Auditoria de TI: 4 questões a serem respondidas

André Luiz Furtado Pacheco, CISA

Auditoria de TI:

4 questões a serem

respondidas

Agenda

1. Introdução

2. Estrutura de Governança de TI 3. Processo de Planejamento de TI 4. Processo de Contratação de TI 5. Segurança da Informação

6. Conclusão

1. Introdução

Matriz de Planejamento

 Instrumento para organizar as informações relevantes do planejamento de uma auditoria

 Homogeneização do entendimento da equipe, e demais envolvidos, quanto:

ao objetivo do trabalho;

aos passos a serem seguidos;

à estratégia metodológica a ser adotada.

 Orienta os integrantes da equipe nas fases de execução e de elaboração do relatório

Objetivo: Enunciar de forma clara e resumida o aspecto a ser enfocado pela auditoria, de acordo com o levantamento de auditoria previamente realizado.

Matriz de Planejamento

Questões de Auditoria

Informações Requeridas

Fontes de Informação

Detalhamento do Procedimento

Objetos Membro

Responsável

Período Possíveis Achados

Apresentar, em forma de perguntas, os diferentes aspectos que compõem o escopo da fiscalização e que devem ser investigados com vistas à satisfação do objetivo

Identificar as informações necessárias para

responder a questão de auditoria

Identificar as fontes de cada item de

informação requerida da coluna anterior.

Estas fontes estão

relacionadas com as técnicas empregadas

Descrever as tarefas que serão realizadas, de forma clara, esclarecendo os aspectos a serem abordados (itens de verificação ou check list)

Indicar o documento, o projeto, o programa, o processo, ou o sistema no qual o procedimento será aplicado.

Exemplos:

contrato, folha de pagamento, base de dados, ata, edital, ficha financeira,

Pessoa(s) da equipe

encarregada(s) da execução de cada procedimento

Dia(s) em que o procedi- mento será executado

Esclarecer com precisão que

conclusões ou

resultados podem ser alcançados

Elaboração da Matriz de Planejamento

 elaborar o objetivo da auditoria, após o

diagnóstico da situação, e determinar a linha de investigação, mediante a formulação das questões de auditoria

 determinar, para cada questão de auditoria, possíveis achados, ou seja, onde se deseja chegar com a investigação

 identificar as informações requeridas e onde as obter (fontes de informação)

Elaboração da Matriz de Planejamento

 elaborar os procedimentos, e descrevê-los passo a passo, para colher as informações, analisá-las e obter as evidências com objetivo de responder as questões de auditoria

 identificar o membro da equipe responsável pelo procedimento

 especificar o período de realização do procedimento (cronograma)

 identificar os objetos que foram analisados (*)

Questões de Auditoria

1. Estruturas de Governança – Cobit 5 (EDM e APO)

2. Processo de Planejamento de TI – Cobit 5 (APO)

3. Processo de Aquisição – Cobit 5 (BAI) 4. Segurança da Informação – Cobit 5

(APO e DSS) e ISO 27002

2. Estrutura de

Governança

Governança de TI – Definição

“Governança de TI é uma estrutura de relacionamentos e processos para dirigir e controlar a TI a fim de alcançar as metas da instituição pela agregação de valor, enquanto se mantém o equilíbrio dos riscos versus retorno sobre esta função e seus processos.”

(ITGI – IT Governance Institute)

“O Sistema pelo qual o uso atual e futuro da TI é dirigido e controlado.”

