Upload
fabiano-penha-barbosa-pinto
View
45
Download
0
Embed Size (px)
Citation preview
A importncia do
planejamento para a
realizao de uma boa
contratao de TI
realizao de uma boa
contratao de TI
Andr Luiz Furtado Pacheco, CISA
CNASI-DF maio de 2010
Graduado em Processamento de Dados pelaUniversidade Catlica de Braslia;
MBA em Controle Externo pela FGV; Certified Information Systems Auditor CISA, Auditor de TI h mais de 16 anos, Assessor do Secretrio de
Fiscalizao de TI do TCU; Realizou a superviso e a reviso do Manual de Auditoria de
Sistemas e da Cartilha de Boas Prticas de Segurana da
Andr Luiz Furtado Pacheco, CISA
2
Sistemas e da Cartilha de Boas Prticas de Segurana da Informao do TCU;
Instrutor de Auditoria de TI nos cursos da Organizao Latino-Americana e do Caribe das Entidades de Fiscalizao Superior OLACEFS, do TCU e da UniDF;
Possui larga experincia nas reas de auditoria,docncia e TI; Secretrio do Captulo ISACA de Braslia.
Governana de TI
Governana de TI uma estrutura derelacionamentos e processos para dirigir econtrolar a TI a fim de alcanar as metas dainstituio pela agregao de valor, enquanto semantm o equilbrio dos riscos versusretorno sobre esta funo e seus processos.retorno sobre esta funo e seus processos.
(traduo livre de texto do ITGI IT Governance Institute)
Sistema pelo qual o uso atual e futuro da TI dirigido e controlado.
(NBR ISO/IEC 38500:2009, item 1.6.3)
3
Objetivos da Governana de TI
assegurar que as aes de TI estejam alinhadas com o negcio da organizao, agregando-lhe valor;
medir o desempenho da rea de TI, alocar propriamente os recursos e mitigar os riscos inerentes;
4
inerentes; gerenciar e controlar as iniciativas de TI nas
organizaes para garantir o retorno de investimentos e a adoo de melhorias nos processos organizacionais
Responsabilidade sobre a
Governana de TI
Alta administrao das organizaes
5
Planejar e Organizar
Domnios Cobit
6
Monitorar eAvaliar
Entregar eSuportar
Adquirir eImplementar
Planejar e Organizar (PO)
PO1 Definir um plano estratgico de TI PO2 Definir a arquitetura de informao PO3 Determinar a direcionamento tecnolgico PO4 Definir processos, organizao e relacionamentos PO5 Gerenciar o investimento em TI PO6 Comunicar diretrizes e expectativas da diretoria
7
PO6 Comunicar diretrizes e expectativas da diretoria PO7 Gerenciar recursos humanos de TI PO8 Gerenciar qualidade PO9 Avaliar e gerenciar riscos de TI PO10 Gerenciar projetos
Adquirir e Implementar (AI)
AI1 Identificar solues automatizadas AI2 Adquirir e manter software aplicativo AI3 Adquirir e manter infraestrutura tecnolgica AI4 Habilitar operao e uso AI5 Adquirir recursos de TI
8
AI5 Adquirir recursos de TI AI6 Gerenciar mudanas AI7 Instalar e homologar solues e mudanas
Entregar e Suportar (DS) DS1 Definir e gerenciar nveis de servios DS2 Gerenciar servios de terceiros DS3 Gerenciar capacidade e desempenho DS4 Assegurar continuidade dos servios DS5 Assegurar segurana dos sistemas DS6 Identificar e alocar custos DS7 Educar e treinar usurios
9
DS7 Educar e treinar usurios DS8 Gerenciar a central de servios e os incidentes DS9 Gerenciar a configurao DS10 Gerenciar problemas DS11 Gerenciar dados DS12 Gerenciar o ambiente fsico DS13 Gerenciar as operaes
Monitorar e Avaliar (ME)
ME1 Monitorar e avaliar o desempenho da TIME2 Monitorar e avaliar os controles internosME3 Assegurar conformidade com requisitos
externos
10
ME4 Prover governana de TI
Planejamento de TI
Benefcio do Planejamento Estratgico de TI:
O planejamento estratgico torna-se umaimportante ferramenta para a tomada dedeciso e faz com que os gestores estejamaptos a agir com iniciativa, de forma pr-ativa,
11
aptos a agir com iniciativa, de forma pr-ativa,contra as ameaas e a favor das oportunidadesidentificadas nas constantes mudanas queocorrem. (Acrdo 1.603/2008-Plenrio TCU)
Planejamento de TI
Necessidade de Planejamento de TI:
Constituio Federal, art. 37; Decreto-Lei 200/1967, art. 6, I; IN-4/2008 SLTI/MP, art. 3;
12
IN-4/2008 SLTI/MP, art. 3; Acrdo 1.558/2003-Plenrio TCU, item 9.3.9; Acrdo 1.603/2008-Plenrio TCU, item 9.4.1; Cobit 4.1 PO1.4 Plano Estratgico de TI.
