Instruзгo Normativa 04/2008 SLTI/MP - PowerPoint PPT Presentation

Loading...

PPT – Instruзгo Normativa 04/2008 SLTI/MP PowerPoint presentation | free to download - id: 3c929a-ZDU3N



Loading


The Adobe Flash plugin is needed to view this content

Get the plugin now

View by Category
About This Presentation
Title:

Instruзгo Normativa 04/2008 SLTI/MP

Description:

Instru o Normativa 04/2008 SLTI/MP Andr Luiz Furtado Pacheco, CISA Comiss o Nacional de Energia Nuclear outubro de 2009 * * It is normal for COBIT to be ... – PowerPoint PPT presentation

Number of Views:304
Avg rating:3.0/5.0
Slides: 96
Provided by: cnenGovB
Learn more at: http://www.cnen.gov.br
Category:
Tags: slti | instru | normativa

less

Write a Comment
User Comments (0)
Transcript and Presenter's Notes

Title: Instruзгo Normativa 04/2008 SLTI/MP


1
Instrução Normativa04/2008 SLTI/MP
  • André Luiz Furtado Pacheco, CISA
  • Comissão Nacional de Energia Nuclear outubro de
    2009

2
André Luiz Furtado Pacheco, CISA
  • Graduado em Processamento de Dados pela
    Universidade Católica de Brasília
  • MBA em Controle Externo pela FGV
  • Certified Information Systems Auditor CISA,
  • Auditor de TI há mais de 15 anos, é Assessor do
    Secretário de Fiscalização de Tecnologia da
    Informação do TCU
  • Realizou a supervisão e a revisão do Manual de
    Auditoria de Sistemas e da Cartilha de Boas
    Práticas de Segurança da Informação do TCU
  • Instrutor de Auditoria de TI nos cursos da
    Organização Latino-Americana e do Caribe das
    Entidades de Fiscalização Superior OLACEFS, do
    TCU e da UniDF
  • Possui larga experiência nas áreas de auditoria,
  • docência e TI.

3
Governança Corporativa e de TI
COSO
COBIT
ISO 27002
ISO 9000
ITIL
O quê
Como
Escopo
4
Objetivos da Governança de TI
  • assegurar que as ações de TI estejam alinhadas
    com o negócio da organização, agregando-lhe
    valor
  • medir o desempenho da área de TI, alocar
    propriamente os recursos e mitigar os riscos
    inerentes
  • gerenciar e controlar as iniciativas de TI nas
    organizações para garantir o retorno de
    investimentos e a adoção de melhorias nos
    processos organizacionais

5
Responsabilidade sobre a Governança de TI
  • Alta administração das organizações

6
Domínios Cobit
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Assistir
7
Planejar e Organizar (PO)
  • PO1 Definir um plano estratégico de TI
  • PO2 Definir a arquitetura de informação
  • PO3 Determinar a direção tecnológica
  • PO4 Definir processos, organização e
    relacionamentos
  • PO5 Gerenciar o investimento em TI
  • PO6 Comunicar metas e diretivas gerenciais
  • PO7 Gerenciar recursos humanos de TI
  • PO8 Gerenciar qualidade
  • PO9 Avaliar e gerenciar riscos
  • PO10 Gerenciar projetos

7
8
Adquirir e Implementar (AI)
  • AI1 Identificar soluções
  • AI2 Adquirir e manter aplicações
  • AI3 Adquirir e manter infraestrutura tecnológica
  • AI4 Viabilizar operação e uso
  • AI5 Adquirir recursos de TI
  • AI6 Gerenciar mudanças
  • AI7 Instalar e certificar sistemas e mudanças

9
Entregar e Assistir (DS)
  • DS1 Definir e gerenciar níveis de serviços
  • DS2 Gerenciar serviços de terceiros
  • DS3 Gerenciar performance e capacidade
  • DS4 Garantir continuidade dos serviços
  • DS5 Garantir segurança dos sistemas
  • DS6 Identificar e alocar custos
  • DS7 Educar e treinar usuários
  • DS8 Gerenciar service desk e incidentes
  • DS9 Gerenciar a configuração
  • DS10 Gerenciar problemas
  • DS11 Gerenciar dados
  • DS12 Gerenciar o ambiente físico
  • DS13 Gerenciar a operação

10
Monitorar e Avaliar (ME)
  • ME1 Monitorar e avaliar o desempenho da TI
  • ME2 Monitorar e avaliar os controles internos
  • ME3 Assegurar conformidade às normas
  • ME4 Prover governança de TI

11
Processo de Contratação de TI
  • Na contratação de bens e serviços de TI é
    essencial a adoção de processo de trabalho
    formalizado, padronizado e judicioso quanto ao
    custo, à oportunidade e aos benefícios advindos
    para a organização. Esse processo melhora o
    relacionamento com os fornecedores e prestadores
    de serviços, maximiza a utilização dos recursos
    financeiros alocados à área de TI e contribui
    decisivamente para que os serviços de TI dêem o
    necessário suporte às ações da organização no
    alcance de seus objetivos e suas metas.
    (Acórdão 1.603/2008-TCU-Plenário)

12
Planejamento de Contratações de TI
  • O Cobit 4.1 em seu objetivo de controle AI5.1
    Procurement Control (Controle sobre aquisições)
    recomenda
  • Desenvolver e seguir um conjunto de
    procedimentos e padrões consistente com o
    processo de licitação e a estratégia de aquisição
    gerais da organização para adquirir
    infra-estrutura, instalações, hardware, software
    e serviços de TI necessários ao negócio.

