Auditoria de TI: 4 questões a serem respondidas

Transcrição

1 Auditoria de TI: 4 questões a serem respondidas André Luiz Furtado Pacheco, CISA 41º FonaiTec João Pessoa, 26 e 27 de novembro de 2014

2 Agenda 1. Introdução 2. Estrutura de Governança de TI 3. Processo de Planejamento de TI 4. Processo de Contratação de TI 5. Segurança da Informação 6. Conclusão 2

3 3 1. Introdução

4 Matriz de Planejamento Instrumento para organizar as informações relevantes do planejamento de uma auditoria Homogeneização do entendimento da equipe, e demais envolvidos, quanto: ao objetivo do trabalho; aos passos a serem seguidos; à estratégia metodológica a ser adotada. Orienta os integrantes da equipe nas fases de execução e de elaboração do relatório 4

5 Matriz de Planejamento Objetivo: Enunciar de forma clara e resumida o aspecto a ser enfocado pela auditoria, de acordo com o levantamento de auditoria previamente realizado. Questões de Auditoria Informações Requeridas Fontes de Informação Detalhamento do Procedimento Objetos Membro Responsável Período Possíveis Achados Apresentar, em forma de perguntas, os diferentes aspectos que compõem o escopo da fiscalização e que devem ser investigados com vistas à satisfação do objetivo Identificar as informações necessárias para responder a questão de auditoria Identificar as fontes de cada item de informação requerida da coluna anterior. Estas fontes estão relacionadas com as técnicas empregadas Descrever as tarefas que serão realizadas, de forma clara, esclarecendo os aspectos a serem abordados (itens de verificação ou check list) Indicar o documento, o projeto, o programa, o processo, ou o sistema no qual o procedimento será aplicado. Exemplos: contrato, folha de pagamento, base de dados, ata, edital, ficha financeira, processo licitatório, orçamento Pessoa(s) da equipe encarregada(s) da execução de cada procedimento Dia(s) em que o procedimento será executado Esclarecer com precisão que conclusões ou resultados podem ser alcançados 5

6 Elaboração da Matriz de Planejamento elaborar o objetivo da auditoria, após o diagnóstico da situação, e determinar a linha de investigação, mediante a formulação das questões de auditoria determinar, para cada questão de auditoria, possíveis achados, ou seja, onde se deseja chegar com a investigação identificar as informações requeridas e onde as obter (fontes de informação) 6

7 Elaboração da Matriz de Planejamento elaborar os procedimentos, e descrevê-los passo a passo, para colher as informações, analisá-las e obter as evidências com objetivo de responder as questões de auditoria identificar o membro da equipe responsável pelo procedimento especificar o período de realização do procedimento (cronograma) identificar os objetos que foram analisados (*) (*) coluna a ser preenchida na fase de execução da auditoria 7

8 Questões de Auditoria 1. Estruturas de Governança Cobit 5 (EDM e APO) 2. Processo de Planejamento de TI Cobit 5 (APO) 3. Processo de Aquisição Cobit 5 (BAI) 4. Segurança da Informação Cobit 5 (APO e DSS) e ISO

9 2. Estrutura de Governança 9

10 Governança de TI Definição Governança de TI é uma estrutura de relacionamentos e processos para dirigir e controlar a TI a fim de alcançar as metas da instituição pela agregação de valor, enquanto se mantém o equilíbrio dos riscos versus retorno sobre esta função e seus processos. (ITGI IT Governance Institute) O Sistema pelo qual o uso atual e futuro da TI é dirigido e controlado. (NBR ISO/IEC 38500, item 1.6.3) 10

11 Governança de TI Objetivos assegurar que as ações de TI estejam alinhadas com o negócio da organização, agregando-lhe valor; medir o desempenho da área de TI, alocar propriamente os recursos e mitigar os riscos inerentes; controlar as iniciativas de TI na organização para garantir o retorno de investimentos e a adoção de melhorias nos processos organizacionais 11