Planejamento de TI
A Constituio Federal estabelece:
Art. 37. A administrao pblica direta e indireta de qualquer dos Poderes da Unio, dos Estados, do Distrito Federal e dos Municpios obedecer
13
aos princpios de legalidade, impessoalidade, moralidade, publicidade e eficincia...
Planejamento de TI
O Decreto-Lei 200/1967 estabelece:Art. 6. As atividades da Administrao Federal obedecero aos seguintes princpios fundamentais: I - Planejamento. II - Coordenao. III - Descentralizao.
14
III - Descentralizao.IV - Delegao de Competncia.V - Controle.
Planejamento de TI
A IN-4/2008 da SLTI/MP estabelece:
Art. 3 As contrataes de que trata esta Instruo Normativa devero ser precedidas de planejamento, elaborado em harmonia com o Plano Diretor de Tecnologia da Informao - PDTI, alinhado estratgia
15
Tecnologia da Informao - PDTI, alinhado estratgia do rgo ou entidade.
Planejamento de TI
O Acrdo 1.558/2003-Plenrio TCU determina que:
9.3.9. atente para a necessidade de fazer cumprir o princpio constitucional da eficincia e as disposies contidas no art. 6, I, do Decreto-Lei n 200/67, implantando, na rea de informtica, um processo de
16
implantando, na rea de informtica, um processo de planejamento que organize as estratgias, as aes, os prazos, os recursos financeiros, humanos e materiais, a fim de eliminar a possibilidade de desperdcio de recursos pblicos e de prejuzo ao cumprimento dos objetivos institucionais da unidade;
Planejamento de TIO Acrdo 1.603/2008-Plenrio TCU:9.4. recomendar ao Ministrio do Planejamento, Oramento e Gesto - MPOG que, nos rgos/entidades da Administrao Pblica Federal:
9.4.1. promova aes com o objetivo de disseminar a importncia do planejamento estratgico, procedendo,
17
importncia do planejamento estratgico, procedendo, inclusive mediante orientao normativa, execuo de aes voltadas implantao e/ou aperfeioamento de planejamento estratgico institucional, planejamento estratgico de TI e comit diretivo de TI, com vistas a propiciar a alocao dos recursos pblicos conforme as necessidades e prioridades da organizao;
Planejamento de TI
O Cobit 4.1 em seu objetivo de controle PO1.4 Plano Estratgico de TI recomenda:
Criar um plano estratgico que defina, em cooperao com as partes interessadas relevantes, como a TI
18
com as partes interessadas relevantes, como a TI contribuir com os objetivos estratgicos da organizao e quais os custos e riscos relacionados.
Planejamento de TI
Alinhamento entre PEI e PETI:O alinhamento de todos os planos, recursos e unidades organizacionais um fator fundamental para que a estratgia delineada no planejamento possa ser implementada. Assim, o planejamento estratgico de TI tem que estar alinhado com os
19
estratgico de TI tem que estar alinhado com os planos de negcio da organizao para o estabelecimento das prioridades e das aes a serem realizadas na rea de TI (Acrdo 1.603/2008-TCU-Plenrio)
Planejamento de TI
Alinhamento entre PEI e PETI:Cobit 4.1, objetivo de controle PO1.2 Alinhamento entre TI e negcio:Estabelecer processos de educao bidirecional e de envolvimento recproco no planejamento estratgico para obteno de alinhamento e
20
estratgico para obteno de alinhamento e integrao entre o negcio e as aes de TI. As prioridades devem ser acordadas mutuamente a partir da negociao das necessidades do negcio e da rea de TI .
Planejamento de TIComit Diretivo de TI:IN-4/2008 da SLTI/MP estabelece em seu art. 4:Pargrafo nico. A Estratgia Geral de Tecnologia da Informao dever abranger, pelo menos, os seguintes elementos:...
IV - orientao para a formao de Comits de
21
IV - orientao para a formao de Comits de Tecnologia da Informao que envolvam as diversas reas dos rgos e entidades, que se responsabilizem por alinhar os investimentos de Tecnologia da Informao com os objetivos do rgo ou entidade e apoiar a priorizao de projetos a serem atendidos.
Planejamento de TI
Comit Diretivo de TI:
A existncia de um comit diretivo de TI (IT Steering Committee), que determine as prioridades de investimento e alocao de recursos nos diversos projetos e aes de TI, de fundamental importncia para o alinhamento entre as atividades de TI e o negcio da organizao, bem como
22
atividades de TI e o negcio da organizao, bem como para a otimizao dos recursos disponveis e a reduo do desperdcio. O fato desse comit ser composto por dirigentes de TI e de outras reas da organizao possibilita que as decises de investimentos sejam obtidas a partir de uma viso mais abrangente, o que reduz os riscos de erro (Acrdo 1.603/2008-TCU-Plenrio).
