4.1 PO5.3 IT Budgeting (Oramento de TI - Estabelecer e implementar prticas para
elaborar um oramento que reflita as prioridades estabelecidas na lista de projetos de TI e inclua os custos atuais
de operao e manuteno da infra-estrutura existente. As prticas devem dar suporte ao desenvolvimento de um
oramento geral para TI, assim como o desenvolvimento de oramentos especficos para os projetos com nfase
especfica nos componentes de TI. As prticas devem permitir reviso do andamento, refinamento das
informaes e aprovao do oramento geral para TI e dos oramentos especficos dos projetos).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 35. A solicitao do oramento para a rea de TI,
encaminhada em 2006, foi feita com base nas aes da rea de TI planejadas para 2007? (fl. 38).
Efeitos potenciais
a) Recursos insuficientes para a rea de TI;
b) Interrupo de servios de TI por falta de recursos necessrios;
c) No-alcance de metas estabelecidas para a organizao por falta de suporte da rea de TI.
Achado XXX. No-alocao dos recursos previstos no oramento s aes constantes do
planejamento de TI no incio do ano
156. Apesar de 82% dos rgos/entidades consultados afirmarem que controlam os gastos de TI, um
percentual considervel (21%) no enviou informaes sobre o total de gastos com TI e uma parcela significativa,
mesmo enviando os dados, informou que teve dificuldade em obter esses valores.
157. Alm disso, pouco menos da metade (49%) das organizaes consultadas disse que no 1
trimestre de 2007 fez a alocao oramentria s aes constantes do planejamento de TI. Esse quadro um
indcio de que 51% dos pesquisados no exerce o controle sobre os gastos de TI a partir do oramento aprovado

e das aes planejadas. Provavelmente, essas organizaes apenas atendem o que a legislao determina e no
realizam um controle eficiente sobre os gastos de TI.
Critrios
a) Cobit 4.1 PO5.3 IT Budgeting (Oramento de TI - Estabelecer e implementar prticas para
elaborar um oramento que reflita as prioridades estabelecidas na lista de projetos de TI e inclua os custos atuais
de operao e manuteno da infra-estrutura existente. As prticas devem dar suporte ao desenvolvimento de um
oramento geral para TI, assim como o desenvolvimento de oramentos especficos para os projetos com nfase
especfica nos componentes de TI. As prticas devem permitir reviso do andamento, refinamento das
informaes e aprovao do oramento geral para TI e dos oramentos especficos dos projetos).
Evidncias
a) Apndice I, planilha de resultados, pergunta: 36. No 1 trimestre de 2007 foi feita a alocao
oramentria s aes constantes do planejamento? (fl. 38);
b) Apndice I, planilha de resultados, pergunta: 37. Ao longo do exerccio financeiro h controle dos
gastos e da disponibilidade oramentria? (fl. 38).
Efeitos potenciais
a) Recursos insuficientes para a rea de TI;
b) Interrupo de servios de TI por falta de recursos necessrios;
c) No-alcance de metas estabelecidas para a organizao por falta de suporte da rea de TI.
Concluso
158. O controle sobre os gastos de TI de suma importncia para o melhor aproveitamento dos
recursos disponveis, a solicitao de recursos financeiros adequados necessidade da rea de TI e o atendimento
das aes consideradas prioritrias. Esse processo de trabalho est ligado aos processos de planejamento e
contratao de bens e servios de TI.
159. Apesar de 82% dos rgos/entidades pesquisados afirmarem que realizam essa atividade, foi
observado que, em muitos casos, as informaes sobre gastos de TI foram de difcil obteno. Esse fato denota a
necessidade de melhoria no controle de gastos de TI. Assim, espera-se que os rgos/entidades elaborem suas
propostas oramentrias para a rea de TI com base nas aes que efetivamente pretendam realizar e alinhadas
aos objetivos de negcio. Alm disso, os rgos/entidades devem manter acompanhamento da execuo dos
gastos de TI para que saibam, precisamente, quanto foi gasto, em que aes e qual a disponibilidade para gastos
futuros.
Proposta de encaminhamento
160. Recomendar Secretaria de Logstica e Tecnologia da Informao (SLTI) do Ministrio do
Planejamento, Oramento e Gesto, ao Conselho Nacional de Justia e ao Conselho Nacional do Ministrio Pblico
que promovam aes com objetivo de garantir que as propostas oramentrias para a rea de TI dos
rgos/entidades da Administrao Pblica Federal sejam elaboradas com base nas atividades que efetivamente
pretendam realizar e alinhadas aos objetivos de negcio.
11. Auditoria de tecnologia da informao
161. A rea de TI foi considerada, por muito tempo, uma "caixa preta", sobre a qual a administrao
tinha pouco controle e da qual no se sabia ao certo o que esperar como benefcio para a organizao. Com o
aumento da importncia estratgica das reas de TI, essa situao no pde mais se sustentar. H uma busca
pela aplicao de modelos de governana de TI , com o objetivo de tornar as reas de TI controlveis, com
resultados mensurveis e orientadas aos objetivos do negcio da organizao.
162. Nessa perspectiva, a Auditoria de TI consiste em verificar um ou vrios aspectos da governana
de TI de uma organizao. Note-se que essa ainda uma definio ampla e abrange vrios tipos e perspectivas

