TERMO DE REFERÊNCIA CONTRATAÇÃO DE EMPRESA PARA REALIZAÇÃO DE CONSULTORIA EM AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

Transcrição

1 TERMO DE REFERÊNCIA CONTRATAÇÃO DE EMPRESA PARA REALIZAÇÃO DE CONSULTORIA EM AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

2 TERMOS DE REFERÊNCIA 1.OBJETO Contratação de Serviço de Consultoria especializada em AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO. 2.EXECUTOR Tribunal de Contas do Estado do Ceará TCE/CE. 3.CONTEXTUALIZAÇÃO O Tribunal de Contas do Estado do Ceará -TCE/CE é a instituição pública responsável pelo controle de bens e recursos públicos estaduais, promovendo a ética na gestão pública visando garantir o exercício pleno da cidadania da população cearense. Tem a competência constitucional de fiscalizar e julgar a boa e regular aplicação dos recursos públicos pelos administradores e demais responsáveis, auxiliando a Assembléia Legislativa do Estado no exercício do controle externo da Administração Pública Estadual. Com a elaboração do seu planejamento estratégico para o período 2004/2009, o TCE/CE deu um grande passo para a construção de um tribunal moderno, ágil e mais próximo da sociedade, consolidando seu papel constitucional baseado na transparência e na ética. O combate e prevenção à ilegalidade, à corrupção, ao descaso, ao desperdício, a falhas não intencionais e ao uso impessoal da máquina estatal são objetos do controle exercido pelo TCE/CE. As atividades de controle externo, no âmbito do TCE/CE, são exercidas pela Secretaria de Controle Externo e pelas Inspetorias de Controle Externo, órgãos técnicos que efetuam a análise e instrução preliminar dos processos, podendo, por delegação de competência, promover a audiência dos responsáveis, bem como outras diligências saneadoras, desde que não envolva o mérito. Servidores especializados em fiscalização orçamentária, financeira, patrimonial e operacional compõem o corpo técnico do TCE/CE. Em agosto de 2008 (Resolução Administrativa do TCE Nº 005/2008) foi criada a orientação de Auditoria de Tecnologia da Informação (TI) para a especialidade Auditoria, Fiscalização e Avaliação da Gestão Pública, na Área Controle Externo do cargo de

3 Analista de Controle Externo. Através da Resolução Administrativa do TCE Nº 001/2009 de fevereiro de 2009 foi criada no âmbito da Secretaria de Controle Externo a Comissão Especial de Auditoria de Tecnologia da Informação, com a finalidade de fiscalizar a gestão e o uso de recursos da Tecnologia da Informação pela Administração Pública Estadual. Após realização de concurso público tomaram posse em junho de 2009 os novos analistas de controle externo de auditoria de TI, sendo os mesmos indicados para constituir a Comissão Especial de auditoria de TI, conforme Ato da Presidência Nº 18/2009, publicado em 08 de julho de 2009 no Diário Oficial do Estado. Compete à Comissão Especial de Auditoria de Tecnologia da Informação: I a fiscalização, levantamento, acompanhamento, avaliação, inspeção e auditoria na gestão e no uso de recursos da Tecnologia da Informação pela Administração Pública Estadual; II a representação de irregularidades ou ilegalidades relativas à gestão e ao uso de recursos da Tecnologia da Informação pela Administração Pública Estadual; III a instrução de processos referentes aos procedimentos mencionados no item I; IV a realização de pesquisas e o desenvolvimento de técnicas, métodos e padrões para orientar a fiscalização de que tratam o item I; V o desenvolvimento de rotinas, procedimentos, normas, manuais e ações relativos a projetos de TI financiados com recursos estaduais, bem como as que visem ao aperfeiçoamento das atividades decorrentes de suas competências; VI analisar e emitir laudos técnicos nos processos relativos à área de TI encaminhados pelos Gabinetes de Conselheiros, Órgãos Especiais ou pela Secretaria de Controle Externo do TCE/CE; VII emitir parecer técnico, quando solicitado, para subsidiar o processo de contratação de bens e serviços de TI no âmbito do TCE/CE; VIII planejar, coordenar e executar auditoria de ambiente e sistemas computacionais do TCE/CE em conjunto com a controladoria.