(NBR ISO/IEC 38500, item 1.6.3)

Governança de TI – Objetivos

 assegurar que as ações de TI estejam alinhadas com o negócio da organização, agregando-lhe valor;

 medir o desempenho da área de TI, alocar propriamente os recursos e mitigar os riscos inerentes;

 controlar as iniciativas de TI na

organização para garantir o retorno de

Governança de TI – Cobit 5

Governança de TI – Cobit 5

Levantamentos de Governança de TI

Levantamento de Governança de TI – Ciclo 2007

• 39 questões

• 255 órgãos/entidades da APF

• Acórdão nº 1.603/2008–TCU–Plenário

Levantamento de Governança de TI – Ciclo 2010

• 30 questões – 152 itens

• 301 órgãos/entidades da APF

• iGovTI

• Acórdão nº 2.308/2010-TCU-Plenário

Levantamento de Governança de TI – Ciclo 2012

• 36 questões – 494 itens

• 350 órgãos/entidades da APF

• Acórdão nº 2.585/2012-TCU-Plenário

Levantamento de Governança de TI – Ciclo 2014

• 355 órgãos/entidades da APF

• Escala de respostas (Não se aplica, Não adota, Iniciou plano para adotá-la, Adota parcialmente, Adota integralmente)

• Acórdão nº 3.117/2014-TCU-Plenário

iGovTI 2014

Distribuição das Organizações por Estágio do iGovTI Acórdão 3.117/2014-TCU-Plenário

Evolução do iGovTI 2010-2014

Distribuição das Organizações por Estágio do iGovTI Acórdão 3.117/2014-TCU-Plenário

Comitê Executivo de TI

“A existência de um comitê diretivo de TI (IT Steering Committee), que determine as prioridades de investimento e alocação de recursos nos diversos projetos e ações de TI, é de fundamental importância para o alinhamento entre as atividades de TI e o negócio da organização, bem como para a otimização dos recursos disponíveis e a redução do desperdício. O fato desse comitê ser composto por dirigentes de TI e de outras áreas da organização possibilita que as decisões de investimentos sejam obtidas a partir de uma visão mais abrangente, o que reduz os riscos de erro” (Acórdão 1.603/2008-TCU-Plenário).

Comitê Executivo de TI

Acórdão 1233/2012-TCU-Plenário

“9.2. recomendar, (...), à Secretaria de Logística e Tecnologia da Informação (SLTI/MP) que:

9.2.1. normatize a obrigatoriedade de que os entes sob sua jurisdição estabeleçam comitês de TI, observando as boas práticas sobre o tema, a exemplo do Cobit 4.1, PO4.2 – comitê estratégico de TI e PO4.3 – comitê diretor de TI;”

Instrução Normativa - SLTI 04/2014

“Art. 4º As contratações de que trata esta IN deverão ser precedidas de planejamento, elaborado em harmonia com o Plano Diretor de Tecnologia da Informação - PDTI.

(...)

§ 7º Inexistindo o Comitê de Tecnologia da Informação, o órgão ou entidade deverá instituí- lo e dar-lhe pleno funcionamento, observando, no que couber, o Guia de Comitê de Tecnologia da Informação do SISP, acessível no Portal do SISP.”

Comitê Executivo de TI

Comitê Executivo de TI

Cobit 5, processo APO01 Gerenciar a Estrutura de Gestão de TI, boa prática APO01.01 Definir a Estrutura Organizacional, atividade 8:

“8. Estabelecer um comitê executivo de TI (ou equivalente), composto pelas diretorias executiva, de negócios e de TI para:

 determinar prioridades dos programas de investimentos em TI em linha com as estratégias e prioridades do negócio;

 monitorar o estado atual dos projetos e resolver conflitos de recursos; e

Comitê Executivo de TI

Acórdão 3.117/2014-TCU-Plenário

2.1 Estrutura de

Governança – Matriz

Governança de TI – Questão de Auditoria

Os mecanismos e estruturas de

Governança de TI foram definidos

e implementados adequadamente

no âmbito da instituição ?

3. Processo de

Planejamento de TI

“O planejamento é uma ferramenta administrativa que possibilita perceber a realidade, avaliar os caminhos, construir um referencial futuro, estruturando o trâmite adequado, e reavaliar todo o processo a que o planejamento se destina. (...) o lado racional da ação. Trata-se de um processo de deliberação abstrato e explícito que escolhe e organiza ações, antecipando os resultados esperados.”

