Auditoria de Governança e Terceirização de TI
Renato Braga, CISA VI CNASI Brasília
Junho de 2008
Questão preliminar:
o que é a Sefti?
3
Criação da Sefti
Em agosto de 2006 (Resolução TCU n.º 193/2006)
“A Secretaria de Fiscalização de Tecnologia da
Informação tem por finalidade fiscalizar a gestão e
o uso de recursos de tecnologia da informação pela
Administração Pública Federal.”
4
Negócio
Controle externo da governança de tecnologia da informação na Administração Pública Federal.
Missão
Assegurar que a tecnologia da informação agregue valor ao negócio da Administração Pública Federal em benefício da sociedade.
Visão
Ser unidade de excelência no controle e no aperfeiçoamento
da governança de tecnologia da informação.
Áreas de atuação
Governança
Segurança
Sistemas
Dados
Infra-estrutura
Contratações
Programas e políticas
5
Fiscalização
operacional ou de
conformidade
Acessíveis em:
http://www.tcu.gov.br/fiscalizacaoti
Objetivo
Apresentar a auditoria realizada pelo TCU
para avaliar a governança e a terceirização de TI na Administração Pública Federal (APF), os principais resultados da avaliação e as
medidas estruturantes propostas.
Na íntegra:
Acórdão 2.471/2008-TCU-Plenário
Relator:
Exmº Ministro Benjamin Zymler
Agenda
Antecedentes e origem
Abordagem da Sefti
Relevância do tema
Objetivos e escopo da auditoria
Alguns números
Principais resultados da avaliação
Causas potenciais
Propostas de encaminhamento
contratações de serviços de TI
0 50 100 150 200 250 300 350 400
1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007
Ano
Número de deliberações no ano
Fonte: Pesquisa textual na base do Sistema Juris (TCU)
Acórdão 1.558/03 - Plenário
9.7. determinar à Secretaria-Geral de Controle Externo - Segecex que, ...
...com auxílio da Secretaria de Tecnologia da Informação - Setec, ...
... realize estudo sobre os parâmetros que devem balizar a contratação de serviços técnicos de informática, ...
... a fim de propiciar elementos para
manifestação do Tribunal sobre o assunto;
Acórdão nº 2.094/04 - Plenário
9.2. determinar à Segecex que ...
... após concluído o estudo de que trata o item 9.7 do Acórdão 1.558/2003 - Plenário, ...
...continuar avaliando a legalidade e
oportunidade das aquisições dos bens e
serviços de informática, ...;
Acórdão nº 140/05 - Plenário
9.4. determinar à Secretaria-Geral de Controle Externo ...
... auditoria nos órgãos da Administração Direta do Poder Executivo ...
...avaliar a estrutura de recursos humanos dos respectivos setores de informática, ...
... se as atividades ligadas ao planejamento estratégico de informática, à coordenação, à fiscalização e ao controle ...
... executadas com eficiência e eficácia ...
... se ...estão acometidas a servidores do
órgão, ...;
Origem da auditoria
Acórdão nº 435/2007 – Plenário (sigiloso).
Tema de Maior Significância (TMS)
“Terceirização na Administração Pública Federal”
Subtema “Terceirização em TI”.
Agenda
Antecedentes e origem
Abordagem da Sefti
Relevância do tema
Objetivos e escopo da auditoria
Alguns números
Principais resultados da avaliação
Causas potenciais
Propostas de encaminhamento
(Decreto-Lei 200/67)
Art. 10 A execução das atividades da Administração Federal deverá ser amplamente descentralizada.
... § 7º Para melhor desincumbir-se das tarefas de planejamento, coordenação, supervisão e controle e com o objetivo de impedir o crescimento desmesurado da máquina administrativa, a Administração procurará desobrigar-se da realização material de tarefas
executivas, recorrendo, sempre que possível, à
execução indireta, mediante contrato, desde que exista, na área, iniciativa privada suficientemente desenvolvida e capacitada a desempenhar os encargos de
execução.“
Proposta de abordagem
Avaliar a legalidade das contratações de serviços em Tecnologia da Informação (Acórdão 2.094/04-P) ...