13
Planejamento de Contratações de TI
  • O Acórdão 1.603/2008-Plenário TCU
  • 9.1. recomendar ao (órgãos/entidades)
  • (...)
  • 9.1.6. envidem esforços visando à implementação
    de processo de trabalho formalizado de
    contratação de bens e serviços de TI, bem como de
    gestão de contratos de TI, buscando a
    uniformização de procedimentos nos moldes
    recomendados no item 9.4 do Acórdão
    786/2006-TCU-Plenário

14
Planejamento de TI
  • Benefício do Planejamento Estratégico de TI
  • O planejamento estratégico torna-se uma
    importante ferramenta para a tomada de decisão e
    faz com que os gestores estejam aptos a agir com
    iniciativa, de forma pró-ativa, contra as ameaças
    e a favor das oportunidades identificadas nas
    constantes mudanças que ocorrem. (Acórdão
    1.603/2008-Plenário TCU)

15
Planejamento de TI
  • Necessidade de Planejamento de TI
  • Constituição Federal, art. 37
  • Decreto-Lei 200/1967, art. 6º, I
  • IN-4/2008 SLTI/MP, art. 3º
  • Acórdão 1.558/2003-Plenário TCU, item 9.3.9
  • Acórdão 1.603/2008-Plenário TCU, item 9.4.1
  • Cobit 4.1 PO1.4 IT Strategic Plan (Plano
    Estratégico de TI).

16
Planejamento de TI
  • A Constituição Federal estabelece
  • Art. 37. A administração pública direta e
    indireta de qualquer dos Poderes da União, dos
    Estados, do Distrito Federal e dos Municípios
    obedecerá aos princípios de legalidade,
    impessoalidade, moralidade, publicidade e
    eficiência...

17
Planejamento de TI
  • O Decreto-Lei 200/1967 estabelece
  • Art. 6º. As atividades da Administração Federal
    obedecerão aos seguintes princípios fundamentais
  • I - Planejamento.
  • II - Coordenação.
  • III - Descentralização.
  • IV - Delegação de Competência.
  • V - Controle.

18
Planejamento de TI
  • A IN-4/2008 da SLTI/MP estabelece
  • Art. 3º As contratações de que trata esta
    Instrução Normativa deverão ser precedidas de
    planejamento, elaborado em harmonia com o Plano
    Diretor de Tecnologia da Informação - PDTI,
    alinhado à estratégia do órgão ou entidade.

19
Planejamento de TI
  • O Acórdão 1.558/2003-Plenário TCU determina que
  • 9.3.9. atente para a necessidade de fazer
    cumprir o princípio constitucional da eficiência
    e as disposições contidas no art. 6º, I, do
    Decreto-Lei nº 200/67, implantando, na área de
    informática, um processo de planejamento que
    organize as estratégias, as ações, os prazos, os
    recursos financeiros, humanos e materiais, a fim
    de eliminar a possibilidade de desperdício de
    recursos públicos e de prejuízo ao cumprimento
    dos objetivos institucionais da unidade

20
Planejamento de TI
  • O Acórdão 1.603/2008-Plenário TCU
  • 9.4. recomendar ao Ministério do Planejamento,
    Orçamento e Gestão - MPOG que, nos
    órgãos/entidades da Administração Pública
    Federal
  • 9.4.1. promova ações com o objetivo de
    disseminar a importância do planejamento
    estratégico, procedendo, inclusive mediante
    orientação normativa, à execução de ações
    voltadas à implantação e/ou aperfeiçoamento de
    planejamento estratégico institucional,
    planejamento estratégico de TI e comitê diretivo
    de TI, com vistas a propiciar a alocação dos
    recursos públicos conforme as necessidades e
    prioridades da organização

21
Planejamento de TI
  • O Cobit 4.1 em seu objetivo de controle PO1.4 IT
    Strategic Plan (Plano Estratégico de TI)
    recomenda
  • Criar um plano estratégico que defina, em
    cooperação com os principais interessados, como
    as metas de TI contribuirão para os objetivos
    estratégicos da organização e quais os custos e
    riscos associados...

22
Planejamento de TI
  • Alinhamento entre PEI e PETI
  • O alinhamento de todos os planos, recursos e
    unidades organizacionais é um fator fundamental
    para que a estratégia delineada no planejamento
    possa ser implementada. Assim, o planejamento
    estratégico de TI tem que estar alinhado com os
    planos de negócio da organização para o
    estabelecimento das prioridades e das ações a
    serem realizadas na área de TI (Acórdão
    1.603/2008-TCU-Plenário)

23
Planejamento de TI
  • Alinhamento entre PEI e PETI
  • Cobit 4.1, objetivo de controle PO1.2 Business-IT
    Alignment (Alinhamento de TI com negócio)
  • Estabelecer processos de educação bidirecional e
    de envolvimento recíproco no planejamento
    estratégico para obtenção de alinhamento e
    integração entre o negócio e as ações de TI. As
    prioridades devem ser acordadas mutuamente a
    partir da negociação das necessidades do negócio
    e da área de TI .

24
Planejamento de TI
  • Comitê Diretivo de TI
  • IN-4/2008 da SLTI/MP estabelece em seu art. 4º
  • Parágrafo único. A Estratégia Geral de
    Tecnologia da Informação deverá abranger, pelo
    menos, os seguintes elementos
  • ...
  • IV - orientação para a formação de Comitês de
    Tecnologia da Informação que envolvam as diversas
    áreas dos órgãos e entidades, que se
    responsabilizem por alinhar os investimentos de
    Tecnologia da Informação com os objetivos do
    órgão ou entidade e apoiar a priorização de
    projetos a serem atendidos.