(Wikipédia)

Conceito de Planejamento

A elaboração de

Planejamento pelo gestor público seria apenas uma

faculdade?

Planejamento

Não, o Planejamento é obrigatório.

Planejar é dever do gestor público.

Planejamento

O Planejamento é dever político do administrador público^.

O gestor público tem o dever manejar os recursos públicos da forma mais eficaz e eficiente possível, de modo a gerar o maior benefício possível à sociedade;

Esse dever só pode ser cumprido com planejamento efetivo do quê, para quê e como fazer com os recursos públicos disponíveis.

O Dever de Planejar

Planejar é também dever jurídico:

Quem não planeja incorre em inobservância jurídica do disposto no caput do art. 37 da CF/1988, pois age contra o princípio da eficiência:

“Art. 37. A administração pública direta e indireta de qualquer dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios obedecerá aos princípios de legalidade, impessoalidade, moralidade, publicidade e eficiência e, (...)”

O Dever de Planejar

Planejar é também dever jurídico:

Quem não planeja também incorre em inobservância jurídica do disposto no artigo 6º, inciso I do Decreto-Lei 200/1967, e ofende, portanto, o princípio da legalidade:

“Art. 6º As atividades da Administração Federal obedecerão aos seguintes princípios fundamentais:

I - Planejamento.

O Dever de Planejar

Acórdão 669/2008-TCU-Plenário

“9.1. recomendar (...) que:

9.1.1. em atenção ao princípio constitucional da eficiência e às disposições contidas no art. 6º, I, do Decreto-Lei nº 200/1967, aperfeiçoe o processo de planejamento institucional no Ministério, de forma a organizar estratégias, ações, prazos e recursos financeiros, humanos e materiais, a fim de minimizar a possibilidade de desperdício de recursos públicos e de prejuízo ao cumprimento dos objetivos institucionais do órgão, observando as práticas contidas no critério 2 - Estratégias e Planos do Gespública (Programa Nacional de Gestão

O Dever de Planejar

Níveis de Planejamento

Níveis de Planejamento

Segundo o Guia para Elaboração de PDTI do SISP:

“As organizações adotam usualmente três níveis de planejamento, conforme a hierarquia:

 Planejamento Estratégico: o nível estratégico compreende a alta administração da organização, responsável pela definição dos objetivos e planos da instituição e pela tomada de decisões relativas às questões de longo prazo, tais como sobrevivência, crescimento e efetividade geral. É o processo administrativo que proporciona sustentação para se estabelecer

Níveis de Planejamento

 “Planejamento Tático: o planejamento, no nível tático, traduz os objetivos gerais e as estratégias da alta administração em objetivos e atividades mais específicos. O principal desafio nesse nível e promover um contato eficiente e eficaz entre o nível estratégico e o nível operacional.

Portanto, trabalha com decomposição dos

Níveis de Planejamento

 “Planejamento Operacional: nesse planejamento, o processo é de menor amplitude, no qual o foco é trabalhar junto aos funcionários envolvidos nas operações da organização, implementando os planos específicos definidos no planejamento tático. Pode ser considerado como a formalização, principalmente através de documentos escritos, das metodologias de desenvolvimento e implantação estabelecidas. Portanto, nessa situação tem-se, basicamente, os planos de ação ou planos operacionais, os quais descrevem em detalhes os recursos necessários para seu desenvolvimento e implantação, os procedimentos básicos a serem adotados; os resultados finais esperados; os prazos estabelecidos; os responsáveis por sua execução e implantação, etc.”