... levando em conta, além dos aspectos da legislação de licitações e contratos o comando legal de que as atividades de planejamento, coordenação, supervisão e controle dos setores de TI devem ser executadas pela Administração (DL 200/67) ...
... o que induz a necessidade de avaliar, também, se os setores de TI têm estruturas capazes de realizar a gestão destes contratos de terceirização (Acórdão
140/05-P).
Estratégia em 3 passos ...
Passo 1: Identificar os requisitos normativos
aplicáveis
TC 007.973/2007-5
Acórdão 1.934/2007-TCU-Plenário
Qual é a importância de
conformidade (compliance) para o setor público?
Direito público versus
Direito privado
requisitos legais e regulatórios aplicáveis?
Cobit 4.1, ME 3.1
Regimento interno
Lei 8.666/93
Lei 10.520/05
LC 123/06
Decreto
2.271/97 E muito mais,
de muitos outros lugares MS
24.548 (STF) Enunciado
331 (TST)
Acórdão
786/03 (TCU)
IN 4/08 (SLTI)
Isso torna a vida...
Até que seja realizada a consolidação prevista no art. 13, da Lei
Complementar nº 95/98, com redação dada pela Lei Complementar nº 107/01.
Notícia veiculada no site da Câmara dos Deputados informa que se tratam de mais de 177 mil
normativos (de todas as
áreas) em vigor a serem
consolidados.
Como identificar uma base de requisitos legais, regulatórios e contratuais a atender
(Cobit 4.1, ME 3.1)?
Iniciativa do TCU:
base (inicial)
Passo 2: Identificar onde está o orçamento de TI
TC 007.972/2007-8
Acórdão 371/2008-TCU-Plenário (Relação nº 14/2008 - Gab. do Min.
Guilherme Palmeira - Plenário)
Relevância do gasto
Hoje não é possível identificar precisamente a despesa com TI na Administração Pública
nem a despesa autorizada nem a executada
Estimam-se, na APF, ...
R$ 6 bilhões em 2006 (fonte: TC 007.972/2007-8)
Isso vai mudar ...
Os gestores deverão prever e acompanhar a execução do seu orçamento de TI (Cobit 4.1, PO5 – Gerenciar investimentos em TI).
Maior independência para a TI, juntamente
com maior responsabilidade!
Transparência na previsão
“2. Determinar à Secretaria de Orçamento
Federal - SOF/MP que, no prazo de 30 dias a partir da ciência deste Acórdão, elabore e
encaminhe ao Tribunal de Contas da União proposta de alteração do Orçamento Geral da União com a finalidade de permitir a
identificação clara, objetiva e transparente da previsão dos gastos em Tecnologia da
Informação (TI), considerando a possibilidade da criação de uma ou mais ações que
agreguem as despesas relacionadas a TI;”
(Acórdão 371/08-TCU-Plenário)
Lei 11.768/08 (LDO 08/09)
"Art. 12. A Lei Orçamentária de 2009
discriminará em categorias de programação específicas as dotações destinadas:
...
XX - ao atendimento de despesas com
tecnologia da informação, inclusive hardware,
software e serviços;"
LOA 2009
Já prevê segregação das ações de TI
Exemplo: Anexo III da LOA 2009
Problemas operacionais vão trazer mudanças na solução
para o próximo ano
Ver projeto de LDO 2009/2010
Transparência na execução ...
“3. Determinar à Secretaria do Tesouro Nacional - STN/MF que, no prazo de 30 dias a partir da ciência deste Acórdão, elabore e encaminhe ao Tribunal de Contas da União proposta de alteração do Orçamento Geral da União com a finalidade de permitir a
identificação clara, objetiva e transparente da
execução dos gastos em Tecnologia da Informação (TI), considerando a possibilidade da criação de
Elemento de Despesa que agregue os bens e serviços da área de TI;”
(Acórdão 371/08-TCU-Plenário) Solução adotada inicialmente trouxe problemas operacionais
Medida em implementação pela STN/SOF.
Inclusive para as estatais ...
