You are on page 1of 18

TRIBUNAL DE CONTAS DA UNIÃO

TC 011.772/2010-7

Sefti, a quem saúdo na pessoa do secretário Cláudio Souza Castello Branco, pela dedicação à tarefa ora trazida ao Colegiado. 76. Com essas considerações, acolho integralmente o encaminhamento proposto pela unidade técnica especializada, e VOTO por que o Tribunal aprove o Acórdão que ora submeto à consideração deste Plenário. Sala das Sessões, em 23 de maio de 2012. AROLDO CEDRAZ Relator ACÓRDÃO Nº 1233/2012 – TCU – Plenário 1. Processo nº TC 011.772/2010-7. 2. Grupo I – Classe de Assunto V: Relatório de Auditoria 3. Interessados/Responsáveis: 3.1. Interessada: Secretaria de Fiscalização de Tecnologia da Informação – Sefti. 4. Órgão: Ministério da Saúde (vinculador). 5. Relator: Ministro Aroldo Cedraz. 6. Representante do Ministério Público: Subprocurador-Geral Paulo Soares Bugarin. 7. Unidade Técnica: Sec. de Fisc. de Tec. da Informação (SEFTI). 8. Advogado constituído nos autos: não há. 9. Acórdão: Trata-se de relatório consolidado das ações do TMS 6/2010, cujo objeto foi avaliar se a gestão e o uso da tecnologia da informação estão de acordo com a legislação e aderentes às boas práticas de governança de TI. ACORDAM os Ministros do Tribunal de Contas da União, reunidos em Sessão Plenária, ante as razões expostas pelo Relator, em: 9.1. recomendar, com fundamento no art. 43, inciso I, da Lei 8.443/1992, c/c o art. 250, inciso III do Regimento Interno do TCU, à Câmara de Políticas de Gestão, Desempenho e Competitividade (CGDC) do Conselho de Governo que: 9.1.1 em atenção Decreto-Lei 200/1967, art. 6º, inciso I, e art. 7º, normatize a obrigatoriedade de que todos os entes sob sua jurisdição estabeleçam processo de planejamento estratégico institucional, observando as boas práticas sobre o tema, a exemplo do critério de avaliação 2 do Gespública, contemplando, pelo menos (subitem II.1): 9.1.1.1. elaboração, com participação de representantes dos diversos setores da organização, de um documento que materialize o plano estratégico institucional de longo prazo, contemplando, pelo menos, objetivos, indicadores e metas para a organização; 9.1.1.2. aprovação, pela mais alta autoridade da organização, do plano estratégico institucional; 9.1.1.3. desdobramento do plano estratégico pelas unidades executoras; 9.1.1.4. divulgação do plano estratégico institucional para conhecimento dos cidadãos brasileiros, exceto nos aspectos formalmente declarados sigilosos ou restritos; 9.1.1.5. acompanhamento periódico do alcance das metas estabelecidas, para correção de desvios; 9.1.1.6. divulgação interna e externa do alcance das metas, ou dos motivos de não as ter alcançado; 9.1.2. em atenção Decreto-Lei 200/1967, art. 6º, inciso I, e art. 7º, normatize a obrigatoriedade de que todos os entes sob sua jurisdição estabeleçam processo de planejamento
133