para Auditorias. Assim, uma Auditoria de TI pode, por exemplo, avaliar apenas controles de acesso lgico ao
ambiente de TI, por meio de anlise de vulnerabilidade. J se for realizada com um objetivo mais gerencial, a
Auditoria pode avaliar se os processos de TI ligados ao desenvolvimento de sistemas, por exemplo, esto sendo
executados conforme a poltica da empresa e esto gerando sistemas eficazes. Outra possibilidade uma
Auditoria para verificar a integridade e fidedignidade das informaes armazenadas nas bases de dados da
organizao. Ou, ainda, pode-se verificar se a contratao de bens e servios de TI feita de acordo com as
normas da organizao e a legislao vigente.
163. Em termos gerais, a Auditoria de TI , assim, uma ferramenta para avaliar a conformidade, a
qualidade, a eficcia e a efetividade de uma rea de TI. Por isso mesmo, h uma tendncia em incluir/valorizar
atividades de Auditoria peridica como instrumento para gesto. Um reflexo dessa tendncia o fato de que uma
das principais mudanas quando da atualizao do Cobit verso 3.0 para a verso 4.0, em 2005, foi o incremento
e reorganizao do domnio de monitorao, que passou a se chamar "Monitorao e Avaliao", como descrito no
Apndice V do Cobit 4.1, que sinaliza que esse domnio passou a ser visto como parte do processo de melhoria da
governana de TI.
164. Por isso, foram includas nesse levantamento questes para verificar se esse tipo de Auditoria
realizado nos rgos/entidades pesquisados da Administrao Pblica Federal. Alguns dentre os rgos/entidades
pesquisados tm, por fora de legislao, a obrigao de executar periodicamente Auditorias independentes em
vrias reas, inclusive em TI.
165. Outro objetivo verificar se os rgos/entidades possuem a figura do Auditor interno de TI.
Esse papel , em muitos aspectos, complementar ao Auditor externo: o Auditor interno no apenas verifica a
abrangncia e efetividade dos controles internos de TI em sua Auditoria, como tambm agente de melhoria
desses controles e, assim, pode ser um agente de melhoria da prpria gesto.
Anexo XXXI. Inexecuo de Auditoria de TI pelos rgos/entidades
166. Somente 40% dos pesquisados declarou ter realizado Auditoria de TI nos ltimos cinco anos no
seu rgo/entidade. O Grfico 5 estratifica a quantidade de Auditorias de TI realizadas nessas 101 organizaes.
Grfico 5 - Quantidade de Auditorias de TI realizadas nos ltimos cinco anos
167. Dentre os rgos/entidades que realizaram alguma Auditoria de TI nos ltimos cinco anos,
observa-se que 68% deles declararam ter feito somente at cinco Auditorias de TI nesse perodo. Alm disso,
55% desses rgos (38 instituies) declararam que, dentre essas Auditorias de TI realizadas, pelo menos uma
foi executada por rgo de controle externo (TCU) ou interno (Secretaria Federal de Controle ou Controladoria
Geral da Unio). Isso um indcio de que nessas instituies a Auditoria de TI ainda no realizada em bases
peridicas.
168. A conseqncia disso que as organizaes correm o risco de ter processos de TI com
controles inadequados e, assim, de tais processos serem executados em desacordo com as polticas de TI da
prpria organizao e com a legislao vigente, sem que haja conhecimento do ocorrido pela administrao da
organizao. Alm disso, os gestores de TI deixam de ter em mos uma importante ferramenta para a melhoria
dos processos de TI.
Critrios
a) Cobit 4.1 ME2 Monitor and Evaluate Internal Control (Monitorar e Avaliar os Controles Internos Estabelecer um programa efetivo de controle interno de TI requer um processo bem definido de monitoramento.
Esse processo inclui o monitoramento e o relato das excees de controle, resultados de auto-avaliaes e reviso
de terceiros. Um benefcio chave do monitoramento dos controles internos prover segurana com vistas a
operaes efetivas e eficientes e conformidade com leis e regulaes);

b) NBR ISO/IEC 17799:2005, item 15.2 - Conformidade com normas e polticas de segurana da
informao e conformidade tcnica: convm que a segurana dos sistemas de informao seja analisada
criticamente a intervalos regulares;
c) NBR ISO/IEC 17799:2005, item 6.1.8 - Anlise crtica independente de segurana da informao:
convm que o enfoque da organizao para gerenciar a segurana da informao e a sua implementao (...) seja
analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem mudanas
significativas relativas implementao da segurana da informao.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 39. Foi realizada alguma Auditoria de TI nos ltimos
cinco anos no rgo/entidade? (fl. 38).
Efeitos potenciais
a) Inobservncia da poltica de segurana da informao da organizao quando da implementao
dos controles de acesso lgico nos sistemas de informao;
b) Existncia de informaes no confiveis na base de dados da organizao, o que compromete
no s a efetividade dos seus sistemas de informao como a de sistemas de outras organizaes que utilizam
essa mesma base de dados;
c) rea de TI com governana imatura, sem controles e indicadores que possam apontar os
problemas e oportunidades de negcio para a organizao.
Achado XXXII. Inexistncia de equipe prpria para realizar Auditoria de TI
169. Somente 19% dos pesquisados declararam ter equipe interna para Auditoria de TI. Assim, para
uma quantidade expressiva de rgos/entidades, a Auditoria de TI somente realizada por Auditores/consultores
independentes, ou por organizaes reguladoras, como TCU e CGU. Por esses dados, infere-se que tais
organizaes ainda no foram afetadas pela tendncia de incorporar atividades de Auditoria nos seus prprios
processos de trabalho. Com isso, tais organizaes perdem a oportunidade de ter, no seu Auditor interno, um
parceiro no processo de melhoria dos seus controles de TI. Alm disso, expem-se ao risco inerente de Auditorias
realizadas por terceiros: o risco de uso malicioso de ferramentas de Auditoria e das informaes acessadas
durante os trabalhos de Auditoria.
170. Vale ressaltar, por outro lado, que ao serem contabilizadas todas as Auditorias declaradas pelos
rgos/entidades dos ltimos cinco anos, 73% delas foram realizadas por equipe de Auditoria interna. Assim,
pode-se inferir que, entre os rgos que declararam fazer tal tipo de Auditoria com maior regularidade, o fazem
com equipe interna. De fato, ao observar o Achado XXXI, considerando os 22% que declararam ter realizado mais
de 10 Auditorias nos ltimos cinco anos, 91% deles tm equipe interna de Auditoria.
171. Observa-se, tambm, que dentre as Auditorias realizadas, a maior quantidade delas (32%) est
focada na aquisio de bens e servios de TI, seguida das Auditorias com foco em segurana da informao
(20%). Uma possvel explicao que as organizaes que executam tais Auditorias o fazem em funo de
exigncias legais de agncias reguladoras, mais do que por necessidades de gesto.
Critrios
a) Cobit 4.1 ME2 Monitor and Evaluate Internal Control (Monitorar e Avaliar os Controles Internos Estabelecer um programa efetivo de controle interno de TI requer um processo bem definido de monitoramento.
Esse processo inclui o monitoramento e o relato das excees de controle, resultados de auto-avaliaes e reviso
de terceiros. Um benefcio chave do monitoramento dos controles internos prover segurana com vistas a
operaes efetivas e eficientes e conformidade com leis e regulaes);