“4. Determinar ao Departamento de Coordenação e Governança das Empresas Estatais - DEST/MP que, no prazo de 30 dias a partir da ciência deste Acórdão, elabore e encaminhe ao Tribunal de Contas da União proposta de alteração do PDG com a finalidade de permitir a identificação clara, objetiva e transparente da previsão e da execução dos gastos de Tecnologia da Informação (TI), considerando a criação de rubricas próprias de Tecnologia da Informação que abarquem os bens e serviços dessa área, tanto para despesas correntes, como para despesas de capital, de forma a prover informações acerca do montante dos gastos em TI realizados pelas Empresas Estatais;”
(Acórdão 371/08-TCU-Plenário)
Já foram promovidas alterações nos modelos de PDG.
LOA 2009
Já prevê segregação das ações de TI
Exemplo: Anexo III da LOA 2009
Aquisicao De Softwares De Base
0,41%
M anut. Cons. Equip.
de Processamento de Dados
1,78%
Locação de Softwares 2,39%
M aterial de Processamento de
Dados 5,83%
Serviços de Processamentos de
Dados 60,15%
Despesas de Teleproc.
7%
Equipamentos de Processamento de
Dados 13,59%
Aquisição de Softwares de
Aplicação 5,55%
M anutenção de Software
3,93%
SIAFI em 2006
Fonte: TC 007.972/2007-8
Origem da classificação: Portaria STN 448/02
Passo 3: Identificar como está a governança de TI na
APF
TC 008.380/2007-1
Acórdão 1.603/08-Plenário
Alguns dados do trabalho
Ferramenta: questionário eletrônico
Respostas com evidências em anexo
39 perguntas
Cerca de 250 auditados
Resultado: heterogeneidade
Situação preocupante: não há governança de
TI, há “desgovernança” de TI.
Agenda
Antecedentes e origem
Abordagem da Sefti
Relevância do tema
Objetivos e escopo da auditoria
Alguns números
Principais resultados da avaliação
Causas potenciais
Propostas de encaminhamento
Relevância em pelo menos 3 óticas...
Materialidade
Essencialidade e caráter estratégico
Aptidão para induzir a governança corporativa
Agenda
Antecedentes e origem
Abordagem da Sefti
Relevância do tema
Objetivos e escopo da auditoria
Alguns números
Principais resultados da avaliação
Causas potenciais
Propostas de encaminhamento
Objetivo geral
Avaliar a terceirização no setor de TI dos entes da APF selecionados, em especial a
adequação da estrutura da unidade e seus
processos de aquisição e gestão de serviços
terceirizados.
Objetivos específicos
a) apresentar um panorama da estrutura dos setores de TI dos entes auditados, com base nos controles previstos no Cobit;
b) apresentar a amplitude dos problemas na contratação e gestão de serviços de TI na APF que perpassam diversos setores dentro dos
entes contratantes (e.g., setores de TI, de
compras, jurídico, orçamentário, financeiro);
Objetivos específicos
c) identificar as ações realizadas pelo órgão central do Sisp, no tocante às políticas,
diretrizes e normas relativas à gestão dos recursos do Sistema (Sisp) e ao processo
normativo de compras do Governo Federal na área de informática;
d) identificar as possíveis causas para os
problemas encontrados;
Objetivos específicos
e) identificar medidas estruturantes, de médio e longo prazos, capazes de reverter a
ausência de estratégia para conduzir os setores de TI dos entes da APF;
f) identificar soluções de curto prazo para
minimizar os problemas legais na contratação
e gestão de serviços de TI.
Escopo - objetos
a) estrutura e processos do setor de TI;
b) contratos para prestação de serviços de TI, prioritariamente os de serviços continuados (e.g., suporte ao usuário, suporte à infra-
estrutura, desenvolvimento ou manutenção de
software) e secundariamente os de projetos na
área de TI (e.g., implantação de portal, de um
sistema).
Escopo - auditados
6 Ministérios
2 tribunais
2 bancos
1 estatal
1 universidade
Total: 12 jurisdicionados
Escopo - auditados
Critério de seleção dos auditados:
materialidade combinado com recursos humanos do TCU disponíveis.
Amostra não estatística
Resultados constantes do Acórdão
1.603/08 - Plenário complementam
cenário que será descrito.