4 4. JUSTIFICATIVA A necessidade de se implantar uma área de auditoria de TI no TCE/CE deveu-se basicamente a três motivos principais: a importância estratégica da TI dentro das organizações governamentais, considerando a relevância da informação para a gestão pública e o processo de tomada de decisão; a complexidade da TI, devido ao seu alto grau de tecnicidade e dinamicidade de atualização; e os valores financeiros gastos com aquisições de bens e serviços de TI, que são significativos dentro dos orçamentos públicos de investimento e custeio. A TI é estratégica para as organizações pois é através de sua utilização que são criadas, gerenciadas e recuperadas as informações utilizadas nas atividades diárias e no planejamento de ações futuras. Como informação é um fator cada vez mais estratégico para uma correta tomada de decisão, portanto a TI deve ser tratada com esse enfoque. Hoje em dia, é praticamente impossível pensar em dados e informações que não estejam armazenados em documentos digitais e bancos de dados, e sejam manipulados através de programas e sistemas computadorizados. A área de TI, devido a sua tecnicidade elevada, torna-se relativamente complexa para os procedimentos de auditoria administrativos, contábeis e financeiros tradicionais. De forma geral, um auditor governamental padrão não possui o nível de especialização necessário para auditar essa área. Nesse sentido, para um bom resultado dos trabalhos de controle externo nessa área, os auditores precisam ser especializados, visando a atender às competências necessárias ao desempenho das funções, através de um processo permanente de capacitação. Os valores gastos pela Administração Pública Estadual com TI são significativos dentro do conjunto das despesas públicas. Aquisições de tecnologia podem algumas vezes requerer recursos financeiros elevados, quando proporcionam alto valor agregado às atividades do governo. Para que efetivamente proporcione estes benefícios, a TI precisa ser bem empregada, tendo seu uso otimizado ao máximo, evitando desperdício ou sub-utilização dos recursos disponíveis. Aquisições de TI podem às vezes suscitar uma avaliação subjetiva e de mensuração não trivial. A própria avaliação dos resultados de projetos também não é

5 trivial, pois muitos dos resultados obtidos com o uso da tecnologia são intangíveis, sendo, portanto, de difícil mensuração. De uma forma geral, a melhoria da qualidade de um serviço e agilização de um determinado processo são exemplos de resultados intangíveis que podem ter sido alcançados com a implantação de um novo sistema de informação, por parte de um órgão público. No entanto, mesmo nesses casos, há técnicas para a avaliação dos resultados e até mesmo cálculo do retorno dos investimentos realizados. A área de auditoria de TI do TCE-CE deve não apenas fiscalizar se o processo de aquisição foi feito de forma regular, seguindo os princípios da administração pública (legalidade, impessoalidade, moralidade, publicidade, eficiência, economicidade, etc), mas sim também avaliar se aquela ação teve retorno para o governo e se gerou resultados efetivos para a população. Para a realização destes trabalhos especializados de auditoria de TI, se faz necessário a preparação do atual quadro de analistas de controle externo do TCE na área de auditoria de Tecnologia da Informação, bem como dos demais membros da Comissão Especial de Auditoria de TI, para a obtenção das competências e habilidades pertinentes, de acordo com a International Organization of Supreme Audit Institutions (INTOSAI), nas seguintes áreas: planejamento de auditoria de TI; avaliação de controles em sistemas de TI; técnicas de auditoria assistidas por computador (Computer-Assisted Audit Techniques CAAT); auditoria em desenvolvimento ou aquisição de sistemas de TI; auditoria operacional em sistemas e atividades de TI; revisão e elaboração de relatórios em auditorias de TI; pesquisa, capacitação e assessoria. De acordo com o Tribunal de Contas da União (TCU), foram identificadas as seguintes competências como necessárias aos auditores no âmbito governamental especificamente na área de auditoria de TI: análise e instrução de processos; auditoria de conformidade; auditoria de natureza operacional; análise de contratações em TI;

