Instruo Normativa 04/2008 SLTI/MP

Andr Luiz Furtado Pacheco, CISA

Comisso Nacional de Energia Nuclear outubro de 2009

Andr Luiz Furtado Pacheco, CISA Graduado em Processamento de Dados pela

Universidade Catlica de Braslia; MBA em Controle Externo pela FGV; Certified Information Systems Auditor CISA, Auditor de TI h mais de 15 anos, Assessor do Secretrio de Fiscalizao de Tecnologia da Informao do TCU; Realizou a superviso e a reviso do Manual de Auditoria de Sistemas e da Cartilha de Boas Prticas de Segurana da Informao do TCU; Instrutor de Auditoria de TI nos cursos da Organizao Latino-Americana e do Caribe das Entidades de Fiscalizao Superior OLACEFS, do TCU e da UniDF; Possui larga experincia nas reas de auditoria, docncia e TI.
2

Governana Corporativa e de TI

COSO

COBIT

ISO 27002
O qu

ISO 9000 ITIL

Como

Escopo

Objetivos da Governana de TI
assegurar que as aes de TI estejam
alinhadas com o negcio da organizao, agregando-lhe valor; medir o desempenho da rea de TI, alocar propriamente os recursos e mitigar os riscos inerentes; gerenciar e controlar as iniciativas de TI nas organizaes para garantir o retorno de investimentos e a adoo de melhorias nos processos organizacionais

Responsabilidade sobre a Governana de TI

Alta administrao das organizaes

Domnios Cobit
Planejar e Organizar

Monitorar e Avaliar

Adquirir e Implementar

Entregar e Assistir

Planejar e Organizar (PO)

PO1 Definir um plano estratgico de TI PO2 Definir a arquitetura de informao PO3 Determinar a direo tecnolgica PO4 Definir processos, organizao e relacionamentos PO5 Gerenciar o investimento em TI PO6 Comunicar metas e diretivas gerenciais PO7 Gerenciar recursos humanos de TI PO8 Gerenciar qualidade PO9 Avaliar e gerenciar riscos PO10 Gerenciar projetos

Adquirir e Implementar (AI)

AI1 AI2 AI3 AI4 AI5 AI6 AI7 Identificar solues Adquirir e manter aplicaes Adquirir e manter infraestrutura tecnolgica Viabilizar operao e uso Adquirir recursos de TI Gerenciar mudanas Instalar e certificar sistemas e mudanas

Entregar e Assistir (DS)

DS1 Definir e gerenciar nveis de servios DS2 Gerenciar servios de terceiros DS3 Gerenciar performance e capacidade DS4 Garantir continuidade dos servios DS5 Garantir segurana dos sistemas DS6 Identificar e alocar custos DS7 Educar e treinar usurios DS8 Gerenciar service desk e incidentes DS9 Gerenciar a configurao DS10 Gerenciar problemas DS11 Gerenciar dados DS12 Gerenciar o ambiente fsico DS13 Gerenciar a operao
9

Monitorar e Avaliar (ME)

ME1 ME2 ME3 ME4 Monitorar e avaliar o desempenho da TI Monitorar e avaliar os controles internos Assegurar conformidade s normas Prover governana de TI

10

Processo de Contratao de TI
Na contratao de bens e servios de TI essencial a adoo de processo de trabalho formalizado, padronizado e judicioso quanto ao custo, oportunidade e aos benefcios advindos para a organizao. Esse processo melhora o relacionamento com os fornecedores e prestadores de servios, maximiza a utilizao dos recursos financeiros alocados rea de TI e contribui decisivamente para que os servios de TI dem o necessrio suporte s aes da organizao no alcance de seus objetivos e suas metas. (Acrdo 1.603/2008-TCU-Plenrio)

11

Planejamento de Contrataes de TI
O Cobit 4.1 em seu objetivo de controle AI5.1 Procurement Control (Controle sobre aquisies) recomenda:
Desenvolver e seguir um conjunto de procedimentos e padres consistente com o processo de licitao e a estratgia de aquisio gerais da organizao para adquirir infra-estrutura, instalaes, hardware, software e servios de TI necessrios ao negcio.

12

Planejamento de Contrataes de TI
O Acrdo 1.603/2008-Plenrio TCU: 9.1. recomendar ao (rgos/entidades): (...) 9.1.6. envidem esforos visando implementao de processo de trabalho formalizado de contratao de bens e servios de TI, bem como de gesto de contratos de TI, buscando a uniformizao de procedimentos nos moldes recomendados no item 9.4 do Acrdo 786/2006-TCU-Plenrio;

13

Planejamento de TI
Benefcio do Planejamento Estratgico de TI:
O

planejamento estratgico torna-se uma importante ferramenta para a tomada de deciso e faz com que os gestores estejam aptos a agir com iniciativa, de forma pr-ativa, contra as ameaas e a favor das oportunidades identificadas nas constantes mudanas que ocorrem. (Acrdo 1.603/2008-Plenrio TCU)

14

Planejamento de TI
Necessidade de Planejamento de TI:
Constituio Federal, art. 37; Decreto-Lei 200/1967, art. 6, I; IN-4/2008 SLTI/MP, art. 3; Acrdo 1.558/2003-Plenrio TCU, item 9.3.9; Acrdo 1.603/2008-Plenrio TCU, item 9.4.1; Cobit 4.1 PO1.4 IT Strategic Plan (Plano Estratgico de TI).