b) NBR ISO/IEC 17799:2005, item 15.2 - Conformidade com normas e polticas de segurana da
informao e conformidade tcnica: convm que a segurana dos sistemas de informao seja analisada
criticamente a intervalos regulares.
Evidncias
a) Apndice I, planilha de resultados, pergunta: 38. O rgo/entidade possui equipe prpria para
realizar Auditorias de TI? (fl. 38).
Efeitos potenciais
a) Ausncia de Auditores internos que poderiam auxiliar em Auditorias de processos de gesto.
Concluso
172. Auditorias de TI ainda so pouco freqentes entre os pesquisados: apenas 40% declararam ter
realizado alguma Auditoria de TI nos ltimos cinco anos. Mesmo entre os 101 rgos/entidades que a realizaram,
68% executaram no mximo uma Auditoria de TI por ano. Alm disso, apenas 19% dos pesquisados declararam
possuir equipe interna de Auditoria de TI.
172.1. Tal resultado indica que a realizao de Auditorias de TI em bases peridicas no uma
realidade entre os pesquisados. Com isso, esses rgos/entidades esto perdendo a oportunidade de usar essas
Auditorias para aperfeioar os seus controles internos de TI e, conseqentemente, promover a melhoria da sua
governana de TI.
Proposta de encaminhamento
173. Recomendar Controladoria-Geral da Unio que realize regularmente Auditorias de TI nos
rgos/entidades da Administrao Pblica Federal.
174. Recomendar Controladoria-Geral da Unio, ao Conselho Nacional de Justia e ao Conselho
Nacional do Ministrio Pblico que promovam aes para estimular a realizao de Auditorias de TI nos
rgos/entidades da Administrao Pblica Federal.
12. Concluso
175. O objetivo deste levantamento foi obter informaes para elaborao de mapa com a situao
da governana de TI na Administrao Pblica Federal. Ao final do processo, 255 rgos/entidades
representativos da Administrao Pblica Federal enviaram tais informaes ao TCU por meio de questionrio
eletrnico elaborado pela Sefti. Dessa relao, constaram os ministrios, as universidades federais, os tribunais
federais, as agncias reguladoras e as principais autarquias, secretarias, departamentos e empresas estatais.
As respostas recebidas foram agrupadas em nove conjuntos, apresentados nos itens 3 a 11 do
presente relatrio, em funo das questes de Auditoria e das reas de foco da governana de TI. Os grupos
foram: Planejamento estratgico institucional e de TI; Estrutura de pessoal de TI; Segurana da informao;
Desenvolvimento de sistemas de informao; Gesto de acordos de nveis de servio; Processo de contratao de
bens e servios de TI; Processo de gesto de contratos de TI; Processo oramentrio de TI; Auditoria de
tecnologia da informao.
176. Sobre planejamento estratgico, observou-se que 59% das organizaes declararam no
realizar o planejamento estratgico de TI, e mais de dois teros no tm comit diretivo de TI, do qual participam
vrios setores da organizao que decidem sobre as estratgias de TI. A partir desses dados pode-se inferir que a
falta de planejamento estratgico institucional pode inibir e/ou prejudicar o planejamento das aes de TI. Assim,
o estmulo elaborao de planejamento estratgico institucional acompanhado da elaborao do planejamento
estratgico de TI, em consonncia com o primeiro, uma ao para a melhoria da governana de TI.
177. No que diz respeito estrutura de pessoal de TI, observou-se que 29% dos pesquisados
possuem menos de 1/3 da sua rea de TI composta por servidores, o que pode acarretar risco de dependncia de
indivduos sem vnculo com o rgo/entidade para a execuo de atividades crticas ao negcio, alm de perda do

conhecimento organizacional. Do ponto de vista da governana de TI, ainda h que se coletar informaes que
correlacionem a qualidade das reas de TI e a sua estrutura de pessoal, para avaliar a adequao entre estruturas
e as necessidades dos rgos/entidades.
178. J no grupo de questes sobre segurana da informao, observou-se o pior desempenho.
Dentre as nove questes sobre o assunto, apenas em uma delas um pouco mais da metade dos pesquisados
afirmou executar o controle correspondente, enquanto nas outras questes, a maioria dos rgos/entidades
declarou no faz-lo (Grfico 4). O maior quantitativo de respostas negativas ocorreu nas questes sobre plano de
continuidade de negcios (88%) e gesto de mudana (88%), ambos relacionados diretamente com a
manuteno da disponibilidade dos servios de TI. As questes tiveram por base recomendaes de boas prticas
da norma de segurana NBR ISO/IEC 17799:2005 e incluram diversos controles que visam garantir a
confidencialidade, a integridade e a disponibilidade das informaes tratadas por rgos/entidades pblicas. O
resultado preocupa pois a prpria prestao do servio de uma instituio pblica aos cidados depende da
confiabilidade das informaes por ela tratadas e ofertadas. O Auditor de TI pode ter papel fundamental no
aperfeioamento da gesto da segurana de informao por meio da indicao de controles para apoiar estruturas
e processos organizacionais com vistas proteo das informaes, tendo como referncia modelos apropriados.
179. Quanto ao desenvolvimento de sistemas de informao, observou-se que 51% dos pesquisados
declararam no possuir metodologia de desenvolvimento de sistemas. Esse resultado representa um risco de
produo de software de baixa qualidade, bem como maior dificuldade no gerenciamento do processo de
desenvolvimento, o que representa risco de m gesto dos recursos. Alm disso, identificou-se o uso de sistemas
transacionais com acesso via Internet para as atividades de prestao de servio ao cidado por 76% das
organizaes. Essas informaes indicam que relevante que o Auditor de TI esteja preparado para recomendar
controles relacionados s boas prticas dos modelos de desenvolvimento de sistemas e, tambm, avaliar os
controles especificamente relacionados s tecnologias de sistemas transacionais via Internet.
180. Sobre gesto de nveis de servio, 89% dos pesquisados declararam no realiz-la para os
servios prestados internamente, e 74% no o fazem para os servios contratados. Essa gesto o principal
instrumento de negociao de qualidade de servio entre as gerncias de TI e os seus clientes, e sua ausncia em
quantidade to expressiva de organizaes preocupa pelo risco tanto de clientes insatisfeitos quanto de
investimentos inadequados.
181. Quanto existncia de processo formal de contratao de TI, 46% dos rgos/entidades
consultados informaram no adot-lo. Essa informao, associada ao fato de que 47% dos pesquisados no
realizam anlise de custo/benefcio das contrataes de TI e 40% das organizaes consultadas no explicitam os
benefcios para a obteno dos resultados institucionais esperados com cada contratao de TI, sugere que h
muito trabalho a ser feito para a melhoria das aquisies de bens e servios de TI nos rgos/entidades da
Administrao Pblica Federal.
182. Na gesto dos contratos de TI, a situao no confortvel j que mais da metade (55%) das
organizaes consultadas no adotam processo formal de trabalho para essa atividade. Alm disso, um percentual
expressivo (65%) das organizaes consultadas no realiza periodicamente reunies com os contratados para
avaliao da execuo de cada contrato de TI e, 57% no exigem, em contrato, que o conhecimento seja
transferido pelos prestadores de servio aos servidores do rgo/entidade. Assim, os rgos/entidades da
Administrao Pblica Federal devem ser encorajados a adotar processo formal de trabalho para gesto dos
contratos de TI para minimizar os riscos de descumprimento da legislao, desperdcio de recursos, interrupo
de servios de TI e baixa qualidade de servios contratados.
183. Sobre Auditorias de TI, 60% dos pesquisados declararam no ter realizado Auditorias de TI nos
ltimos cinco anos. Dentre os rgos/entidades que realizam esses trabalhos, a maioria (68%) executou de uma a

