AcordÃo tcu plenario 1233-2012

ACÓRDÃO Nº 1233/2012 – TCU – Plenário 1. Processo nº TC 011.772/2010-7. 2. Grupo I – Classe de Assunto V: Relatório de Auditoria 3. Interessados/Responsáveis: 3.1. Interessada: Secretaria de Fiscalização de Tecnologia da Informação – Sefti. 4. Órgão: Ministério da Saúde (vinculador). 5. Relator: Ministro Aroldo Cedraz. 6. Representante do Ministério Público: Subprocurador-Geral Paulo Soares Bugarin. 7. Unidade Técnica: Sec. de Fisc. de Tec. da Informação (SEFTI). 8. Advogado constituído nos autos: não há. 9. Acórdão: Trata-se de relatório consolidado das ações do TMS 6/2010, cujo objeto foi avaliar se a gestão e o uso da tecnologia da informação estão de acordo com a legislação e aderentes às boas práticas de governança de TI. ACORDAM os Ministros do Tribunal de Contas da União, reunidos em Sessão Plenária, ante as razões expostas pelo Relator, em: 9.1. recomendar, com fundamento no art. 43, inciso I, da Lei 8.443/1992, c/c o art. 250, inciso III do Regimento Interno do TCU, à Câmara de Políticas de Gestão, Desempenho e Competitividade (CGDC) do Conselho de Governo que: 9.1.1 em atenção Decreto-Lei 200/1967, art. 6º, inciso I, e art. 7º, normatize a obrigatoriedade de que todos os entes sob sua jurisdição estabeleçam processo de planejamento estratégico institucional, observando as boas práticas sobre o tema, a exemplo do critério de avaliação 2 do Gespública, contemplando, pelo menos (subitem II.1): 9.1.1.1. elaboração, com participação de representantes dos diversos setores da organização, de um documento que materialize o plano estratégico institucional de longo prazo, contemplando, pelo menos, objetivos, indicadores e metas para a organização; 9.1.1.2. aprovação, pela mais alta autoridade da organização, do plano estratégico 9.1.1.3. desdobramento do plano estratégico pelas unidades executoras; 9.1.1.4. divulgação do plano estratégico institucional para conhecimento dos cidadãos brasileiros, exceto nos aspectos formalmente declarados sigilosos ou restritos; 9.1.1.5. acompanhamento periódico do alcance das metas estabelecidas, para correção de 9.1.1.6. divulgação interna e externa do alcance das metas, ou dos motivos de não as ter 9.1.2. em atenção Decreto-Lei 200/1967, art. 6º, inciso I, e art. 7º, normatize a obrigatoriedade de que todos os entes sob sua jurisdição estabeleçam processo de planejamento estratégico de TI, observando as boas práticas sobre o tema, a exemplo do processo “PO1 – Planejamento Estratégico de TI” do Cobit 4.1, contemplando, pelo menos (subitem II.2): 9.1.2.1. elaboração, com participação de representantes dos diversos setores da organização, de um documento que materialize o plano estratégico de TI, contemplando, pelo menos: 9.1.2.1.1. objetivos, indicadores e metas para a TI organizacional, sendo que os objetivos devem estar explicitamente alinhados aos objetivos de negócio constantes do plano estratégico institucional; 9.1.2.1.2. alocação de recursos (financeiros, humanos, materiais etc); 9.1.2.1.3. estratégia de terceirização; 9.1.2.2. aprovação, pela mais alta autoridade da organização, do plano estratégico de TI; 9.1.2.3. desdobramento do plano estratégico de TI pelas unidades executoras; 9.1.2.4. divulgação do plano estratégico de TI para conhecimento dos cidadãos brasileiros, exceto nos aspectos formalmente declarados sigilosos ou restritos; 9.1.2.5. acompanhamento periódico do alcance das metas estabelecidas, para correção de 9.1.2.6. divulgação interna e externa do alcance das metas, ou os motivos de não as ter 9.1.3. em atenção ao Decreto-Lei 200/1967, art. 6º, V, estabeleça, normativamente para todos os entes sob sua jurisdição, a obrigatoriedade de a alta administração implantar uma estrutura de controles internos, mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades no processo de planejamento estratégico institucional (subitem II.11); 9.2. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, à Secretaria de Logística e Tecnologia da Informação (SLTI/MP) que: 9.2.1. normatize a obrigatoriedade de que os entes sob sua jurisdição estabeleçam comitês de TI, observando as boas práticas sobre o tema, a exemplo do Cobit 4.1, PO4.2 – comitê estratégico de TI e PO4.3 – comitê diretor de TI (subitem II.3); 9.2.2. oriente os órgãos e entidades sob sua jurisdição a realizar avaliação quantitativa e qualitativa do pessoal do setor de TI, de forma a delimitar as necessidades de recursos humanos necessárias para que estes setores realizem a gestão das atividades de TI da organização (subitem II.3); 9.2.3. elabore um modelo de processo de software para a os entes sob sua jurisdição, observando as boas práticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem II.5); 9.2.4. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem um processo de software para si, observando as boas práticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem II.5); 9.2.5. elabore um modelo de estrutura de gerenciamento de projetos para os entes sob sua jurisdição, observando as boas práticas sobre o tema (e.g., PMBoK; subitem II.6); 9.2.6. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem um processo de gerenciamento de projetos para si, observando as boas práticas sobre o tema (e.g., PMBoK; subitem II.6); 9.2.7. elabore um modelo de processo de gestão de serviços para os entes sob sua jurisdição que inclua, pelo menos, gestão de configuração, gestão de incidentes e gestão de mudança, observando as boas práticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem II.7); 9.2.8. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem processos de gestão de serviços para si, incluindo, pelo menos, gestão de configuração, gestão de incidentes e gestão de mudança, observando as boas práticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem II.7); 9.2.9. em atenção ao Decreto-Lei 200/1967, art. 6º, V, estabeleça, normativamente para todos os entes sob sua jurisdição, a obrigatoriedade de a alta administração implantar uma estrutura de controles internos mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades, pelo menos nos seguintes processos (subitem II.11): 9.2.9.1. planejamento estratégico de TI; 9.2.9.2. funcionamento dos comitês de TI; 9.2.9.6.gerenciamento de serviços de TI; 9.2.9.9. contratação e gestão de soluções de TI; 9.2.9.10. monitoração do desempenho da TI organizacional. 9.3. determinar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso II, à Secretaria de Logística e Tecnologia da Informação (SLTI/MP) que: 9.3.1. em atenção ao previsto no Decreto 7.579/2011, art. 4º, V, oriente os entes sob sua jurisdição sobre a necessidade de vincular seus contratos de serviços de desenvolvimento ou manutenção de software a um processo de software, pois, sem esta vinculação, o objeto do contrato não estará precisamente definido, em desconformidade com o disposto na Lei 8.666/1993, art. 6º, inciso IX (subitem II.5); 9.3.2. em atenção ao disposto no Decreto 1.094/1994, art. 2º, inciso I, oriente os órgãos e entidades sob sua jurisdição para que (subitem III.1): 9.3.2.1. ao realizarem licitação com finalidade de criar ata de registro de preços atentem 9.3.2.1.1. devem fundamentar formalmente a criação de ata de registro de preços, e.g., por um dos incisos do art. 2º do Decreto 3.931/2001 (Acórdão 2.401/2006-TCU-Plenário); 9.3.2.1.2. devem praticar todos os atos descritos no Decreto 3.931/2001, art. 3º, § 2º, em especial o previsto no seu inciso I, que consiste em “convidar mediante correspondência eletrônica ou outro meio eficaz, os órgãos e entidades para participarem do registro de preços”; 9.3.2.1.3. o planejamento da contratação é obrigatório, sendo que se o objeto for solução de TI, caso seja integrante do Sisp, deve executar o processo de planejamento previsto na IN – SLTI/MP 4/2010 (IN – SLTI/MP 4/2010, art. 18, inciso III) ou, caso não o seja, deve realizar os devidos estudos técnicos preliminares (Lei 8.666/1993, art. 6º, inciso IX); 9.3.2.1.4. a fixação, no termo de convocação, de quantitativos (máximos) a serem contratados por meio dos contratos derivados da ata de registro de preços, previstos no Decreto 3.931/2001, art. 9º, inciso II, é obrigação e não faculdade do gestor (Acórdão 991/2009-TCU-Plenário, Acórdão 1.100/2007-TCU-Plenário e Acórdão 4.411/2010-TCU-2ª Câmara); 9.3.2.1.5. em atenção ao princípio da vinculação ao instrumento convocatório (Lei