25
Planejamento de TI
  • Comitê Diretivo de TI
  • A existência de um comitê diretivo de TI (IT
    Steering Committee), que determine as prioridades
    de investimento e alocação de recursos nos
    diversos projetos e ações de TI, é de fundamental
    importância para o alinhamento entre as
    atividades de TI e o negócio da organização, bem
    como para a otimização dos recursos disponíveis e
    a redução do desperdício. O fato desse comitê ser
    composto por dirigentes de TI e de outras áreas
    da organização possibilita que as decisões de
    investimentos sejam obtidas a partir de uma visão
    mais abrangente, o que reduz os riscos de erro
    (Acórdão 1.603/2008-TCU-Plenário).

26
Planejamento de TI
  • Comitê Diretivo de TI
  • Cobit 4.1, objetivo de controle PO4.3 IT Steering
    Committee (Comitê Diretivo de TI)
  • Criar um comitê diretivo de TI (ou equivalente)
    composto de gerentes executivos, de negócios e de
    TI, para determinar as prioridades de
    investimento e alocação de recursos nas ações de
    TI, alinhadas às estratégias e prioridades da
    organização acompanhar o estágio de
    desenvolvimento dos projetos e resolver conflitos
    relativos a recursos e monitorar os níveis de
    serviço de TI e suas melhorias.

27
Instruções Normativas
  • A Secretaria de Logística e Tecnologia da
    Informação - SLTI do Ministério do Planejamento
    editou as Instruções Normativas 02/2008 e
    04/2008, as quais contemplam a maior parte das
    recomendações do TCU quanto à implementação do
    novo modelo de contratação de serviços de TI
    (Acórdãos 786/2006-TCU-Plenário, item 9.4,
    1480/2007-TCU-Plenário, item 9.1.2.6 e
    1999/2007-TCU-Plenário, item 9.4.1.1).
  • A IN/SLTI 04/2008 dispõe sobre o processo de
    contratação de serviços de Tecnologia da
    Informação pela Administração Pública Federal
    direta, autárquica e fundacional. Sua vigência
    iniciou-se em 2 de janeiro de 2009.
  • A IN/SLTI 02/2008, que substitui a IN/MARE
    18/1997, dispõe sobre regras e diretrizes para a
    contratação de serviços, continuados ou não. Essa
    norma aplica-se subsidiariamente à IN/SLTI
    04/2008.

28
Antigo modelo de contratação de TI
  • Desvantagens desse Modelo
  • (Vide Acórdão 786/2006-TCU-Plenário)
  • Ausência de parcelamento do objeto
  • Potencial limitação à competição
  • Risco de onerar indevidamente o contrato
  • Risco estratégico (dependência)
  • Risco na segurança da informação
  • Pagamento por homem-hora (HH)
  • Risco exclusivo do contratante
  • Anti-economicidade Paradoxo lucro-incompetência
  • Risco de remuneração de horas improdutivas

28
29
Fases da Contratação
  • A IN-4/2008 da SLTI/MP estabelece
  • Art. 7º As contratações de serviços de
    Tecnologia da Informação deverão seguir três
    fases
  • Planejamento da Contratação,
  • Seleção do Fornecedor, e
  • Gerenciamento do Contrato.

30
Planejamento da Contratação
  • A IN-4/2008 da SLTI/MP estabelece
  • Art. 9º A fase de Planejamento da Contratação
    consiste nas seguintes etapas
  • I - Análise de Viabilidade da Contratação
  • II - Plano de Sustentação
  • III - Estratégia de Contratação e
  • IV - Análise de Riscos.

31
Análise de Viabilidade da Contratação
  • A IN-4/2008 da SLTI/MP estabelece
  • Art. 10. A Análise de Viabilidade da
    Contratação, observado o disposto nos arts. 11 e
    12 desta instrução normativa, compreende as
    seguintes tarefas
  • Avaliação da necessidade (Requisitante e TI)
  • Motivação da contratação (Requisitante)
  • Especificação dos requisitos (TI)
  • Identificação das diferentes soluções (TI e
    Requisitante)
  • Justificativa da solução escolhida (TI).

32
Análise de Viabilidade da ContrataçãoAvaliação
da Necessidade
  • A área Requisitante, com apoio da área de TI,
    deve avaliar necessidade de acordo com
  • Objetivos estratégicos e
  • Necessidades corporativas da instituição.
  • Considerar
  • Alinhamento com PEI e PETI ou PDTI
  • Decreto nº 2.271/1997, art. 2º, inciso I
  • Acórdão 2.471/2008Plenário TCU, item 9.1.2
  • Cobit 4.1 PO1.2 Business-IT Alignment
    (Alinhamento de TI com Negócio).

33
Análise de Viabilidade da ContrataçãoMotivação
da Contratação
  • A área Requisitante deve explicitar a motivação
    da contratação levando em consideração
  • Gestor deve motivar seus atos
  • Acórdão nº 2.094/2004-TCU-Plenário, item 9.1.1
  • Acórdão nº 838/2004-TCU-Plenário, item 9.2.2
  • Cobit 4.1 PO5.2 Prioritisation Within IT
    Budget (Priorização Dentro do Orçamento de TI)
    Implementar um processo de tomada de decisão para
    priorizar a alocação de recursos de TI em
    operações, projetos e manutenção visando
    maximizar a contribuição da TI para otimizar o
    retorno de investimentos no portfolio de sistemas
    e outros serviços e bens de TI.

34
Análise de Viabilidade da ContrataçãoEspecificaçã
o dos Requisitos
  • A área de TI deve levantar
  • demandas dos potenciais gestores e usuários do
    serviço
  • soluções disponíveis no mercado e
  • análise de projetos similares realizados por
    outras instituições.
  • Considerar
  • Cobit 4.1 AI1 Identify Automated Solutions
    (Identificar Soluções Automatizadas), focando em
    identificar soluções efetivas e tecnicamente
    viáveis.