cinco Auditorias nos ltimos cinco anos. Tal resultado indica que a realizao de Auditorias de TI em bases
peridicas no uma realidade entre os pesquisados e, portanto, esse recurso no utilizado de maneira
contnua para melhoria da governana de TI.
184. Em paralelo aos itens relacionados governana, foram identificados os principais sistemas
utilizados pelos rgos/entidades da Administrao Pblica Federal pesquisados e as bases de dados associadas.
Com essas informaes, o planejamento das fiscalizaes da Sefti contar com subsdios valiosos para seu
aprimoramento.
185. Diante do quadro apresentado, observa-se que a situao da governana de TI na
Administrao Pblica Federal bastante heterognea do ponto de vista dos seus diversos aspectos. Os aspectos
que de alguma forma so regulados por leis e normas (processo oramentrio e contratao e gesto de bens e
servios de TI), somados a planejamento estratgico, desenvolvimento de sistemas, gesto de nveis de servio e
Auditoria de TI, apresentam algum desenvolvimento, apesar de estarem longe do ideal. A questo de estrutura de
pessoal de TI bastante diversa e est atrelada natureza jurdica da organizao.
186. O aspecto em que a situao da governana de TI est mais crtica no que diz respeito ao
tratamento da segurana da informao. Conclui-se que essa uma rea em que o TCU pode, e deve, atuar como
indutor do processo de aperfeioamento da governana de TI. O Tribunal j acertou, inclusive, ao editar, em 2003
e 2007, a "Cartilha de Segurana da Informao" para servir como orientao sobre o tema. Outra maneira de
induzir a melhoria no tratamento da segurana a realizao de Auditorias de TI com foco em segurana da
informao, que podero fornecer subsdios valiosos para os gestores sobre os principais controles que devem ser
implementados visando garantir a confiabilidade, a integridade e a disponibilidade das informaes tratadas pelos
rgos/entidades da Administrao Pblica Federal.
187. Assim, existe um campo vasto para atuao deste Tribunal na rea de governana de TI na
Administrao Pblica Federal. Se essa atuao for realizada de forma consistente e constante, os resultados
sero promissores tendo em vista que poder haver melhoria generalizada em todos os aspectos da governana
de TI. Esse fato repercutir na gesto pblica como um todo e trar benefcios para o Pas e os cidados.
13. Proposta de encaminhamento
188. Ante o exposto, submetemos os autos considerao superior, com fulcro no art. 43, inciso I,
da Lei n. 8.443/1992, c/c o art. 250, incisos II e III, do Regimento Interno do TCU, com as seguintes propostas:
I - recomendar ao Conselho Nacional de Justia que:
a) promova aes com o objetivo de disseminar a importncia do planejamento estratgico e induzir,
mediante orientao normativa, os rgos do Poder Judicirio a realizarem aes para implantao e/ou
aperfeioamento de planejamento estratgico institucional, planejamento estratgico de TI e comit diretivo de TI
(pargrafos 17 a 32);
b) promova as aes cabveis quanto estrutura de pessoal de TI nos rgos do Poder Judicirio
(pargrafos 34 a 52);
c) promova aes com objetivo de disseminar a importncia do gerenciamento da segurana da
informao e induzir, mediante orientao normativa, os rgos do Poder Judicirio a realizarem aes para
implantao e/ou aperfeioamento da gesto da continuidade do negcio, da gesto de mudanas, da gesto de
capacidade, da classificao da informao, da gerncia de incidentes, da anlise de riscos de TI, da rea
especfica para gerenciamento da segurana da informao, da poltica de segurana da informao e dos
procedimentos de controle de acesso (pargrafos 54 a 87.11);
d) promova aes com objetivo de disseminar a importncia da adoo de metodologia de
desenvolvimento de sistemas e induzir os rgos do Poder Judicirio a realizarem aes para implantao e/ou
aperfeioamento dessa metodologia (pargrafos 89 a 93.1);

