planejamento para a
realizao de uma boa
contratao de TI
Andr Luiz Furtado Pacheco, CISA
CNASI-DF maio de 2010
Governana de TI
Governana de TI uma estrutura de
relacionamentos e processos para dirigir e
controlar a TI a fim de alcanar as metas da
instituio pela agregao de valor, enquanto se
mantm o equilbrio dos riscos versus
retorno sobre esta funo e seus processos.
(traduo livre de texto do ITGI IT Governance Institute)
Objetivos da Governana de TI
assegurar que as aes de TI estejam
Responsabilidade sobre a
Governana de TI
Alta administrao das organizaes
Domnios Cobit
Planejar e
Organizar
Adquirir e
Implementar
Monitorar e
Avaliar
Entregar e
Suportar
AI1
AI2
AI3
AI4
AI5
AI6
AI7
10
Planejamento de TI
Benefcio do Planejamento Estratgico de TI:
O
11
Planejamento de TI
Necessidade de Planejamento de TI:
Constituio Federal, art. 37;
Decreto-Lei 200/1967, art. 6, I;
IN-4/2008 SLTI/MP, art. 3;
Acrdo 1.558/2003-Plenrio TCU, item 9.3.9;
Acrdo 1.603/2008-Plenrio TCU, item 9.4.1;
Cobit 4.1 PO1.4 Plano Estratgico de TI.
12
Planejamento de TI
A Constituio Federal estabelece:
Art. 37. A administrao pblica direta e indireta
de qualquer dos Poderes da Unio, dos Estados,
do Distrito Federal e dos Municpios obedecer
aos princpios de legalidade, impessoalidade,
moralidade, publicidade e eficincia...
13
Planejamento de TI
O Decreto-Lei 200/1967 estabelece:
Art. 6. As atividades da Administrao Federal
obedecero aos seguintes princpios fundamentais:
I - Planejamento.
II - Coordenao.
III - Descentralizao.
IV - Delegao de Competncia.
V - Controle.
14
Planejamento de TI
A IN-4/2008 da SLTI/MP estabelece:
Art. 3 As contrataes de que trata esta Instruo
Normativa devero ser precedidas de planejamento,
elaborado em harmonia com o Plano Diretor de
Tecnologia da Informao - PDTI, alinhado estratgia
do rgo ou entidade.
15
Planejamento de TI
O Acrdo 1.558/2003-Plenrio TCU
determina que:
9.3.9. atente para a necessidade de fazer cumprir o
princpio constitucional da eficincia e as disposies
contidas no art. 6, I, do Decreto-Lei n 200/67,
implantando, na rea de informtica, um processo de
planejamento que organize as estratgias, as aes, os
prazos, os recursos financeiros, humanos e materiais, a
fim de eliminar a possibilidade de desperdcio de
recursos pblicos e de prejuzo ao cumprimento dos
objetivos institucionais da unidade;
16
Planejamento de TI
O Acrdo 1.603/2008-Plenrio TCU:
9.4. recomendar ao Ministrio do Planejamento,
Oramento e Gesto - MPOG que, nos rgos/entidades
da Administrao Pblica Federal:
9.4.1. promova aes com o objetivo de disseminar a
importncia do planejamento estratgico, procedendo,
inclusive mediante orientao normativa, execuo de
aes voltadas implantao e/ou aperfeioamento de
planejamento estratgico institucional, planejamento
estratgico de TI e comit diretivo de TI, com vistas a
propiciar a alocao dos recursos pblicos conforme as
necessidades e prioridades da organizao;
17
Planejamento de TI
O Cobit 4.1 em seu objetivo de controle PO1.4
Plano Estratgico de TI recomenda:
Criar um plano estratgico que defina, em cooperao
com as partes interessadas relevantes, como a TI
contribuir com os objetivos estratgicos da
organizao e quais os custos e riscos relacionados.
18
Planejamento de TI
Alinhamento entre PEI e PETI:
O alinhamento de todos os planos, recursos e
unidades organizacionais um fator fundamental
para que a estratgia delineada no planejamento
possa ser implementada. Assim, o planejamento
estratgico de TI tem que estar alinhado com os
planos de negcio da organizao para o
estabelecimento das prioridades e das aes a
serem realizadas na rea de TI (Acrdo 1.603/2008TCU-Plenrio)
19
Planejamento de TI
Alinhamento entre PEI e PETI:
Cobit 4.1, objetivo de controle PO1.2 Alinhamento
entre TI e negcio:
Estabelecer processos de educao bidirecional e
de envolvimento recproco no planejamento
estratgico para obteno de alinhamento e
integrao entre o negcio e as aes de TI. As
prioridades devem ser acordadas mutuamente a
partir da negociao das necessidades do negcio
e da rea de TI .