Acórdão 1.603/2008-Plenário

“9.4. recomendar ao Ministério do Planejamento, Orçamento e Gestão – MPOG que, nos órgãos/entidades da Administração Pública Federal:

9.4.1. promovam ações com o objetivo de disseminar a importância do planejamento estratégico, procedendo, inclusive mediante orientação normativa, ações voltadas à implantação e/ou aperfeiçoamento de planejamento estratégico institucional, planejamento estratégico de TI e comitê diretivo de TI, com vistas a propiciar a

Planejamento Estratégico Institucional

Acórdão 1233/2012-TCU-Plenário

“9.1. recomendar, (...), à Câmara de Políticas de Gestão, Desempenho e Competitividade (CGDC) do Conselho de Governo que:

9.1.1 em atenção Decreto-Lei 200/1967, art. 6º, inciso I, e art. 7º, normatize a obrigatoriedade de que todos os entes sob sua jurisdição estabeleçam processo de planejamento estratégico institucional, observando as boas práticas sobre o tema, a exemplo do critério de avaliação 2 do Gespública, contemplando, pelo menos (subitem II.1):”

Planejamento Estratégico Institucional

Acórdão 1233/2012-TCU-Plenário

“9.1.1.1. elaboração, com participação de representantes dos diversos setores da organização, de um documento que materialize o plano estratégico institucional de longo prazo, contemplando, pelo menos, objetivos, indicadores e metas para a organização;

9.1.1.2. aprovação, pela mais alta autoridade da organização, do plano estratégico institucional;

9.1.1.3. desdobramento do plano estratégico pelas

Planejamento Estratégico Institucional

Acórdão 1233/2012-TCU-Plenário

“9.1.1.4. divulgação do plano estratégico institucional para conhecimento dos cidadãos brasileiros, exceto nos aspectos formalmente declarados sigilosos ou restritos;

9.1.1.5. acompanhamento periódico do alcance das metas estabelecidas, para correção de desvios;

9.1.1.6. divulgação interna e externa do alcance das metas, ou dos motivos de não as ter alcançado;”

Planejamento Estratégico Institucional

Acórdão 1233/2012-TCU-Plenário

“9.1.3. em atenção ao Decreto-Lei 200/1967, art.

6º, V, estabeleça, normativamente para todos os entes sob sua jurisdição, a obrigatoriedade de a alta administração implantar uma estrutura de controles internos, mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades no processo de planejamento

Planejamento Estratégico Institucional

Acórdão 3.117/2014-TCU-Plenário

Planejamento Estratégico de TI

Acórdão 1233/2012-TCU-Plenário

“9.1.2. em atenção Decreto-Lei 200/1967, art. 6º, inciso I, e art. 7º, normatize a obrigatoriedade de que todos os entes sob sua jurisdição estabeleçam processo de planejamento estratégico de TI, observando as boas práticas sobre o tema, a exemplo do processo “PO1 – Planejamento Estratégico de TI” do Cobit 4.1, contemplando, pelo

Planejamento Estratégico de TI

Acórdão 1233/2012-TCU-Plenário

“9.1.2.1. elaboração, com participação de representantes dos diversos setores da organização, de um documento que materialize o plano estratégico de TI, contemplando, pelo menos:

9.1.2.1.1. objetivos, indicadores e metas para a TI organizacional, sendo que os objetivos devem estar explicitamente alinhados aos objetivos de negócio constantes do plano estratégico institucional;

9.1.2.1.2. alocação de recursos (financeiros, humanos, materiais etc);

9.1.2.1.3. estratégia de terceirização;”

Planejamento Estratégico de TI

Acórdão 1233/2012-TCU-Plenário

“9.1.2.2. aprovação, pela mais alta autoridade da organização, do plano estratégico de TI;

9.1.2.3. desdobramento do plano estratégico de TI pelas unidades executoras;

9.1.2.4. divulgação do plano estratégico de TI para conhecimento dos cidadãos brasileiros, exceto nos

aspectos formalmente declarados sigilosos ou restritos;

9.1.2.5. acompanhamento periódico do alcance das metas estabelecidas, para correção de desvios;

Planejamento Estratégico de TI

 Definir missão

 Objetivos, indicadores, metas da TI

 Alinhamento com o negócio

 Iniciativas, estratégias

 Estratégia de terceirização

 Desdobramento

 Divulgação

 Alocação de recursos (financeiros, humanos, materiais)

 Acompanhamento periódico

Planejamento Estratégico de TI (PETI)

Acórdão 3.117/2014-TCU-Plenário

Planejamento Estratégico de TI

Estratégico Estratégia de PEI

Negócio

Estratégia Estratégia Estratégia PETI

de TI de RH de ...