35
Análise de Viabilidade da ContrataçãoIdentificaçã
o das Diferentes Soluções
  • A área de TI, com apoio da área Requisitante,
    deve identificar soluções de acordo com
  • disponibilidade solução similar em outro
    órgão/entidade APF
  • soluções Portal do Software Público Brasileiro
  • capacidade e alternativas do mercado (inclusive
    software livre ou público)
  • observância às políticas, premissas e
    especificações e-Ping (interoperabilidade) e
    e-Mag (acessibilidade)
  • aderência à ICP-Brasil, quando houver
    certificação digital
  • custo financeiro estimado
  • Cobit 4.1 AI1 Identify Automated Solutions
    (Identificar Soluções Automatizadas) A
    necessidade para uma nova aplicação ou função
    requer uma pré-análise de aquisição ou
    criação visando assegurar que requisitos de
    negócio sejam satisfeitos em uma abordagem
    eficaz e eficiente.

36
Análise de Viabilidade da ContrataçãoJustificativ
a da Solução Escolhida
  • A área de TI deve elaborar justificativa
  • descrição sucinta, precisa, suficiente e clara
    da Solução de Tecnologia da Informação¹
    escolhida, indicando os serviços que a compõem
  • alinhamento em relação às necessidades
  • identificação dos benefícios que serão
    alcançados com a efetivação da contratação em
    termos de eficácia, eficiência, efetividade e
    economicidade.
  • (1) IN-4, art. 2º, inciso IV Solução de TI
    todos os serviços, produtos e outros elementos
    necessários que se integram para o alcance dos
    resultados pretendidos com a contratação

37
Análise de Viabilidade da ContrataçãoJustificativ
a da Solução Escolhida
  • Descrição sucinta, precisa, suficiente e clara da
    Solução de TI
  • Considerar
  • Acórdão nº 1.558/2003-TCU-Plenário, item 9.3.10
  • Cobit 4.1 AI1.3 Feasibility Study and Formulation
    of Alternative Courses of Action (Estudo de
    viabilidade e formulação de soluções alternativas)

38
Análise de Viabilidade da ContrataçãoJustificativ
a da Solução Escolhida
  • Alinhamento em relação às necessidades
  • Considerar
  • Decreto nº 2.271/1997, art. 2º, inciso II
  • Acórdão nº 2.094/2004-TCU-Plenário, item 9.1.1
  • Acórdão nº 1.558/2003-TCU-Plenário, item 9.3.11
  • Cobit 4.1, PO1.2 Business-IT Alignment
    (Alinhamento de TI com Negócio)

39
Análise de Viabilidade da ContrataçãoJustificativ
a da Solução Escolhida
  • Identificação dos benefícios que serão alcançados
    com a efetivação da contratação em termos de
    eficácia, eficiência, efetividade e economicidade
  • Considerar
  • Decreto nº 2.271/1997, art. 2º, inciso III
  • Acórdão nº 2.471/2008-TCU-Plenário, item 9.1.2
  • Cobit 4.1 PO5.2 Prioritisation Within IT Budget
    (Priorização Dentro do Orçamento de TI)

40
Análise de Viabilidade da Contratação
  • A IN-4 no único art. 10 estabelece que a
    Análise de Viabilidade da Contratação será
    aprovada e assinada pela área Requisitante e pela
    área de TI.

41
Análise de Viabilidade da Contratação
  • No art. 11, os requisitos definidos pela área
    Requisitante
  • I - de software, que independem de arquitetura
    tecnológica e definem os aspectos funcionais do
    software
  • II - de treinamento, com o apoio da área de TI,
    que definem a necessidade de treinamento
    presencial ou à distância, carga horária e
    entrega de materiais didáticos
  • III - legais, que definem as normas às quais a
    Solução de TI deve respeitar
  • IV - de manutenção, que independem de
    configuração tecnológica e definem a necessidade
    de serviços de manutenção preventiva, corretiva,
    evolutiva e adaptativa

42
Análise de Viabilidade da Contratação (cont.)
  • No art. 11, os requisitos definidos pela área
    Requisitante
  • ...
  • V - de prazo, que definem a prioridade da entrega
    da Solução de TI contratada
  • VI - de segurança, com o apoio da área de TI e
  • VII - sociais, ambientais e culturais, que
    definem requisitos que a Solução de TI deve
    atender para respeitar necessidades específicas
    relacionadas a costumes e idiomas, e ao
    meio-ambiente

43
Análise de Viabilidade da Contratação
  • No art. 12, os requisitos definidos pela área de
    TI
  • I - de arquitetura tecnológica, composta de
    hardware, softwares básicos, padrões de
    interoperabilidade, linguagem de programação e
    interface
  • II - de projeto, que estabelecem o processo de
    desenvolvimento de software, técnicas, métodos,
    forma de gestão e de documentação
  • III - de implantação, que definem o processo de
    disponibilização da solução em produção
  • IV - de garantia e manutenção, que definem a
    forma como será conduzida a manutenção e a
    comunicação entre as partes envolvidas

44
Análise de Viabilidade da Contratação
  • No art. 12, os requisitos definidos pela área de
    TI
  • ...
  • V - de treinamento, que definem o ambiente
    tecnológico de treinamentos ministrados e perfil
    do instrutor
  • VI - de experiência profissional
  • VII - de formação, que definem cursos acadêmicos
    e técnicos, certificação profissional e forma de
    comprovação e
  • VIII - de metodologia de trabalho.

45
Plano de Sustentação
  • A IN-4/2008 estabelece no art. 13
  • O Plano de Sustentação, a cargo da área de TI,
    com o apoio do Requisitante, abrange
  • I - segurança da informação
  • II - recursos materiais e humanos
  • III - transferência de conhecimento
  • IV - transição contratual e
  • V - continuidade dos serviços em eventual
    interrupção contratual.