15

Planejamento de TI
A Constituio Federal estabelece:
Art. 37. A administrao pblica direta e indireta

de qualquer dos Poderes da Unio, dos Estados, do Distrito Federal e dos Municpios obedecer aos princpios de legalidade, impessoalidade, moralidade, publicidade e eficincia...

16

Planejamento de TI
O Decreto-Lei 200/1967 estabelece:
Art. 6. As atividades da Administrao Federal obedecero aos seguintes princpios fundamentais: I - Planejamento. II - Coordenao. III - Descentralizao. IV - Delegao de Competncia. V - Controle.

17

Planejamento de TI
A IN-4/2008 da SLTI/MP estabelece:
Art. 3 As contrataes de que trata esta Instruo Normativa devero ser precedidas de planejamento, elaborado em harmonia com o Plano Diretor de Tecnologia da Informao - PDTI, alinhado estratgia do rgo ou entidade.

18

Planejamento de TI
O Acrdo 1.558/2003-Plenrio TCU determina que:
9.3.9. atente para a necessidade de fazer cumprir o princpio constitucional da eficincia e as disposies contidas no art. 6, I, do Decreto-Lei n 200/67, implantando, na rea de informtica, um processo de planejamento que organize as estratgias, as aes, os prazos, os recursos financeiros, humanos e materiais, a fim de eliminar a possibilidade de desperdcio de recursos pblicos e de prejuzo ao cumprimento dos objetivos institucionais da unidade;

19

Planejamento de TI
O Acrdo 1.603/2008-Plenrio TCU:
9.4. recomendar ao Ministrio do Planejamento, Oramento e Gesto - MPOG que, nos rgos/entidades da Administrao Pblica Federal: 9.4.1. promova aes com o objetivo de disseminar a importncia do planejamento estratgico, procedendo, inclusive mediante orientao normativa, execuo de aes voltadas implantao e/ou aperfeioamento de planejamento estratgico institucional, planejamento estratgico de TI e comit diretivo de TI, com vistas a propiciar a alocao dos recursos pblicos conforme as necessidades e prioridades da organizao;

20

Planejamento de TI
O Cobit 4.1 em seu objetivo de controle PO1.4 IT Strategic Plan (Plano Estratgico de TI) recomenda:
Criar um plano estratgico que defina, em cooperao com os principais interessados, como as metas de TI contribuiro para os objetivos estratgicos da organizao e quais os custos e riscos associados...

21

Planejamento de TI
Alinhamento entre PEI e PETI: O alinhamento de todos os planos, recursos e unidades organizacionais um fator fundamental para que a estratgia delineada no planejamento possa ser implementada. Assim, o planejamento estratgico de TI tem que estar alinhado com os planos de negcio da organizao para o estabelecimento das prioridades e das aes a serem realizadas na rea de TI (Acrdo 1.603/2008TCU-Plenrio)

22

Planejamento de TI
Alinhamento entre PEI e PETI: Cobit 4.1, objetivo de controle PO1.2 Business-IT Alignment (Alinhamento de TI com negcio): Estabelecer processos de educao bidirecional e de envolvimento recproco no planejamento estratgico para obteno de alinhamento e integrao entre o negcio e as aes de TI. As prioridades devem ser acordadas mutuamente a partir da negociao das necessidades do negcio e da rea de TI .

23

Planejamento de TI
Comit Diretivo de TI: IN-4/2008 da SLTI/MP estabelece em seu art. 4: Pargrafo nico. A Estratgia Geral de Tecnologia da Informao dever abranger, pelo menos, os seguintes elementos:
...

IV - orientao para a formao de Comits de Tecnologia da Informao que envolvam as diversas reas dos rgos e entidades, que se responsabilizem por alinhar os investimentos de Tecnologia da Informao com os objetivos do rgo ou entidade e apoiar a priorizao de projetos a serem atendidos.
24

Planejamento de TI
Comit Diretivo de TI:
A existncia de um comit diretivo de TI (IT Steering Committee), que determine as prioridades de investimento e alocao de recursos nos diversos projetos e aes de TI, de fundamental importncia para o alinhamento entre as atividades de TI e o negcio da organizao, bem como para a otimizao dos recursos disponveis e a reduo do desperdcio. O fato desse comit ser composto por dirigentes de TI e de outras reas da organizao possibilita que as decises de investimentos sejam obtidas a partir de uma viso mais abrangente, o que reduz os riscos de erro (Acrdo 1.603/2008-TCU-Plenrio).