Escopo - dimensão
Parte 1 - avaliação da governança de TI.
escolha dos controles mais importantes do Cobit e os associados ao Acórdão 140/05-P (estrutura de recursos humanos)
14 questões de auditoria com 32 possíveis achados
auditoria com foco operacional
Escopo - dimensão
Parte 2 - avaliação das contratações de serviços de TI.
falhas mais comuns observadas nos processos que passam pela Sefti
11 questões de auditoria com 43 possíveis achados.
Auditoria com foco em conformidade.
Escopo - dimensão
Total: 25 questões de auditoria com 77 possíveis achados
Apenas 4 possíveis achados não foram
identificados
Agenda
Antecedentes e origem
Abordagem da Sefti
Relevância do tema
Objetivos e escopo da auditoria
Alguns números
Principais resultados da avaliação
Causas potenciais
Propostas de encaminhamento
Alguns números
12 auditorias (incluindo as 2 pilotos)
10 representações com indícios de irregularidades graves
23 analistas do TCU envolvidos diretamente na execução das fiscalizações.
Equipes em 7 unidades da federação
VRF (Volume dos Recursos Fiscalizados):
R$ 1,5 bilhão
Alguns números
Benefícios financeiros potenciais
Representações: R$ 81 milhões
Consolidação: R$ 691 milhões (5 anos)
Total: R$ 772 milhões
Pesquisa revelou 92% de satisfação dos
auditados com o trabalho realizado
Agenda
Antecedentes e origem
Abordagem da Sefti
Relevância do tema
Objetivos e escopo da auditoria
Alguns números
Principais resultados da avaliação
Causas potenciais
Propostas de encaminhamento
Avaliação da
governança de TI
Governança de TI
A cultura de planejamento de longo prazo é quase inexistente.
Ainda que haja comitês de TI instituídos em
alguns entes, normalmente esses comitês não são atuantes.
Em geral, os setores de TI estão posicionados de forma inadequada na estrutura
organizacional.
Governança de TI
Nos setores de TI, em geral ocorre alguma das seguintes situações: não há estrutura definida, há algum papel sensível sem responsabilidade definida ou sem responsável ou o papel
sensível está ocupado por não integrante do serviço público.
Não há carreiras específicas para pessoal de
TI na Administração Pública Federal Direta.
Governança de TI
Em alguns entes, o quadro de pessoal de TI não é
suficiente para desempenhar as atribuições da área ou atender às necessidades das demais unidades
integrantes desses entes.
Há situações em que as atividades ligadas à
coordenação, à fiscalização e ao controle das ações do setor não são executadas com eficiência e eficácia e as atividades ligadas ao planejamento estratégico de informática, à coordenação, à fiscalização e ao
controle das ações do setor não estão acometidas a
servidores do jurisdicionado.
Governança de TI
Normalmente, não há políticas para garantir a segurança da informação (PSI, PCA, Política de Cópias de Segurança). Quando há, a
maioria não é efetiva.
Praticamente, não há cultura de gestão de
riscos e, por conseqüência, não há Planos de Continuidade do Negócio.
Da mesma forma, não há cultura de
implantação de controles e sua monitoração
nos processos de contratação e gestão de
serviços de TI.
Governança de TI
Há desconformidades no planejamento e
acompanhamento orçamentário em mais da metade dos entes auditados.
Praticamente não há cultura da importância da gestão de mudanças e da gestão por projetos.
Normalmente também não há Metodologia de Desenvolvimento de Sistemas que contribua para a gestão da qualidade dos sistemas
desenvolvidos ou contratados.
Contratações de
serviços de TI
Contratações de serviços de TI
Em geral, não há estratégia para contratar serviços de TI.
Normalmente, os contratos para prestação de serviços de TI abarcam serviços que poderiam ser licitados separadamente, o que permitiria maior competitividade e maior especialização dos fornecedores e diminuiria o risco de
dependência de um único fornecedor.
Contratações de serviços de TI
Normalmente, não se define o nível de serviço
pretendido e, por via de conseqüência, quase
sempre se contrata remunerando por esforço,
não por resultados entregues, o que favorece
o paradigma lucro-incompetência.
Contratações de serviços de TI
Quase nunca se usa a modalidade pregão para contratar serviços de TI, o que deveria ser a regra, pois, em geral, os serviços de TI podem ser definidos segundo padrões de
desempenho e qualidade que podem ser
objetivamente definidos pelo edital, por meio de especificações usuais no mercado, nos
termos do parágrafo único do art. 1º da Lei nº
10.520/2002.