12 Governança de TI Cobit 5 Fonte: 12

13 Governança de TI Cobit 5 13 Fonte: COBIT 5, figure ISACA All rights reserved.

14 Levantamentos de Governança de TI Levantamento de Governança de TI Ciclo questões 255 órgãos/entidades da APF Acórdão nº 1.603/2008 TCU Plenário Levantamento de Governança de TI Ciclo questões 152 itens 301 órgãos/entidades da APF igovti Acórdão nº 2.308/2010-TCU-Plenário Levantamento de Governança de TI Ciclo questões 494 itens 350 órgãos/entidades da APF Acórdão nº 2.585/2012-TCU-Plenário 14

15 Levantamento de Governança de TI Ciclo órgãos/entidades da APF Escala de respostas (Não se aplica, Não adota, Iniciou plano para adotá-la, Adota parcialmente, Adota integralmente) Acórdão nº 3.117/2014-TCU-Plenário 15

16 igovti 2014 Distribuição das Organizações por Estágio do igovti Acórdão 3.117/2014-TCU-Plenário 16

17 Evolução do igovti Distribuição das Organizações por Estágio do igovti Acórdão 3.117/2014-TCU-Plenário 17

18 Comitê Executivo de TI A existência de um comitê diretivo de TI (IT Steering Committee), que determine as prioridades de investimento e alocação de recursos nos diversos projetos e ações de TI, é de fundamental importância para o alinhamento entre as atividades de TI e o negócio da organização, bem como para a otimização dos recursos disponíveis e a redução do desperdício. O fato desse comitê ser composto por dirigentes de TI e de outras áreas da organização possibilita que as decisões de investimentos sejam obtidas a partir de uma visão mais abrangente, o que reduz os riscos de erro (Acórdão 1.603/2008-TCU-Plenário). 18

19 Comitê Executivo de TI Acórdão 1233/2012-TCU-Plenário 9.2. recomendar, (...), à Secretaria de Logística e Tecnologia da Informação (SLTI/MP) que: normatize a obrigatoriedade de que os entes sob sua jurisdição estabeleçam comitês de TI, observando as boas práticas sobre o tema, a exemplo do Cobit 4.1, PO4.2 comitê estratégico de TI e PO4.3 comitê diretor de TI; 19

20 Comitê Executivo de TI Instrução Normativa - SLTI 04/2014 Art. 4º As contratações de que trata esta IN deverão ser precedidas de planejamento, elaborado em harmonia com o Plano Diretor de Tecnologia da Informação - PDTI. (...) 7º Inexistindo o Comitê de Tecnologia da Informação, o órgão ou entidade deverá instituílo e dar-lhe pleno funcionamento, observando, no que couber, o Guia de Comitê de Tecnologia da Informação do SISP, acessível no Portal do SISP. 20

21 Comitê Executivo de TI Cobit 5, processo APO01 Gerenciar a Estrutura de Gestão de TI, boa prática APO01.01 Definir a Estrutura Organizacional, atividade 8: 8. Estabelecer um comitê executivo de TI (ou equivalente), composto pelas diretorias executiva, de negócios e de TI para: determinar prioridades dos programas de investimentos em TI em linha com as estratégias e prioridades do negócio; monitorar o estado atual dos projetos e resolver conflitos de recursos; e monitorar níveis de serviço e suas melhorias. 21

22 Comitê Executivo de TI Acórdão 3.117/2014-TCU-Plenário 22

23 2.1 Estrutura de Governança Matriz 23

24 Governança de TI Questão de Auditoria Os mecanismos e estruturas de Governança de TI foram definidos e implementados adequadamente no âmbito da instituição? 24

25 3. Processo de Planejamento de TI 25

26 Conceito de Planejamento O planejamento é uma ferramenta administrativa que possibilita perceber a realidade, avaliar os caminhos, construir um referencial futuro, estruturando o trâmite adequado, e reavaliar todo o processo a que o planejamento se destina. (...) o lado racional da ação. Trata-se de um processo de deliberação abstrato e explícito que escolhe e organiza ações, antecipando os resultados esperados. (Wikipédia) 26