Tático Planejamento Planejamento Planejamento PDTI

Tático de TI Tático de RH Tático de ...

Operacional

P l a n o s de A ç ã o

Plano Diretor de TI – PDTI

A IN-4/2014 da SLTI/MP define no art. 2º:

“XXVII – Plano Diretor de Tecnologia da

Informação (PDTI): instrumento de

diagnóstico, planejamento e gestão dos

recursos e processos de Tecnologia da

Informação que visa atender às

necessidades tecnológicas e de

informação de um órgão ou entidade para

Plano Diretor de TI – PDTI

Fases do Processo de Elaboração do PDTI:

 Preparação

 Diagnóstico

 Planejamento

Fonte: Guia de Elaboração de PDTI do SISP

Plano Diretor de TI – PDTI – Atores

“Autoridade Máxima, o membro da alta administração no nível hierárquico mais alto da organização. Nos ministérios, são os Ministros. Nas autarquias e fundações, correspondem aos Presidentes. A autoridade máxima é o principal patrocinador do projeto de elaboração de PDTI.

Nesse papel, ele deverá prover recursos, aprovar o Plano de Trabalho, tomar as decisões mais importantes, definir premissas e diretrizes gerais, aprovar e publicar o PDTI, formalizando-o. O papel

Plano Diretor de TI – PDTI – Atores

“Comitê de TI, um mecanismo importante de Governança de TI, recomendado por modelos de mercado e indicado na EGTI 2011-2012. O Comitê é formado por representantes das áreas finalísticas e da TI e tem a função e o poder de priorizar as ações e dirigir o alinhamento dessas e dos investimentos com os objetivos estratégicos da organização, além de monitorar os resultados do desempenho da TI.

Sobre o Comitê de TI, o SISP disponibiliza o “Guia para criação e funcionamento do Comitê de TI” , o qual visa orientar a instituição do Comitê e seu pleno funcionamento nos órgãos integrantes do SISP, além de

Plano Diretor de TI – PDTI – Atores

“Equipe de Elaboração do PDTI. Responsável por executar boa parte da elaboração do PDTI, ou seja, é o grupo que realmente efetua as atividades. Recomenda-se que a elaboração do PDTI seja trabalhada como um projeto. É a equipe de elaboração do PDTI quem operacionaliza o projeto de elaboração do PDTI. Os membros da equipe são designados pelo Comitê de TI, que deve indicar servidores tanto das áreas finalísticas quanto da área de TI. Ou seja, reforça-se a orientação de que os profissionais que vão participar da elaboração do PDTI não sejam exclusivamente servidores da área de TI. Outra recomendação é que a equipe não seja técnica, mas primordialmente negocial, com

3.1 Processo de

Planejamento de TI – Matriz

Processo de Planejamento de TI – Questão de Auditoria

Existe processo de

Planejamento de TI ?

4. Processo de

Contratação de TI

Cobit 5, MEA 03.01, Atender aos

Requisitos legais e regulatórios aplicáveis

Modelo de Contratação

de TI

LC 123/2006

Lei 8.666/1993

Lei 10.520/2002

Decreto

7.174/2010 Decisões

STJ e STF Enunciado

331 (TST) Acórdãos

TCU IN-4 e IN-2 – SLTI/MP

Decreto

BAI 03.04 Adquirir componentes da Solução: “adquirir os componentes da solução com base no plano de aquisições em conformidade com os requisitos detalhados, padrões de arquitetura, procedimentos, requisitos de controle de qualidade e normas de homologação. Assegurar que todos os requisitos legais e contratuais são identificados e seguidos pelo fornecedor.”

www.isaca.org

Cobit 5

“Na contratação de bens e serviços de TI é essencial a adoção de processo de trabalho formalizado, padronizado e judicioso quanto ao custo, à oportunidade e aos benefícios advindos para a organização. Esse processo melhora o relacionamento com os fornecedores e prestadores de serviços, maximiza a utilização dos recursos financeiros alocados à área de TI e contribui decisivamente para que os serviços de TI dêem o necessário suporte às ações da organização no alcance de seus objetivos e suas metas.”