46
Segurança da Informação
  • NBR ISO/IEC 27002
  • Código de prática de segurança da informação
  • Especial atenção para
  • Política de Segurança da Informação (PSI)
  • Classificação da Informação
  • Política de Controle de Acesso (PCA)
  • Competência definida em Segurança da Informação
    (SI)
  • Plano de Continuidade de Negócios (PCN).
  • ? Devem constar dos editais e contratos !!

47
Segurança da Informação
  • Legislação, Jurisprudência e Boas Práticas
  • Decreto nº 3.505/2000 (PSI)
  • IN-01 GSI/PR de 13.06.2008 (PSI e SI)
  • Acórdão nº 1.603/2008-TCU-Plenário
  • Acórdão nº 1.092/2007-TCU-Plenário (PSI, PCA,
    Classificação da Informação, SI e PCN)
  • Acórdão nº 2.023/2005-TCU-Plenário (PSI, PCA,
    Classificação da Informação e SI)
  • Acórdão nº 71/2007-TCU-Plenário (PSI, PCA e SI)
  • Cobit 4.1, objetivo de controle DS5.2 IT
    Security Plan (Plano de Segurança de TI).

48
Recursos Materiais e Humanos
  • Levantamento e definição dos recursos materiais e
    humanos próprios necessários para dar suporte à
    contratação.

49
Transferência de Conhecimentos
  • Manutenção do conhecimento no Órgão/Entidade
  • Especial atenção para
  • Contratação dos Serviços
  • Gestão do Contrato
  • Acórdão nº 1.603/2008-TCU-Plenário
  • Cobit 4.1 AI4.4 Knowledge Transfer to
    Operations and Support Staff (Transferência de
    Conhecimentos para Equipes de Operação e Suporte)
  • ? Deve constar dos editais e contratos !!

50
Transição Contratual
  • Previsão das atividades necessárias para a
    execução da transição contratual sem traumas.
    Observar que
  • é fase essencial
  • há superposição de contratos
  • contrato vigente somente deve ser encerrado
    quando novo contrato estiver em vigor
  • deve haver definição de responsabilidades.
  • ? Deve constar dos editais e contratos !!

51
Continuidade dos Serviços
  • Garantia de que os serviços providos e/ou
    suportados pela solução de TI terão continuidade
    mesmo que haja interrupção da execução
    contratual
  • Deve estar inserido na Gestão de Continuidade de
    Negócios
  • Aderente ao Plano de Continuidade de Negócios
  • ? Deve constar dos editais e contratos !!

52
Continuidade dos Serviços
  • Acórdão nº 1.603/2008-TCU-Plenário
  • ... ausência de plano de continuidade de
    negócios (PCN) em cerca de 88 dos pesquisados.
  • Sem planejamento dessa natureza, a organização
    fica vulnerável quando da (...) interrupções de
    serviços. Eventos que poderiam ser resolvidos sem
    grande perda, acabam por comprometer toda a base
    atual e histórica de informações da organização.

53
Continuidade dos Serviços
  • Deve ser observado
  • Acórdão nº 1.603/2008-TCU-Plenário
  • Cobit 4.1 DS4 Ensure Continuous Service
    (Garantir a Continuidade do Serviço A
    necessidade de prover serviços contínuos de TI
    requer desenvolvimento, manutenção e teste de
    planos de continuidade de TI, armazenamento de
    cópias de segurança em local alternativo e
    treinamento periódico de planejamento de
    continuidade)

54
Continuidade dos Serviços
  • Deve ser observado ainda
  • NBR 15999-12007, item 8.6 Planos de
    Continuidade de Negócios o propósito de um plano
    de continuidade de negócios (PCN) é permitir que
    uma organização recupere ou mantenha suas
    atividades em caso de uma interrupção das
    operações normais de negócios
  • NBR ISO/IEC 27002, item 14.1.3 Desenvolvimento
    e implementação de planos de continuidade
    relativos à segurança da informação convém que
    os planos sejam desenvolvidos e implementados
    para a manutenção ou recuperação das operações e
    para assegurar a disponibilidade da informação no
    nível requerido e na escala de tempo requerida,
    após a ocorrência de interrupções ou falhas
    dos processos críticos do negócio.

55
Continuidade dos Serviços
  • Efeitos reais e potenciais
  • Vulnerabilidade à ocorrência de interrupção de
    serviços
  • Perda de dados, inclusive históricos, de difícil
    recuperação
  • Dificuldade no restabelecimento das operações
    normais quando da ocorrência de interrupção de
    serviços
  • Vulnerabilidade a fraudes e erros durante a
    interrupção de serviços
  • Paralisação de funções essenciais de governo
    e/ou de Estado.

56
Estratégia de Contratação
  • A IN-4/2008 em seu art.14 estabelece as seguintes
    tarefas
  • I indicação do tipo de serviço, considerando o
    mercado e as soluções existentes no momento da
    licitação (TI)
  • II indicação dos termos contratuais (TI e
    Requisitante)
  • III definição da estratégia de independência do
    órgão ou entidade contratante com relação à
    contratada (TI)
  • IV indicação do Gestor do Contrato (TI)

57
Estratégia de Contratação
  • A IN-4/2008 em seu art.14 estabelece as seguintes
    tarefas
  • V definição das responsabilidades da
    contratada, que não poderá se eximir do
    cumprimento integral do contrato no caso de
    subcontratação (TI)
  • VI elaboração do orçamento detalhado (TI e área
    competente)
  • VII indicação da fonte de recursos para a
    contratação e a estimativa do impacto
    econômico-financeiro no orçamento do
    Órgão/Entidade (Requisitante)
  • VIII definição dos critérios técnicos de
    julgamento da proposta para a fase de Seleção do
    Fornecedor (TI).