8.666/1993, art. 3º, caput), devem gerenciar a ata de forma que a soma dos quantitativos
contratados em todos os contratos derivados da ata não supere o quantitativo máximo previsto no
edital;

9.3.3. quando realizarem adesão à ata de registro de preços atentem que: 9.3.3.1. o planejamento da contratação é obrigatório, sendo que se o objeto for solução de TI, caso seja integrante do Sisp, deve executar o processo de planejamento previsto na IN – SLTI/MP 4/2010 (IN – SLTI/MP 4/2010, art. 18, inciso III) ou, caso não o seja, realizar os devidos estudos técnicos preliminares (Lei 8.666/1993, art. 6º, inciso IX); 9.3.3.2. devem demonstrar formalmente a vantajosidade da adesão, nos termos do Decreto 9.3.3.3. as regras e condições estabelecidas no certame que originou a ata de registro de preços devem ser conformes as necessidades e condições determinadas na etapa de planejamento da contratação (Lei 8.666/1993, art. 6º, inciso IX, alínea d, c/c o art. 3º, § 1º, inciso I, e Lei 10.520/2002, art. 3º, inciso II); 9.3.4. em atenção ao Decreto 7.579/2011, art. 4º, V, oriente os órgãos e entidades sob sua jurisdição para que, caso possuam contratos com empresas públicas prestadoras de serviços de TI (subitem III.3): 9.3.4.1. analisem a conformidade dos termos do contrato e do projeto básico e verifiquem 9.3.4.1.1. foi realizado o adequado planejamento da contratação, consistindo na execução do processo de planejamento previsto na IN – SLTI/MP 4/2010 se for integrante do Sisp (IN – SLTI/MP 4/2010, art. 18, inciso II) ou, caso não o seja, se foram realizados os devidos estudos técnicos preliminares (Lei 8.666/1993, art. 6º, inciso IX); 9.3.4.1.2. as especificações do objeto são precisas e suficientes, em conformidade com a 9.3.4.1.3. os critérios de mensuração dos serviços são precisos e suficientes, de acordo com o determinado na Lei 8.666/1993, art. 6º, IX, e (também necessários de acordo com a IN – SLTI 4/2010, art. 14, II, a); 9.3.4.1.4. a metodologia de avaliação da adequação dos produtos é precisa e suficiente, de acordo com o determinado na Lei 8.666/1993, art. 6º, IX, e (também necessária de acordo com a IN – SLTI 4/2010, art. 14, II, c); 9.3.4.1.5. as cláusulas de penalidades contidas na Lei 8.666/1993, art. 87, de acordo com o determinado na Lei 8.666/1993, art. 55, VII e VIII, são detalhadas e atendem aos princípios da razoabilidade, proporcionalidade e prudência (e também o previsto na IN – SLTI 4/2010, art. 15, III, h); 9.3.4.1.6. o modelo de pagamento é vinculado a resultados, obedecendo ao princípio constitucional da eficiência (e também ao previsto no Decreto 2.271/1997, art. 3º, § 1º, e na IN – SLTI 4/2010, art. 15, §§ 2º e 3º); 9.3.4.1.7. a justificativa dos preços contratados é adequadamente fundamentada em arrazoada pesquisa de mercado, de acordo com o determinado na Lei 8.666/1993, art. 26, III, inclusive com a análise da planilha de composição de custos dos serviços, necessária segundo a Lei 8.666/1993, art. 7º, § 2º, II; 9.3.4.2. caso a análise realizada de acordo com orientação acima indique desconformidade, elaborem plano de ação para providenciar as adequações contratuais necessárias, que deverão ser realizadas no prazo de 180 dias; 9.3.4.3. mantenham o resultado da análise de conformidade empreendida em documento formalizado, à disposição dos controles externo e interno; 9.3.4.4. informem seu órgão de assessoramento jurídico e sua unidade de auditoria interna da análise que está sendo empreendida e do resultado obtido; 9.3.5. em atenção ao Decreto 7.579/2011, art. 4º, V, oriente os órgãos e entidades sob sua 9.3.5.1. mesmo que a execução de seus serviços de tecnologia da informação seja transferida mediante contrato ou outro acordo a outra organização pública, como as empresas públicas prestadoras de serviços de tecnologia da informação, as atividades de gestão (planejamento, coordenação, supervisão e controle) de TI devem ser acometidas a pessoas integrantes do quadro permanente, ou, excepcionalmente, a detentores de cargo em comissão, da organização contratante, não podendo ser delegadas a pessoas direta ou indiretamente ligadas à contratada; 9.3.5.2. a contratação de empresas públicas prestadoras de serviços de tecnologia da informação não afasta a necessidade de a organização contratante manter estrutura de governança de TI própria, que direcione e controle a gestão desses contratos bem como a gestão de todos os processos de TI da organização; 9.4. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Ministério do Planejamento, Orçamento e Gestão que: 9.4.1. em atenção ao Decreto 5.707/2006, art. 5º, § 2º, c/c o art. 1º, III, discipline a forma de acesso às funções de liderança nos setores de Tecnologia da Informação, considerando as competências multidisciplinares necessárias para estas funções, que incluem, mas não se limitam a conhecimentos em TI (subitem II.3). 9.5. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, à Secretaria de Orçamento Federal (SOF/MP) que: 9.5.1. implante controles para mitigar os riscos de ocorrência de propostas orçamentárias que indevidamente não tenham previsão de despesas com tecnologia da informação (subitem II.4); 9.5.2 com base no disposto na Lei 10.180/2001, art. 8º, II, c/c Decreto 7.063/2010, art. 17, II, normatize a obrigatoriedade de que todos os entes sob sua jurisdição estabeleçam processo de trabalho formal para elaboração e acompanhamento da execução do orçamento, contemplando, pelo menos, a obrigatoriedade de que (subitem II.4): 9.5.2.1. a solicitação do orçamento de TI seja feita com base nas estimativas de custos das atividades que pretendam executar, alinhadas aos objetivos do negócio da organização; 9.5.2.2. haja acompanhamento, ao longo do exercício financeiro, dos gastos efetuados 9.6. determinar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso II, à Secretaria de Orçamento Federal (SOF/MP) que, em atenção ao Decreto-Lei 200/1967, art. 75, encaminhe, à Secretaria de Fiscalização de Tecnologia da Informação do Tribunal de Contas da União (Sefti/TCU): 9.6.1. no prazo de quinze dias após o envio do projeto da Lei de Diretrizes Orçamentárias ao Congresso Nacional, as medidas adotadas para permitir a identificação clara, objetiva e transparente da previsão dos gastos em TI no Orçamento Geral da União ou, alternativamente, normatize o processo de trabalho para obtenção de ditas informações, valendo-se da competência prevista no Decreto 7.063/2010, art. 17, II (subitem II.4); 9.6.2. no prazo de quinze dias após o envio do Projeto da Lei Orçamentária Anual (PLOA) ao Congresso Nacional, relação da previsão das despesas com TI que constam do PLOA, em meio magnético, na forma de banco de dados editável ou planilha eletrônica, no maior detalhamento possível, preferencialmente no formato encaminhado por meio do Ofício 06/SECAD/SOF/MP, de 25/2/2010, ou, alternativamente, disponibilize funcionalidade nos seus sistemas informatizados para que a Sefti/TCU possa acessar os dados requeridos para o atendimento da determinação (subitem II.4); 9.6.3. no prazo de quinze dias após a publicação da Lei Orçamentária Anual (LOA), relação da previsão das despesas com TI que constam da LOA, em meio magnético, na forma de banco de dados editável ou planilha eletrônica, no maior detalhamento possível, preferencialmente no formato encaminhado por meio do Ofício 06/SECAD/SOF/MP, de 25/2/2010, ou, alternativamente, disponibilize funcionalidade nos seus sistemas informatizados para que a Sefti/TCU possa acessar os dados requeridos para o atendimento da determinação (subitem II.4). 