27 Planejamento A elaboração de Planejamento pelo gestor público seria apenas uma faculdade? 27

28 Planejamento Não, o Planejamento é obrigatório. Planejar é dever do gestor público. 28

29 O Dever de Planejar O Planejamento é dever político do administrador público. O gestor público tem o dever manejar os recursos públicos da forma mais eficaz e eficiente possível, de modo a gerar o maior benefício possível à sociedade; Esse dever só pode ser cumprido com planejamento efetivo do quê, para quê e como fazer com os recursos públicos disponíveis. 29

30 O Dever de Planejar Planejar é também dever jurídico: Quem não planeja incorre em inobservância jurídica do disposto no caput do art. 37 da CF/1988, pois age contra o princípio da eficiência: Art. 37. A administração pública direta e indireta de qualquer dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios obedecerá aos princípios de legalidade, impessoalidade, moralidade, publicidade e eficiência e, (...) 30

31 O Dever de Planejar Planejar é também dever jurídico: Quem não planeja também incorre em inobservância jurídica do disposto no artigo 6º, inciso I do Decreto-Lei 200/1967, e ofende, portanto, o princípio da legalidade: Art. 6º As atividades da Administração Federal obedecerão aos seguintes princípios fundamentais: I - Planejamento. (...) 31

32 Acórdão 669/2008-TCU-Plenário 9.1. recomendar (...) que: em atenção ao princípio constitucional da eficiência e às disposições contidas no art. 6º, I, do Decreto-Lei nº 200/1967, aperfeiçoe o processo de planejamento institucional no Ministério, de forma a organizar estratégias, ações, prazos e recursos financeiros, humanos e materiais, a fim de minimizar a possibilidade de desperdício de recursos públicos e de prejuízo ao cumprimento dos objetivos institucionais do órgão, observando as práticas contidas no critério 2 - Estratégias e Planos do Gespública (Programa Nacional de Gestão Pública e Desburocratização); 32 O Dever de Planejar

33 Níveis de Planejamento Fonte: Guia para Elaboração de PDTI do SISP 33

34 34 Níveis de Planejamento Segundo o Guia para Elaboração de PDTI do SISP: As organizações adotam usualmente três níveis de planejamento, conforme a hierarquia: Planejamento Estratégico: o nível estratégico compreende a alta administração da organização, responsável pela definição dos objetivos e planos da instituição e pela tomada de decisões relativas às questões de longo prazo, tais como sobrevivência, crescimento e efetividade geral. É o processo administrativo que proporciona sustentação para se estabelecer a melhor direção a ser seguida pela organização.

35 Níveis de Planejamento Planejamento Tático: o planejamento, no nível tático, traduz os objetivos gerais e as estratégias da alta administração em objetivos e atividades mais específicos. O principal desafio nesse nível e promover um contato eficiente e eficaz entre o nível estratégico e o nível operacional. Portanto, trabalha com decomposição dos objetivos, estratégias e políticas estabelecidas no planejamento estratégico. 35

36 Níveis de Planejamento Planejamento Operacional: nesse planejamento, o processo é de menor amplitude, no qual o foco é trabalhar junto aos funcionários envolvidos nas operações da organização, implementando os planos específicos definidos no planejamento tático. Pode ser considerado como a formalização, principalmente através de documentos escritos, das metodologias de desenvolvimento e implantação estabelecidas. Portanto, nessa situação tem-se, basicamente, os planos de ação ou planos operacionais, os quais descrevem em detalhes os recursos necessários para seu desenvolvimento e implantação, os procedimentos básicos a serem adotados; os resultados finais esperados; os prazos estabelecidos; os responsáveis por sua execução e implantação, etc. 36