6 análise sobre a utilização da Tecnologia da Informação; análise de bases de dados; análise de riscos de TI; gestão do conhecimento; gestão de projetos. Além da demanda por capacitação que irá satisfazer parte das competências citadas acima, é necessário que sejam desenvolvidos planos, programas, métodos e técnicas a serem utilizados pela Comissão de Auditoria de TI na execução de seus trabalhos. 5. OBJETIVO O presente Termo de Referência tem como objetivo realizar a contratação de serviço especializado de consultoria em auditoria de Tecnologia da Informação, contemplado os seguintes serviços: 5.1 Realização de capacitações em auditoria e governança de Tecnologia da Informação, contemplando treinamento aprofundado nas normas, padrões e melhores práticas pertinentes a estas áreas; 5.2 Desenvolvimento de planos, métodos e técnicas de auditoria de TI para serem utilizados pela Comissão Especial de Auditoria de TI do TCE/CE na execução de seus trabalhos de fiscalização. 6 DESCRIÇÃO DAS ATIVIDADES E PRODUTOS DOS SERVIÇOS DA CONSULTORIA 6.1 Atividades e produtos da consultoria especializada em auditoria de Tecnologia da Informação Atividade (I) Realização de capacitações em auditoria e governança de Tecnologia da Informação, contemplando treinamento aprofundado nas normas, padrões e melhores práticas pertinentes a estas áreas, com carga horária total mínima de 72 horas. Deverão contemplar até 7 Produtos Curso de Formação de Auditores Líderes em Sistema de Gestão de Segurança da Informação ISO/IEC 27001:2005, realizado com carga horária mínima de 40 horas; Curso preparatório para obtenção da Certificação COBIT Foundation, última versão

7 participantes indicados pelo TCE; do framework, realizado com carga horária mínima de 16 horas; Curso sobre Contratação/Aquisição de Bens e Serviços de TI no setor público, realizado com carga horária mínima de 16 horas. (II) Desenvolvimento de planos, métodos e técnicas de auditoria de TI para serem utilizados pela Comissão Especial de Auditoria de TI do TCE/CE na execução de seus trabalhos de fiscalização, baseados nas melhores práticas internacionais para esta área e em metodologias e práticas adotadas pelo TCU Plano Estratégico de Auditoria de TI; Métodos e técnicas de Auditoria de TI; Métodos e técnicas de Auditoria de Sistemas de Informação; Métodos e técnicas de Auditoria de Aquisições de TI; Métodos e técnicas de Avaliação de Programas de TI; Métodos e técnicas de Auditoria de Segurança da Informação. Quadro 1. Atividades e produtos da consultoria especializada em auditoria de Tecnologia da Informação 6.2 Detalhamento das atividades dos serviços da consultoria ATIVIDADE I: Realização de capacitações em auditoria e governança de Tecnologia da Informação, contemplando treinamento aprofundado nas normas, padrões e melhores práticas pertinentes a estas áreas. Esta atividade consiste na realização de treinamentos que deverão abordar temas relacionados à área de auditoria de Tecnologia da Informação, de forma que a capacitação permita aos participantes desenvolver os trabalhos de auditoria com conhecimentos aprofundados sobre os temas. Os treinamentos deverão ser estruturados em 3 (três) módulos, totalizando uma carga horária mínima de 72 horas, sendo realizados em semanas alternadas no período da manhã ou da tarde, conforme cronograma a ser aprovado pelo TCE/CE e contemplando o seguinte conteúdo:

8 Módulo 1 - Curso de Formação de Auditores Líderes em Sistema de Gestão de Segurança da Informação ISO/IEC 27001:2005; Módulo 2 - Curso preparatório para obtenção da Certificação COBIT Foundation, última versão do framework; Módulo 3 - Curso sobre Contratação/Aquisição de Bens e Serviços de TI no setor público. Em pelo menos um dos cursos acima especificados deverá ser abordado o tema Gestão de Riscos, em nível aprofundado. A consultoria deverá produzir as apostilas dos cursos e se responsabilizar por todos os direitos autorais do material utilizado nos cursos. A consultoria deverá fornecer as apostilas dos cursos impressas em papel, bem como DVD contendo cópia das apostilas, transparências, trabalhos, modelos, documentos e artigos. A consultoria também deverá fornecer certificados para cada participante. Os produtos a serem entregues nesta atividade encontram-se listados no Quadro 1 acima ATIVIDADE II: Desenvolvimento de planos, métodos e técnicas de auditoria de TI para serem utilizados pela Comissão Especial de Auditoria de TI do TCE/CE na execução de seus trabalhos de fiscalização. Esta atividade contempla o desenvolvimento de planos, métodos e técnicas de auditoria a serem incorporados dentro do conjunto de metodologias e processos de fiscalização utilizados pela Comissão de Auditoria de TI. Os produtos desenvolvidos pela consultoria servirão de referência para a confecção dos planos, métodos e técnicas oficiais de auditoria de TI do TCE/CE. A expectativa é que estas auditorias passem a ser realizadas utilizando procedimentos formais de fiscalização, baseados nas melhores práticas internacionais para esta área e em metodologias e práticas adotadas pelo TCU. Os produtos produzidos pela consultoria também deverão estar em conformidade com os Critérios de Auditoria de TI especificados no Anexo I do presente Termo de Referência. Deverão ser elaborados e fornecidos os seguintes produtos:

9 Plano Estratégico de Auditoria de TI; Métodos e técnicas de Auditoria de TI; Métodos e técnicas de Auditoria de Sistemas de Informação; Métodos e técnicas de Auditoria de Aquisições de TI; Métodos e técnicas de Avaliação de Programas de TI; Métodos e técnicas de Auditoria de Segurança da Informação. Os trabalhos deverão seguir a metodologia abaixo: Reunião inicial para apresentação do plano de trabalho e da equipe de consultores, e alinhamento das necessidades por parte do (TCE/CE); Análise do levantamento realizado pelo TCE/CE sobre a Governança de TI dos Jurisdicionados; Desenvolvimento das tarefas previstas no Plano de Trabalho; Apresentação dos produtos e discussão; Fornecimento final dos entregáveis (produtos) após ajustes necessários. Todos os documentos produzidos por esta atividade deverão ser apresentados impressos em papel A4 (4 vias), com fonte Arial, tamanho 12 e em formato digital em DVD (10 cópias). Os produtos a serem entregues nesta atividade encontram-se listados no Quadro 1 acima. 7 PÚBLICO ALVO Atual quadro de analistas de controle externo do TCE/CE na área de auditoria de tecnologia da informação; Membros da Comissão Especial de Auditoria de TI; 8 QUALIFICAÇÕES TÉCNICAS PARA OS SERVIÇOS DE CONSULTORIA As documentações a serem apresentadas pela LICITANTE para ser habilitada

10 tecnicamente são as seguintes: 8.1 Declaração de composição da equipe técnica a ser alocada nos serviços, possuindo profissionais com os perfis e quantitativos mínimos abaixo, com a apresentação dos respectivos Curriculum Vitae, com a indicação do responsável técnico (coordenador); Composição da equipe de consultores com no mínimo: (Um) profissional certificado em ITIL Service Manager V2 ou ITIL Expert V3 ou ITIL Master V3, expedido pelo EXIN (Examination Institute for Information Science); (Um) profissional certificado em Cobit Foundation 4.0 ou 4.1, expedido pela ISACA (Information Systems Audit and Control Association); (Um) profissional certificado em Certified Information Systems Auditor (CISA) expedido pela ISACA (Information Systems Audit and Control Association); (Um) profissional certificado em CISSP (Certified Information Systems Security Professional) expedido pelo International Information Systems Security Certification Consortium, ou (ISC)²; (Um) profissional certificado em PMP (Project Management Professional) expedido pelo PMI (Project Management Institute); (Um) profissional com certificação de Auditor Líder em Sistema de Gestão de Segurança da Informação. 8.2 Atestado(s) emitido(s) por pessoa jurídica de direito público ou privado que comprove(m) que a LICITANTE já executou serviços de consultoria especializada, similar ao objeto deste Edital, em organizações públicas ou privadas; 8.3 Certificados técnicos dos membros da equipe de consultores, conforme indicado no sub-item 8.1.1; 9 INSUMOS Para a realização das atividades descritas neste Termo de Referência, realizadas no TCE/CE, estarão disponíveis à equipe de consultores da CONTRATADA os seguintes itens: material de consumo, acesso à Internet, equipamentos de informática e posto (mesa/cadeira) de trabalho. Serão colocados à disposição do trabalho da equipe de consultores os processos, documentos, dados e informações necessárias para a execução das atividades