Contratações de serviços de TI
Em geral, há critérios para selecionar os
fornecedores desnecessários ou por demais restritivos.
Quase sempre, os mecanismos de gestão contratual são pouco efetivos.
Quase sempre, há falhas nas estimativas de
preço das contratações.
Contratações de serviços de TI
Em geral, os projetos básicos ou termos de referência apresentam muitas
desconformidades, ...
... o que é causa para o não atingimento do objetivo das licitações, qual seja, selecionar a proposta mais vantajosa para a Administração Pública, ...
... além de impossibilitar uma gestão contratual
que garanta o recebimento dos benefícios que
se pretende com a contratação.
Contratações de serviços de TI
Geralmente, os gestores não exigem a
indicação formal dos prepostos das empresas contratadas.
Como normalmente o projeto básico ou termo de referência não contempla um modelo de gestão contratual adequado, há dificuldade para rastrear os serviços executados.
Muitas vezes, não são mantidas as condições
da proposta vencedora da licitação.
Contratações de serviços de TI
Algumas vezes, os critérios para medição dos objetos contratados, que já são deficientes, não são
observados.
A qualidade dos serviços prestados não foi avaliada devido à ausência de parâmetros, os quais deveriam constar do projeto básico ou termo de referência, mas não constavam.
Há pouca cultura de aplicação de penalidades e de exigência e manutenção das garantias previstas em contrato.
São comuns falhas nos ajustes contratuais.
Contratações de serviços de TI
Há necessidade de criar ou aperfeiçoar os controles dos procedimentos...
de elaboração dos projetos básicos ou termos de referência;
de condução das licitações;
de avaliação da legalidade (em todas as etapas necessárias);
de gestão contratual.
Estes controles devem ser monitorados.
Atuação do órgão central
do SISP
órgão central do SISP
“e) a análise empreendida demonstrou que a atuação do órgão central do SISP,
encarregado de orientar e coordenar as ações dos setores de informática da Administração Direta, Autárquica e Fundacional, não é
efetiva.”
Agenda
Antecedentes e origem
Abordagem da Sefti
Relevância do tema
Objetivos e escopo da auditoria
Alguns números
Principais resultados da avaliação
Causas potenciais
Propostas de encaminhamento
Causas potenciais
Estrutura do setor de TI deficiente, em especial, deficiência de pessoal.
Ausência de cultura de gestão.
identificar processos de trabalho, avaliar os riscos desses processos, implantar controles para mitigar esses riscos dentro dos setores de TI e fora deles, e monitorá-los.
Ausência de estratégia para contratação de serviços de TI.
Confusão causada pela legislação.
Falta de orientação adequada do órgão central do
Sisp.
A percepção é de que, de forma geral, governança
de TI não estava na agenda
da APF.
Agenda
Antecedentes e origem
Abordagem da Sefti
Relevância do tema
Objetivos e escopo da auditoria
Alguns números
Principais resultados da avaliação
Causas potenciais
Propostas de encaminhamento
Acórdão 2.471/2008-TCU-Plenário
Pregão para aquisições de TI
(9.2) recomendação ao MPOG para que...
...preveja em documento normativo ...
... que a APF deve utilizar o pregão para contratar bens e serviços de informática
considerados comuns, observando o disposto
em 6 orientações contidas no acórdão.
1º ponto de controle
(9.1) recomendação ao MPOG para que ...
...preveja em documento normativo ...
... que os termos de referência ou projetos básicos para contratação de serviços de TI pela APF ...
... contenham, no mínimo, os tópicos descritos
no acórdão.
2º ponto de controle
(9.8) recomendação à AGU para que ...
... identifique todos os momentos em que as
consultorias jurídicas devem atuar para garantir a legalidade do processo licitatório e da gestão dos contratos , ...
... elabore listas de verificação contendo os
aspectos mínimos que devem ser avaliados em cada momento, ...
... e promova, mediante orientação normativa, a
obrigatoriedade da utilização das listas criadas.
3º ponto de controle
(9.4) recomendação ao MPOG para que ...
... elabore listas de verificação contendo os procedimentos previstos na legislação para serem executados durante a fase de julgamento das licitações ...