Planejamento de TI
Comit Diretivo de TI:Cobit 4.1, objetivo de controle PO4.3 Comit Executivo de TI:Estabelecer um comit executivo de TI (ou equivalente) composto pelas diretorias executivas, de negcios e de TI, para: Determinar prioridades dos programas de investimentos
23
Determinar prioridades dos programas de investimentos em TI em linha com as estratgias e prioridades do negcio; Monitorar o estado atual dos projetos e resolver conflitos de recursos; Monitorar nveis de servio e suas melhorias.
Objetivosestratgicos
institucionais
Objetivosestratgicos
Desmembrados nos
Operacionalizados p/
Planejamento de TI
24
estratgicosde TI
Contrataes de TI
Alinhados com
Meio para alcanar
Na contratao de bens e servios de TI essencial aadoo de processo de trabalho formalizado,padronizado e judicioso quanto ao custo, oportunidade e aos benefcios advindos para aorganizao. Esse processo melhora o relacionamentocom os fornecedores e prestadores de servios, maximizaa utilizao dos recursos financeiros alocados rea de TI
Processo de Contratao de TI
25
a utilizao dos recursos financeiros alocados rea de TIe contribui decisivamente para que os servios de TI demo necessrio suporte s aes da organizao noalcance de seus objetivos e suas metas. (Acrdo1.603/2008-TCU-Plenrio)
Planejamento de Contrataes de TI
O Cobit 4.1 em seu objetivo de controle AI5.1 Procurement Control (Controle sobre aquisies) recomenda:Desenvolver e seguir um conjunto de procedimentos epadres consistente com o processo de licitao e a
26
padres consistente com o processo de licitao e aestratgia de aquisio gerais da organizao para adquiririnfra-estrutura, instalaes, hardware, software e servios deTI necessrios ao negcio.
Planejamento de Contrataes de TI
O Acrdo 1.603/2008-Plenrio TCU:9.1. recomendar ao (rgos/entidades):(...)9.1.6. envidem esforos visando implementao de processo de trabalho
27
implementao de processo de trabalho formalizado de contratao de bens e servios de TI, bem como de gesto de contratos de TI, buscando a uniformizao de procedimentos nos moldes recomendados no item 9.4 do Acrdo 786/2006-TCU-Plenrio;
Instrues Normativas A Secretaria de Logstica e Tecnologia da Informao - SLTI
do Ministrio do Planejamento editou as Instrues Normativas02/2008 e 04/2008, contendo a maior parte dasrecomendaes do TCU quanto implementao do novomodelo de contratao de servios de TI (Acrdos 786/2006-TCU-Plenrio; 1480/2007-TCU-Plenrio e 1999/2007-TCU-Plenrio).
A IN/SLTI 04/2008 dispe sobre o processo de contratao deservios de Tecnologia da Informao pela Administrao
28
servios de Tecnologia da Informao pela AdministraoPblica Federal direta, autrquica e fundacional. Sua vignciainiciou-se em 2 de janeiro de 2009.
A IN/SLTI 02/2008, que substitui a IN/MARE 18/1997, dispesobre regras e diretrizes para a contratao de servios,continuados ou no. Essa norma aplica-se subsidiariamente IN/SLTI 04/2008.
Desvantagens desse Modelo(Vide Acrdo 786/2006-TCU-Plenrio): Ausncia de parcelamento do objeto
Potencial limitao competioRisco de onerar indevidamente o contratoRisco estratgico (dependncia)
Antigo modelo de contratao de TI
29
Risco estratgico (dependncia)Risco na segurana da informao
Pagamento por homem-hora (HH)Risco exclusivo do contratanteAnti-economicidade: Paradoxo lucro-incompetnciaRisco de remunerao de horas improdutivas
Fases da Contratao
A IN-4/2008 da SLTI/MP estabelece:
Art. 7 As contrataes de servios de Tecnologia da Informao devero seguir trs fases: Planejamento da Contratao,
30
Planejamento da Contratao, Seleo do Fornecedor, e Gerenciamento do Contrato.
Planejamento da Contratao
A IN-4/2008 da SLTI/MP estabelece:
Art. 9 A fase de Planejamento da Contratao consiste nas seguintes etapas: I - Anlise de Viabilidade da Contratao;
31
II - Plano de Sustentao; III - Estratgia de Contratao; eIV - Anlise de Riscos.
Anlise de Viabilidade da Contratao
A IN-4/2008 da SLTI/MP estabelece:Art. 10. A Anlise de Viabilidade da Contratao, observado o disposto nos arts. 11 e 12 desta instruo normativa, compreende as seguintes tarefas: Avaliao da necessidade (Requisitante e TI);
32
Motivao da contratao (Requisitante); Especificao dos requisitos (TI); Identificao das diferentes solues (TI e Requisitante); Justificativa da soluo escolhida (TI).
Anlise de Viabilidade da Contratao
Avaliao da Necessidade
A rea Requisitante, com apoio da rea de TI, deve avaliar necessidade de acordo com: Objetivos estratgicos; e Necessidades corporativas da instituio.