Processo de Contratação de TI

Antecedentes da IN 04/2014 - SLTI

 Estudo desenvolvido pela Segecex/TCU

•

(http://portal2.tcu.gov.br/portal/page/portal/ticontrole/leg islacao/repositorio_contratacao_ti/ManualOnLine.html)

 Série de Acórdãos relativos ao MDIC:

•

Histórico da IN 04/2014 - SLTI

 Recomendação à Secretaria de Logística e Tecnologia da Informação – SLTI:

• item 9.4 do Acórdão 786/2006-TCU-Plenário:

“(...) a partir das diretrizes expostas na seção III do voto antecedente e nos Acórdãos deste Tribunal, sobretudo os de número 667/2005, 2.103/2005, 2.171/2005 e 2.172/2005, todos do Plenário, elabore um modelo de licitação e contratação de serviços de informática para a Administração Pública Federal e promova a implementação dele nos diversos órgãos e entidades sob sua coordenação mediante orientação normativa (...)”

 Monitoramentos no TC 006.030/2007-4

Histórico da IN 04/2014 - SLTI

 Audiência pública em abril de 2008;

 IN 04/2008 SLTI, de 19 de maio de 2008;

 Entrou em vigor em 02.01.2009;

 Acórdão 1.915/2010-Plenário: “...subsídios à evolução das normas que regem as contratações de bens e serviços de tecnologia de informação...”

 Audiência pública em agosto de 2010;

 IN 04/2010 SLTI, de 12 de novembro de 2010;

 Entrou em vigor em 02.01.2011;

 Audiência pública em maio de 2014;

 IN 04/2014 SLTI, de 11 de setembro de 2014;



 A Secretaria de Logística e Tecnologia da Informação – SLTI do Ministério do Planejamento editou as Instruções Normativas 02/2008 e 04/2008, as quais contemplaram a maior parte das recomendações do TCU quanto à implementação do modelo de contratação de soluções de TI (Acórdãos 786/2006- TCU-Plenário, item 9.4, 1480/2007-TCU-Plenário, item 9.1.2.6 e 1999/2007-TCU-Plenário, item 9.4.1.1).

 Acórdão 1.915/2010-Plenário: “9.1. considerar que a Instrução Normativa 04/2008, da Secretaria de Logística e Tecnologia da Informação - SLTI/MP,

Instruções Normativas

 A IN/SLTI 04/2014 dispõe sobre o processo de contratação de Soluções de Tecnologia da Informação pelos órgãos integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação (SISP) do Poder Executivo Federal.

 A IN/SLTI 02/2008, que substitui a IN/MARE 18/1997, dispõe sobre regras e diretrizes para a contratação de serviços, continuados ou não. Essa norma aplica-se subsidiariamente à