37 Acórdão 1.603/2008-Plenário 9.4. recomendar ao Ministério do Planejamento, Orçamento e Gestão MPOG que, nos órgãos/entidades da Administração Pública Federal: promovam ações com o objetivo de disseminar a importância do planejamento estratégico, procedendo, inclusive mediante orientação normativa, ações voltadas à implantação e/ou aperfeiçoamento de planejamento estratégico institucional, planejamento estratégico de TI e comitê diretivo de TI, com vistas a propiciar a alocação dos recursos públicos conforme as necessidades e prioridades da organização; 37

38 Planejamento Estratégico Institucional Acórdão 1233/2012-TCU-Plenário 9.1. recomendar, (...), à Câmara de Políticas de Gestão, Desempenho e Competitividade (CGDC) do Conselho de Governo que: em atenção Decreto-Lei 200/1967, art. 6º, inciso I, e art. 7º, normatize a obrigatoriedade de que todos os entes sob sua jurisdição estabeleçam processo de planejamento estratégico institucional, observando as boas práticas sobre o tema, a exemplo do critério de avaliação 2 do Gespública, contemplando, pelo menos (subitem II.1): 38

39 Planejamento Estratégico Institucional Acórdão 1233/2012-TCU-Plenário elaboração, com participação de representantes dos diversos setores da organização, de um documento que materialize o plano estratégico institucional de longo prazo, contemplando, pelo menos, objetivos, indicadores e metas para a organização; aprovação, pela mais alta autoridade da organização, do plano estratégico institucional; desdobramento do plano estratégico pelas unidades executoras; 39

40 Planejamento Estratégico Institucional Acórdão 1233/2012-TCU-Plenário divulgação do plano estratégico institucional para conhecimento dos cidadãos brasileiros, exceto nos aspectos formalmente declarados sigilosos ou restritos; acompanhamento periódico do alcance das metas estabelecidas, para correção de desvios; divulgação interna e externa do alcance das metas, ou dos motivos de não as ter alcançado; 40

41 Planejamento Estratégico Institucional Acórdão 1233/2012-TCU-Plenário em atenção ao Decreto-Lei 200/1967, art. 6º, V, estabeleça, normativamente para todos os entes sob sua jurisdição, a obrigatoriedade de a alta administração implantar uma estrutura de controles internos, mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades no processo de planejamento estratégico institucional (subitem II.11); 41

42 Planejamento Estratégico Institucional Acórdão 3.117/2014-TCU-Plenário 42

43 Planejamento Estratégico de TI Acórdão 1233/2012-TCU-Plenário em atenção Decreto-Lei 200/1967, art. 6º, inciso I, e art. 7º, normatize a obrigatoriedade de que todos os entes sob sua jurisdição estabeleçam processo de planejamento estratégico de TI, observando as boas práticas sobre o tema, a exemplo do processo PO1 Planejamento Estratégico de TI do Cobit 4.1, contemplando, pelo menos (subitem II.2): 43

44 Planejamento Estratégico de TI Acórdão 1233/2012-TCU-Plenário elaboração, com participação de representantes dos diversos setores da organização, de um documento que materialize o plano estratégico de TI, contemplando, pelo menos: objetivos, indicadores e metas para a TI organizacional, sendo que os objetivos devem estar explicitamente alinhados aos objetivos de negócio constantes do plano estratégico institucional; alocação de recursos (financeiros, humanos, materiais etc); estratégia de terceirização; 44

45 Planejamento Estratégico de TI Acórdão 1233/2012-TCU-Plenário aprovação, pela mais alta autoridade da organização, do plano estratégico de TI; desdobramento do plano estratégico de TI pelas unidades executoras; divulgação do plano estratégico de TI para conhecimento dos cidadãos brasileiros, exceto nos aspectos formalmente declarados sigilosos ou restritos; acompanhamento periódico do alcance das metas estabelecidas, para correção de desvios; divulgação interna e externa do alcance das metas, ou os motivos de não as ter alcançado; 45

46 Planejamento Estratégico de TI Definir missão Objetivos, indicadores, metas da TI Alinhamento com o negócio Iniciativas, estratégias Estratégia de terceirização Desdobramento Divulgação Alocação de recursos (financeiros, humanos, materiais) Acompanhamento periódico 46