Considerar:
33
Considerar: Alinhamento com PEI e PETI ou PDTI; Decreto n 2.271/1997, art. 2, inciso I; Acrdo 2.471/2008Plenrio TCU, item 9.1.2; Cobit 4.1 PO1.2 Alinhamento entre TI e Negcio.
Anlise de Viabilidade da Contratao
Motivao da Contratao
A rea Requisitante deve explicitar a motivao da contratao levando em considerao: Gestor deve motivar seus atos; Acrdo n 2.094/2004-TCU-Plenrio, item 9.1.1; Acrdo n 838/2004-TCU-Plenrio, item 9.2.2; Cobit 4.1 PO5.2 Priorizao Dentro do Oramento de TI: Implementar um processo de tomada de deciso para
34
Implementar um processo de tomada de deciso para priorizar a alocao de recursos de TI em operaes, projetos e manuteno visando maximizar a contribuio da TI para otimizar o retorno de investimentos no portfolio de sistemas e outros servios e bens de TI.
Anlise de Viabilidade da Contratao
Especificao dos Requisitos
A rea de TI deve levantar: demandas dos potenciais gestores e usurios do servio; solues disponveis no mercado; e anlise de projetos similares realizados por outras instituies.
35
Considerar: Cobit 4.1 AI1 Identificar Solues Automatizadas, focando em identificar solues efetivas e tecnicamente viveis.
Anlise de Viabilidade da Contratao
Identificao das Diferentes Solues
A rea de TI, com apoio da rea Requisitante, deve identificar solues de acordo com: disponibilidade soluo similar em outro rgo/entidade APF; solues Portal do Software Pblico Brasileiro; capacidade e alternativas do mercado (inclusive software livre ou pblico); observncia s polticas, premissas e especificaes e-Ping
36
observncia s polticas, premissas e especificaes e-Ping (interoperabilidade) e e-Mag (acessibilidade); aderncia ICP-Brasil, quando houver certificao digital; custo financeiro estimado; Cobit 4.1 AI1 Identificar Solues Automatizadas: A necessidade para uma nova aplicao ou funo requer uma pr-anlise de aquisio ou criao visando assegurar que requisitos de negcio sejam satisfeitos em uma abordagem eficaz e eficiente.
Anlise de Viabilidade da Contratao
Justificativa da Soluo Escolhida
A rea de TI deve elaborar justificativa: descrio sucinta, precisa, suficiente e clara da Soluo de Tecnologia da Informao escolhida, indicando os servios que a compem; alinhamento em relao s necessidades; identificao dos benefcios que sero alcanados com a
37
identificao dos benefcios que sero alcanados com a efetivao da contratao em termos de eficcia, eficincia, efetividade e economicidade.
(1) IN-4, art. 2, inciso IV: Soluo de TI: todos os servios, produtos e outros elementos necessrios que se integram para o alcance dos resultados pretendidos com a contratao;
Anlise de Viabilidade da Contratao
Justificativa da Soluo Escolhida
Descrio sucinta, precisa, suficiente e clara da Soluo de TI
Considerar: Acrdo n 1.558/2003-TCU-Plenrio, item
9.3.10;
38
9.3.10; Cobit 4.1 AI1.3 Estudo de viabilidade e
formulao de solues alternativas
Anlise de Viabilidade da Contratao
Justificativa da Soluo Escolhida
Alinhamento em relao s necessidadesConsiderar: Decreto n 2.271/1997, art. 2, inciso II; Acrdo n 2.094/2004-TCU-Plenrio, item 9.1.1; Acrdo n 1.558/2003-TCU-Plenrio, item 9.3.11;
39
Cobit 4.1, PO1.2 Alinhamento de TI com Negcio
Anlise de Viabilidade da Contratao
Justificativa da Soluo Escolhida
Identificao dos benefcios que sero alcanados com a efetivao da contratao em termos de eficcia, eficincia, efetividade e economicidade
Considerar: Decreto n 2.271/1997, art. 2, inciso III; Acrdo n 2.471/2008-TCU-Plenrio, item 9.1.2;
40
Acrdo n 2.471/2008-TCU-Plenrio, item 9.1.2; Cobit 4.1 PO5.2 Priorizao Dentro do Oramento de TI
Anlise de Viabilidade da Contratao
A IN-4 no nico art. 10 estabelece que a Anlise de Viabilidade da Contratao ser aprovada e assinada pela rea
41
ser aprovada e assinada pela rea Requisitante e pela rea de TI.
Anlise de Viabilidade da Contratao
No art. 11, os requisitos definidos pela rea Requisitante:
I - de software, que independem de arquitetura tecnolgica e definem os aspectos funcionais do software; II - de treinamento, com o apoio da rea de TI, que definem a necessidade de treinamento presencial ou distncia, carga horria e entrega de materiais didticos; III - legais, que definem as normas s quais a Soluo de TI
42
III - legais, que definem as normas s quais a Soluo de TI deve respeitar; IV - de manuteno, que independem de configurao tecnolgica e definem a necessidade de servios de manuteno preventiva, corretiva, evolutiva e adaptativa;
Anlise de Viabilidade da Contratao (cont.)