Itil.1.1. elaboração.1. 9. mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades no processo de planejamento estratégico institucional (subitem II.1. em atenção ao Decreto-Lei 200/1967. 9.2.. 9. NBR ISO/IEC 12.2.2. estratégia de terceirização. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem um processo de software para si. 9.g. contemplando. NBR ISO/IEC 12.2.4.2.2.6). 9. subitem II. 9. subitem II.2. 9. recomendar. Itil.BR. para correção de desvios.1. observando as boas práticas sobre o tema (e. de forma a delimitar as necessidades de recursos humanos necessárias para que estes setores realizem a gestão das atividades de TI da organização (subitem II. 6º. 43. NBR ISO/IEC 20. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem um processo de gerenciamento de projetos para si. NBR ISO/IEC 20.g. art.1. ou os motivos de não as ter alcançado. subitem II. divulgação do plano estratégico de TI para conhecimento dos cidadãos brasileiros. alocação de recursos (financeiros.4.2.g.3).9. pelo menos: 9. à Secretaria de Logística e Tecnologia da Informação (SLTI/MP) que: 9.. de um documento que materialize o plano estratégico de TI. acompanhamento periódico do alcance das metas estabelecidas. inciso I.2): 9. desdobramento do plano estratégico de TI pelas unidades executoras. planejamento estratégico de TI. 134 ..1. a obrigatoriedade de a alta administração implantar uma estrutura de controles internos. estabeleça. com fundamento na Lei 8.1. normativamente para todos os entes sob sua jurisdição. pelo menos. funcionamento dos comitês de TI. 9. art. gestão de incidentes e gestão de mudança.2. humanos. 9. 9. CMMI. inciso III.1. 250. V.2..000. subitem II. subitem II. 9.2.1. normatize a obrigatoriedade de que os entes sob sua jurisdição estabeleçam comitês de TI.2.3).3.2. PMBoK.2. gestão de incidentes e gestão de mudança.1. 9. sendo que os objetivos devem estar explicitamente alinhados aos objetivos de negócio constantes do plano estratégico institucional. 9.9.1.2.6).2. a obrigatoriedade de a alta administração implantar uma estrutura de controles internos mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades. pelo menos (subitem II.6. estabeleça. c/c RITCU. art.1. 9.8.2.207 e 15. contemplando.1. observando as boas práticas sobre o tema.1.504.2. a exemplo do processo “PO1 – Planejamento Estratégico de TI” do Cobit 4.2. observando as boas práticas sobre o tema (e.7). gestão de configuração. 9. elabore um modelo de processo de software para a os entes sob sua jurisdição.3.g.1. subitem II. PO4. observando as boas práticas sobre o tema.2. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem processos de gestão de serviços para si. observando as boas práticas sobre o tema (e.5. materiais etc).BR.772/2010-7 estratégico de TI.9.g. pelo menos nos seguintes processos (subitem II. MPS. normativamente para todos os entes sob sua jurisdição. oriente os órgãos e entidades sob sua jurisdição a realizar avaliação quantitativa e qualitativa do pessoal do setor de TI. elabore um modelo de estrutura de gerenciamento de projetos para os entes sob sua jurisdição.5. com participação de representantes dos diversos setores da organização.2.TRIBUNAL DE CONTAS DA UNIÃO TC 011. pelo menos. do plano estratégico de TI. art. incluindo. objetivos.11).1.. V.g.207 e 15.3.5).3. divulgação interna e externa do alcance das metas. 9.3 – comitê diretor de TI (subitem II. 9.2. observando as boas práticas sobre o tema (e. aprovação.000. observando as boas práticas sobre o tema (e.7. PMBoK.2. MPS. CMMI.7).1.443/1992. gestão de configuração.2 – comitê estratégico de TI e PO4.6. elabore um modelo de processo de gestão de serviços para os entes sob sua jurisdição que inclua. a exemplo do Cobit 4. indicadores e metas para a TI organizacional. 6º.1. observando as boas práticas sobre o tema (e. em atenção ao Decreto-Lei 200/1967.504.2.5).. pela mais alta autoridade da organização.11): 9.2. exceto nos aspectos formalmente declarados sigilosos ou restritos. 9.