20
Planejamento de TI
Comit Diretivo de TI:
IN-4/2008 da SLTI/MP estabelece em seu art. 4:
Pargrafo nico. A Estratgia Geral de Tecnologia
da Informao dever abranger, pelo menos, os
seguintes elementos:
...
21
Planejamento de TI
Comit Diretivo de TI:
A existncia de um comit diretivo de TI (IT Steering
Committee), que determine as prioridades de investimento e
alocao de recursos nos diversos projetos e aes de TI,
de fundamental importncia para o alinhamento entre as
atividades de TI e o negcio da organizao, bem como
para a otimizao dos recursos disponveis e a reduo do
desperdcio. O fato desse comit ser composto por dirigentes
de TI e de outras reas da organizao possibilita que as
decises de investimentos sejam obtidas a partir de uma
viso mais abrangente, o que reduz os riscos de erro
(Acrdo 1.603/2008-TCU-Plenrio).
22
Planejamento de TI
Comit Diretivo de TI:
Cobit 4.1, objetivo de controle PO4.3 Comit Executivo de TI:
Estabelecer um comit executivo de TI (ou equivalente)
composto pelas diretorias executivas, de negcios e de TI,
para:
Determinar prioridades dos programas de investimentos
em TI em linha com as estratgias e prioridades do negcio;
Monitorar o estado atual dos projetos e resolver conflitos de
recursos;
Monitorar nveis de servio e suas melhorias.
23
Planejamento de TI
Desmembrados nos
Objetivos
estratgicos
institucionais
Operacionalizados p/
Objetivos
estratgicos
de TI
Alinhados com
Contrataes
de TI
Meio para alcanar
24
Processo de Contratao de TI
Na contratao de bens e servios de TI essencial a
adoo de processo de trabalho formalizado,
padronizado e judicioso quanto ao custo,
oportunidade e aos benefcios advindos para a
organizao. Esse processo melhora o relacionamento
com os fornecedores e prestadores de servios, maximiza
a utilizao dos recursos financeiros alocados rea de TI
e contribui decisivamente para que os servios de TI dem
o necessrio suporte s aes da organizao no
alcance de seus objetivos e suas metas. (Acrdo
1.603/2008-TCU-Plenrio)
25
Planejamento de Contrataes de TI
O Cobit 4.1 em seu objetivo de controle AI5.1
Procurement Control (Controle sobre aquisies)
recomenda:
Desenvolver e seguir um conjunto de procedimentos e
padres consistente com o processo de licitao e a
estratgia de aquisio gerais da organizao para adquirir
infra-estrutura, instalaes, hardware, software e servios de
TI necessrios ao negcio.
26
Planejamento de Contrataes de TI
O Acrdo 1.603/2008-Plenrio TCU:
9.1. recomendar ao (rgos/entidades):
(...)
9.1.6. envidem esforos visando
implementao de processo de trabalho
formalizado de contratao de bens e servios
de TI, bem como de gesto de contratos de TI,
buscando a uniformizao de procedimentos nos
moldes recomendados no item 9.4 do Acrdo
786/2006-TCU-Plenrio;
27
Instrues Normativas
A Secretaria de Logstica e Tecnologia da Informao - SLTI
do Ministrio do Planejamento editou as Instrues Normativas
02/2008 e 04/2008, contendo a maior parte das
recomendaes do TCU quanto implementao do novo
modelo de contratao de servios de TI (Acrdos 786/2006TCU-Plenrio; 1480/2007-TCU-Plenrio e 1999/2007-TCUPlenrio).
A IN/SLTI 04/2008 dispe sobre o processo de contratao de
servios de Tecnologia da Informao pela Administrao
Pblica Federal direta, autrquica e fundacional. Sua vigncia
iniciou-se em 2 de janeiro de 2009.
A IN/SLTI 02/2008, que substitui a IN/MARE 18/1997, dispe
sobre regras e diretrizes para a contratao de servios,
continuados ou no. Essa norma aplica-se subsidiariamente
IN/SLTI 04/2008.
28
Fases da Contratao
A IN-4/2008 da SLTI/MP estabelece:
Art. 7 As contrataes de servios de Tecnologia da
Informao devero seguir trs fases:
Planejamento da Contratao,
Seleo do Fornecedor, e
Gerenciamento do Contrato.