No art. 11, os requisitos definidos pela rea Requisitante:...
V - de prazo, que definem a prioridade da entrega da Soluo de TI contratada; VI - de segurana, com o apoio da rea de TI; e VII - sociais, ambientais e culturais, que definem requisitos que a Soluo de TI deve atender para respeitar
43
requisitos que a Soluo de TI deve atender para respeitar necessidades especficas relacionadas a costumes e idiomas, e ao meio-ambiente
Anlise de Viabilidade da Contratao
No art. 12, os requisitos definidos pela rea de TI:
I - de arquitetura tecnolgica, composta de hardware, softwares bsicos, padres de interoperabilidade, linguagem de programao e interface; II - de projeto, que estabelecem o processo de desenvolvimento de software, tcnicas, mtodos, forma de gesto e de documentao;
44
de gesto e de documentao; III - de implantao, que definem o processo de disponibilizao da soluo em produo; IV - de garantia e manuteno, que definem a forma como ser conduzida a manuteno e a comunicao entre as partes envolvidas;
Anlise de Viabilidade da Contratao
No art. 12, os requisitos definidos pela rea de TI:...
V - de treinamento, que definem o ambiente tecnolgico de treinamentos ministrados e perfil do instrutor; VI - de experincia profissional; VII - de formao, que definem cursos acadmicos e tcnicos, certificao profissional e forma de comprovao;
45
tcnicos, certificao profissional e forma de comprovao; e VIII - de metodologia de trabalho.
Plano de Sustentao
A IN-4/2008 estabelece no art. 13:O Plano de Sustentao, a cargo da rea de TI, com o apoio do Requisitante, abrange:
I - segurana da informao; II - recursos materiais e humanos;
46
III - transferncia de conhecimento; IV - transio contratual; e V - continuidade dos servios em eventual interrupo contratual.
Segurana da Informao
NBR ISO/IEC 27002Cdigo de prtica de segurana da informaoEspecial ateno para: Competncia definida em Segurana da Informao (SI); Poltica de Segurana da Informao (PSI);
47
Classificao da Informao; Poltica de Controle de Acesso (PCA); Plano de Continuidade de Negcios (PCN).
Devem constar dos editais e contratos !!
Segurana da Informao
Legislao, Jurisprudncia e Boas Prticas Decreto n 3.505/2000 (PSI); IN-01 GSI/PR de 13.06.2008 (PSI e SI); Acrdo n 1.603/2008-TCU-Plenrio; Acrdo n 1.092/2007-TCU-Plenrio (PSI, PCA, Classificao da Informao, SI e PCN); Acrdo n 2.023/2005-TCU-Plenrio (PSI, PCA,
48
Acrdo n 2.023/2005-TCU-Plenrio (PSI, PCA, Classificao da Informao e SI); Acrdo n 71/2007-TCU-Plenrio (PSI, PCA e SI); Cobit 4.1, objetivo de controle DS5.2 Plano de Segurana de TI.
Recursos Materiais e Humanos
Levantamento e definio dos recursos materiais e humanos prprios necessrios para dar suporte contratao.
49
Transferncia de Conhecimentos
Manuteno do conhecimento no rgo/EntidadeEspecial ateno para: Contratao dos Servios; Gesto do Contrato; Acrdo n 1.603/2008-TCU-Plenrio;
50
Cobit 4.1 AI4.4 Transferncia de Conhecimentos para Equipes de Operao e Suporte
Deve constar dos editais e contratos !!
Transio Contratual
Previso das atividades necessrias para a execuo da transio contratual sem traumas. Observar que: fase essencial; h superposio de contratos; contrato vigente somente deve ser encerrado quando novo contrato estiver em vigor;
51
quando novo contrato estiver em vigor; deve haver definio de responsabilidades.
Deve constar dos editais e contratos !!
Continuidade dos Servios
Garantia de que os servios providos e/ou suportados pela soluo de TI tero continuidade mesmo que haja interrupo da execuo contratual; Deve estar inserido na Gesto de Continuidade de Negcios;
52
Negcios; Aderente ao Plano de Continuidade de Negcios;
Deve constar dos editais e contratos !!
Continuidade dos Servios
Acrdo n 1.603/2008-TCU-Plenrio:
... ausncia de plano de continuidade de negcios(PCN) em cerca de 88% dos pesquisados. Sem planejamento dessa natureza, a organizao ficavulnervel quando da (...) interrupes de servios.
53
vulnervel quando da (...) interrupes de servios.Eventos que poderiam ser resolvidos sem grande perda,acabam por comprometer toda a base atual e histrica deinformaes da organizao.