47 Planejamento Estratégico de TI (PETI) Acórdão 3.117/2014-TCU-Plenário 47

48 Planejamento Estratégico de TI Estratégico Estratégia de PEI Negócio Estratégia Estratégia Estratégia PETI de TI de RH de... Tático Planejamento Planejamento Planejamento PDTI Tático de TI Tático de RH Tático de... Operacional P l a n o s de A ç ã o Fonte: Guia de Elaboração de PDTI do SISP 48

49 Plano Diretor de TI PDTI A IN-4/2014 da SLTI/MP define no art. 2º: XXVII Plano Diretor de Tecnologia da Informação (PDTI): instrumento de diagnóstico, planejamento e gestão dos recursos e processos de Tecnologia da Informação que visa atender às necessidades tecnológicas e de informação de um órgão ou entidade para um determinado período. 49

50 Plano Diretor de TI PDTI Fases do Processo de Elaboração do PDTI: Preparação Diagnóstico Planejamento Fonte: Guia de Elaboração de PDTI do SISP 50

51 Plano Diretor de TI PDTI Atores Autoridade Máxima, o membro da alta administração no nível hierárquico mais alto da organização. Nos ministérios, são os Ministros. Nas autarquias e fundações, correspondem aos Presidentes. A autoridade máxima é o principal patrocinador do projeto de elaboração de PDTI. Nesse papel, ele deverá prover recursos, aprovar o Plano de Trabalho, tomar as decisões mais importantes, definir premissas e diretrizes gerais, aprovar e publicar o PDTI, formalizando-o. O papel do patrocinador é crucial no projeto, e pode fazer toda a diferença em seu sucesso ou fracasso. 51

52 52 Plano Diretor de TI PDTI Atores Comitê de TI, um mecanismo importante de Governança de TI, recomendado por modelos de mercado e indicado na EGTI O Comitê é formado por representantes das áreas finalísticas e da TI e tem a função e o poder de priorizar as ações e dirigir o alinhamento dessas e dos investimentos com os objetivos estratégicos da organização, além de monitorar os resultados do desempenho da TI. Sobre o Comitê de TI, o SISP disponibiliza o Guia para criação e funcionamento do Comitê de TI, o qual visa orientar a instituição do Comitê e seu pleno funcionamento nos órgãos integrantes do SISP, além de esclarecer responsabilidades e funções.

53 Plano Diretor de TI PDTI Atores Equipe de Elaboração do PDTI. Responsável por executar boa parte da elaboração do PDTI, ou seja, é o grupo que realmente efetua as atividades. Recomenda-se que a elaboração do PDTI seja trabalhada como um projeto. É a equipe de elaboração do PDTI quem operacionaliza o projeto de elaboração do PDTI. Os membros da equipe são designados pelo Comitê de TI, que deve indicar servidores tanto das áreas finalísticas quanto da área de TI. Ou seja, reforça-se a orientação de que os profissionais que vão participar da elaboração do PDTI não sejam exclusivamente servidores da área de TI. Outra recomendação é que a equipe não seja técnica, mas primordialmente negocial, com conhecimento multidisciplinar, perfil colaborativo e integrador, domínio da cultura organizacional e do negócio da sua área. 53

54 3.1 Processo de Planejamento de TI Matriz 54

55 Processo de Planejamento de TI Questão de Auditoria Existe processo de Planejamento de TI? 55

56 4. Processo de Contratação de TI 56

57 Cobit 5, MEA 03.01, Atender aos Requisitos legais e regulatórios aplicáveis Lei 8.666/1993 IN-4 e IN-2 SLTI/MP Lei /2002 LC 123/2006 Decreto 7.174/2010 Decreto 7.892/2013 Modelo de Contratação de TI Decreto 2.271/1997 E outras fontes Acórdãos TCU Enunciado 331 (TST) Decisões STJ e STF 57