30
Planejamento da Contratao
A IN-4/2008 da SLTI/MP estabelece:
Art. 9 A fase de Planejamento da Contratao consiste
nas seguintes etapas:
I - Anlise de Viabilidade da Contratao;
II - Plano de Sustentao;
III - Estratgia de Contratao; e
IV - Anlise de Riscos.
31
32
33
34
35
37
38
39
40
41
42
43
44
45
Plano de Sustentao
A IN-4/2008 estabelece no art. 13:
O Plano de Sustentao, a cargo da rea de TI, com o
apoio do Requisitante, abrange:
I - segurana da informao;
II - recursos materiais e humanos;
III - transferncia de conhecimento;
IV - transio contratual; e
V - continuidade dos servios em eventual interrupo
contratual.
46
Segurana da Informao
NBR ISO/IEC 27002
Cdigo de prtica de segurana da informao
Especial ateno para:
Competncia definida em Segurana da Informao (SI);
Poltica de Segurana da Informao (PSI);
Classificao da Informao;
Poltica de Controle de Acesso (PCA);
Plano de Continuidade de Negcios (PCN).
Devem constar dos editais e contratos !!
47
Segurana da Informao
Legislao, Jurisprudncia e Boas Prticas
Decreto n 3.505/2000 (PSI);
IN-01 GSI/PR de 13.06.2008 (PSI e SI);
Acrdo n 1.603/2008-TCU-Plenrio;
Acrdo n 1.092/2007-TCU-Plenrio (PSI, PCA,
Classificao da Informao, SI e PCN);
Acrdo n 2.023/2005-TCU-Plenrio (PSI, PCA,
Classificao da Informao e SI);
Acrdo n 71/2007-TCU-Plenrio (PSI, PCA e SI);
Cobit 4.1, objetivo de controle DS5.2 Plano de Segurana
de TI.
48
49
Transferncia de Conhecimentos
Manuteno do conhecimento no rgo/Entidade
Especial ateno para:
Contratao dos Servios;
Gesto do Contrato;
Acrdo n 1.603/2008-TCU-Plenrio;
Cobit 4.1 AI4.4 Transferncia de Conhecimentos para
Equipes de Operao e Suporte
50
Transio Contratual
Previso das atividades necessrias para a execuo
da transio contratual sem traumas. Observar que:
fase essencial;
h superposio de contratos;
contrato vigente somente deve ser encerrado
quando novo contrato estiver em vigor;
deve haver definio de responsabilidades.
Deve constar dos editais e contratos !!
51
52
53
54
56
Estratgia de Contratao
A IN-4/2008 em seu art.14 estabelece as seguintes
tarefas:
I indicao do tipo de servio, considerando o
mercado e as solues existentes no momento da
licitao (TI);
II indicao dos termos contratuais (TI e
Requisitante);
III definio da estratgia de independncia do
rgo ou entidade contratante com relao
contratada (TI);
IV indicao do Gestor do Contrato (TI);
57
Estratgia de Contratao
A IN-4/2008 em seu art.14 estabelece as seguintes
tarefas:
V definio das responsabilidades da contratada, que no
poder se eximir do cumprimento integral do contrato no caso
de subcontratao (TI);
VI elaborao do oramento detalhado (TI e rea
competente);
VII indicao da fonte de recursos para a contratao e a
estimativa do impacto econmico-financeiro no oramento do
rgo/Entidade (Requisitante);
VIII definio dos critrios tcnicos de julgamento da
proposta para a fase de Seleo do Fornecedor (TI).
58
Estratgia de Contratao
A IN-4/2008 estabelece:
Restries quanto aferio de esforo por
meio da mtrica homens-hora ( 1)
Que vedado contratar por postos de trabalho
alocados ( 2)
Vedaes e recomendaes quanto s
licitaes do tipo tcnica e preo (s 3 e 4)
A Estratgia de Contratao dever ser
aprovada e assinada pelo Requisitante e pela
rea de TI ( 5)
59
Anlise de Riscos
A IN-4/2008 estabelece no art. 16. que a Anlise de Riscos
dever ser elaborada pelo Gestor do Contrato, com o apoio
da rea de TI e do Requisitante observando:
I - identificao dos principais riscos que possam
comprometer o sucesso do processo de contratao;
II - identificao dos principais riscos que possam fazer
com que os servios prestados no atendam s
necessidades do contratante, podendo resultar em nova
contratao;
III - identificao das possibilidades de ocorrncia e dos
danos potenciais de cada risco identificado;
60
Anlise de Riscos
A IN-4/2008 estabelece no art. 16. que a Anlise de Riscos
dever ser elaborada pelo Gestor do Contrato, com o apoio
da rea de TI e do Requisitante observando:
...