Continuidade dos Servios
Deve ser observado: Acrdo n 1.603/2008-TCU-Plenrio; Cobit 4.1 DS4 Garantir a Continuidade do Servio A necessidade de prover servios contnuos de TI requer desenvolvimento, manuteno e teste de planos de continuidade de TI, armazenamento de cpias de
54
continuidade de TI, armazenamento de cpias de segurana em local alternativo e treinamento peridico de planejamento de continuidade;
Continuidade dos ServiosDeve ser observado ainda: NBR 15999-1:2007, item 8.6 Planos de Continuidade de Negcios: o propsito de um plano de continuidade de negcios (PCN) permitir que uma organizao recupere ou mantenha suas atividades em caso de uma interrupo das operaes normais de negcios; NBR ISO/IEC 27002, item 14.1.3 Desenvolvimento e
55
NBR ISO/IEC 27002, item 14.1.3 Desenvolvimento e implementao de planos de continuidade relativos segurana da informao: convm que os planos sejam desenvolvidos e implementados para a manuteno ou recuperao das operaes e para assegurar a disponibilidade da informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio.
Continuidade dos Servios
Efeitos reais e potenciais Vulnerabilidade ocorrncia de interrupo de servios; Perda de dados, inclusive histricos, de difcilrecuperao; Dificuldade no restabelecimento das operaes normaisquando da ocorrncia de interrupo de servios;
56
quando da ocorrncia de interrupo de servios; Vulnerabilidade a fraudes e erros durante a interrupode servios; Paralisao de funes essenciais de governo e/ou de Estado.
Estratgia de ContrataoA IN-4/2008 em seu art.14 estabelece as seguintes tarefas:I indicao do tipo de servio, considerando o mercado e as solues existentes no momento da licitao (TI); II indicao dos termos contratuais (TI e
57
II indicao dos termos contratuais (TI e Requisitante);III definio da estratgia de independncia do rgo ou entidade contratante com relao contratada (TI);IV indicao do Gestor do Contrato (TI);
Estratgia de Contratao
A IN-4/2008 em seu art.14 estabelece as seguintes tarefas:V definio das responsabilidades da contratada, que no poder se eximir do cumprimento integral do contrato no caso de subcontratao (TI); VI elaborao do oramento detalhado (TI e rea competente);
58
competente);VII indicao da fonte de recursos para a contratao e a estimativa do impacto econmico-financeiro no oramento do rgo/Entidade (Requisitante);VIII definio dos critrios tcnicos de julgamento da proposta para a fase de Seleo do Fornecedor (TI).
Estratgia de Contratao
A IN-4/2008 estabelece: Restries quanto aferio de esforo por meio da mtrica homens-hora ( 1) Que vedado contratar por postos de trabalho alocados ( 2)
59
Vedaes e recomendaes quanto s licitaes do tipo tcnica e preo (s 3 e 4) A Estratgia de Contratao dever ser aprovada e assinada pelo Requisitante e pela rea de TI ( 5)
Anlise de Riscos
A IN-4/2008 estabelece no art. 16. que a Anlise de Riscos dever ser elaborada pelo Gestor do Contrato, com o apoio da rea de TI e do Requisitante observando: I - identificao dos principais riscos que possam comprometer o sucesso do processo de contratao; II - identificao dos principais riscos que possam fazer com que os servios prestados no atendam s
60
com que os servios prestados no atendam s necessidades do contratante, podendo resultar em nova contratao; III - identificao das possibilidades de ocorrncia e dos danos potenciais de cada risco identificado;
Anlise de Riscos
A IN-4/2008 estabelece no art. 16. que a Anlise de Riscos dever ser elaborada pelo Gestor do Contrato, com o apoio da rea de TI e do Requisitante observando: ...
IV - definio das aes a serem tomadas para amenizar ou eliminar as chances de ocorrncia do risco;
61
V - definio das aes de contingncia a serem tomadas caso o risco se concretize; e VI - definio dos responsveis pelas aes de prevenodos riscos e dos procedimentos de contingncia.
Anlise de RiscosAcrdo n 1.603/2008-TCU-Plenrio: A ausncia da anlise de riscos na rea de TI, informadapor 75% dos rgos/entidades pesquisados, um indcio deque as aes de segurana no so executadas de maneirasintonizada com as necessidades do negcio dessasorganizaes. Isto porque, sem anlise de riscos, no hcomo o gestor priorizar aes e investimentos com base em
62
como o gestor priorizar aes e investimentos com base emcritrios claros e relacionados com o negcio daorganizao. Alm disso, o desconhecimento dos riscos na rea de TI aumenta a exposio s ameaas de acesso indevido, indisponibilidade e perda de integridade (intencional, como no caso das fraudes, ou por falhas) das informaes sob responsabilidade dessas organizaes.