9.7. determinar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso II, à Departamento de Coordenação e Governança das Estatais (Dest/MP) que: em atenção ao Decreto-Lei 200/1967, art. 75, encaminhe, à Secretaria de Fiscalização de Tecnologia da Informação do Tribunal de Contas da União (Sefti/TCU): 9.7.1. no prazo de quinze dias após o envio do Projeto da Lei Orçamentária Anual (PLOA) ao Congresso Nacional, relação da previsão das despesas com TI que constam do PLOA, em meio magnético, na forma de banco de dados editável ou planilha eletrônica, no maior detalhamento possível, preferencialmente no formato encaminhado por meio do Ofício 163/2010/MP/SE/DEST, de 23/2/2010, ou, alternativamente, disponibilize funcionalidade nos seus sistemas informatizados para que a Sefti/TCU possa acessar os dados requeridos para o atendimento da determinação (subitem II.4); 9.7.2. no prazo de quinze dias após a publicação da Lei Orçamentária Anual (LOA), relação da previsão das despesas com TI que constam da LOA, em meio magnético, na forma de banco de dados editável ou planilha eletrônica, no maior detalhamento possível, preferencialmente no formato encaminhado por meio do Ofício 163/2010/MP/SE/DEST, de 23/2/2010, ou, alternativamente, disponibilize funcionalidade nos seus sistemas informatizados para que a Sefti/TCU possa acessar os dados requeridos para o atendimento da determinação (subitem II.4); 9.7.3. em atenção ao disposto no Decreto 7.063/2010, art. 6º, inciso XII, oriente as entidades sob sua jurisdição para que (subitem III.1): 9.7.3.1. ao realizarem licitação com finalidade de criar ata de registro de preços atentem 9.7.3.1.1. devem fundamentar formalmente a criação de ata de registro de preços, e.g., por um dos incisos do art. 2º do Decreto 3.931/2001 (Acórdão 2.401/2006-TCU-Plenário); 9.7.3.1.2. devem praticar todos os atos descritos no Decreto 3.931/2001, art. 3º, § 2º, em especial o previsto no seu inciso I, que consiste em “convidar mediante correspondência eletrônica ou outro meio eficaz, os órgãos e entidades para participarem do registro de preços”; 9.7.3.1.3. o planejamento da contratação é obrigatório, sendo obrigatória a realização dos devidos estudos técnicos preliminares (Lei 8.666/1993, art. 6º, inciso IX); 9.7.3.1.4. a fixação, no termo de convocação, de quantitativos (máximos) a serem contratados por meio dos contratos derivados da ata de registro de preços, previstos no Decreto 3.931/2001, art. 9º, inciso II, é obrigação e não faculdade do gestor (Acórdão 991/2009-TCU-Plenário, Acórdão 1.100/2007-TCU-Plenário e Acórdão 4.411/2010-TCU-2ª Câmara); 9.7.3.1.5. em atenção ao princípio da vinculação ao instrumento convocatório (Lei 8.666/1993, art. 3º, caput), devem gerenciar a ata de forma que a soma dos quantitativos contratados em todos os contratos derivados da ata não supere o quantitativo máximo previsto no edital; 9.7.3.2. quando realizarem adesão à ata de registro de preços atentem que: 9.7.3.2.1. o planejamento da contratação é obrigatório, sendo obrigatória a realização dos devidos estudos técnicos preliminares (Lei 8.666/1993, art. 6º, inciso IX); 9.7.3.2.2. devem demonstrar formalmente a vantajosidade da adesão, nos termos do 9.7.3.2.3. as regras e condições estabelecidas no certame que originou a ata de registro de preços devem ser conformes as necessidades e condições determinadas na etapa de planejamento da contratação (Lei 8.666/1993, art. 6º, inciso IX, alínea d, c/c o art. 3º, § 1º, inciso I, e Lei 10.520/2002, art. 3º, inciso II); 9.7.4. em atenção ao disposto no Decreto 7.063/2010, art. 6º, inciso XII, oriente as entidades sob sua jurisdição para que, caso possuam contratos com empresas públicas prestadoras de serviços de TI (subitem III.3): 9.7.4.1. analisem a conformidade dos termos do contrato e do projeto básico e verifiquem 9.7.4.1.1. foi realizado o adequado planejamento da contratação, consistindo na execução do processo de planejamento previsto na IN – SLTI/MP 4/2010 se for integrante do Sisp (IN – SLTI/MP 4/2010, art. 18, inciso II) ou, caso não o seja, se foram realizados os devidos estudos técnicos preliminares (Lei 8.666/1993, art. 6º, inciso IX); 9.7.4.1.2. as especificações do objeto são precisas e suficientes, em conformidade com a 9.7.4.1.3. os critérios de mensuração dos serviços são precisos e suficientes, de acordo com o determinado na Lei 8.666/1993, art. 6º, IX, e (também necessários de acordo com a IN – SLTI 4/2010, art. 14, II, a); 9.7.4.1.4. a metodologia de avaliação da adequação dos produtos é precisa e suficiente, de acordo com o determinado na Lei 8.666/1993, art. 6º, IX, e (também necessária de acordo com a IN – SLTI 4/2010, art. 14, II, c); 9.7.4.1.5. as cláusulas de penalidades contidas na Lei 8.666/1993, art. 87, de acordo com o determinado na Lei 8.666/1993, art. 55, VII e VIII, são detalhadas e atendem aos princípios da razoabilidade, proporcionalidade e prudência (e também o previsto na IN – SLTI 4/2010, art. 15, III, h); 9.7.4.1.6. o modelo de pagamento é vinculado a resultados, obedecendo ao princípio constitucional da eficiência (e também ao previsto no Decreto 2.271/1997, art. 3º, § 1º, e na IN – SLTI 4/2010, art. 15, §§ 2º e 3º); 9.7.4.1.7. a justificativa dos preços contratados é adequadamente fundamentada em arrazoada pesquisa de mercado, de acordo com o determinado na Lei 8.666/1993, art. 26, III, inclusive com a análise da planilha de composição de custos dos serviços, necessária segundo a Lei 8.666/1993, art. 7º, § 2º, II; 9.7.4.2. caso a análise realizada de acordo com orientação acima indique desconformidade, elaborem plano de ação para providenciar as adequações contratuais necessárias, que deverão ser realizadas no prazo de 180 dias; 9.7.4.3. mantenham o resultado da análise de conformidade empreendida em documento formalizado, à disposição dos controles externo e interno; 9.7.4.4. informem seu órgão de assessoramento jurídico e sua unidade de auditoria interna da análise que está sendo empreendida e do resultado obtido; 9.7.5. em atenção ao disposto no Decreto 7.063/2010, art. 6º, inciso XII, oriente as entidades sob sua jurisdição que (subitem III.3): 9.7.5.1. mesmo que a execução de seus serviços de tecnologia da informação seja transferida mediante contrato ou outro acordo a outra organização pública, como as empresas públicas prestadoras de serviços de tecnologia da informação, as atividades de gestão (planejamento, coordenação, supervisão e controle) de TI devem ser acometidas a pessoas integrantes do quadro permanente, ou, excepcionalmente, a detentores de cargo em comissão, da organização contratante, não podendo ser delegadas a pessoas direta ou indiretamente ligadas à contratada; 9.7.5.2. a contratação de empresas públicas prestadoras de serviços de tecnologia da informação não afasta a necessidade de a organização contratante manter estrutura de governança de TI própria, que direcione e controle a gestão desses contratos bem como a gestão de todos os processos de TI da organização. 9.8. Recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Gabinete de Segurança Institucional da Presidência da república (GSI/PR) que: 9.8.1. em atenção à Lei 10.168/2003, art. 6º, IV, articule-se com as escolas de governo, notadamente à Enap, a fim de ampliar a oferta de ações de capacitação em segurança da informação para os entes sob sua jurisdição (subitem II.8); 9.8.2. em atenção a Lei 10.168/2003, art. 6º, IV, oriente os órgãos e entidades sob sua jurisdição que a implantação dos controles gerais de segurança da informação positivados nas normas do GSI/PR não é faculdade, mas obrigação da alta administração, e sua não implantação sem justificativa é passível da sanção prevista na Lei 8.443/1992, art. 58, II (subitem II.8); 9.8.3. reveja a Norma Complementar 4/IN01/DSIC/GSIPR, uma vez que aborda o tema gestão de riscos considerando apenas ativo de informação e não ativo em sentido amplo, como o faz a NBR ISO/IEC 27.002 no item 7.1.1 (subitem II.8). 