Instruções Normativas

Processo de Contratação de TI 2007/2014

Acórdão 3.117/2014-TCU-Plenário

Guia de Boas Práticas em

Contratação de Soluções de TI

 Importância do planejamento das contratações de soluções de TI

 Contexto do planejamento das contratações de soluções de TI

 Processo de planejamento da

contratação de soluções de TI

Guia de Boas Práticas em

Contratação de Soluções de TI

 Artefatos gerados no processo de planejamento da contratação de soluções de TI

• Estudos técnicos preliminares

• Plano de trabalho

• Termo de referência ou projeto básico

Guia de Boas Práticas em

Contratação de Soluções de TI

 Riscos e sugestões de controles internos relativos ao processo de

planejamento das contratações como um todo

 Controles internos de caráter estruturante

 Principais falhas encontradas pelo TCU

Guia de Boas Práticas em

Contratação de Soluções de TI

 Planejamento Institucional

 Planejamento de TI

 Modelo de Contratação de Soluções de TI

 Atores do MCTI

 Planejamento da Contratação

 Seleção do Fornecedor

 Gestão do Contrato

Guia de Boas Práticas em

Contratação de Soluções de TI

Fases Processos Atividades Artefatos Atores

Planejamento 4 45 7 8

Seleção 18 - 1 5

Gestão 5 21 8 5

“Art. 2º A aquisição de bens e serviços de tecnologia da informação e automação deverá ser precedida da elaboração de planejamento da contratação, incluindo projeto básico ou termo de referência contendo as especificações do objeto a ser contratado...”

Decreto nº 7.174/2010

Instrução Normativa - SLTI 04/2014

“Art. 4º As contratações de que trata esta IN deverão ser precedidas de planejamento, elaborado em harmonia com o Plano Diretor de Tecnologia da Informação - PDTI.

§ 1º O PDTI deverá estar alinhado à EGTI e ao plano estratégico institucional e aprovado pelo Comitê de Tecnologia da Informação do órgão ou entidade.”

Planejamento da Contratação

Instrução Normativa - SLTI 04/2014

“Art. 4º (...)

§ 2º Inexistindo o PDTI, o órgão ou entidade deverá proceder à sua elaboração, observando, no que couber, o Guia de Elaboração de PDTI do SISP, acessível no Portal do SISP.

§ 3º Inexistindo o plano estratégico institucional, sua ausência deverá ser registrada no PDTI e deverá ser utilizado um documento

Planejamento da Contratação

Instrução Normativa - SLTI 04/2014

“Art. 8º As contratações de Soluções de Tecnologia da Informação deverão seguir três fases:

I - Planejamento da Contratação;

II - Seleção do Fornecedor; e III - Gestão do Contrato.”

Planejamento da Contratação

Instrução Normativa - SLTI 04/2014

“Art. 9º. (...)

§ 2º É obrigatória a execução da fase de Planejamento da Contratação, independentemente do tipo de contratação, inclusive nos casos de:

I - inexigibilidade;

II - dispensa de licitação ou licitação dispensada;

III - criação e adesão à Ata de Registro de Preços; e

IV - contratações com uso de verbas de organismos internacionais, como Banco Mundial, Banco Internacional

Planejamento da Contratação

“Art. 1º As contratações de Soluções de Tecnologia da Informação pelos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação (SISP) serão disciplinadas por esta Instrução Normativa (IN).

§ 1º Esta IN não se aplica:

I - às contratações cuja estimativa de preços seja inferior ao disposto no art. 23, inciso II, alínea "a" da Lei nº 8.666, de 21 de junho de 1993;”

Aplicação da IN - SLTI 04/2014

“Art. 1º (...)

§ 1º Esta IN não se aplica:

II - às contratações dos Serviços Estratégicos de Tecnologia da Informação, que deverão observar o Plano de Capacidade, conforme disposto no inciso XIV do art. 2º desta IN, para confecção do Planejamento da Contratação nos termos da Lei, não se aplicando a estes casos os demais dispositivos desta IN, a exceção do disposto no § 2º deste artigo e do disposto no art. 4º desta IN, em que a contratada seja:

a) órgão ou entidade, nos termos do art. 24, inciso XVI da Lei nº 8.666, de 1993;

b) Empresa Pública, nos termos do art. 2º da Lei nº 5.615, de 13 de outubro de 1970, modificada pela Lei nº

Aplicação da IN - SLTI 04/2014

“Art. 1º (...)