Anlise de RiscosDeve ser observado: Acrdo n 1.603/2008-TCU-Plenrio; Cobit 4.1 PO9.4 de Riscos Avaliar periodicamente a probabilidade e o impacto de todos os riscos identificados, usando mtodos qualitativos e quantitativos. A probabilidade e o impacto associados com o risco inerente e residual devem ser determinados individualmente por categoria; NBR ISO/IEC 27002, item 4.1 Analisando/avaliando os riscos de
63
NBR ISO/IEC 27002, item 4.1 Analisando/avaliando os riscos de segurana da informao: convm que as anlises/avaliaes de riscos identifiquem, quantifiquem e priorizem os riscos com base em critrios relevantes para a organizao, e que os resultados orientem e determinem as aes de gesto apropriadas e as prioridades para o gerenciamento dos riscos de segurana da informao, e para a implementao dos controles selecionados, de maneira a proteger contra estes riscos.
Anlise de Riscos
Identificao dos principais riscos:que possam comprometer o sucesso do processo de contratao; que possam fazer com que os servios prestados no atendam s necessidades do contratante, podendo resultar em nova
64
contratante, podendo resultar em nova contratao;
Identificao das possibilidades de ocorrncia e dos danos potenciais de cada risco identificado;
Anlise de Riscos
definio das aes a serem tomadas:para amenizar ou eliminar as chances de ocorrncia do risco; caso o risco se concretize; e
definio dos responsveis pelas aes de
65
definio dos responsveis pelas aes de preveno dos riscos e dos procedimentos de contingncia.
Os servios somente podero ser licitados quando houverprojeto bsico aprovado pela autoridade competente (Lei8.666/93, art. 7, I e 2, I e IN/SLTI 02/2008, art. 14).
O objeto da contratao deve estar precisamentecaracterizado e quantificado no projeto bsico (Lei 8.666/93,arts. 7, 4; 8; 14; 15, 7; 55).
O projeto bsico deve conter, no que couber, o detalhamento
Projeto Bsico
66
O projeto bsico deve conter, no que couber, o detalhamentoprevisto no art. 6, IX, da Lei 8.666/93, devendo a suadefinio ser precisa, suficiente e clara.
So vedadas especificaes excessivas, irrelevantes oudesnecessrias que limitem ou frustrem a competio ou arealizao do fornecimento (Decreto 3.555/2000, art. 8, I eIN/SLTI 02/2008, art. 16).
Nos projetos bsicos de servios sero considerados principalmente os seguintes requisitos (art. 12 da Lei 8.666/1993):
segurana; funcionalidade e adequao ao interesse pblico; economia na execuo, conservao e operao; possibilidade de emprego de mo-de-obra, materiais,
Projeto Bsico
67
tecnologia e matrias-primas existentes no local paraexecuo, conservao e operao;
facilidade na execuo, conservao e operao, semprejuzo da durabilidade do servio;
adoo das normas tcnicas, de sade e de seguranaadequadas.
A IN/SLTI 04/2008, que cuida especificamente dacontratao de servios da rea de TI, prev, em seu art.17, que o Projeto Bsico dever conter, no mnimo, asseguintes informaes:
definio do objeto; fundamentao da contratao; requisitos do servio; modelo de prestao dos servios;
Projeto Bsico
68
modelo de prestao dos servios; elementos para gesto do contrato; estimativa de preos; indicao do tipo de servio; critrios de seleo do fornecedor; e adequao oramentria.
(Vide Acrdo 2.471/2008-Plenrio, item 9.1.1)
Art. 19. A fase de Seleo do Fornecedorobservar as normas pertinentes, incluindo odisposto na Lei n 8.666, de 1993, na Lei n 10.520, de 2002, no Decreto n 2.271, de 1997,
Seleo de Fornecedor
69
no Decreto n 2.271, de 1997, no Decreto n 3.555, de 2000, no Decreto n 3.931, de 2001, e no Decreto n 5.450, de 2005.
Encerrado o procedimento licitatrio e contratado o vencedor do certame para o fornecimento do objeto, inicia-se a fase de execuo contratual.
Nessa fase, compete Administrao garantir
Gerenciamento do Contrato
70
Nessa fase, compete Administrao garantir que o contratado cumpra os termos contratuais, de forma que o objeto do contrato seja fornecido nas condies e prazos estabelecidos..
A gesto contratual compreende uma sriede atividades envolvendo:
solicitao dos servios; acompanhamento; fiscalizao da execuo; avaliao da qualidade e aderncia s
Gerenciamento do Contrato
71
avaliao da qualidade e aderncia s especificaes;
ateste da realizao dos trabalhos; aplicao de penalidades; pagamento.
Processo de Gesto Contratual
Acrdo 1.603/2008-TCU-Plenrio:
Para se gerir adequadamente os riscos inerentes s atividades de TI, a adoo de processo formal de trabalho de suma
72
processo formal de trabalho de suma importncia. Esse processo de trabalho deve ser definido, padronizado, documentado, aprovado e divulgado para toda a organizao.
Processo de Gesto Contratual
Lei n 8.666/1993, Captulo III; IN-04/2008, Seo III; Acrdo 1.603/2008-TCU-Plenrio; Cobit 4.1 AI5.1 Controle sobre aquisies
desenvolver e seguir um conjunto de procedimentos e padres consistente com o
73
procedimentos e padres consistente com o processo de licitao e a estratgia de aquisio gerais da organizao para adquirir infra-estrutura, instalaes, hardware, software e servios de TI necessrios ao negcio.