25

Planejamento de TI
Comit Diretivo de TI:
Cobit 4.1, objetivo de controle PO4.3 IT Steering Committee (Comit Diretivo de TI): Criar um comit diretivo de TI (ou equivalente) composto de gerentes executivos, de negcios e de TI, para: determinar as prioridades de investimento e alocao de recursos nas aes de TI, alinhadas s estratgias e prioridades da organizao; acompanhar o estgio de desenvolvimento dos projetos e resolver conflitos relativos a recursos; e monitorar os nveis de servio de TI e suas melhorias.

26

Instrues Normativas
A Secretaria de Logstica e Tecnologia da Informao - SLTI do Ministrio do Planejamento editou as Instrues Normativas 02/2008 e 04/2008, as quais contemplam a maior parte das recomendaes do TCU quanto implementao do novo modelo de contratao de servios de TI (Acrdos 786/2006TCU-Plenrio, item 9.4, 1480/2007-TCU-Plenrio, item 9.1.2.6 e 1999/2007-TCU-Plenrio, item 9.4.1.1). A IN/SLTI 04/2008 dispe sobre o processo de contratao de servios de Tecnologia da Informao pela Administrao Pblica Federal direta, autrquica e fundacional. Sua vigncia iniciou-se em 2 de janeiro de 2009. A IN/SLTI 02/2008, que substitui a IN/MARE 18/1997, dispe sobre regras e diretrizes para a contratao de servios, continuados ou no. Essa norma aplica-se subsidiariamente IN/SLTI 04/2008.

27

Antigo modelo de contratao de TI

Desvantagens desse Modelo
(Vide Acrdo 786/2006-TCU-Plenrio):

Ausncia de parcelamento do objeto

Potencial limitao competio Risco de onerar indevidamente o contrato Risco estratgico (dependncia) Risco na segurana da informao

Pagamento por homem-hora (HH)

Risco exclusivo do contratante Anti-economicidade: Paradoxo lucro-incompetncia Risco de remunerao de horas improdutivas
28

Fases da Contratao
A IN-4/2008 da SLTI/MP estabelece:
Art. 7 As contrataes de servios de Tecnologia da Informao devero seguir trs fases: Planejamento da Contratao, Seleo do Fornecedor, e Gerenciamento do Contrato.

29

Planejamento da Contratao
A IN-4/2008 da SLTI/MP estabelece: Art. 9 A fase de Planejamento da Contratao consiste nas seguintes etapas: I - Anlise de Viabilidade da Contratao; II - Plano de Sustentao; III - Estratgia de Contratao; e IV - Anlise de Riscos.

30

Anlise de Viabilidade da Contratao

A IN-4/2008 da SLTI/MP estabelece: Art. 10. A Anlise de Viabilidade da Contratao,
observado o disposto nos arts. 11 e 12 desta instruo normativa, compreende as seguintes tarefas: Avaliao da necessidade (Requisitante e TI); Motivao da contratao (Requisitante); Especificao dos requisitos (TI); Identificao das diferentes solues (TI e Requisitante); Justificativa da soluo escolhida (TI).

31

Anlise de Viabilidade da Contratao Avaliao da Necessidade A rea Requisitante, com apoio da rea de TI, deve avaliar necessidade de acordo com: Objetivos estratgicos; e Necessidades corporativas da instituio. Considerar: Alinhamento com PEI e PETI ou PDTI; Decreto n 2.271/1997, art. 2, inciso I; Acrdo 2.471/2008Plenrio TCU, item 9.1.2; Cobit 4.1 PO1.2 Business-IT Alignment (Alinhamento de TI com Negcio).

32

Anlise de Viabilidade da Contratao Motivao da Contratao A rea Requisitante deve explicitar a motivao da contratao levando em considerao: Gestor deve motivar seus atos; Acrdo n 2.094/2004-TCU-Plenrio, item 9.1.1; Acrdo n 838/2004-TCU-Plenrio, item 9.2.2; Cobit 4.1 PO5.2 Prioritisation Within IT Budget (Priorizao Dentro do Oramento de TI): Implementar um processo de tomada de deciso para priorizar a alocao de recursos de TI em operaes, projetos e manuteno visando maximizar a contribuio da TI para otimizar o retorno de investimentos no portfolio de sistemas e outros servios e bens de TI.

33

Anlise de Viabilidade da Contratao Especificao dos Requisitos

A rea de TI deve levantar:

demandas dos potenciais gestores e usurios do servio; solues disponveis no mercado; e anlise de projetos similares realizados por outras instituies. Considerar: Cobit 4.1 AI1 Identify Automated Solutions (Identificar Solues Automatizadas), focando em identificar solues efetivas e tecnicamente viveis.