§ 1º Esta IN não se aplica:

III - às contratações de Soluções de Tecnologia da Informação que possam comprometer a segurança nacional, em que deverá ser observado o disposto no Decreto nº 8.135, de 4 de novembro de 2013, e suas regulamentações específicas.

§ 2º O art. 4º desta IN deverá ser sempre observado, mesmo nos casos enquadrados nos parágrafos anteriores deste artigo.

§ 3º Os órgãos e entidades integrantes do SISP deverão observar, no que couber, os dispositivos introduzidos por esta IN, sendo-lhes permitida harmonização para melhor adequação à sua estrutura funcional, conforme disposto no art. 115 da Lei nº 8.666, de 1993.”

Aplicação da IN - SLTI 04/2014

Questionamentos:

 Neste caso, o que realmente significa não se aplica?

 A IN-04/2014 trouxe novidades ou simplesmente consolidou o que já existia?

 Quais são os dispositivos da IN-04/2014 que estão previstos na Constituição, na Lei ou em Decretos? E a jurisprudência?



Aplicação da IN - SLTI 04/2014

Conclusões

 Deve-se utilizar o princípio da precaução;

 Se há necessidade de “simplificar” o processo de contratação devem ser buscados outros meios;

 A contratação de empresas públicas de TI por dispensa de licitação não permite aos órgãos e entidades deixar de seguir o restante da legislação.

Aplicação da IN - SLTI 04/2014

Planejamento da Contratação

A IN-04/2014 da SLTI/MP estabelece:

“Art. 9º A fase de Planejamento da Contratação consiste nas seguintes etapas:

I - Instituição da Equipe de Planejamento da Contratação;

II - Estudo Técnico Preliminar da Contratação;

III - Análise de Riscos; e

IV - Termo de Referência ou Projeto Básico.

§ 1º Os documentos resultantes das etapas elencadas nos incisos II e III deste artigo poderão

4.1 Processo de

Contratação de TI – Matriz

Processo de Contratação de TI – Questão de Auditoria

Existe processo para

aquisição de soluções de TI ?

5. Segurança da

Informação

Segurança da Informação

NBR ISO/IEC 27002

(Código de prática de segurança da informação) Especial atenção para:

 Área com competência definida para gestão da Segurança da Informação (GSI);

 Política de Segurança da Informação (PSI);

 Norma de Classificação da Informação (NCI);

 Política de Controle de Acesso (PCA);

Segurança da Informação

Legislação e Normas

 Lei nº 12.527/2011 (Transparência e acesso a informações de interesse público);

 Decreto nº 3.505/2000 (PSI);

 Decreto nº 7.845/2012 (Classificação das Informações)

 IN-01 GSI/PR de 13.06.2008 (PSI e GSI);

 20 Notas Complementares à IN-01 GSI/PR de

2008 a 2014 e mais duas INs.

Segurança da Informação

Jurisprudência e Boas Práticas

 Acórdão nº 1.603/2008-TCU-Plenário;

 Acórdão nº 1.092/2007-TCU-Plenário

;

 Acórdão nº 2.023/2005-TCU-Plenário

;

 Acórdão nº 71/2007-TCU-Plenário (

;

 Cobit 5, APO13.02 Definir e Gerir um Plano de

Tratamento aos Riscos de Segurança da

Segurança da Informação

Acórdão 3.117/2014-TCU-Plenário

5.1 Segurança da

Informação – Matriz

Segurança da Informação – Questão de Auditoria

É realizada a Gestão da

Segurança da Informação ?

6. Conclusão

Alta Dependência de TI

Preocupações e Riscos

10.000,00 100.000,00 1.000.000,00 10.000.000,00 100.000.000,00 1.000.000.000,00 10.000.000.000,00

0,00 0,10 0,20 0,30 0,40 0,50 0,60 0,70 0,80 0,90 1,00

Orçamento de TI 2014

iGovTI-2014 x Orçamento de TI 2014

Indução Do que?

Papel do Controle

Obrigado !

André Luiz Furtado Pacheco

[email protected]