e) promova aes com objetivo de disseminar a importncia de gesto de nveis de servio e induzir
os rgos do Poder Judicirio a realizarem aes para implantao e/ou aperfeioamento de acordos de nveis de
servio (pargrafos 95 a 106);
f) promova aes com objetivo de disseminar a importncia de processo de trabalho formalizado de
contratao de bens e servios de TI e induzir, mediante orientao normativa nos moldes recomendados pelo
item 9.4 do Acrdo 786/2006-TCU-Plenrio, os rgos do Poder Judicirio a realizarem aes para implantao
e/ou aperfeioamento do processo de contratao de TI (pargrafos 108 a 125);
g) promova aes com objetivo de disseminar a importncia de processo de trabalho formalizado de
gesto de contratos de TI e induzir, mediante orientao normativa nos moldes recomendados pelo item 9.4 do
Acrdo 786/2006-TCU-Plenrio, os rgos do Poder Judicirio a realizarem aes para implantao e/ou
aperfeioamento desse processo de gesto (pargrafos 127 a 148);
h) promova aes com objetivo de garantir que as propostas oramentrias para a rea de TI dos
rgos do Poder Judicirio sejam elaboradas com base nas atividades que efetivamente pretendam realizar e
alinhadas aos objetivos de negcio (pargrafos 150 a 159);
i) promova aes para estimular a realizao de Auditorias de TI nos rgos do Poder Judicirio
(pargrafos 161 a 172.1);
II - recomendar ao Conselho Nacional do Ministrio Pblico que:
a) promova aes com objetivo de disseminar a importncia do planejamento estratgico e induzir,
mediante orientao normativa, os rgos do Ministrio Pblico a realizarem aes para implantao e/ou
aperfeioamento de planejamento estratgico institucional, planejamento estratgico de TI e comit diretivo de TI
(pargrafos 17 a 32);
b) promova as aes cabveis quanto estrutura de pessoal de TI nos rgos do Ministrio Pblico
(pargrafos 34 a 52);
c) promova aes com objetivo de disseminar a importncia do gerenciamento da segurana da
informao e induzir, mediante orientao normativa, os rgos do Ministrio Pblico a realizarem aes para
implantao e/ou aperfeioamento da gesto da continuidade do negcio, da gesto de mudanas, da gesto de
capacidade, da classificao da informao, da gerncia de incidentes, da anlise de riscos de TI, da rea
especfica para gerenciamento da segurana da informao, da poltica de segurana da informao e dos
procedimentos de controle de acesso (pargrafos 54 a 87.11);
d) promova aes com objetivo de disseminar a importncia da adoo de metodologia de
desenvolvimento de sistemas e induzir os rgos do Ministrio Pblico a realizarem aes para implantao e/ou
aperfeioamento dessa metodologia (pargrafos 89 a 93.1);
e) promova aes com objetivo de disseminar a importncia de gesto de nveis de servio e induzir
os rgos do Ministrio Pblico a realizarem aes para implantao e/ou aperfeioamento de acordos de nveis de
servio (pargrafos 95 a 106);
f) promova aes com objetivo de disseminar a importncia de processo de trabalho formalizado de
contratao de bens e servios de TI e induzir, mediante orientao normativa nos moldes recomendados pelo
item 9.4 do Acrdo 786/2006-TCU-Plenrio, os rgos do Ministrio Pblico a realizarem aes para implantao
e/ou aperfeioamento do processo de contratao de TI (pargrafos 108 a 125);
g) promova aes com objetivo de disseminar a importncia de processo de trabalho formalizado de
gesto de contratos de TI e induzir, mediante orientao normativa nos moldes recomendados pelo item 9.4 do
Acrdo 786/2006-TCU-Plenrio, os rgos do Ministrio Pblico a realizarem aes para implantao e/ou
aperfeioamento desse processo de gesto (pargrafos 127 a 148);

h) promova aes com objetivo de garantir que as propostas oramentrias para a rea de TI dos
rgos do Ministrio Pblico sejam elaboradas com base nas atividades que efetivamente pretendam realizar e
alinhadas aos objetivos de negcio (pargrafos 150 a 159);
i) promova aes para estimular a realizao de Auditorias de TI nos rgos do Ministrio Pblico
(pargrafos 161 a 172.1);
III - recomendar ao Gabinete de Segurana Institucional da Presidncia da Repblica que promova
aes com objetivo de disseminar a importncia do gerenciamento da segurana da informao e induzir,
mediante orientao normativa, os rgos/entidades da Administrao Pblica Federal a realizarem aes para
implantao e/ou aperfeioamento da gesto da continuidade do negcio, da gesto de mudanas, da gesto de
capacidade, da classificao da informao, da gerncia de incidentes, da anlise de riscos de TI, da rea
especfica para gerenciamento da segurana da informao, da poltica de segurana da informao e dos
procedimentos de controle de acesso (pargrafos 54 a 87.11);
IV - recomendar Controladoria-Geral da Unio que realize regularmente Auditorias de TI e/ou
promova aes para estimular a realizao dessas Auditorias nos rgos/entidades da Administrao Pblica
Federal (pargrafos 161 a 172.1);
V - recomendar ao Ministrio do Planejamento, Oramento e Gesto que promova as aes cabveis
quanto estrutura de pessoal de TI nos rgos/entidades da Administrao Pblica Federal (pargrafos 34 a 52);
VI - recomendar Secretaria de Logstica e Tecnologia da Informao (SLTI) do Ministrio do
Planejamento, Oramento e Gesto que:
a) promova aes com objetivo de disseminar a importncia do planejamento estratgico e induzir,
mediante orientao normativa, os rgos/entidades da Administrao Pblica Federal a realizarem aes para
implantao e/ou aperfeioamento de planejamento estratgico institucional, planejamento estratgico de TI e
comit diretivo de TI (pargrafos 17 a 32);
b) promova aes com o objetivo de disseminar a importncia da adoo de metodologia de
desenvolvimento de sistemas e induzir os rgos/entidades da Administrao Pblica Federal a realizarem aes
para implantao e/ou aperfeioamento dessa metodologia (pargrafos 89 a 93.1);
c) promova aes com o objetivo de disseminar a importncia de gesto de nveis de servio e
induzir os rgos/entidades da Administrao Pblica Federal a realizarem aes para implantao e/ou
aperfeioamento de acordos de nveis de servio (pargrafos 95 a 106);
d) promova aes com objetivo de garantir que as propostas oramentrias para a rea de TI dos
rgos/entidades da Administrao Pblica Federal sejam elaboradas com base nas atividades que efetivamente
pretendam realizar e alinhadas aos objetivos de negcio (pargrafos 150 a 159);
VII - recomendar Diretoria-Geral do Senado Federal e Diretoria-Geral da Cmara dos Deputados
que adotem as providncias contidas no item I no mbito de suas Casas Legislativas;
VIII -

recomendar

Secretaria-Geral

da

Presidncia

(Segepres)