58 Cobit 5 BAI Adquirir componentes da Solução: adquirir os componentes da solução com base no plano de aquisições em conformidade com os requisitos detalhados, padrões de arquitetura, procedimentos, requisitos de controle de qualidade e normas de homologação. Assegurar que todos os requisitos legais e contratuais são identificados e seguidos pelo fornecedor. 58

59 Processo de Contratação de TI Na contratação de bens e serviços de TI é essencial a adoção de processo de trabalho formalizado, padronizado e judicioso quanto ao custo, à oportunidade e aos benefícios advindos para a organização. Esse processo melhora o relacionamento com os fornecedores e prestadores de serviços, maximiza a utilização dos recursos financeiros alocados à área de TI e contribui decisivamente para que os serviços de TI dêem o necessário suporte às ações da organização no alcance de seus objetivos e suas metas. (Relatório do Acórdão 1.603/2008-TCU-Plenário) 59

60 Antecedentes da IN 04/ SLTI Estudo desenvolvido pela Segecex/TCU item 9.7 do Acórdão 1.558/2003-TCU- Plenário, QRN Quadro Referencial Normativo ( islacao/repositorio_contratacao_ti/manualonline.html) Série de Acórdãos relativos ao MDIC: 1.094/2004, 667/2005, 2.103/2005, 2.171/2005, 2.172/2005, 786/2006, todos do Plenário. 60

61 61 Histórico da IN 04/ SLTI Recomendação à Secretaria de Logística e Tecnologia da Informação SLTI: item 9.4 do Acórdão 786/2006-TCU-Plenário: (...) a partir das diretrizes expostas na seção III do voto antecedente e nos Acórdãos deste Tribunal, sobretudo os de número 667/2005, 2.103/2005, 2.171/2005 e 2.172/2005, todos do Plenário, elabore um modelo de licitação e contratação de serviços de informática para a Administração Pública Federal e promova a implementação dele nos diversos órgãos e entidades sob sua coordenação mediante orientação normativa (...) Monitoramentos no TC / Acórdão 1.480/2007-TCU-Plenário Acórdão 1.999/2007-TCU-Plenário

62 62 Histórico da IN 04/ SLTI Audiência pública em abril de 2008; IN 04/2008 SLTI, de 19 de maio de 2008; Entrou em vigor em ; Acórdão 1.915/2010-Plenário:...subsídios à evolução das normas que regem as contratações de bens e serviços de tecnologia de informação... Audiência pública em agosto de 2010; IN 04/2010 SLTI, de 12 de novembro de 2010; Entrou em vigor em ; Audiência pública em maio de 2014; IN 04/2014 SLTI, de 11 de setembro de 2014; Entrará em vigor em

63 Instruções Normativas A Secretaria de Logística e Tecnologia da Informação SLTI do Ministério do Planejamento editou as Instruções Normativas 02/2008 e 04/2008, as quais contemplaram a maior parte das recomendações do TCU quanto à implementação do modelo de contratação de soluções de TI (Acórdãos 786/2006- TCU-Plenário, item 9.4, 1480/2007-TCU-Plenário, item e 1999/2007-TCU-Plenário, item ). Acórdão 1.915/2010-Plenário: 9.1. considerar que a Instrução Normativa 04/2008, da Secretaria de Logística e Tecnologia da Informação - SLTI/MP, implementa, ainda que parcialmente, mas em sua maior parte, as recomendações monitoradas; 63

64 Instruções Normativas A IN/SLTI 04/2014 dispõe sobre o processo de contratação de Soluções de Tecnologia da Informação pelos órgãos integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação (SISP) do Poder Executivo Federal. A IN/SLTI 02/2008, que substitui a IN/MARE 18/1997, dispõe sobre regras e diretrizes para a contratação de serviços, continuados ou não. Essa norma aplica-se subsidiariamente à IN/SLTI 04/2014 (IN-04/2014, art. 38). 64