1.gerenciamento de serviços de TI.401/2006-TCU-Plenário).9. art. em especial o previsto no seu inciso I.4. 9. ao realizarem licitação com finalidade de criar ata de registro de preços atentem que: 9. 9. sem esta vinculação. 9. gerenciamento de projetos. V. por um dos incisos do art.3. quando realizarem adesão à ata de registro de preços atentem que: 9.5). art. 18.2.100/2007-TCU-Plenário e Acórdão 4.579/2011. realizar os devidos estudos técnicos preliminares (Lei 8. em atenção ao Decreto 7. 9. o planejamento da contratação é obrigatório.1. deve realizar os devidos estudos técnicos preliminares (Lei 8.2.2. em atenção ao previsto no Decreto 7.2. caso seja integrante do Sisp.1. monitoração do desempenho da TI organizacional. art.2. 3º. devem gerenciar a ata de forma que a soma dos quantitativos contratados em todos os contratos derivados da ata não supere o quantitativo máximo previsto no edital.7.2. nos termos do Decreto 3.3. 9. processo orçamentário de TI.3. 2º do Decreto 3.3.772/2010-7 9. caput). em desconformidade com o disposto na Lei 8. 6º. 9. inciso III) ou. art.9. oriente os órgãos e entidades sob sua jurisdição para que (subitem III. analisem a conformidade dos termos do contrato e do projeto básico e verifiquem se: 135 . com fundamento na Lei 8. previstos no Decreto 3. processo de software.1.3.931/2001.3.411/2010-TCU-2ª Câmara).3. inciso I. segurança da informação.1.8.TRIBUNAL DE CONTAS DA UNIÃO TC 011. 9. 9.2. deve executar o processo de planejamento previsto na IN – SLTI/MP 4/2010 (IN – SLTI/MP 4/2010.3.6. art.666/1993. § 1º..g. art. c/c RITCU.2. 2º.5. caso não o seja. a fixação.666/1993. art. que consiste em “convidar mediante correspondência eletrônica ou outro meio eficaz. art. V. no termo de convocação. 9. inciso IX).9. 6º. 9º.3. 43.3.666/1993. art.2.9.2.3.3. pois.3.2. 9.9.10.5. o objeto do contrato não estará precisamente definido.443/1992. os órgãos e entidades para participarem do registro de preços”.3. art.9. inciso IX (subitem II.3. caso não o seja.931/2001.1. c/c o art.2. inciso III) ou. devem praticar todos os atos descritos no Decreto 3.931/2001. 18. 9.3.931/2001 (Acórdão 2.4.1.4. inciso IX.094/1994. 4º. 9. inciso IX). § 2º. art. de quantitativos (máximos) a serem contratados por meio dos contratos derivados da ata de registro de preços. e Lei 10. art.1. 9.3.666/1993. inciso II.666/1993. art.9.9. 9.4. em atenção ao disposto no Decreto 1. oriente os órgãos e entidades sob sua jurisdição para que. o planejamento da contratação é obrigatório. alínea d. sendo que se o objeto for solução de TI.2.2. devem demonstrar formalmente a vantajosidade da adesão. 3º. 250. 3º.1): 9. deve executar o processo de planejamento previsto na IN – SLTI/MP 4/2010 (IN – SLTI/MP 4/2010. 3º. 6º. é obrigação e não faculdade do gestor (Acórdão 991/2009-TCU-Plenário. oriente os entes sob sua jurisdição sobre a necessidade de vincular seus contratos de serviços de desenvolvimento ou manutenção de software a um processo de software. Acórdão 1. caso possuam contratos com empresas públicas prestadoras de serviços de TI (subitem III.3. 8º. inciso II). determinar.1.3): 9. 4º. 9. as regras e condições estabelecidas no certame que originou a ata de registro de preços devem ser conformes as necessidades e condições determinadas na etapa de planejamento da contratação (Lei 8.520/2002. art.3. art. à Secretaria de Logística e Tecnologia da Informação (SLTI/MP) que: 9. e. art. caso seja integrante do Sisp. contratação e gestão de soluções de TI.3.2. inciso II. em atenção ao princípio da vinculação ao instrumento convocatório (Lei 8.579/2011.2. devem fundamentar formalmente a criação de ata de registro de preços. 6º. gestão de pessoal de TI.1. 9. inciso I.3. sendo que se o objeto for solução de TI.3. 9.9.2. inciso I.