Secretaria-Geral de

Administrao (Segedam) que adotem as providncias contidas no item I no mbito deste Tribunal;
IX - determinar Secretaria-Geral de Controle Externo (Segecex) que oriente suas unidades tcnicas
para considerarem as informaes armazenadas na Sefti quando forem executar aes de controle em governana
de TI (pargrafos 12, 13, 16, 92.2 e 179.3);
X - assinar prazo de 30 dias, com fulcro no 1 do art. 42 da Lei n. 8.443/1992, para que os
integrantes da lista disponvel no Apndice III deste relatrio enviem, em meio magntico, conforme orientao
da Sefti, as informaes necessrias para resposta ao questionrio utilizado neste levantamento;
XI - remeter cpias do Acrdo que vier a ser adotado nestes autos, acompanhado dos respectivos
Relatrio e Voto, e deste Relatrio de Levantamento:

a) Comisso de Cincia, Tecnologia, Inovao, Comunicao e Informtica do Senado Federal;

b) Subcomisso Permanente de Servios de Informtica do Senado Federal;
c) Diretoria-Geral do Senado Federal;
d) Secretaria Especial de Informtica do Senado Federal (Prodasen);
e) Comisso de Fiscalizao Financeira e Controle da Cmara dos Deputados;
f) Comisso de Trabalho, de Administrao e Servio Pblico da Cmara dos Deputados;
g) Comisso de Cincia e Tecnologia, Comunicao e Informtica da Cmara dos Deputados;
h) Subcomisso Permanente de Cincia e Tecnologia e Informtica da Cmara dos Deputados;
i) Diretoria-Geral da Cmara dos Deputados;
j) ao Centro de Informtica da Cmara dos Deputados;
k) ao Conselho Nacional de Justia;
l) ao Conselho Nacional do Ministrio Pblico;
m) ao Gabinete de Segurana Institucional da Presidncia da Repblica;
n) Controladoria-Geral da Unio;
o) ao Ministrio do Planejamento, Oramento e Gesto;
p) Secretaria de Logstica Tecnologia da Informao (SLTI) do Ministrio do Planejamento,
Oramento e Gesto;
q) Secretaria de Oramento Federal (SOF) do Ministrio do Planejamento, Oramento e Gesto;
r) ao Departamento de Coordenao e Controle das Empresas Estatais (Dest) da SecretariaExecutiva do Ministrio do Planejamento, Oramento e Gesto;
s) aos integrantes da lista disponvel no Apndice II deste relatrio;
XII - remeter relatrio individualizado contendo a posio de cada rgo/entidade e do seu segmento
de atuao aos integrantes da lista disponvel no Apndice II deste relatrio;
XIII - autorizar, a partir da data do acrdo que vier a ser proferido, a divulgao das informaes
consolidadas constantes deste levantamento em sumrios executivos e informativos;
XIV - arquivar os presentes autos na Secretaria de Fiscalizao de Tecnologia da Informao (Sefti)".
o Relatrio.
Voto do Ministro Relator
Os presentes autos referem-se a Levantamento de Auditoria efetuado pela Secretaria de Fiscalizao
de Tecnologia da Informao - Sefti, junto a diversos rgos e entidades da Administrao Pblica Federal, com
vistas a obter informaes acerca da governana de Tecnologia da Informao - TI, identificando as reas onde o
TCU deve, preferencialmente, atuar como indutor do processo de aperfeioamento do setor.
Dos achados de Auditoria discriminados pela equipe encarregada dos trabalhos, gostaria de destacar
aqueles que considerei mais relevantes.
O primeiro diz respeito constatao da ausncia, em 64% dos rgos/entidades pesquisados, de
uma Poltica de Segurana da Informao formalmente definida na organizao, motivada por diretriz
institucional. Consoante destacado, a partir dessa poltica que derivam os documentos especficos para cada
meio de armazenamento, transporte, manipulao ou tratamento especfico da segurana da informao em TI.
Verificou-se tambm a ausncia de Plano de Continuidade de Negcios, em cerca de 88% dos
pesquisados. Tal plano, nos termos consignados no Relatrio, deve abarcar o conjunto de documentos que contm
a definio das responsabilidades individuais, dos procedimentos de emergncia, dos procedimentos operacionais
temporrios e dos procedimentos de recuperao.

Essas constataes preocupam-me porque revelam certo descompasso entre a gesto da segurana
da informao e os objetivos intrnsecos da instituio, podendo boa parte da administrao pblica estar
vulnervel ocorrncia de interrupo de servios, perda de dados, fraudes e paralisao de funes essenciais.
Outro ponto que vale ser ressaltado refere-se ao fato de que 47% dos rgos/entidades pesquisados
no tem planejamento estratgico institucional em vigor e 59% no fazem planejamento estratgico de TI. A
ausncia de planejamento afeta diretamente a eficcia e a efetividade das propostas oramentrias e das
contrataes de bens e servios de informtica.
Realmente, a partir dos dados obtidos, deduziu-se que 39% das organizaes consultadas, quando
da solicitao de oramento para a rea de TI em 2007, "ou repetiram os valores do ano anterior ou
simplesmente aplicaram um percentual de aumento linear sobre as despesas realizadas ou, ainda, acrescentaram
um valor ao total do ano anterior sem a utilizao de um critrio transparente".
Da mesma forma, no tocante contratao de bens e servios de TI, apurou-se que percentual
expressivo de entes (46%) no adota processo de trabalho formalizado e padronizado, que demonstre o custo, a
oportunidade e os benefcios a serem obtidos pela organizao.
Tal cenrio remete inevitavelmente alocao indevida de recursos de TI por desarmonia com as
prioridades da organizao.
Constatou-se tambm que mais da metade dos entes pesquisados no adota processo formal de
trabalho para gesto de contratos de tecnologia da informao, o que pode acarretar baixa qualidade dos servios
prestados, interrupo na execuo de contratos e, em ltima instncia, o desperdcio de recursos.
Quanto estrutura de pessoal de TI, alm de quantitativo deficiente de servidores efetivos, com
significativo percentual de colaboradores externos nos rgos/entidades pesquisados, foi identificado ainda
percentual elevado de funcionrios sem formao especfica no setor. Como bem assinalado pela unidade tcnica,
tal circunstncia aumenta o risco de perda de conhecimento organizacional, porquanto apreendido por
trabalhadores no compromissados com a instituio.
Merece registro, ainda, os percentuais elevados dos rgos/entidades pesquisados que no executam
seja gesto de acordos de nveis de servios prestados internamente (89%), seja gesto de acordos de nveis de
servios contratados externamente (74%). Conforme salientado, a partir desses ajustes que se estabelece a
qualidade dos servios de TI em funo das necessidades da organizao, devendo neles integrar como
indicadores, entre outros, a disponibilidade da infra-estrutura de rede, o desempenho dos sistemas e o tempo de
soluo de problemas.
No se pode ignorar que os fatos evidenciados neste Levantamento de Auditoria preocupam, pois
sugerem um quadro inquietante da governana de TI na Administrao Pblica Federal.
Contudo, h que v-los com cautela, j que a prpria equipe de fiscalizao registrou que "as
informaes coletadas foram declaradas pelos gestores e no verificadas pela equipe junto aos rgos/entidades",
no tendo sido tambm, nesse primeiro momento, avaliada a pertinncia e a qualidade dos documentos
produzidos e anexados pelos rgos/entidades. Ainda que reconhea o carter preliminar dos trabalhos, penso
que maior solidez dos resultados adviria com uma correspondente confirmao dos fatos em algumas entidades
selecionadas por amostragem estatstica.
Nada obstante, diante das informaes coligidas e da relevncia da gesto e do uso de Tecnologia da
Informao - TI para que os diversos rgos e entidades da Administrao Pblica Federal consigam cumprir suas
misses, considero imprescindvel a realizao de fiscalizaes com o objetivo de verificar in loco a situao das
reas consideradas mais crticas. Faz-se necessria, ademais, a atualizao regular das informaes coletadas
neste levantamento de modo a permitir que o Tribunal tenha condies de acompanhar a evoluo da situao
ento encontrada. Nesse sentido, acrescentei determinao Sefti a respeito.