... e promova, mediante orientação normativa, a obrigatoriedade da utilização das listas
criadas.
4º ponto de controle
(9.1) recomendar ..., que os projetos básicos ou termos de referência, ..., contenham, no mínimo, os tópicos a seguir: ...
- lista de verificação que permita identificar se todas as obrigações do contratado foram
cumpridas antes do ateste do serviço.
existentes...
(9.4.3) recomendação ao MPOG para que oriente os integrantes do Sisp a elaborar um plano de ação para realizar contratações que observem o que foi preconizado nas normas mencionadas nos itens 9.1 e 9.2 deste Acórdão.
(9.4.3) Ademais, os integrantes do Sisp devem
abster-se, sempre que possível, de prorrogar
contratos que não atendam ao disposto nas
mencionadas normas;
Controle interno das contratações
(9.12) recomendação à CGU para que utilize o conteúdo das normas mencionadas nos itens 9.1 e 9.2 do Acórdão como parâmetro para as ações de controle sobre as contratações
realizadas pela Administração Pública Federal.
Pessoal de TI
(9.4.5) recomendação ao MPOG para que adote as medidas necessárias para prover os setores de informática dos órgãos e entidades da Administração Pública Federal da estrutura organizacional e de quadro permanente de pessoal que sejam suficientes (...)
(9.4.5) Deve ser avaliada a conveniência e a
oportunidade da criação de carreira específica.
Capacitação de pessoal de TI
(9.10) Recomendação à Enap para que crie ações de capacitação voltadas para os
gestores de Tecnologia da Informação da Administração Pública Federal, incluindo nessas ações o conteúdo multidisciplinar necessário ao exercício das atribuições
inerentes a essas funções, que vão além de
conhecimentos de Tecnologia da Informação.
Modelo de governança de TI
(9.4.4) Recomendação ao MPOG para que
elabore um modelo de governança de TI para os entes integrantes do Sisp e promova sua implementação mediante orientação
normativa.
(9.4.4) Referida orientação deve conter, no
mínimo os itens descritos no acórdão.
Modelo de governança de TI
(9.4.6) Recomendação ao MPOG para que construa, mantenha e divulgue para a
Administração Pública Federal uma base estruturada contendo as normas e a
jurisprudência relativas à aquisição de bens e serviços de Tecnologia da Informação, à
semelhança daquela prevista no Cobit 4.1,
item ME 3.1.
Sobre segurança da informação...
Recomendações para que o GSI:
(9.6.1) crie procedimentos para elaboração de Políticas de Segurança da Informação,
Políticas de Controle de Acesso, Políticas de Cópias de Segurança, Análises de Riscos e Planos de Continuidade do Negócio;
(9.6.1) Referidas políticas, planos e análises deverão ser implementadas nos entes sob sua jurisdição por meio de orientação normativa;
(9.6.2) Identifique boas práticas relacionadas à segurança da informação, difundindo-as na
Administração Pública Federal;
órgão central do Sisp
(9.4.7) Recomendação ao MPOG para que elabore planejamento de longo prazo do
Ministério, observando as práticas contidas no critério 2 - Estratégias e Planos do Programa Nacional de Gestão Pública e
Desburocratização (Gespública);
órgão central do Sisp
(9.4.8) Recomendação ao MPOG para que reavalie se a estrutura atual e os recursos alocados à SLTI são suficientes à consecução das atribuições de órgão central do Sisp e do Sisg.
(9.4.9) Adicionalmente, deve avaliar a
possibilidade de separar essas duas funções,
visto que as atribuições relacionadas ao Sisp,
que incluem promover a boa governança de
Tecnologia da Informação na Administração
Pública Federal, são, além de inovadoras,
complexas.
Subitens 9.13, 9.14, 9.15, 9.16, 9.17, 9.18:
Recomendar adoção das providências
contidas nos itens “9.4”, “9.6”, “9.8” e “9.10” do acórdão no âmbito de sua esfera de
competência à (ao) ...
Dest (Empresas Estatais);
CNJ (Poder Judiciário);
CNMP (Ministério Público);
Secretaria-Geral da Presidência do TCU;
Diretoria-Geral Câmara dos Deputados;