58
Tipo de Serviço
  • I indicação do tipo de serviço, considerando o
    mercado e as soluções existentes no momento da
    licitação (TI)

59
Termos Contratuais
  • II indicação dos termos contratuais (TI e
    Requisitante)
  • a) fixação de procedimentos e de critérios de
    mensuração dos serviços prestados, abrangendo
    métricas, indicadores e valores
  • b) definição de metodologia de avaliação da
    adequação às especificações funcionais e da
    qualidade dos serviços
  • c) quantificação ou estimativa prévia do volume
    de serviços demandados, para comparação e
    controle
  • d) regras para aplicação de multas e demais
    sanções administrativas
  • e) garantia de inspeções e diligências, quando
    aplicável, e sua forma de exercício

60
Termos Contratuais (cont.)
  • II indicação dos termos contratuais (TI e
    Requisitante)
  • f) definição de direitos autorais e de
    propriedade intelectual
  • g) termo de compromisso, contendo declaração de
    manutenção de sigilo e ciência das normas de
    segurança vigentes no órgão ou entidade, a ser
    assinado pelo representante legal do fornecedor e
    seus empregados diretamente envolvidos na
    contratação
  • h) cronograma de execução física e financeira
  • i) forma de pagamento, que deverá ser efetuado em
    função dos resultados obtidos e
  • j) definição de mecanismos formais de comunicação
    a serem utilizados para troca de informações
    entre a contratada e a Administração

61
Estratégia de Independência
  • III definição da estratégia de independência do
    órgão ou entidade contratante com relação à
    contratada (TI)
  • a) forma de transferência de tecnologia e
  • b) direitos de propriedade intelectual e direitos
    autorais da Solução de Tecnologia da Informação,
    documentação, modelo de dados e base de dados,
    justificando os casos em que tais direitos não
    vierem a pertencer à Administração Pública

62
Gestor do Contrato
  • IV indicação do Gestor do Contrato (TI)
  • No art. 2, III - Gestor do Contrato servidor com
    capacidade gerencial, técnica e operacional
    relacionada ao objeto da contratação

63
Responsabilidades da Contratada
  • V definição das responsabilidades da
    contratada, que não poderá se eximir do
    cumprimento integral do contrato no caso de
    subcontratação (TI)

64
Orçamento Detalhado
  • VI elaboração do orçamento detalhado (TI e área
    competente), fundamentado em pesquisa no mercado,
    a exemplo de
  • contratações similares,
  • valores oficiais de referência,
  • pesquisa junto a fornecedores ou
  • tarifas públicas.

65
Fonte de Recursos
  • VII indicação da fonte de recursos para a
    contratação e a estimativa do impacto
    econômico-financeiro no orçamento do
    Órgão/Entidade (Requisitante)

66
Critérios Técnicos de Julgamento
  • VIII definição dos critérios técnicos de
    julgamento da proposta para a fase de Seleção do
    Fornecedor (TI), observando o seguinte
  • a) utilização de critérios correntes no mercado
  • b) a Análise de Viabilidade da Contratação
  • c) vedação da indicação de entidade
    certificadora, exceto nos casos previamente
    dispostos em normas do governo federal
  • d) o fator desempenho não pode ser pontuado com
    base em atestados relativos à duração de
    trabalhos realizados pelo licitante

67
Critérios Técnicos de Julgamento
  • VIII definição dos critérios técnicos de
    julgamento da proposta para a fase de Seleção do
    Fornecedor (TI), observando o seguinte
  • e) quando necessário para a comprovação da
    aptidão, pode se considerar mais de um atestado
    relativo ao mesmo quesito de capacidade técnica
  • f) vedação da pontuação progressiva de mais de um
    atestado para o mesmo quesito de capacidade
    técnica e
  • g) os critérios de pontuação devem ser
    justificados em termos do benefício que trazem
    para o contratante.

68
Estratégia de Contratação
  • A IN-4/2008 estabelece
  • Restrições quanto à aferição de esforço por meio
    da métrica homens-hora ( 1º)
  • Que é vedado contratar por postos de trabalho
    alocados ( 2º)
  • Vedações e recomendações quanto às licitações
    do tipo técnica e preço (s 3º e 4º)
  • A Estratégia de Contratação deverá ser aprovada
    e assinada pelo Requisitante e pela área de TI (
    5º)

69
Análise de Riscos
  • A IN-4/2008 estabelece no art. 16. que a Análise
    de Riscos deverá ser elaborada pelo Gestor do
    Contrato, com o apoio da área de TI e do
    Requisitante observando
  • I - identificação dos principais riscos que
    possam comprometer o sucesso do processo de
    contratação
  • II - identificação dos principais riscos que
    possam fazer com que os serviços prestados não
    atendam às necessidades do contratante, podendo
    resultar em nova contratação
  • III - identificação das possibilidades de
    ocorrência e dos danos potenciais de cada risco
    identificado

70
Análise de Riscos
  • A IN-4/2008 estabelece no art. 16. que a Análise
    de Riscos deverá ser elaborada pelo Gestor do
    Contrato, com o apoio da área de TI e do
    Requisitante observando
  • ...
  • IV - definição das ações a serem tomadas para
    amenizar ou eliminar as chances de ocorrência do
    risco
  • V - definição das ações de contingência a serem
    tomadas caso o risco se concretize e
  • VI - definição dos responsáveis pelas ações de
    prevenção dos riscos e dos procedimentos de
    contingência.