Ante o exposto, VOTO por que seja adotada a deliberao que ora submeto apreciao deste
Plenrio.
Sala das Sesses Ministro Luciano Brando Alves de Souza, em 13 de agosto de 2008.
GUILHERME PALMEIRA
Ministro-Relator
Declarao de Voto
Considerando a relevncia do tema, louvo a iniciativa deste tribunal em determinar a realizao de
levantamento com o objetivo de "coletar informaes acerca dos processos de aquisio de bens e servios de TI,
de segurana da informao, de gesto de recursos humanos de TI, e das principais bases de dados e sistemas da
Administrao Pblica Federal".
O Relatrio produzido pela Sefti teve como principal objetivo obter informaes para elaborao de
mapa com a situao da governana de TI na Administrao Pblica Federal.
No percurso do alcance desse objetivo, o Tribunal identificou as seguintes lacunas:
a) ausncia de planejamento estratgico institucional
b) quantidade reduzida e deficincia de qualificao de servidores na rea de TI
c) ausncia de carreira especfica para a rea;
d) ausncia de poltica de segurana da informao, dentre outras.
O resultado alcanado pelo presente processo justifica, assim, a atuao deste Tribunal como
instrumento de aperfeioamento da gesto publica. Some-se a isso a significncia dos recursos empregados pela
Administrao Federal na rea de tecnologia da informao, que, segundo dados do Siafi de 2007, ultrapassam a
soma de seis bilhes de reais por ano.
Vejo, portanto, com satisfao, o conjunto de recomendaes sugerido pelo relator da matria, o
qual, certamente, se devidamente implementado, trar grande contribuio para o alcance da governana
adequada de TI no setor pblico federal.
Com esse breve comentrio, manifesto minha concordncia com o voto proferido pelo relator, ao
tempo em que parabenizo a equipe tcnica que atuou no processo.
AROLDO CEDRAZ
Ministro-Relator
Acrdo
VISTOS, relatados e discutidos estes autos de Levantamento de Auditoria efetuado pela Secretaria
de Fiscalizao de Tecnologia da Informao - Sefti, junto a diversos rgos e entidades da Administrao Pblica
Federal, com vistas a obter informaes acerca da situao da gesto e do uso de Tecnologia da Informao - TI.
ACORDAM os Ministros do Tribunal de Contas da Unio, reunidos em Sesso Plenria, ante as razes
expostas pelo Relator, em:
9.1. recomendar ao Conselho Nacional de Justia - CNJ e ao Conselho Nacional do Ministrio Pblico CNMP que, nos rgos integrantes da estrutura do Poder Judicirio Federal e do Ministrio Pblico da Unio,
respectivamente:
9.1.1. promovam aes com o objetivo de disseminar a importncia do planejamento estratgico,
procedendo, inclusive mediante orientao normativa, aes voltadas implantao e/ou aperfeioamento de
planejamento estratgico institucional, planejamento estratgico de TI e comit diretivo de TI, com vistas a
propiciar a alocao dos recursos pblicos conforme as necessidades e prioridades da organizao;

9.1.2. atentem para a necessidade de dotar a estrutura de pessoal de TI do quantitativo de