9.9. Recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Comitê Gestor da Política Nacional de Desenvolvimento de Pessoal que, em atenção ao Decreto 5.707/2006, art. 7º, II e IV: 9.9.1. oriente os órgãos e entidades sob sua jurisdição sobre a obrigatoriedade de aprovar o plano anual de capacitação, nos termos do Decreto 5.707/2006, arts. 5º e 2º, c/c Portaria MP 208/2006, art. 2º, I, e art. 4º (subitem II.9); 9.9.2. estabeleça, após consulta à Secretaria de Logística e Tecnologia da Informação, um programa de capacitação em governança e em gestão de tecnologia da informação (subitem II.9). 9.10. Recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, à Controladoria-Geral da União (CGU/PR) que: 9.10.1. considere os temas governança de TI, riscos de TI e controles de TI na seleção dos objetos a auditar, consoante o previsto nas boas práticas internacionais para que a atividade de auditoria interna seja mais efetiva (e.g., IPPF 2110.A2, 2120.A1 e 2130.A1; subitem II.11). 9.10.2. oriente as unidades de auditoria interna sob sua orientação normativa a considerar os temas governança de TI, riscos de TI e controles de TI na seleção dos objetos a auditar, consoante o previsto nas boas práticas internacionais para que a atividade de auditoria interna seja mais efetiva (e.g., IPPF 2110.A2, 2120.A1 e 2130.A1; subitem II.11). 9.11. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, à Comissão Interministerial de Governança Corporativa e de Administração de Participações Societárias da União (CGPAR) que: 9.11.1. normatize a obrigatoriedade de que os entes sob sua jurisdição estabeleçam comitês de TI, observando as boas práticas sobre o tema, a exemplo do Cobit 4.1, PO4.2 – comitê estratégico de TI e PO4.3 – comitê diretor de TI (subitem II.3); 9.11.2. oriente os órgãos e entidades sob sua jurisdição a realizar avaliação quantitativa e qualitativa do pessoal do setor de TI, de forma a delimitar as necessidades de recursos humanos necessárias para que estes setores realizem a gestão das atividades de TI da organização (subitem II.3); 9.11.3. discipline a forma de acesso às funções de liderança nos setores de Tecnologia da Informação, considerando as competências multidisciplinares necessárias para estas funções, que incluem, mas não se limitam a conhecimentos em TI (subitem II.3); 9.11.4. elabore um modelo de processo de software para a os entes sob sua jurisdição, observando as boas práticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem II.5); 9.11.5. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem um processo de software para si, observando as boas práticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem II.5); 9.11.6. elabore um modelo de estrutura de gerenciamento de projetos para os entes sob sua jurisdição, observando as boas práticas sobre o tema (e.g., PMBoK; subitem II.6); 9.11.7. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem um processo de gerenciamento de projetos para si, observando as boas práticas sobre o tema (e.g., PMBoK; subitem II.6); 9.11.8. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem processos de gestão de serviços para si, incluindo, pelo menos, gestão de configuração, gestão de incidentes e gestão de mudança, observando as boas práticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem II.7); 9.11.9. estabeleça a obrigatoriedade de que as entidades sob sua jurisdição aprovem um plano anual de capacitação (subitem II.9); 9.11.10. estabeleça a obrigatoriedade de que as entidades sob sua jurisdição estabeleçam um processo formal para a contratação e gestão de soluções de tecnologia da informação (subitem II.10); 9.11.11. oriente as entidades sob sua jurisdição que o processo a ser formalizado em atenção ao item anterior deve ser elaborado a partir das diretrizes expostas no Acórdão 786/2006-TCU-Plenário, que também estão contidas no modelo implementado pela IN – SLTI/MP 4/2010 (subitem II.10); 9.11.12. em atenção ao Decreto-Lei 200/1967, art. 6º, V, estabeleça, normativamente para todos os entes sob sua jurisdição, a obrigatoriedade de a alta administração implantar uma estrutura de controles internos mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades, pelo menos nos seguintes processos (subitem II.11): 9.11.12. 1. planejamento estratégico institucional; 9.11.12.2. planejamento estratégico de TI; 9.11.12.3. funcionamento dos comitês de TI; 9.11.12.4. processo orçamentário de TI; 9.11.12.7. gerenciamento de serviços de TI; 9.11.12.10.contratação e gestão de soluções de TI; 9.11.12.11. monitoração do desempenho da TI organizacional. 9.12. Determinar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso II, à Comissão Interministerial de Governança Corporativa e de Administração de Participações Societárias da União (CGPAR) que, em atenção ao previsto no Decreto 6.021/2007, art. 3º, I, b, oriente os entes sob sua jurisdição sobre necessidade de vincular seus contratos de serviços de desenvolvimento ou manutenção de software a um processo de software, pois, sem essa vinculação, o objeto do contrato não estará precisamente definido, em desconformidade com o disposto na Lei 8.666/1993, art. 6º, inciso IX (subitem II.5). 9.13. Recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Conselho Nacional da Justiça (CNJ) que: 9.13.1. oriente os órgãos e entidades sob sua jurisdição a realizar avaliação quantitativa e qualitativa do pessoal do setor de TI, de forma a delimitar as necessidades de recursos humanos necessárias para que estes setores realizem a gestão das atividades de TI da organização (subitem II.3); 9.13.2. discipline a forma de acesso às funções de liderança nos setores de Tecnologia da Informação, considerando as competências multidisciplinares necessárias para estas funções, que incluem, mas não se limitam a conhecimentos em TI (subitem II.3); 9.13.3. elabore um modelo de processo de software para a os entes sob sua jurisdição, observando as boas práticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem II.5); 9.13.4. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem um processo de software para si, observando as boas práticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem II.5); 9.13.5. elabore um modelo de estrutura de gerenciamento de projetos para os entes sob sua jurisdição, observando as boas práticas sobre o tema (e.g., PMBoK; subitem II.6); 9.13.6. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem um processo de gerenciamento de projetos para si, observando as boas práticas sobre o tema (e.g., PMBoK; subitem II.6); 9.13.7. elabore um modelo de processo de gestão de serviços para os entes sob sua jurisdição que inclua, pelo menos, gestão de configuração, gestão de incidentes e gestão de mudança, observando as boas práticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem II.7); 9.13.8. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem processos de gestão de serviços para si, incluindo, pelo menos, gestão de configuração, gestão de incidentes e gestão de mudança, observando as boas práticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem II.7); 9.13.9. crie procedimentos para orientar os entes sob sua jurisdição na implementação dos 9.13.9.1. nomeação de responsável pela segurança da informação na organização, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 6.1.3 – Atribuição de responsabilidade para segurança da informação; 9.13.9.2. criação de comitê para coordenar os assuntos de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 6.1.2 – Coordenação de segurança da informação; 9.13.9.3. processo de gestão de riscos de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27005 – Gestão de riscos de segurança da informação; 9.13.9.4. estabelecimento de política de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 5.1 – Política de segurança da informação; 9.13.9.5. processo de elaboração de inventário de ativos, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 7.1 – Inventário de ativos; 9.13.9.6. processo de classificação da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 7.2 – Classificação da informação, processo necessário segundo o Decreto 4.553/2002, art. 6º, § 2º, inciso II, e art. 67; 9.13.10. oriente os órgãos e entidades sob sua jurisdição sobre a obrigatoriedade de aprovar o plano anual de capacitação, nos termos da Resolução – CNJ 90/2009, art. 3º (subitem II.9); 9.13.11. estabeleça um programa de capacitação em governança e em gestão de tecnologia 9.13.12. a partir das diretrizes expostas no Acórdão 786/2006-TCU-Plenário, elabore um modelo de processo para contratação e gestão de soluções de tecnologia da informação para o Poder Judiciário ou, alternativamente, adote o modelo contido na IN – SLTI/MP 4/2010 (subitem II.10); 9.13.13. promova a implementação do modelo elaborado em atenção ao item anterior nos órgãos e entidades sob sua jurisdição mediante orientação normativa (subitem II.10); 9.13.14. em atenção ao Decreto-Lei 200/1967, art. 6º, V, estabeleça, normativamente para todos os entes sob sua jurisdição, a obrigatoriedade de a alta administração implantar uma estrutura de controles internos mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades, pelo menos nos seguintes processos (subitem II.11): 9.13.14.1. planejamento estratégico institucional; 9.13.14.2. planejamento estratégico de TI; 9.13.14. 3. funcionamento dos comitês de TI; 9.13.14.4. processo orçamentário de TI; 9.13.14. 7. gerenciamento de serviços de TI; 9.13.14. 10. contratação e gestão de soluções de TI; 9.13.14.11. monitoração do desempenho da TI organizacional; 9.13.15. oriente as unidades de auditoria interna sob sua orientação normativa a considerar os temas governança de TI, riscos de TI e controles de TI na seleção dos objetos a auditar, consoante o previsto nas boas práticas internacionais para que a atividade de auditoria interna seja mais efetiva (e.g., IPPF 2110.A2, 2120.A1 e 2130.A1; subitem II.11); 9.13.16. em atenção à Constituição Federal, art. 74, c/c o art. 103-B, § 4º, I, estabeleça sistema de controle interno integrado para todo o Poder Judiciário (subitem II.11). 9.14. determinar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso II, ao Conselho Nacional de Justiça (CNJ) que: 9.14.1. em atenção ao previsto na Constituição Federal, art. 103-B, § 4º, II, oriente os entes sob sua jurisdição sobre necessidade de vincular seus contratos de serviços de desenvolvimento ou manutenção de software a um processo de software, pois, sem esta vinculação, o objeto do contrato não estará precisamente definido, em desconformidade com o disposto na Lei 8.666/1993, art. 6º, inciso IX (subitem II.5); 9.14.2. em atenção ao previsto na Constituição Federal, art. 103-B, § 4º, II, oriente os órgãos e entidades sob sua jurisdição para que (subitem III.1): 9.14.2.1. ao realizarem licitação com finalidade de criar ata de registro de preços atentem 9.14.2.1.1. devem fundamentar formalmente a criação de ata de registro de preços, e.g., por um dos incisos do art. 2º do Decreto 3.931/2001 (Acórdão 2.401/2006-TCU-Plenário); 9.14.2.1.2. devem praticar todos os atos descritos no Decreto 3.931/2001, art. 3º, § 2º, em especial o previsto no seu inciso I, que consiste em “convidar mediante correspondência eletrônica ou outro meio eficaz, os órgãos e entidades para participarem do registro de preços”; 9.14.2.1.3. o planejamento da contratação é obrigatório, sendo obrigatória a realização dos devidos estudos técnicos preliminares (Lei 8.666/1993, art. 6º, inciso IX); 9.14.2.1.4. a fixação, no termo de convocação, de quantitativos (máximos) a serem contratados por meio dos contratos derivados da ata de registro de preços, previstos no Decreto 3.931/2001, art. 9º, inciso II, é obrigação e não faculdade do gestor (Acórdão 991/2009-TCU-Plenário, Acórdão 1.100/2007-TCU-Plenário e Acórdão 4.411/2010-TCU-2ª Câmara) 9.14.2.1.5. em atenção ao princípio da vinculação ao instrumento convocatório (Lei 8.666/1993, art. 3º, caput), devem gerenciar a ata de forma que a soma dos quantitativos contratados em todos os contratos derivados da ata não supere o quantitativo máximo previsto no edital; 9.14.3. quando realizarem adesão à ata de registro de preços atentem que: 9.14.3.1. o planejamento da contratação é obrigatório, sendo obrigatória a realização dos devidos estudos técnicos preliminares (Lei 8.666/1993, art. 6º, inciso IX); 9.14.3.2. devem demonstrar formalmentea vantajosidade da adesão, nos termos do Decreto 9.14.3.3. as regras e condições estabelecidas no certame que originou a ata de registro de preços devem ser conformes as necessidades e condições determinadas na etapa de planejamento da contratação (Lei 8.666/1993, art. 6º, inciso IX, alínea d, c/c o art. 3º, § 1º, inciso I, e Lei 10.520/2002, art. 3º, inciso II); 9.14.4. em atenção ao previsto na Constituição Federal, art. 103-B, § 4º, II, oriente os órgãos e entidades sob sua jurisdição para que, caso possuam contratos com empresas públicas prestadoras de serviços de TI (subitem III.3): 9.14.4.1. analisem a conformidade dos termos do contrato e do projeto básico e verifiquem 9.14.4.1.1. foi realizado o adequado planejamento da contratação, consistindo na execução do processo de planejamento previsto na IN – SLTI/MP 4/2010 se for integrante do Sisp (IN – SLTI/MP 4/2010, art. 18, inciso II) ou, caso não o seja, se foram realizados os devidos estudos técnicos preliminares (Lei 8.666/1993, art. 6º, inciso IX); 9.14.4.1. 2. as especificações do objeto são precisas e suficientes, em conformidade com a 9.14.4.1.3. os critérios de mensuração dos serviços são precisos e suficientes, de acordo com o determinado na Lei 8.666/1993, art. 6º, IX, e (também necessários de acordo com a IN – SLTI 4/2010, art. 14, II, a); 9.14.4.1.4. a metodologia de avaliação da adequação dos produtos é precisa e suficiente, de acordo com o determinado na Lei 8.666/1993, art. 6º, IX, e (também necessária de acordo com a IN – SLTI 4/2010, art. 14, II, c); 9.14.4.1.5. as cláusulas de penalidades contidas na Lei 8.666/1993, art. 87, de acordo com o determinado na Lei 8.666/1993, art. 55, VII e VIII, são detalhadas e atendem aos princípios da razoabilidade, proporcionalidade e prudência (e também o previsto na IN – SLTI 4/2010, art. 15, III, h); 9.14.4.1.6. o modelo de pagamento é vinculado a resultados, obedecendo ao princípio constitucional da eficiência (e também ao previsto no Decreto 2.271/1997, art. 3º, § 1º, e na IN – SLTI 4/2010, art. 15, §§ 2º e 3º); 9.14.4.1.7. a justificativa dos preços contratados é adequadamente fundamentada em arrazoada pesquisa de mercado, de acordo com o determinado na Lei 8.666/1993, art. 26, III, inclusive com a análise da planilha de composição de custos dos serviços, necessária segundo a Lei 8.666/1993, art. 7º, § 2º, II; 9.14.4.2. caso a análise realizada de acordo com orientação acima indique desconformidade, elaborem plano de ação para providenciar as adequações contratuais necessárias, que deverão ser realizadas no prazo de 180 dias; 9.14.4.3. mantenham o resultado da análise de conformidade empreendida em documento formalizado, à disposição dos controles externo e interno; 9.14.4.4. informem seu órgão de assessoramento jurídico e sua unidade de auditoria interna da análise que está sendo empreendida e do resultado obtido; 9.14.5. em atenção ao previsto na Constituição Federal, art. 103-B, § 4º, II, oriente os órgãos e entidades sob sua jurisdição que (subitem III.3): 9.14.5.1. mesmo que a execução de seus serviços de tecnologia da informação seja transferida mediante contrato ou outro acordo a outra organização pública, como as empresas públicas prestadoras de serviços de tecnologia da informação, as atividades de gestão (planejamento, coordenação, supervisão e controle) de TI devem ser acometidas a pessoas integrantes do quadro permanente, ou, excepcionalmente, a detentores de cargo em comissão, da organização contratante, não podendo ser delegadas a pessoas direta ou indiretamente ligadas à contratada; 9.14.5.2. a contratação de empresas públicas prestadoras de serviços de tecnologia da informação não afasta a necessidade de a organização contratante manter estrutura de governança de TI própria, que direcione e controle a gestão desses contratos bem como a gestão de todos os processos de TI da organização; 9.15. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Conselho Nacional do Ministério Público (CNMP) que: 9.15.1. em atenção ao Decreto-Lei 200/1967, art. 6º, inciso I, e art. 7º, normatize a obrigatoriedade de que todos os entes sob sua jurisdição estabeleçam processo de planejamento estratégico institucional, observando as boas práticas sobre o tema, a exemplo do critério de avaliação 2 do Gespública, contemplando, pelo menos (subitem II.1): 9.15.1.1. elaboração, com participação de representantes dos diversos setores da organização, de um documento que materialize o plano estratégico institucional de longo prazo, contemplando, pelo menos, objetivos, indicadores e metas para a organização; 9.15.1.2. aprovação, pela mais alta autoridade da organização, do plano estratégico 9.15.1.3. desdobramento do plano estratégico pelas unidades executoras; 9.15.1.4.divulgação do plano estratégico institucional para conhecimento dos cidadãos brasileiros, exceto nos aspectos formalmente declarados sigilosos ou restritos; 9.15.1.5. acompanhamento periódico do alcance das metas estabelecidas, para correção de 9.15.1.6. divulgação interna e externa do alcance das metas, ou dos motivos de não as ter 9.15.2. em atenção ao Decreto-Lei 200/1967, art. 6º, inciso I, e art. 7º, normatize a obrigatoriedade de que todos os entes sob sua jurisdição estabeleçam processo de planejamento estratégico de TI, observando as boas práticas sobre o tema, a exemplo do processo “PO1 – Planejamento Estratégico de TI” do Cobit 4.1, contemplando, pelo menos (subitem II.2): 9.15.2.1. elaboração, com participação de representantes dos diversos setores da organização, de um documento que materialize o plano estratégico de TI, contemplando, pelo menos: 9.15.2.1.1. objetivos, indicadores e metas para a TI organizacional, sendo que os objetivos devem estar explicitamente alinhados aos objetivos de negócio constantes do plano estratégico institucional; 9.15.2.1.2. alocação de recursos (financeiros, humanos, materiais etc); 9.15.2.1.3. estratégia de terceirização; 9.15.2.2. aprovação, pela mais alta autoridade da organização, do plano estratégico de TI; 9.15.2.3. desdobramento do plano estratégico de TI pelas unidades executoras; 9.15.2.4. divulgação do plano estratégico de TI para conhecimento dos cidadãos brasileiros, exceto nos aspectos formalmente declarados sigilosos ou restritos; 9.15.2.5. acompanhamento periódico do alcance das metas estabelecidas, para correção de 9.15.2.6. divulgação interna e externa do alcance das metas, ou os motivos de não as ter 9.15.3. normatize a obrigatoriedade de que os entes sob sua jurisdição estabeleçam comitês de TI, observando as boas práticas sobre o tema, a exemplo do Cobit 4.1, PO4.2 – comitê estratégico de TI e PO4.3 – comitê diretor de TI (subitem II.3); 9.15.4. oriente os órgãos e entidades sob sua jurisdição a realizarem avaliação quantitativa e qualitativa do pessoal do setor de TI, de forma a delimitar as necessidades de recursos humanos necessárias para que estes setores realizem a gestão das atividades de TI da organização (subitem II.3); 9.15.5. discipline a forma de acesso às funções de liderança nos setores de Tecnologia da Informação, considerando as competências multidisciplinares necessárias para estas funções, que incluem, mas não se limitam a conhecimentos em TI (subitem II.3); 9.15.6. elabore um modelo de processo de software para os entes sob sua jurisdição, observando as boas práticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem II.5); 9.15.7. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem um processo de software para si, observando as boas práticas sobre o tema (e.g., NBR ISO/IEC 12.207 e 15.504, MPS.BR, CMMI; subitem II.5; 9.15.8. elabore um modelo de estrutura de gerenciamento de projetos para os entes sob sua jurisdição, observando as boas práticas sobre o tema (e.g., PMBoK; subitem II.6); 9.15.9. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem um processo de gerenciamento de projetos para si, observando as boas práticas sobre o tema (e.g., PMBoK; subitem II.6); 9.15.10. elabore um modelo de processo de gestão de serviços para os entes sob sua jurisdição que inclua, pelo menos, gestão de configuração, gestão de incidentes e gestão de mudança, observando as boas práticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem II.7); 9.15.11. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem processos de gestão de serviços para si, incluindo, pelo menos, gestão de configuração, gestão de incidentes e gestão de mudança, observando as boas práticas sobre o tema (e.g., NBR ISO/IEC 20.000, Itil; subitem II.7); 9.15.12. estabeleça a obrigatoriedade de que os entes sob sua jurisdição implementem os seguintes controles gerais de TI relativos à segurança da informação (subitem II.8): 9.15.12.1. nomeação de responsável pela segurança da informação na organização, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 6.1.3 – Atribuição de responsabilidade para segurança da informação; 9.15.12.2. criação de comitê para coordenar os assuntos de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 6.1.2 – Coordenação de segurança da informação; 9.15.12.3. processo de gestão de riscos de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27005 – Gestão de riscos de segurança da informação; 9.15.12.4. estabelecimento de política de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 5.1 – Política de segurança da informação; 9.15.12.5. processo de elaboração de inventário de ativos, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 7.1 – Inventário de ativos; 9.15.12.6. processo de classificação da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 7.2 – Classificação da informação, processo necessário segundo o Decreto 4.553/2002, art. 6º, § 2º, inciso II e art. 67; 9.15.13. crie procedimentos para orientar os entes sob sua jurisdição na implementação dos controles listados no item acima (subitem II.8); 9.15.14. estabeleça a obrigatoriedade de que os órgãos e entidades sob sua jurisdição aprovem um plano anual de capacitação (subitem II.9); 9.15.15. estabeleça um programa de capacitação em governança e em gestão de tecnologia 9.15.16. a partir das diretrizes expostas no Acórdão 786/2006-TCU-Plenário, elabore um modelo de processo para contratação e gestão de soluções de tecnologia da informação para o Ministério Público ou, alternativamente, adote o modelo contido na IN – SLTI/MP 4/2010 (subitem II.10); 9.15.17. promova a implementação do modelo elaborado em atenção ao item anterior nos órgãos e entidades sob sua jurisdição mediante orientação normativa (subitem II.10); 9.15.18. em atenção ao Decreto-Lei 200/1967, art. 6º, V, estabeleça, normativamente para todos os entes sob sua jurisdição, a obrigatoriedade de a alta administração implantar uma estrutura de controles internos mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades, pelo menos, nos seguintes processos (subitem II.11): 9.15.18.1. planejamento estratégico institucionalinstitucional; 9.15.18.2. planejamento estratégico de TI; 9.15.18.3. funcionamento dos comitês de TI; 9.15.18.4. processo orçamentário de TI; 9.15.18.7. gerenciamento de serviços de TI; 9.15.18. 