IV - definio das aes a serem tomadas para amenizar ou
eliminar as chances de ocorrncia do risco;
V - definio das aes de contingncia a serem tomadas
caso o risco se concretize; e
VI - definio dos responsveis pelas aes de preveno
dos riscos e dos procedimentos de contingncia.
61
Anlise de Riscos
Acrdo
n 1.603/2008-TCU-Plenrio:
A ausncia da anlise de riscos na rea de TI, informada
por 75% dos rgos/entidades pesquisados, um indcio de
que as aes de segurana no so executadas de maneira
sintonizada com as necessidades do negcio dessas
organizaes. Isto porque, sem anlise de riscos, no h
como o gestor priorizar aes e investimentos com base em
critrios claros e relacionados com o negcio da
organizao.
Alm disso, o desconhecimento dos riscos na rea de TI
aumenta a exposio s ameaas de acesso indevido,
indisponibilidade e perda de integridade (intencional, como
no caso das fraudes, ou por falhas) das informaes sob
responsabilidade dessas organizaes.
62
Anlise de Riscos
Deve ser observado:
Acrdo n 1.603/2008-TCU-Plenrio;
Cobit 4.1 PO9.4 de Riscos Avaliar periodicamente a probabilidade e
o impacto de todos os riscos identificados, usando mtodos qualitativos
e quantitativos. A probabilidade e o impacto associados com o risco
inerente e residual devem ser determinados individualmente por
categoria;
NBR ISO/IEC 27002, item 4.1 Analisando/avaliando os riscos de
segurana da informao: convm que as anlises/avaliaes de riscos
identifiquem, quantifiquem e priorizem os riscos com base em critrios
relevantes para a organizao, e que os resultados orientem e
determinem as aes de gesto apropriadas e as prioridades para o
gerenciamento dos riscos de segurana da informao, e para a
implementao dos controles selecionados, de maneira a proteger
contra estes riscos.
63
Anlise de Riscos
Identificao dos principais riscos:
que possam comprometer o sucesso do
processo de contratao;
que possam fazer com que os servios
prestados no atendam s necessidades do
contratante, podendo resultar em nova
contratao;
64
Anlise de Riscos
definio das aes a serem tomadas:
para amenizar ou eliminar as chances de
ocorrncia do risco;
caso o risco se concretize; e
65
Projeto Bsico
Os servios somente podero ser licitados quando houver
66
Projeto Bsico
Nos projetos bsicos de servios sero considerados
principalmente os seguintes requisitos (art. 12 da Lei 8.666/1993):
segurana;
funcionalidade e adequao ao interesse pblico;
economia na execuo, conservao e operao;
possibilidade de emprego de mo-de-obra, materiais,
tecnologia e matrias-primas existentes no local para
execuo, conservao e operao;
facilidade na execuo, conservao e operao, sem
prejuzo da durabilidade do servio;
adoo das normas tcnicas, de sade e de segurana
adequadas.
67
Projeto Bsico
68
Seleo de Fornecedor
Art. 19. A fase de Seleo do Fornecedor
observar as normas pertinentes, incluindo o
disposto
na Lei n 8.666, de 1993,
na Lei n 10.520, de 2002,
no Decreto n 2.271, de 1997,
no Decreto n 3.555, de 2000,
no Decreto n 3.931, de 2001, e
no Decreto n 5.450, de 2005.
69
Gerenciamento do Contrato
Encerrado o procedimento licitatrio e
contratado o vencedor do certame para o
fornecimento do objeto, inicia-se a fase de
execuo contratual.
Nessa fase, compete Administrao garantir
que o contratado cumpra os termos
contratuais, de forma que o objeto do contrato
seja fornecido nas condies e prazos
estabelecidos..
70
Gerenciamento do Contrato
71
72
73
74
75
76
Monitoramento da Execuo
78
Monitoramento da Execuo
(continuao):
manuteno do Plano de Sustentao;
comunicao s autoridades competentes sobre a
proximidade do trmino do contrato, com pelo menos 60
(sessenta) dias de antecedncia;
manuteno dos registros de aditivos;
encaminhamento s autoridades competentes de
eventuais pedidos de modificao contratual; e
manuteno de registros formais de todas as ocorrncias
da execuo do contrato, por ordem histrica.
79
81
82
83
84
Obrigado
andrefp@tcu.gov.br
(61) 3316-5900
www.tcu.gov.br/fiscalizacaoti
85
www.tcu.gov.br
Valores
tica
Justia
Efetividade
Independncia
Profissionalismo
86