71
Análise de Riscos
  • Acórdão nº 1.603/2008-TCU-Plenário
  • A ausência da análise de riscos na área de TI,
    informada por 75 dos órgãos/entidades
    pesquisados, é um indício de que as ações de
    segurança não são executadas de maneira
    sintonizada com as necessidades do negócio dessas
    organizações. Isto porque, sem análise de riscos,
    não há como o gestor priorizar ações e
    investimentos com base em critérios claros e
    relacionados com o negócio da organização.
  • Além disso, o desconhecimento dos riscos na
    área de TI aumenta a exposição às ameaças de
    acesso indevido, indisponibilidade e perda de
    integridade (intencional, como no caso das
    fraudes, ou por falhas) das informações sob
    responsabilidade dessas organizações.

72
Análise de Riscos
  • Deve ser observado
  • Acórdão nº 1.603/2008-TCU-Plenário
  • Cobit 4.1 PO9.4 Risk Assessment (Análise de
    Riscos Avaliar periodicamente a probabilidade e
    o impacto de todos os riscos identificados,
    usando métodos qualitativos e quantitativos. A
    probabilidade e o impacto associados com o risco
    inerente e residual devem ser determinados
    individualmente por categoria)
  • NBR ISO/IEC 27002, item 4.1 Analisando/avaliand
    o os riscos de segurança da informação convém
    que as análises/avaliações de riscos
    identifiquem, quantifiquem e priorizem os riscos
    com base em critérios relevantes para a
    organização, e que os resultados orientem e
    determinem as ações de gestão apropriadas e as
    prioridades para o gerenciamento dos riscos de
    segurança da informação, e para a implementação
    dos controles selecionados, de maneira a proteger
    contra estes riscos.

73
Análise de Riscos
  • Identificação dos principais riscos
  • que possam comprometer o sucesso do processo de
    contratação
  • que possam fazer com que os serviços prestados
    não atendam às necessidades do contratante,
    podendo resultar em nova contratação
  • Identificação das possibilidades de ocorrência e
    dos danos potenciais de cada risco identificado

74
Análise de Riscos
  • definição das ações a serem tomadas
  • para amenizar ou eliminar as chances de
    ocorrência do risco
  • caso o risco se concretize e
  • definição dos responsáveis pelas ações de
    prevenção dos riscos e dos procedimentos de
    contingência.

75
Projeto Básico
  • Os serviços somente poderão ser licitados quando
    houver projeto básico aprovado pela autoridade
    competente (Lei 8.666/93, art. 7º, I e 2º, I e
    IN/SLTI 02/2008, art. 14).
  • O objeto da contratação deve estar precisamente
    caracterizado e quantificado no projeto básico
    (Lei 8.666/93, arts. 7º, 4º 8º 14 15, 7º
    55).
  • O projeto básico deve conter, no que couber, o
    detalhamento previsto no art. 6º, IX, da Lei
    8.666/93, devendo a sua definição ser precisa,
    suficiente e clara.
  • São vedadas especificações excessivas,
    irrelevantes ou desnecessárias que limitem ou
    frustrem a competição ou a realização do
    fornecimento (Decreto 3.555/2000, art. 8º, I e
    IN/SLTI 02/2008, art. 16).

76
Projeto Básico
  • Nos projetos básicos de serviços serão
    considerados principalmente os seguintes
    requisitos (art. 12 da Lei 8.666/1993)
  • segurança
  • funcionalidade e adequação ao interesse público
  • economia na execução, conservação e operação
  • possibilidade de emprego de mão-de-obra,
    materiais, tecnologia e matérias-primas
    existentes no local para execução, conservação e
    operação
  • facilidade na execução, conservação e operação,
    sem prejuízo da durabilidade do serviço
  • adoção das normas técnicas, de saúde e de
    segurança adequadas.

77
Projeto Básico
  • A IN/SLTI 04/2008, que cuida especificamente da
    contratação de serviços da área de TI, prevê, em
    seu art. 17, que o Projeto Básico deverá conter,
    no mínimo, as seguintes informações
  • definição do objeto
  • fundamentação da contratação
  • requisitos do serviço
  • modelo de prestação dos serviços
  • elementos para gestão do contrato
  • estimativa de preços
  • indicação do tipo de serviço
  • critérios de seleção do fornecedor e
  • adequação orçamentária.
  • (Vide Acórdão 2.471/2008-Plenário, item 9.1.1)

78
Seleção de Fornecedor
  • Art. 19. A fase de Seleção do Fornecedor
    observará as normas pertinentes, incluindo o
    disposto
  • na Lei nº 8.666, de 1993,
  • na Lei nº 10.520, de 2002,
  • no Decreto nº 2.271, de 1997,
  • no Decreto nº 3.555, de 2000,
  • no Decreto nº 3.931, de 2001, e
  • no Decreto nº 5.450, de 2005.

79
Encerrado o procedimento licitatório e contratado
o vencedor do certame para o fornecimento do
objeto, inicia-se a fase de execução
contratual.Nessa fase, compete à Administração
garantir que o contratado cumpra os termos
contratuais, de forma que o objeto do contrato
seja fornecido nas condições e prazos
estabelecidos.
Gerenciamento do Contrato
80
Gerenciamento do Contrato
  • A gestão contratual compreende uma série de
    atividades envolvendo
  • solicitação dos serviços
  • acompanhamento
  • fiscalização da execução
  • avaliação da qualidade e aderência às
    especificações
  • ateste da realização dos trabalhos
  • aplicação de penalidades
  • pagamento.

81
Processo de Gestão Contratual
  • Acórdão 1.603/2008-TCU-Plenário
  • Para se gerir adequadamente os riscos
    inerentes às atividades de TI, a adoção de
    processo formal de trabalho é de suma
    importância. Esse processo de trabalho deve ser
    definido, padronizado, documentado, aprovado e
    divulgado para toda a organização.