34

Anlise de Viabilidade da Contratao Identificao das Diferentes Solues A rea de TI, com apoio da rea Requisitante, deve identificar solues de acordo com: disponibilidade soluo similar em outro rgo/entidade APF; solues Portal do Software Pblico Brasileiro; capacidade e alternativas do mercado (inclusive software livre ou pblico); observncia s polticas, premissas e especificaes e-Ping (interoperabilidade) e e-Mag (acessibilidade); aderncia ICP-Brasil, quando houver certificao digital; custo financeiro estimado; Cobit 4.1 AI1 Identify Automated Solutions (Identificar Solues Automatizadas): A necessidade para uma nova aplicao ou funo requer uma pr-anlise de aquisio ou criao visando assegurar que requisitos de negcio sejam satisfeitos em uma abordagem eficaz e eficiente.
35

Anlise de Viabilidade da Contratao Justificativa da Soluo Escolhida A rea de TI deve elaborar justificativa: descrio sucinta, precisa, suficiente e clara da Soluo de Tecnologia da Informao escolhida, indicando os servios que a compem; alinhamento em relao s necessidades; identificao dos benefcios que sero alcanados com a efetivao da contratao em termos de eficcia, eficincia, efetividade e economicidade.

(1) IN-4, art. 2, inciso IV: Soluo de TI: todos os servios, produtos e outros elementos necessrios que se integram para o alcance dos resultados pretendidos com a contratao;

36

Anlise de Viabilidade da Contratao Justificativa da Soluo Escolhida

Descrio sucinta, precisa, suficiente e clara da Soluo de TI

Considerar:

Acrdo n 1.558/2003-TCU-Plenrio, item 9.3.10; Cobit 4.1 AI1.3 Feasibility Study and Formulation of Alternative Courses of Action (Estudo de viabilidade e formulao de solues alternativas)

37

Anlise de Viabilidade da Contratao Justificativa da Soluo Escolhida

Alinhamento em relao s necessidades

Considerar: Decreto n 2.271/1997, art. 2, inciso II; Acrdo n 2.094/2004-TCU-Plenrio, item 9.1.1; Acrdo n 1.558/2003-TCU-Plenrio, item 9.3.11; Cobit 4.1, PO1.2 Business-IT Alignment (Alinhamento de TI com Negcio)

38

Anlise de Viabilidade da Contratao Justificativa da Soluo Escolhida Identificao dos benefcios que sero alcanados com a efetivao da contratao em termos de eficcia, eficincia, efetividade e economicidade Considerar: Decreto n 2.271/1997, art. 2, inciso III; Acrdo n 2.471/2008-TCU-Plenrio, item 9.1.2; Cobit 4.1 PO5.2 Prioritisation Within IT Budget (Priorizao Dentro do Oramento de TI)

39

Anlise de Viabilidade da Contratao

A IN-4 no nico art. 10 estabelece que a Anlise de Viabilidade da Contratao ser aprovada e assinada pela rea Requisitante e pela rea de TI.

40

Anlise de Viabilidade da Contratao

No art. 11, os requisitos definidos pela rea Requisitante: I - de software, que independem de arquitetura tecnolgica e definem os aspectos funcionais do software; II - de treinamento, com o apoio da rea de TI, que definem a necessidade de treinamento presencial ou distncia, carga horria e entrega de materiais didticos; III - legais, que definem as normas s quais a Soluo de TI deve respeitar; IV - de manuteno, que independem de configurao tecnolgica e definem a necessidade de servios de manuteno preventiva, corretiva, evolutiva e adaptativa;

41

Anlise de Viabilidade da Contratao (cont.)

No art. 11, os requisitos definidos pela rea Requisitante: ... V - de prazo, que definem a prioridade da entrega da Soluo de TI contratada; VI - de segurana, com o apoio da rea de TI; e VII - sociais, ambientais e culturais, que definem requisitos que a Soluo de TI deve atender para respeitar necessidades especficas relacionadas a costumes e idiomas, e ao meio-ambiente

42

Anlise de Viabilidade da Contratao

No art. 12, os requisitos definidos pela rea de TI: I - de arquitetura tecnolgica, composta de hardware, softwares bsicos, padres de interoperabilidade, linguagem de programao e interface; II - de projeto, que estabelecem o processo de desenvolvimento de software, tcnicas, mtodos, forma de gesto e de documentao; III - de implantao, que definem o processo de disponibilizao da soluo em produo; IV - de garantia e manuteno, que definem a forma como ser conduzida a manuteno e a comunicao entre as partes envolvidas;

43

Anlise de Viabilidade da Contratao

No art. 12, os requisitos definidos pela rea de TI: ... V - de treinamento, que definem o ambiente tecnolgico de treinamentos ministrados e perfil do instrutor; VI - de experincia profissional; VII - de formao, que definem cursos acadmicos e tcnicos, certificao profissional e forma de comprovao; e VIII - de metodologia de trabalho.

44

Plano de Sustentao
A IN-4/2008 estabelece no art. 13:
O Plano de Sustentao, a cargo da rea de TI, com o apoio do Requisitante, abrange: I - segurana da informao; II - recursos materiais e humanos; III - transferncia de conhecimento; IV - transio contratual; e V - continuidade dos servios em eventual interrupo contratual.