servidores efetivos necessrio ao pleno desempenho das atribuies do setor, garantindo, outrossim, sua
capacitao, como forma de evitar o risco de perda de conhecimento organizacional, pela atuao excessiva de
colaboradores externos no comprometidos com a instituio;
9.1.3. orientem sobre a importncia do gerenciamento da segurana da informao, promovendo,
inclusive mediante normatizao, aes que visem estabelecer e/ou aperfeioar a gesto da continuidade do
negcio, a gesto de mudanas, a gesto de capacidade, a classificao da informao, a gerncia de incidentes,
a anlise de riscos de TI, a rea especfica para gerenciamento da segurana da informao, a poltica de
segurana da informao e os procedimentos de controle de acesso;
9.1.4. estimulem a adoo de metodologia de desenvolvimento de sistemas, procurando assegurar,
nesse sentido, nveis razoveis de padronizao e bom grau de confiabilidade e segurana;
9.1.5. promovam aes voltadas implantao e/ou aperfeioamento de gesto de nveis de servio
de TI, de forma a garantir a qualidade dos servios prestados internamente, bem como a adequao dos servios
contratados externamente s necessidades da organizao;
9.1.6. envidem esforos visando implementao de processo de trabalho formalizado de
contratao de bens e servios de TI, bem como de gesto de contratos de TI, buscando a uniformizao de
procedimentos nos moldes recomendados no item 9.4 do Acrdo 786/2006-TCU-Plenrio;
9.1.7. adotem providncias com vistas a garantir que as propostas oramentrias para a rea de TI
sejam elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos do
negcio;
9.1.8. introduzam prticas voltadas realizao de Auditorias de TI, que permitam a avaliao
regular da conformidade, da qualidade, da eficcia e da efetividade dos servios prestados;
9.2. recomendar ao Gabinete de Segurana Institucional da Presidncia da Repblica - GSI/PR que
oriente os rgos/entidades da Administrao Pblica Federal sobre a importncia do gerenciamento da segurana
da informao, promovendo, inclusive mediante orientao normativa, aes que visem estabelecer e/ou
aperfeioar a gesto da continuidade do negcio, a gesto de mudanas, a gesto de capacidade, a classificao
da informao, a gerncia de incidentes, a anlise de riscos de TI, a rea especfica para gerenciamento da
segurana da informao, a poltica de segurana da informao e os procedimentos de controle de acesso;
9.3. recomendar Controladoria-Geral da Unio - CGU que realize regularmente Auditorias de TI
e/ou promova aes para estimular a realizao dessas Auditorias nos rgos/entidades da Administrao Pblica
Federal;
9.4. recomendar ao Ministrio do Planejamento, Oramento e Gesto - MPOG que, nos
rgos/entidades da Administrao Pblica Federal:
9.4.1. promova aes com o objetivo de disseminar a importncia do planejamento estratgico,
procedendo, inclusive mediante orientao normativa, execuo de aes voltadas implantao e/ou
aperfeioamento de planejamento estratgico institucional, planejamento estratgico de TI e comit diretivo de
TI, com vistas a propiciar a alocao dos recursos pblicos conforme as necessidades e prioridades da
organizao;
9.4.2. atente para a necessidade de dotar a estrutura de pessoal de TI do quantitativo de servidores
efetivos necessrio ao pleno desempenho das atribuies do setor, garantindo, outrossim, sua capacitao, como
forma de evitar o risco de perda de conhecimento organizacional, pela atuao excessiva de colaboradores
externos no comprometidos com a instituio;
9.4.3. estimule a adoo de metodologia de desenvolvimento de sistemas, procurando assegurar,
nesse sentido, nveis razoveis de padronizao e bom grau de confiabilidade e segurana;

9.4.4. promova aes voltadas implantao e/ou aperfeioamento de gesto de nveis de servio
de TI, de forma a garantir a qualidade dos servios prestados internamente, bem como a adequao dos servios
contratados externamente s necessidades da organizao;
9.4.5. adote providncias com vistas a garantir que as propostas oramentrias para a rea de TI
sejam elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos de
negcio;
9.5. recomendar Diretoria-Geral do Senado Federal e Diretoria-Geral da Cmara dos Deputados
que adotem, no mbito de suas Casas Legislativas, as providncias contidas no item 9.1;
9.6. recomendar Secretaria-Geral da Presidncia - Segepres e Secretaria-Geral de Administrao
- Segedam que adotem, no mbito deste Tribunal, as providncias contidas no item 9.1;
9.7. determinar Secretaria-Geral de Controle Externo - Segecex que oriente suas unidades tcnicas
para considerarem as informaes armazenadas na Secretaria de Fiscalizao de Tecnologia da Informao - Sefti
quando forem executar aes de controle em governana de TI;
9.8. reiterar diligncia aos rgos/entidades que no responderam ou que no completaram as
respostas pesquisa levada a efeito pela Secretaria de Fiscalizao de Tecnologia da Informao - Sefti, fixando
prazo de 30 (trinta) dias para que sejam enviados, em meio magntico, conforme orientao daquela Secretaria,
as informaes necessrias para resposta ao questionrio utilizado neste levantamento;
9.9. determinar Secretaria de Fiscalizao de Tecnologia da Informao - Sefti que realize
fiscalizaes nas reas consideradas mais crticas da governana de TI nos rgos/entidades fiscalizados e
organize outros levantamentos com o intuito de acompanhar e manter base de dados atualizada com a situao
da governana de TI na Administrao Pblica Federal;
9.10. remeter cpias do presente Acrdo, acompanhado do Relatrio e Voto que o fundamentam,
bem como cpia integral do Relatrio de Levantamento Comisso de Cincia, Tecnologia, Inovao,
Comunicao e Informtica do Senado Federal; Subcomisso Permanente de Servios de Informtica do Senado
Federal; Diretoria-Geral do Senado Federal; Secretaria Especial de Informtica do Senado Federal - Prodasen;
Comisso de Fiscalizao Financeira e Controle da Cmara dos Deputados; Comisso de Trabalho, de
Administrao e Servio Pblico da Cmara dos Deputados; Comisso de Cincia e Tecnologia, Comunicao e
Informtica da Cmara dos Deputados; Subcomisso Permanente de Cincia e Tecnologia e Informtica da
Cmara dos Deputados; Diretoria-Geral da Cmara dos Deputados; ao Centro de Informtica da Cmara dos
Deputados; ao Conselho Nacional de Justia; ao Conselho Nacional do Ministrio Pblico; ao Gabinete de
Segurana Institucional da Presidncia da Repblica; Controladoria-Geral da Unio; ao Ministrio do
Planejamento, Oramento e Gesto; Secretaria de Logstica Tecnologia da Informao - SLTI do Ministrio do
Planejamento, Oramento e Gesto; Secretaria de Oramento Federal - SOF do Ministrio do Planejamento,
Oramento e Gesto; ao Departamento de Coordenao e Controle das Empresas Estatais - Dest da SecretariaExecutiva do Ministrio do Planejamento, Oramento e Gesto; aos rgos/entidades que responderam pesquisa
promovida pela Sefti (Apndice II do Relatrio);
9.11. autorizar, a partir da data do acrdo que vier a ser proferido, a divulgao das informaes
consolidadas constantes deste levantamento em sumrios executivos e informativos;
9.12. arquivar os presentes autos na Secretaria de Fiscalizao de Tecnologia da Informao - Sefti
Quorum
13.1. Ministros presentes: Walton Alencar Rodrigues (Presidente), Marcos Vinicios Vilaa, Valmir
Campelo, Guilherme Palmeira (Relator), Ubiratan Aguiar, Benjamin Zymler, Augusto Nardes, Aroldo Cedraz e
Raimundo Carreiro.

13.2. Auditores presentes: Augusto Sherman Cavalcanti, Marcos Bemquerer Costa e Andr Lus de
Carvalho
Publicao
Ata 32/2008 - Plenrio
Sesso 13/08/2008