82
Processo de Gestão Contratual
  • Lei nº 8.666/1993, Capítulo III
  • IN-04/2008, Seção III
  • Acórdão 1.603/2008-TCU-Plenário
  • Cobit 4.1 AI5.1 Procurement Control (Controle
    sobre aquisições) desenvolver e seguir um
    conjunto de procedimentos e padrões consistente
    com o processo de licitação e a estratégia de
    aquisição gerais da organização para adquirir
    infra-estrutura, instalações, hardware, software
    e serviços de TI necessários ao negócio.

83
Processo de Gestão Contratual
  • Início da Execução Contratual
  • Execução Contratual
  • Monitoração Técnica (eficiência/efetividade)
  • Atestação Técnica
  • Monitoração Administrativa
  • Autorização de Pagamento
  • Encerramento e Transição Contratual
  • O registro das tarefas acima deverá compor o
    Histórico de Gestão do Contrato

84
Início da Execução Contratual
  • Elaboração, pelo Gestor do Contrato, de um plano
    de inserção da contratada que contemple
  • o repasse de conhecimentos necessários para a
    execução dos serviços à contratada e
  • a disponibilização de infra-estrutura à
    contratada, quando couber
  • Reunião inicial entre o Gestor do Contrato, Área
    de TI, Requisitante e a contratada, cuja pauta
    observará, pelo menos
  • assinatura do termo de compromisso de manutenção
    de sigilo e ciência das normas de segurança
    vigentes no órgão ou entidade e
  • esclarecimentos relativos a questões operacionais
    e de gerenciamento do contrato.

85
Início da Execução Contratual
  • Reunião de alinhamento de expectativas
  • Checagem de compreensão do objetivo, do objeto,
    do modelo de prestação de serviços, do modelo de
    gestão, das obrigações e das penalidades
  • Releitura do Edital, Contrato e termos da
    proposta vencedora
  • Manutenção das condições habilitatórias e
    pontuadas
  • Confirmação de cronogramas (etapas, faturamento,
    etc.)

86
Encaminhamento Formal de Demandas
  • Encaminhamento formal de demandas pelo Gestor
    do Contrato ao preposto da contratada por meio de
    Ordens de Serviço, que conterão
  • definição e especificação dos serviços a serem
    realizados
  • volume de serviços solicitados e realizados
    segundo as métricas definidas
  • resultados esperados
  • o cronograma de realização dos serviços,
    incluídas todas as tarefas significativas e seus
    respectivos prazos
  • avaliação da qualidade dos serviços realizados e
    as justificativas do avaliador e
  • identificação dos responsáveis pela solicitação,
    avaliação da qualidade e ateste dos serviços
    realizados, que não podem ter vínculo com a
    empresa contratada

87
Monitoramento da Execução
  • A cargo do Gestor do Contrato, com apoio
    Requisitante e da Área de TI, que consiste em
  • recebimento mediante análise da avaliação dos
    serviços, com base nos critérios previamente
    definidos
  • ateste para fins de pagamento
  • identificação de desvios e encaminhamento de
    demandas de correção
  • encaminhamento de glosas e sanções
  • verificação de aderência às normas do contrato
  • verificação da manutenção da necessidade,
    economicidade e oportunidade da contratação
  • verificação da manutenção das condições
    classificatórias, pontuadas e da habilitação
    técnica

88
Monitoramento da Execução
  • (continuação)
  • manutenção do Plano de Sustentação
  • comunicação às autoridades competentes sobre a
    proximidade do término do contrato, com pelo
    menos 60 (sessenta) dias de antecedência
  • manutenção dos registros de aditivos
  • encaminhamento às autoridades competentes de
    eventuais pedidos de modificação contratual e
  • manutenção de registros formais de todas as
    ocorrências da execução do contrato, por ordem
    histórica.

89
Processo de Gestão Contratual
  • Execução contratual
  • Monitoração técnica (eficiência e efetividade)
  • Reuniões periódicas, quando conveniente
  • Procedimentos de verificação de nível de serviço
  • Notificação de desvios de normalidade
  • Encaminhamento de proposta de apenação (glosas e
    sanções)
  • Capacitação e disponibilidade de fiscalizadores

90
Processo de Gestão Contratual
  • Execução contratual
  • Atestação técnica
  • Registro (para eventual auditoria) da verificação
    de execução
  • Registro das notificações/apenações e seu
    andamento
  • Propostas de glosa

91
Processo de Gestão Contratual
  • penalidades cabíveis e valores das multas
  • as penalidades estão previstas no art. 87 da Lei
    nº 8.666/1993 e art. 7º da Lei nº 10.520/2002
  • o contrato deverá especificar as condições de
    aplicação da multa e respectivos valores.

92
Processo de Gestão Contratual
  • Execução contratual
  • Monitoração Administrativa (legalidade e
    economicidade)
  • Aspectos trabalhistas (encargos, subordinação
    direta, desvio de função, pessoalidade indevida,
    ingerência administrativa)
  • Aspectos fiscais (regularidade cadastral)
  • Manutenção das condições habilitatórias/pontuadas
  • Atendimento aos normativos internos
  • Verificação da vantajosidade do preço
    (estabelecer periodicidade e método para
    verificação)

93
Processo de Gestão Contratual
  • Execução contratual
  • Autorização de pagamento
  • Mensuração do serviço prestado
  • Registro (para eventual auditoria) da mensuração

94
  • Obrigado
  • andrefp_at_tcu.gov.br
  • (61) 3316-5900
  • www.tcu.gov.br/fiscalizacaoti

95
  • www.tcu.gov.br
  • Valores
  • Ética
  • Justiça
  • Efetividade
  • Independência
  • Profissionalismo
About PowerShow.com