65 Processo de Contratação de TI 2007/2014 Acórdão 3.117/2014-TCU-Plenário 65

66 Guia de Boas Práticas em Contratação de Soluções de TI Importância do planejamento das contratações de soluções de TI Contexto do planejamento das contratações de soluções de TI Processo de planejamento da contratação de soluções de TI 66

67 Guia de Boas Práticas em Contratação de Soluções de TI Artefatos gerados no processo de planejamento da contratação de soluções de TI Estudos técnicos preliminares Plano de trabalho Termo de referência ou projeto básico 67

68 Guia de Boas Práticas em Contratação de Soluções de TI Riscos e sugestões de controles internos relativos ao processo de planejamento das contratações como um todo Controles internos de caráter estruturante Principais falhas encontradas pelo TCU 68

69 Guia de Boas Práticas em Contratação de Soluções de TI Planejamento Institucional Planejamento de TI Modelo de Contratação de Soluções de TI Atores do MCTI Planejamento da Contratação Seleção do Fornecedor Gestão do Contrato Artefatos 69

70 Guia de Boas Práticas em Contratação de Soluções de TI Fases Processos Atividades Artefatos Atores Planejamento Seleção Gestão

71 Decreto nº 7.174/2010 Art. 2º A aquisição de bens e serviços de tecnologia da informação e automação deverá ser precedida da elaboração de planejamento da contratação, incluindo projeto básico ou termo de referência contendo as especificações do objeto a ser contratado... 71

72 Planejamento da Contratação Instrução Normativa - SLTI 04/2014 Art. 4º As contratações de que trata esta IN deverão ser precedidas de planejamento, elaborado em harmonia com o Plano Diretor de Tecnologia da Informação - PDTI. 1º O PDTI deverá estar alinhado à EGTI e ao plano estratégico institucional e aprovado pelo Comitê de Tecnologia da Informação do órgão ou entidade. 72

73 Planejamento da Contratação Art. 4º (...) Instrução Normativa - SLTI 04/2014 2º Inexistindo o PDTI, o órgão ou entidade deverá proceder à sua elaboração, observando, no que couber, o Guia de Elaboração de PDTI do SISP, acessível no Portal do SISP. 3º Inexistindo o plano estratégico institucional, sua ausência deverá ser registrada no PDTI e deverá ser utilizado um documento equivalente, como o Plano Plurianual - PPA. 73

74 Planejamento da Contratação Instrução Normativa - SLTI 04/2014 Art. 8º As contratações de Soluções de Tecnologia da Informação deverão seguir três fases: I - Planejamento da Contratação; II - Seleção do Fornecedor; e III - Gestão do Contrato. 74

75 Art. 9º. (...) Planejamento da Contratação Instrução Normativa - SLTI 04/2014 2º É obrigatória a execução da fase de Planejamento da Contratação, independentemente do tipo de contratação, inclusive nos casos de: I - inexigibilidade; II - dispensa de licitação ou licitação dispensada; III - criação e adesão à Ata de Registro de Preços; e IV - contratações com uso de verbas de organismos internacionais, como Banco Mundial, Banco Internacional para Reconstrução e Desenvolvimento, e outros. 75

76 Aplicação da IN - SLTI 04/2014 Art. 1º As contratações de Soluções de Tecnologia da Informação pelos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação (SISP) serão disciplinadas por esta Instrução Normativa (IN). 1º Esta IN não se aplica: I - às contratações cuja estimativa de preços seja inferior ao disposto no art. 23, inciso II, alínea "a" da Lei nº 8.666, de 21 de junho de 1993; 76

77 77 Aplicação da IN - SLTI 04/2014 Art. 1º (...) 1º Esta IN não se aplica: II - às contratações dos Serviços Estratégicos de Tecnologia da Informação, que deverão observar o Plano de Capacidade, conforme disposto no inciso XIV do art. 2º desta IN, para confecção do Planejamento da Contratação nos termos da Lei, não se aplicando a estes casos os demais dispositivos desta IN, a exceção do disposto no 2º deste artigo e do disposto no art. 4º desta IN, em que a contratada seja: a) órgão ou entidade, nos termos do art. 24, inciso XVI da Lei nº 8.666, de 1993; b) Empresa Pública, nos termos do art. 2º da Lei nº 5.615, de 13 de outubro de 1970, modificada pela Lei nº , de 11 de junho de 2010; e c) Empresa Pública, nos termos da Lei nº 6.125, de 4 de novembro de 1974.