Processo de Gesto Contratual
Incio da Execuo Contratual Execuo Contratual
Monitorao Tcnica (eficincia/efetividade) Atestao Tcnica Monitorao Administrativa
74
Autorizao de Pagamento Encerramento e Transio Contratual O registro das tarefas acima dever compor o Histrico
de Gesto do Contrato
Incio da Execuo Contratual Elaborao, pelo Gestor do Contrato, de um plano de
insero da contratada que contemple: o repasse de conhecimentos necessrios para a
execuo dos servios contratada; e a disponibilizao de infraestrutura contratada,
quando couber Reunio inicial entre o Gestor do Contrato, rea de TI,
Requisitante e a contratada, cuja pauta observar, pelo
75
Requisitante e a contratada, cuja pauta observar, pelo menos: assinatura do termo de compromisso de manuteno de
sigilo e cincia das normas de segurana vigentes no rgo ou entidade; e
esclarecimentos relativos a questes operacionais e de gerenciamento do contrato.
Incio da Execuo Contratual
Reunio de alinhamento de expectativas Checagem de compreenso do objetivo, do objeto, do
modelo de prestao de servios, do modelo de gesto, das obrigaes e das penalidades
Releitura do Edital, Contrato e termos da proposta vencedora
76
vencedora Manuteno das condies habilitatrias e
pontuadas Confirmao de cronogramas (etapas, faturamento,
etc.)
Encaminhamento Formal de Demandas
Encaminhamento formal de demandas pelo Gestor do Contrato ao preposto da contratada por meio de Ordens de Servio, que contero:
definio e especificao dos servios a serem realizados; volume de servios solicitados e realizados segundo as
mtricas definidas; resultados esperados;
77
resultados esperados; o cronograma de realizao dos servios, includas todas as
tarefas significativas e seus respectivos prazos; avaliao da qualidade dos servios realizados e as
justificativas do avaliador; e identificao dos responsveis pela solicitao, avaliao da
qualidade e ateste dos servios realizados, que no podem ter vnculo com a empresa contratada;
Monitoramento da Execuo
A cargo do Gestor do Contrato, com apoio Requisitante e da rea de TI, que consiste em:
recebimento mediante anlise da avaliao dos servios, com base nos critrios previamente definidos;
ateste para fins de pagamento; identificao de desvios e encaminhamento de demandas
de correo;
78
de correo; encaminhamento de glosas e sanes; verificao de aderncia s normas do contrato; verificao da manuteno da necessidade, economicidade
e oportunidade da contratao; verificao da manuteno das condies classificatrias,
pontuadas e da habilitao tcnica;
Monitoramento da Execuo
(continuao): manuteno do Plano de Sustentao; comunicao s autoridades competentes sobre a
proximidade do trmino do contrato, com pelo menos 60 (sessenta) dias de antecedncia;
manuteno dos registros de aditivos;
79
encaminhamento s autoridades competentes de eventuais pedidos de modificao contratual; e
manuteno de registros formais de todas as ocorrncias da execuo do contrato, por ordem histrica.
Processo de Gesto Contratual
Execuo contratual Monitorao tcnica (eficincia e efetividade)
Reunies peridicas, quando conveniente Procedimentos de verificao de nvel de
servio
80
servio Notificao de desvios de normalidade Encaminhamento de proposta de apenao
(glosas e sanes) Capacitao e disponibilidade de
fiscalizadores
Processo de Gesto Contratual
Execuo contratual Atestao tcnica
Registro (para eventual auditoria) da verificao de execuo
81
verificao de execuo Registro das notificaes/apenaes e seu
andamento Propostas de glosa
penalidades cabveis e valores das multas as penalidades esto previstas no art. 87 da
Lei n 8.666/1993 e art. 7 da Lei n10.520/2002;
Processo de Gesto Contratual
82
o contrato dever especificar as condiesde aplicao da multa e respectivos valores.
Processo de Gesto Contratual
Execuo contratual Monitorao Administrativa (legalidade e economicidade)
Aspectos trabalhistas (encargos, subordinao direta, desvio de funo, pessoalidade indevida, ingerncia administrativa)
Aspectos fiscais (regularidade cadastral)
83
Aspectos fiscais (regularidade cadastral) Manuteno das condies habilitatrias/pontuadas Atendimento aos normativos internos Verificao da vantajosidade do preo (estabelecer
periodicidade e mtodo para verificao)
Processo de Gesto Contratual
Execuo contratual Autorizao de pagamento
Mensurao do servio prestado Registro (para eventual auditoria) da
84
Registro (para eventual auditoria) da mensurao
Obrigado
85
[email protected](61) 3316-5900
www.tcu.gov.br/fiscalizacaoti
www.tcu.gov.br
Valores
86
ticaJustia
EfetividadeIndependncia
Profissionalismo