45

Segurana da Informao
NBR ISO/IEC 27002
Cdigo de prtica de segurana da informao Especial ateno para: Poltica de Segurana da Informao (PSI); Classificao da Informao; Poltica de Controle de Acesso (PCA); Competncia definida em Segurana da Informao (SI); Plano de Continuidade de Negcios (PCN). Devem constar dos editais e contratos !!

46

Segurana da Informao
Legislao, Jurisprudncia e Boas Prticas Decreto n 3.505/2000 (PSI); IN-01 GSI/PR de 13.06.2008 (PSI e SI); Acrdo n 1.603/2008-TCU-Plenrio; Acrdo n 1.092/2007-TCU-Plenrio (PSI, PCA, Classificao da Informao, SI e PCN); Acrdo n 2.023/2005-TCU-Plenrio (PSI, PCA, Classificao da Informao e SI); Acrdo n 71/2007-TCU-Plenrio (PSI, PCA e SI); Cobit 4.1, objetivo de controle DS5.2 IT Security Plan (Plano de Segurana de TI).

47

Recursos Materiais e Humanos

Levantamento e definio dos recursos materiais e humanos prprios necessrios para dar suporte contratao.

48

Transferncia de Conhecimentos
Manuteno do conhecimento no rgo/Entidade Especial ateno para: Contratao dos Servios; Gesto do Contrato; Acrdo n 1.603/2008-TCU-Plenrio; Cobit 4.1 AI4.4 Knowledge Transfer to Operations and Support
Staff (Transferncia de Conhecimentos para Equipes de Operao e Suporte)

Deve constar dos editais e contratos !!

49

Transio Contratual
Previso das atividades necessrias para a execuo da transio contratual sem traumas. Observar que: fase essencial; h superposio de contratos; contrato vigente somente deve ser encerrado quando novo contrato estiver em vigor; deve haver definio de responsabilidades.
Deve constar dos editais e contratos !!

50

Continuidade dos Servios

Garantia de que os servios providos e/ou suportados pela soluo de TI tero continuidade mesmo que haja interrupo da execuo contratual; Deve estar inserido na Gesto de Continuidade de Negcios; Aderente ao Plano de Continuidade de Negcios; Deve constar dos editais e contratos !!

51

Continuidade dos Servios

Acrdo n 1.603/2008-TCU-Plenrio: ... ausncia de plano de continuidade de negcios (PCN) em cerca de 88% dos pesquisados. Sem planejamento dessa natureza, a organizao fica vulnervel quando da (...) interrupes de servios. Eventos que poderiam ser resolvidos sem grande perda, acabam por comprometer toda a base atual e histrica de informaes da organizao.

52

Continuidade dos Servios

Deve ser observado: Acrdo n 1.603/2008-TCU-Plenrio; Cobit 4.1 DS4 Ensure Continuous Service (Garantir a Continuidade do Servio A necessidade de prover servios contnuos de TI requer desenvolvimento, manuteno e teste de planos de continuidade de TI, armazenamento de cpias de segurana em local alternativo e treinamento peridico de planejamento de continuidade);

53

Continuidade dos Servios

Deve ser observado ainda: NBR 15999-1:2007, item 8.6 Planos de Continuidade de Negcios: o propsito de um plano de continuidade de negcios (PCN) permitir que uma organizao recupere ou mantenha suas atividades em caso de uma interrupo das operaes normais de negcios; NBR ISO/IEC 27002, item 14.1.3 Desenvolvimento e implementao de planos de continuidade relativos segurana da informao: convm que os planos sejam desenvolvidos e implementados para a manuteno ou recuperao das operaes e para assegurar a disponibilidade da informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio.
54

Continuidade dos Servios

Efeitos reais e potenciais Vulnerabilidade ocorrncia de interrupo de servios; Perda de dados, inclusive histricos, de difcil recuperao; Dificuldade no restabelecimento das operaes normais quando da ocorrncia de interrupo de servios; Vulnerabilidade a fraudes e erros durante a interrupo de servios; Paralisao de funes essenciais de governo e/ou de Estado.

55

Estratgia de Contratao
A IN-4/2008 em seu art.14 estabelece as seguintes tarefas: I indicao do tipo de servio, considerando o mercado e as solues existentes no momento da licitao (TI); II indicao dos termos contratuais (TI e Requisitante); III definio da estratgia de independncia do rgo ou entidade contratante com relao contratada (TI); IV indicao do Gestor do Contrato (TI);
56

A IN-4/2008 em seu art.14 estabelece as seguintes tarefas: V definio das responsabilidades da contratada, que no poder se eximir do cumprimento integral do contrato no caso de subcontratao (TI); VI elaborao do oramento detalhado (TI e rea competente); VII indicao da fonte de recursos para a contratao e a estimativa do impacto econmicofinanceiro no oramento do rgo/Entidade (Requisitante); VIII definio dos critrios tcnicos de julgamento da proposta para a fase de Seleo do Fornecedor (TI). 57

Estratgia de Contratao

Tipo de Servio
I indicao do tipo de servio, considerando o mercado e as solues existentes no momento da licitao (TI);

58

Termos Contratuais
II indicao dos termos contratuais (TI e Requisitante): a) fixao de procedimentos e de critrios de mensurao dos servios prestados, abrangendo mtricas, indicadores e valores; b) definio de metodologia de avaliao da adequao s especificaes funcionais e da qualidade dos servios; c) quantificao ou estimativa prvia do volume de servios demandados, para comparao e controle; d) regras para aplicao de multas e demais sanes administrativas; e) garantia de inspees e diligncias, quando aplicvel, e sua forma de exerccio;

59

Termos Contratuais (cont.)