10. contratação e gestão de soluções de TI; 9.15.18.11. monitoração do desempenho da TI organizacional. 9.15.19. oriente as unidades de auditoria interna sob sua orientação normativa a considerar os temas governança de TI, riscos de TI e controles de TI na seleção dos objetos a auditar, consoante o previsto nas boas práticas internacionais para que a atividade de auditoria interna seja mais efetiva (e.g., IPPF 2110.A2, 2120.A1 e 2130.A1; subitem II.11); 9.15.20. em atenção à Constituição Federal, art. 74, c/c o art. 103-B, § 4º, I, estabeleça sistema de controle interno integrado para todo o Ministério Público (subitem II.11). 9.16. determinar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso II, ao Conselho Nacional do Ministério Público (CNMP) que: 9.16.1. em atenção ao previsto na Constituição Federal, art. 130-A, § 2º, II, oriente os entes sob sua jurisdição sobre necessidade de vincular seus contratos de serviços de desenvolvimento ou manutenção de software a um processo de software, pois, sem esta vinculação, o objeto do contrato não estará precisamente definido, em desconformidade com o disposto na Lei 8.666/1993, art. 6º, inciso IX (subitem II.5); 9.16.2. em atenção ao previsto na Constituição Federal, art. 130-A, § 2º, II, oriente os órgãos e entidades sob sua jurisdição para que (subitem III.1): 9.16.2.1. ao realizarem licitação com finalidade de criar ata de registro de preços atentem 9.16.2.1.1devem fundamentar formalmente a criação de ata de registro de preços, e.g., por um dos incisos do art. 2º do Decreto 3.931/2001 (Acórdão 2.401/2006-TCU-Plenário); 9.16.2.1.2. devem praticar todos os atos descritos no Decreto 3.931/2001, art. 3º, § 2º, em especial o previsto no seu inciso I, que consiste em “convidar mediante correspondência eletrônica ou outro meio eficaz, os órgãos e entidades para participarem do registro de preços”; 9.16.2.1.3. o planejamento da contratação é obrigatório, sendo obrigatória a realização dos devidos estudos técnicos preliminares (Lei 8.666/1993, art. 6º, inciso IX); 9.16.2.1.4. a fixação, no termo de convocação, de quantitativos (máximos) a serem contratados por meio dos contratos derivados da ata de registro de preços, previstos no Decreto 3.931/2001, art. 9º, inciso II, é obrigação e não faculdade do gestor (Acórdão 991/2009-TCU-Plenário, Acórdão 1.100/2007-TCU-Plenário e Acórdão 4.411/2010-TCU-2ª Câmara); 9.16.2.1.5. em atenção ao princípio da vinculação ao instrumento convocatório (Lei 8.666/1993, art. 3º, caput), devem gerenciar a ata de forma que a soma dos quantitativos contratados em todos os contratos derivados da ata não supere o quantitativo máximo previsto no edital; 19.16. 2.2. quando realizarem adesão à ata de registro de preços atentem que: 19.16. 2.2.1.o planejamento da contratação é obrigatório, sendo obrigatória a realização dos devidos estudos técnicos preliminares (Lei 8.666/1993, art. 6º, inciso IX); 19.16. 2.2.2. devem demonstrar formalmente aa vantajosidade da adesão, nos termos do 19.16. 2.2.3. as regras e condições estabelecidas no certame que originou a ata de registro de preços devem ser conformes as necessidades e condições determinadas na etapa de planejamento da contratação (Lei 8.666/1993, art. 6º, inciso IX, alínea d, c/c o art. 3º, § 1º, inciso I, e Lei 10.520/2002, art. 3º, inciso II); 9.16.3. em atenção ao previsto na Constituição Federal, art. 130-A, § 2º, II, oriente os órgãos e entidades sob sua jurisdição para que, caso possuam contratos com empresas públicas prestadoras de serviços de TI (subitem III.3): 9.16.3.1. analisem a conformidade dos termos do contrato e do projeto básico e verifiquem 9.16.3.1.1. foi realizado o adequado planejamento da contratação, consistindo na execução do processo de planejamento previsto na IN – SLTI/MP 4/2010 se for integrante do Sisp (IN – SLTI/MP 4/2010, art. 18, inciso II) ou, caso não o seja, se foram realizados os devidos estudos técnicos preliminares (Lei 8.666/1993, art. 6º, inciso IX); 9.16.3.1.2. as especificações do objeto são precisas e suficientes, em conformidade com a 9.16.3.1.3. os critérios de mensuração dos serviços são precisos e suficientes, de acordo com o determinado na Lei 8.666/1993, art. 6º, IX, e (também necessários de acordo com a IN – SLTI 4/2010, art. 14, II, a); 9.16.3.1.4. a metodologia de avaliação da adequação dos produtos é precisa e suficiente, de acordo com o determinado na Lei 8.666/1993, art. 6º, IX, e (também necessária de acordo com a IN – SLTI 4/2010, art. 14, II, c); 9.16.3.1.5 as cláusulas de penalidades contidas na Lei 8.666/1993, art. 87, de acordo com o determinado na Lei 8.666/1993, art. 55, VII e VIII, são detalhadas e atendem aos princípios da razoabilidade, proporcionalidade e prudência (e também o previsto na IN – SLTI 4/2010, art. 15, III, h); 9.16.3.1.6. o modelo de pagamento é vinculado a resultados, obedecendo ao princípio constitucional da eficiência (e também ao previsto no Decreto 2.271/1997, art. 3º, § 1º, e na IN – SLTI 4/2010, art. 15, §§ 2º e 3º); 9.16.3.1.7. a justificativa dos preços contratados é adequadamente fundamentada em arrazoada pesquisa de mercado, de acordo com o determinado na Lei 8.666/1993, art. 26, III, inclusive com a análise da planilha de composição de custos dos serviços, necessária segundo a Lei 8.666/1993, art. 7º, § 2º, II; 9.16.3.2. caso a análise realizada de acordo com orientação acima indique desconformidade, elaborem plano de ação para providenciar as adequações contratuais necessárias, que deverão ser realizadas no prazo de 180 dias; 9.16.3.3. mantenham o resultado da análise de conformidade empreendida em documento formalizado, à disposição dos controles externo e interno; 9.16.3.4. informem seu órgão de assessoramento jurídico e sua unidade de auditoria interna da análise que está sendo empreendida e do resultado obtido; 9.16.4. em atenção ao previsto na Constituição Federal, art. 130-A, § 2º, II, oriente os órgãos e entidades sob sua jurisdição que (subitem III.3): 9.16.4.1. mesmo que a execução de seus serviços de tecnologia da informação seja transferida mediante contrato ou outro acordo a outra organização pública, como as empresas públicas prestadoras de serviços de tecnologia da informação, as atividades de gestão (planejamento, coordenação, supervisão e controle) de TI devem ser acometidas a pessoas integrantes do quadro permanente, ou, excepcionalmente, a detentores de cargo em comissão, da organização contratante, não podendo ser delegadas a pessoas direta ou indiretamente ligadas à contratada; 9.16.4.2. a contratação de empresas públicas prestadoras de serviços de tecnologia da informação não afasta a necessidade de a organização contratante manter estrutura de governança de TI própria, que direcione e controle a gestão desses contratos bem como a gestão de todos os processos de TI da organização; 9.17. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Tribunal de Contas da União que avalie as orientações contidas no presente acórdão e adote as medidas necessárias a sua implementação; 9.18. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, à Câmara dos Deputados que avalie as orientações contidas no presente acórdão, e adote as medidas necessárias a sua implementação; 9.19. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Senado Federal que avalie as orientações contidas no presente acórdão e adote as medidas necessárias a sua implementação; 9.20. dar ciência à Casa Civil da Presidência da República de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 5.135/2004, art. 23, inciso I; 9.21. dar ciência ao Ministério da Agricultura, Pecuária e Abastecimento de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 7.127/2010, art. 41, inciso I; 9.22. dar ciência ao Ministério da Ciência e Tecnologia de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 5.886/2006, art. 38, inciso I; 9.23. dar ciência ao Ministério da Educação de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 7.480/2011, art. 38, inciso I. 9.24. dar ciência ao Ministério da Fazenda de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 7.482/2011, art. 43, inciso I; 9.25. dar ciência ao Ministério da Integração Nacional de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 7.472/2011, art. 29, inciso IV; 9.26. dar ciência ao Ministério da Justiça de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 6.061/2007, art. 43, inciso I; 9.27. dar ciência ao Ministério da Saúde de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 7.530/2011, art. 49, inciso I; 9.28. dar ciência ao Ministério das Cidades de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 4.665/2003, art. 26, inciso I; 9.29. dar ciência ao Ministério das Minas e Energia de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 5.267/2004, art. 27, inciso I; 9.30. dar ciência ao Ministério do Desenvolvimento Agrário de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 7.255/2010, art. 22, inciso I; 9.31. dar ciência ao Ministério do Desenvolvimento Social e Combate à Fome de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 7.493/2011, art. 36, inciso I; 9.32. dar ciência ao Ministério do Desenvolvimento, Indústria e Comércio Exterior de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 7.096/2010, art. 30, inciso I; 9.33. dar ciência ao Ministério do Esporte de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 7.529/2011, art. 20, inciso I; 9.34. dar ciência ao Ministério do Meio Ambiente de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 6.101/2007, art. 43, inciso I; 9.35. dar ciência ao Ministério do Planejamento, Orçamento e Gestão de que o secretário- executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 7.063/2010, art. 49, inciso I; 9.36.dar ciência ao Ministério do Trabalho e Emprego de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 5.063/2004, art. 27, inciso I; 9.37.dar ciência ao Ministério do Turismo de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 6.546/2008, art. 20, inciso I; 9.38. dar ciência ao Ministério dos Transportes de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 4.721/2003, art. 19, inciso I; 9.39. dar ciência à Secretaria de Assuntos Estratégicos da Presidência da República de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 6.517/2008, art. 7º, inciso I; 9.40. dar ciência à Secretaria de Relações Institucionais da Presidência da República de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 6.207/2007, art. 9º, inciso I. 9.41. dar ciência à Secretaria-Geral da Presidência da República de que o secretário- executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 6.378/2008, art. 11, inciso I; 9.42. dar ciência à Secretaria de Aviação Civil da Presidência da República de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta, o que afronta o Decreto 7.476/2011, art. 18, inciso I; 9.43. recomendar à Secretaria-Geral de Controle Externo (Segecex) que avalie a oportunidade e conveniência de incluir em futuros planos de fiscalização do TCU Tema de Maior Significância (TMS) com objetivo de avaliar a eficiência e eficácia dos sistemas de controles internos dos poderes da União, em especial como as unidades de auditoria interna atuam na avaliação da eficácia dos processos de gerenciamento de riscos, controle e governança dos órgãos e entidades da Administração Pública Federal, levando em consideração, inclusive, as boas práticas internacionais sobre o tema como o IPPF (International Professional Practices Framework) do Instituto de Auditores Internos; 9.44. determinar à Secretaria de Fiscalização de Tecnologia da Informação do TCU 9.44.1. promova a divulgação dos critérios de auditoria contidos no Apêndice VIII.4, a fim de continuar a atividade de orientação que vem desenvolvendo (subitem I.4); 9.44.2. dê publicidade, inclusive por meio do sítio do TCU na internet, às informações acerca de governança de tecnologia da informação que foram solicitadas aos gestores nesta fiscalização (subitem I.6.2); 9.44.3. monitore as deliberações do Acórdão 2.308/2010-TCU-Plenário em conjunto com as proferidas nestes autos (subitem II.11); 9.44.4. divulgue o conteúdo das seis notas técnicas existentes, como forma de informar e orientar a APF e a sociedade sobre a existência do conjunto de normas que regem as aquisições de bens e serviços de tecnologia da informação, bem como sobre a jurisprudência deste Tribunal quanto ao assunto, promovendo, inclusive, a realização de seminários, cursos e palestras, caso entenda conveniente (subitem III.2); encaminhe o estudo elaborado pelo TCU intitulado “Critérios gerais de controle interno na administração pública” à (item IV): 9.44.5.1. Câmara de Políticas de Gestão, Desempenho e Competitividade do Conselho de Governo, com objetivo de subsidiar possível elaboração de normativo para o poder executivo, com fundamento no Decreto 7.478/2011, art. 2º, II, tratando de gestão de riscos, do controle interno e da governança corporativa; 9.44.5.2. Conselho Nacional de Justiça, com objetivo de subsidiar possível elaboração de normativo para o poder judiciário, com fundamento na Constituição Federal, art. 103-B, § 4º, II, tratando de gestão de riscos, do controle interno e da governança corporativa; 9.44.5.3. Conselho Nacional do Ministério Público, com objetivo de subsidiar possível elaboração de normativo para o ministério publico, com fundamento na Constituição Federal, art. 130-A, § 2º, II, tratando de gestão de riscos, do controle interno e da governança corporativa; 9.44.5.4. Comissão de Finanças e Tributação da Câmara dos Deputados, com objetivo subsidiar possível anteprojeto de proposta legislativa para alteração da Lei de Responsabilidade Fiscal; 9.44.5.5. Comissão de Assuntos Econômicos do Senado Federal, com objetivo subsidiar possível anteprojeto de proposta legislativa para alteração da Lei de Responsabilidade Fiscal; 9.44.5.6. promova a divulgação, inclusive por meio de eventos, das recomendações e determinações dirigidas aos órgãos governantes superiores por meio do presente acórdão, como forma de mitigar os riscos da sua implementação; 9.44.5.7. encaminhe cópia deste Acórdão, bem como do relatório e voto que o fundamentam, assim como da íntegra deste relatório, à(ao)(s): 9.44.5.7.1. entes a que foram dirigidas as determinações e recomendações da deliberação; 9.44.5.7.2. Serviço Federal de Processamento de Dados (Serpro); 9.44.5.7.3. Comissão de Ciência e Tecnologia, Comunicação e Informática (CCTCI) da 9.44.5.7.4. Subcomissão Permanente de Ciência e Tecnologia e Informática da Comissão de Ciência e Tecnologia, Comunicação e Informática (CCTCI) da Câmara dos Deputados; 9.44.5.7.5. Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática (CCT) 9.44.5.7.6. Subcomissão Permanente de Serviços de Informática (CCTSINF) da Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática (CCT) do Senado Federal; 9.44.5.7.7.Tribunais de Contas dos Estados e dos Municípios, para que adotem as medidas 9.45. arquivar os presentes autos na Secretaria de Fiscalização de Tecnologia da Informação. 10. Ata n° 19/2012 – Plenário. 11. Data da Sessão: 23/5/2012 – Ordinária. 12. Código eletrônico para localização na página do TCU na Internet: AC-1233-19/12-P. 13. Especificação do quorum: 13.1. Ministros presentes: Benjamin Zymler (Presidente), Valmir Campelo, Walton Alencar Rodrigues, Aroldo Cedraz (Relator), Raimundo Carreiro, José Jorge, José Múcio Monteiro e Ana Arraes. 13.2. Ministro-Substituto convocado: Marcos Bemquerer Costa. 13.3. Ministros-Substitutos presentes: André Luís de Carvalho e Weder de Oliveira.

Source: http://licitar.com.vc/wp-content/uploads/2012/06/ACORD%C3%83O-TCU-PLENARIO-1233-2012-LIMITE-DE-ADES%C3%83O-A-ATAS-DE-REGISTRO-DE-PRE%C3%87O-.pdf