11 propostas. 10 FORMAS DE PAGAMENTO O pagamento dos serviços se dará em 4 (quatro) parcelas de acordo com o termo de aceite de cada atividade, e o percentual de desembolso apresentado na tabela a seguir. Parcela Atividade Percentual 01 Curso de Formação de Auditores Líderes em Sistema de Gestão de Segurança da Informação ISO/IEC 27001: Curso preparatório para certificação COBIT Foundation Curso sobre Contratação/Aquisição de Bens e Serviços de TI Desenvolver Métodos e Técnicas de Auditoria de TI A LICITANTE deverá incluir, em sua proposta financeira, todos os custos relativos aos recursos materiais e humanos necessários à execução dos trabalhos objetos do contrato, bem como também, despesas com transportes, mobilização, hospedagem, alimentação, taxas e encargos, relativas à realização dos serviços contratados correspondendo ao valor total a ser pago pelo desenvolvimento de todas as atividades previstas neste Termo de Referência. Caberá à CONTRATADA a responsabilidade sobre o recolhimento de todos os impostos devidos. 11 PRAZO DE EXECUÇÃO DOS SERVIÇOS O trabalho deverá ser executado no prazo máximo de 5 (cinco) meses a partir da data de emissão da ordem de serviço para o contrato. Segue o cronograma das atividades sugerido, podendo ser adequado pela empresa e submetido a aprovação do TCE. ATIVIDADES/PERIODO Assinatura do Contrato e Início do Trabalhos 2 Curso de Formação de Auditores Líderes em ISO/IEC 27001:2005

12 3 Curso preparatório para certificação COBIT Foundation 4 Curso Contratação/Aquisição de Bens e Serviços de TI 5 Desenvolver Métodos e Técnicas de Auditoria de TI. 12 SUPERVISÃO DAS ATIVIDADES E APROVAÇÃO TÉCNICA DOS PRODUTOS Após a assinatura do contrato, a CONTRATADA deverá elaborar uma apresentação da metodologia, equipe de trabalho e do cronograma de atividades para a validação do TCE/CE. Após a análise, realização de ajustes, se necessário, e aprovação pela equipe do TCE/CE, será emitida a ordem de serviço; Todas as informações geradas em decorrência das atividades contratadas serão incorporadas ao acervo da TCE/CE e sua utilização por terceiros não poderá ser feita sem a sua expressa autorização; A empresa deverá indicar um Consultor Responsável do projeto, para servir de interlocutor com o TCE/CE; O Consultor Responsável (Coordenador) pela CONTRATADA deverá manter o Coordenador do Projeto pelo TCE/CE informado sobre as atividades realizadas e programadas durante todo o período de execução do contrato. Os produtos elaborados pela CONTRATADA serão acompanhados, supervisionados e aprovados pela Coordenação da Comissão Especial de Auditoria de Tecnologia da Informação, vinculada à Secretaria de Controle Externo do TCE/CE. 13 LOCAL DE EXECUÇÃO DOS SERVIÇOS Os serviços serão executados na sede do Tribunal de Contas do Estado do Ceará (TCE/CE), situado à rua Sena Madureira, 1047, Bairro Centro, em Fortaleza-CE CEP: , e/ou nas instalações da CONTRATADA.

13 Anexo I Critérios de Auditoria de TI Governança de TI COBIT Modelo de referência para governança de TI Recomendações para uso em normas de gestão de riscos COSO Estrutura de gerenciamento de riscos Certificação da conformidade dos controles de TI com a SOX BSC Sistema de gestão estratégica de empresas Estrutura para gerenciamento de investimentos em TI Diretrizes para organização de serviços Modelo de gestão de terceirização de TI Governança corporativa de tecnologia da informação PMBOK Conjunto de boas práticas em gerência de projetos ITIL Information Technology Infrastructure Library Segurança da Informação Modelo de gestão da segurança da informação Código de boas práticas para gestão da segurança da informação Diretrizes para gestão da segurança em TI Avaliação de requerimentos de segurança Código de boas práticas para gestão da continuidade do negócio Gestão de riscos de segurança da informação Engenharia de Software Modelo de melhoria e avaliação de processo de software Processo de ciclo de vida de software CMMI Modelo de maturidade da capacitação para software Integrado E-ping Conjunto de especificações técnicas para interoperabilidade de serviços de governo eletrônico Qualidade do produto de software Auditoria de TI SAC Modelo para gerenciamento de riscos de TI complementar ao Cobit

14