II indicao dos termos contratuais (TI e Requisitante): f) definio de direitos autorais e de propriedade intelectual; g) termo de compromisso, contendo declarao de manuteno de sigilo e cincia das normas de segurana vigentes no rgo ou entidade, a ser assinado pelo representante legal do fornecedor e seus empregados diretamente envolvidos na contratao; h) cronograma de execuo fsica e financeira; i) forma de pagamento, que dever ser efetuado em funo dos resultados obtidos; e j) definio de mecanismos formais de comunicao a serem utilizados para troca de informaes entre a contratada e a Administrao;
60

Estratgia de Independncia
III definio da estratgia de independncia do rgo ou entidade contratante com relao contratada (TI):
a) forma de transferncia de tecnologia; e b) direitos de propriedade intelectual e direitos autorais da Soluo de Tecnologia da Informao, documentao, modelo de dados e base de dados, justificando os casos em que tais direitos no vierem a pertencer Administrao Pblica;

61

Gestor do Contrato
IV indicao do Gestor do Contrato (TI):
No art. 2, III - Gestor do Contrato: servidor com capacidade gerencial, tcnica e operacional relacionada ao objeto da contratao;

62

Responsabilidades da Contratada
V definio das responsabilidades da contratada, que no poder se eximir do cumprimento integral do contrato no caso de subcontratao (TI);

63

Oramento Detalhado
VI elaborao do oramento detalhado (TI e rea competente), fundamentado em pesquisa no mercado, a exemplo de: contrataes similares, valores oficiais de referncia, pesquisa junto a fornecedores ou tarifas pblicas.

64

Fonte de Recursos
VII indicao da fonte de recursos para a contratao e a estimativa do impacto econmico-financeiro no oramento do rgo/Entidade (Requisitante);

65

Critrios Tcnicos de Julgamento

VIII definio dos critrios tcnicos de julgamento da proposta para a fase de Seleo do Fornecedor (TI), observando o seguinte: a) utilizao de critrios correntes no mercado; b) a Anlise de Viabilidade da Contratao; c) vedao da indicao de entidade certificadora, exceto nos casos previamente dispostos em normas do governo federal; d) o fator desempenho no pode ser pontuado com base em atestados relativos durao de trabalhos realizados pelo licitante;

66

Critrios Tcnicos de Julgamento

VIII definio dos critrios tcnicos de julgamento da proposta para a fase de Seleo do Fornecedor (TI), observando o seguinte: e) quando necessrio para a comprovao da aptido, pode se considerar mais de um atestado relativo ao mesmo quesito de capacidade tcnica; f) vedao da pontuao progressiva de mais de um atestado para o mesmo quesito de capacidade tcnica; e g) os critrios de pontuao devem ser justificados em termos do benefcio que trazem para o contratante.

67

Estratgia de Contratao
A IN-4/2008 estabelece: Restries quanto aferio de esforo por meio da mtrica homens-hora ( 1) Que vedado contratar por postos de trabalho alocados ( 2) Vedaes e recomendaes quanto s licitaes do tipo tcnica e preo (s 3 e 4) A Estratgia de Contratao dever ser aprovada e assinada pelo Requisitante e pela rea de TI ( 5)
68

Anlise de Riscos
A IN-4/2008 estabelece no art. 16. que a Anlise de Riscos dever ser elaborada pelo Gestor do Contrato, com o apoio da rea de TI e do Requisitante observando: I - identificao dos principais riscos que possam comprometer o sucesso do processo de contratao; II - identificao dos principais riscos que possam fazer com que os servios prestados no atendam s necessidades do contratante, podendo resultar em nova contratao; III - identificao das possibilidades de ocorrncia e dos danos potenciais de cada risco identificado;

69

Anlise de Riscos
A IN-4/2008 estabelece no art. 16. que a Anlise de Riscos dever ser elaborada pelo Gestor do Contrato, com o apoio da rea de TI e do Requisitante observando: ... IV - definio das aes a serem tomadas para amenizar ou eliminar as chances de ocorrncia do risco; V - definio das aes de contingncia a serem tomadas caso o risco se concretize; e VI - definio dos responsveis pelas aes de preveno dos riscos e dos procedimentos de contingncia.