78 Aplicação da IN - SLTI 04/2014 Art. 1º (...) 1º Esta IN não se aplica: III - às contratações de Soluções de Tecnologia da Informação que possam comprometer a segurança nacional, em que deverá ser observado o disposto no Decreto nº 8.135, de 4 de novembro de 2013, e suas regulamentações específicas. 2º O art. 4º desta IN deverá ser sempre observado, mesmo nos casos enquadrados nos parágrafos anteriores deste artigo. 3º Os órgãos e entidades integrantes do SISP deverão observar, no que couber, os dispositivos introduzidos por esta IN, sendo-lhes permitida harmonização para melhor adequação à sua estrutura funcional, conforme disposto no art. 115 da Lei nº 8.666, de

79 Aplicação da IN - SLTI 04/2014 Questionamentos: Neste caso, o que realmente significa não se aplica? A IN-04/2014 trouxe novidades ou simplesmente consolidou o que já existia? Quais são os dispositivos da IN-04/2014 que estão previstos na Constituição, na Lei ou em Decretos? E a jurisprudência? Como é feita a fiscalização do TCU e dos outros órgãos de controle? 79

80 Aplicação da IN - SLTI 04/2014 Conclusões Deve-se utilizar o princípio da precaução; Se há necessidade de simplificar o processo de contratação devem ser buscados outros meios; A contratação de empresas públicas de TI por dispensa de licitação não permite aos órgãos e entidades deixar de seguir o restante da legislação. 80

81 Planejamento da Contratação A IN-04/2014 da SLTI/MP estabelece: Art. 9º A fase de Planejamento da Contratação consiste nas seguintes etapas: I - Instituição da Equipe de Planejamento da Contratação; II - Estudo Técnico Preliminar da Contratação; III - Análise de Riscos; e IV - Termo de Referência ou Projeto Básico. 1º Os documentos resultantes das etapas elencadas nos incisos II e III deste artigo poderão ser consolidados em um único documento, a critério da Equipe de Planejamento da Contratação. 81

82 4.1 Processo de Contratação de TI Matriz 82

83 Processo de Contratação de TI Questão de Auditoria Existe processo para aquisição de soluções de TI? 83

84 5. Segurança da Informação 84

85 85 Segurança da Informação NBR ISO/IEC (Código de prática de segurança da informação) Especial atenção para: Área com competência definida para gestão da Segurança da Informação (GSI); Política de Segurança da Informação (PSI); Norma de Classificação da Informação (NCI); Política de Controle de Acesso (PCA); Gestão de Continuidade de Negócios (GCN).

86 Segurança da Informação Legislação e Normas Lei nº /2011 (Transparência e acesso a informações de interesse público); Decreto nº 3.505/2000 (PSI); Decreto nº 7.845/2012 (Classificação das Informações) IN-01 GSI/PR de (PSI e GSI); 20 Notas Complementares à IN-01 GSI/PR de 2008 a 2014 e mais duas INs. 86

87 Segurança da Informação Jurisprudência e Boas Práticas Acórdão nº 1.603/2008-TCU-Plenário; Acórdão nº 1.092/2007-TCU-Plenário (PSI, PCA, Classificação da Informação, GSI e PCN); Acórdão nº 2.023/2005-TCU-Plenário (PSI, PCA, Classificação da Informação e GSI); Acórdão nº 71/2007-TCU-Plenário (PSI, PCA e GSI); Cobit 5, APO13.02 Definir e Gerir um Plano de Tratamento aos Riscos de Segurança da Informação. 87