70

Acrdo

n 1.603/2008-TCU-Plenrio: A ausncia da anlise de riscos na rea de TI, informada por 75% dos rgos/entidades pesquisados, um indcio de que as aes de segurana no so executadas de maneira sintonizada com as necessidades do negcio dessas organizaes. Isto porque, sem anlise de riscos, no h como o gestor priorizar aes e investimentos com base em critrios claros e relacionados com o negcio da organizao. Alm disso, o desconhecimento dos riscos na rea de TI aumenta a exposio s ameaas de acesso indevido, indisponibilidade e perda de integridade (intencional, como no caso das fraudes, ou por falhas) das informaes sob responsabilidade dessas organizaes.
71

Anlise de Riscos

Anlise de Riscos
Deve ser observado: Acrdo n 1.603/2008-TCU-Plenrio; Cobit 4.1 PO9.4 Risk Assessment (Anlise de Riscos Avaliar periodicamente a probabilidade e o impacto de todos os riscos identificados, usando mtodos qualitativos e quantitativos. A probabilidade e o impacto associados com o risco inerente e residual devem ser determinados individualmente por categoria); NBR ISO/IEC 27002, item 4.1 Analisando/avaliando os riscos de segurana da informao: convm que as anlises/avaliaes de riscos identifiquem, quantifiquem e priorizem os riscos com base em critrios relevantes para a organizao, e que os resultados orientem e determinem as aes de gesto apropriadas e as prioridades para o gerenciamento dos riscos de segurana da informao, e para a implementao dos controles selecionados, de maneira a proteger contra estes riscos.

72

Anlise de Riscos
Identificao dos principais riscos:
que possam comprometer o sucesso do processo de contratao; que possam fazer com que os servios prestados no atendam s necessidades do contratante, podendo resultar em nova contratao;

Identificao das possibilidades de ocorrncia e dos danos potenciais de cada risco identificado;

73

Anlise de Riscos
definio das aes a serem tomadas:
para amenizar ou eliminar as chances de ocorrncia do risco; caso o risco se concretize; e

definio dos responsveis pelas aes de preveno dos riscos e dos procedimentos de contingncia.

74

Projeto Bsico
Os servios somente podero ser licitados quando houver O
projeto bsico aprovado pela autoridade competente ( Lei 8.666/93, art. 7, I e 2, I e IN/SLTI 02/2008, art. 14). objeto da contratao deve estar precisamente caracterizado e quantificado no projeto bsico ( Lei 8.666/93, arts. 7, 4; 8; 14; 15, 7; 55). previsto no art. 6, IX, da Lei 8.666/93, definio ser precisa, suficiente e clara. devendo a sua

O projeto bsico deve conter, no que couber, o detalhamento

So vedadas especificaes excessivas, irrelevantes ou

desnecessrias que limitem ou frustrem a competio ou a realizao do fornecimento (Decreto 3.555/2000, art. 8, I e IN/SLTI 02/2008, art. 16).

75

Projeto Bsico

Nos projetos bsicos de servios sero considerados principalmente os seguintes requisitos (art. 12 da Lei 8.666/1993): segurana; funcionalidade e adequao ao interesse pblico; economia na execuo, conservao e operao; possibilidade de emprego de mo-de-obra, materiais, tecnologia e matrias-primas existentes no local para execuo, conservao e operao; facilidade na execuo, conservao e operao, sem prejuzo da durabilidade do servio; adoo das normas tcnicas, de sade e de segurana adequadas.

76

Projeto Bsico
A IN/SLTI 04/2008, que cuida especificamente da contratao de servios da rea de TI, prev, em seu art. 17, que o Projeto Bsico dever conter, no mnimo, as seguintes informaes: definio do objeto; fundamentao da contratao; requisitos do servio; modelo de prestao dos servios; elementos para gesto do contrato; estimativa de preos; indicao do tipo de servio; critrios de seleo do fornecedor; e adequao oramentria.

(Vide Acrdo 2.471/2008-Plenrio, item 9.1.1)

77

Seleo de Fornecedor
Art. 19. A fase de Seleo do Fornecedor observar as normas pertinentes, incluindo o disposto na Lei n 8.666, de 1993, na Lei n 10.520, de 2002, no Decreto n 2.271, de 1997, no Decreto n 3.555, de 2000, no Decreto n 3.931, de 2001, e no Decreto n 5.450, de 2005.

78

Gerenciamento do Contrato Encerrado o procedimento licitatrio e

contratado o vencedor do certame para o fornecimento do objeto, inicia-se a fase de execuo contratual. Nessa fase, compete Administrao garantir que o contratado cumpra os termos contratuais, de forma que o objeto do contrato seja fornecido nas condies e prazos estabelecidos.

79

Gerenciamento do Contrato

A gesto contratual compreende uma srie de atividades envolvendo: solicitao dos servios; acompanhamento; fiscalizao da execuo; avaliao da qualidade e aderncia s especificaes; ateste da realizao dos trabalhos; aplicao de penalidades; pagamento.

80

Processo de Gesto Contratual

Acrdo 1.603/2008-TCU-Plenrio: Para se gerir adequadamente os riscos inerentes s atividades de TI, a adoo de processo formal de trabalho de suma importncia. Esse processo de trabalho deve ser definido, padronizado, documentado, aprovado e divulgado para toda a organizao.

81

Processo de Gesto Contratual

Lei n 8.666/1993, Captulo III; IN-04/2008, Seo III; Acrdo 1.603/2008-TCU-Plenrio; Cobit 4.1 AI5.1 Procurement Control (Controle sobre aquisies) desenvolver e seguir um conjunto de procedimentos e padres consistente com o processo de licitao e a estratgia de aquisio gerais da organizao para adquirir infraestrutura, instalaes, hardware, software e servios de TI necessrios ao negcio.

82

Processo de Gesto Contratual

Incio da Execuo Contratual Execuo Contratual
Monitorao Tcnica (eficincia/efetividade) Atestao Tcnica Monitorao Administrativa Autorizao de Pagamento Encerramento e Transio Contratual O registro das tarefas acima dever compor o Histrico
de Gesto do Contrato

83

Incio da Execuo Contratual

Elaborao, pelo Gestor do Contrato, de um plano de
insero da contratada que contemple: o repasse de conhecimentos necessrios para a execuo dos servios contratada; e a disponibilizao de infra-estrutura contratada, quando couber Reunio inicial entre o Gestor do Contrato, rea de TI, Requisitante e a contratada, cuja pauta observar, pelo menos: assinatura do termo de compromisso de manuteno de sigilo e cincia das normas de segurana vigentes no rgo ou entidade; e esclarecimentos relativos a questes operacionais e de gerenciamento do contrato.

84

Incio da Execuo Contratual

Reunio de alinhamento de expectativas Checagem de compreenso do objetivo, do objeto, do
modelo de prestao de servios, do modelo de gesto, das obrigaes e das penalidades Releitura do Edital, Contrato e termos da proposta vencedora Manuteno das condies habilitatrias e pontuadas Confirmao de cronogramas (etapas, faturamento, etc.)

85

Encaminhamento Formal de Demandas

Encaminhamento formal de demandas pelo Gestor do Contrato ao preposto da contratada por meio de Ordens de Servio, que contero: definio e especificao dos servios a serem realizados; volume de servios solicitados e realizados segundo as mtricas definidas; resultados esperados; o cronograma de realizao dos servios, includas todas as tarefas significativas e seus respectivos prazos; avaliao da qualidade dos servios realizados e as justificativas do avaliador; e identificao dos responsveis pela solicitao, avaliao da qualidade e ateste dos servios realizados, que no podem ter vnculo com a empresa contratada;
86

Monitoramento da Execuo
A cargo do Gestor do Contrato, com apoio Requisitante e da rea de TI, que consiste em: recebimento mediante anlise da avaliao dos servios, com base nos critrios previamente definidos; ateste para fins de pagamento; identificao de desvios e encaminhamento de demandas de correo; encaminhamento de glosas e sanes; verificao de aderncia s normas do contrato; verificao da manuteno da necessidade, economicidade e oportunidade da contratao; verificao da manuteno das condies classificatrias, pontuadas e da habilitao tcnica;
87

Monitoramento da Execuo
(continuao):
manuteno do Plano de Sustentao; comunicao s autoridades competentes sobre a proximidade do trmino do contrato, com pelo menos 60 (sessenta) dias de antecedncia; manuteno dos registros de aditivos; encaminhamento s autoridades competentes de eventuais pedidos de modificao contratual; e manuteno de registros formais de todas as ocorrncias da execuo do contrato, por ordem histrica.

88

Processo de Gesto Contratual

Execuo contratual

Monitorao tcnica (eficincia e efetividade) Reunies peridicas, quando conveniente Procedimentos de verificao de nvel de servio Notificao de desvios de normalidade Encaminhamento de proposta de apenao (glosas e sanes) Capacitao e disponibilidade de fiscalizadores
89

Processo de Gesto Contratual

Execuo contratual

Atestao tcnica Registro (para eventual auditoria) da verificao de execuo Registro das notificaes/apenaes e seu andamento Propostas de glosa

90

penalidades cabveis e valores das multas as penalidades esto previstas no art. 87 da

Lei n 8.666/1993 e art. 7 da Lei n 10.520/2002;

Processo de Gesto Contratual

o contrato dever especificar as condies

de aplicao da multa e respectivos valores.

91

Processo de Gesto Contratual

Execuo contratual

Monitorao Administrativa (legalidade e economicidade) Aspectos trabalhistas (encargos, subordinao direta, desvio de funo, pessoalidade indevida, ingerncia administrativa) Aspectos fiscais (regularidade cadastral) Manuteno das condies habilitatrias/pontuadas Atendimento aos normativos internos Verificao da vantajosidade do preo (estabelecer periodicidade e mtodo para verificao)

92

Processo de Gesto Contratual

Execuo contratual

Autorizao de pagamento Mensurao do servio prestado Registro (para eventual auditoria) da mensurao

93

Obrigado

andrefp@tcu.gov.br (61) 3316-5900 www.tcu.gov.br/fiscalizacaoti

94

www.tcu.gov.br Valores tica Justia Efetividade Independncia Profissionalismo

95