elaborem plano de ação para providenciar as adequações contratuais necessárias. art.4.1. 250. art. a detentores de cargo em comissão.3. II.1. IX. 9. 55.666/1993. que incluem. art.5.4. 6º. IX.1. 9.3. 9. excepcionalmente.4.271/1997.3.4).4.5. 14. Orçamento e Gestão que: 9. 9. 9.3.1. art. as atividades de gestão (planejamento. VII e VIII. informem seu órgão de assessoramento jurídico e sua unidade de auditoria interna da análise que está sendo empreendida e do resultado obtido.2.443/1992.4. da organização contratante. 1º. as cláusulas de penalidades contidas na Lei 8.666/1993. art. oriente os órgãos e entidades sob sua jurisdição que (subitem III. se foram realizados os devidos estudos técnicos preliminares (Lei 8.1.3. c). inciso IX). art. § 2º.579/2011. III. implante controles para mitigar os riscos de ocorrência de propostas orçamentárias que indevidamente não tenham previsão de despesas com tecnologia da informação (subitem II.3. 9.5. 9.1. 4º.4. art. caso a análise realizada de acordo com orientação acima indique desconformidade. 43. 7º. 9. discipline a forma de acesso às funções de liderança nos setores de Tecnologia da Informação. inciso I. em conformidade com a Lei 8. os critérios de mensuração dos serviços são precisos e suficientes.4.5. § 1º. art.1.TRIBUNAL DE CONTAS DA UNIÃO TC 011. art.3): 9. inciso III. art.2.3).666/1993.443/1992.707/2006. considerando as competências multidisciplinares necessárias para estas funções.1.6. ao Ministério do Planejamento. as especificações do objeto são precisas e suficientes. inciso I.3.3. foi realizado o adequado planejamento da contratação. de acordo com o determinado na Lei 8. 15.666/1993. que direcione e controle a gestão desses contratos bem como a gestão de todos os processos de TI da organização. mas não se limitam a conhecimentos em TI (subitem II.4. III. 136 . mantenham o resultado da análise de conformidade empreendida em documento formalizado. 9. a justificativa dos preços contratados é adequadamente fundamentada em arrazoada pesquisa de mercado. art.7.4.1. art. a contratação de empresas públicas prestadoras de serviços de tecnologia da informação não afasta a necessidade de a organização contratante manter estrutura de governança de TI própria. de acordo com o determinado na Lei 8. 15.5. e (também necessários de acordo com a IN – SLTI 4/2010.1. de acordo com o determinado na Lei 8. em atenção ao Decreto 5. à disposição dos controles externo e interno. 9. art.4. 14.2. 9. 6º. coordenação.1. como as empresas públicas prestadoras de serviços de tecnologia da informação. 6º. mesmo que a execução de seus serviços de tecnologia da informação seja transferida mediante contrato ou outro acordo a outra organização pública. 26. h). o modelo de pagamento é vinculado a resultados. 250.3. recomendar. com fundamento na Lei 8. V. consistindo na execução do processo de planejamento previsto na IN – SLTI/MP 4/2010 se for integrante do Sisp (IN – SLTI/MP 4/2010. art.3. proporcionalidade e prudência (e também o previsto na IN – SLTI 4/2010. inclusive com a análise da planilha de composição de custos dos serviços. 87. art. obedecendo ao princípio constitucional da eficiência (e também ao previsto no Decreto 2. art. 6º.3. que deverão ser realizadas no prazo de 180 dias. de acordo com o determinado na Lei 8. 18.4. c/c RITCU. à Secretaria de Orçamento Federal (SOF/MP) que: 9.5. a metodologia de avaliação da adequação dos produtos é precisa e suficiente. 9. necessária segundo a Lei 8.3. II.3. caso não o seja. 43. § 2º.666/1993. e (também necessária de acordo com a IN – SLTI 4/2010. art. ou. art.666/1993.4. 3º. 5º. recomendar. c/c RITCU. em atenção ao Decreto 7.3.666/1993. III.666/1993.4. com fundamento na Lei 8. §§ 2º e 3º). e na IN – SLTI 4/2010. art. c/c o art. não podendo ser delegadas a pessoas direta ou indiretamente ligadas à contratada. inciso II) ou.772/2010-7 9. art. 9.4.3. inciso III. a). são detalhadas e atendem aos princípios da razoabilidade. supervisão e controle) de TI devem ser acometidas a pessoas integrantes do quadro permanente. II. IX.

disponibilize funcionalidade nos seus sistemas informatizados para que a Sefti/TCU possa acessar os dados requeridos para o atendimento da determinação (subitem II. determinar. de 23/2/2010. preferencialmente no formato encaminhado por meio do Ofício 163/2010/MP/SE/DEST.2.1. pelo menos. no prazo de quinze dias após o envio do Projeto da Lei Orçamentária Anual (PLOA) ao Congresso Nacional. na forma de banco de dados editável ou planilha eletrônica.772/2010-7 9. 9. relação da previsão das despesas com TI que constam do PLOA. à Secretaria de Fiscalização de Tecnologia da Informação do Tribunal de Contas da União (Sefti/TCU): 9.5. 250.6. determinar. 9.3. a obrigatoriedade de que (subitem II.6. no prazo de quinze dias após a publicação da Lei Orçamentária Anual (LOA). c/c RITCU. no prazo de quinze dias após o envio do projeto da Lei de Diretrizes Orçamentárias ao Congresso Nacional. objetiva e transparente da previsão dos gastos em TI no Orçamento Geral da União ou. preferencialmente no formato encaminhado por meio do Ofício 06/SECAD/SOF/MP. por um dos incisos do art. as medidas adotadas para permitir a identificação clara. preferencialmente no formato encaminhado por meio do Ofício 06/SECAD/SOF/MP. ao longo do exercício financeiro.4): 9. haja acompanhamento.3. c/c RITCU. 9. 6º.443/1992. 17. II (subitem II.3. art. relação da previsão das despesas com TI que constam da LOA.063/2010. de 23/2/2010. na forma de banco de dados editável ou planilha eletrônica. 9.443/1992.2 com base no disposto na Lei 10. no maior detalhamento possível.180/2001. em meio magnético. no maior detalhamento possível. e.1. contemplando.931/2001 (Acórdão 2. de 25/2/2010.4). inciso II.1): 9.4). disponibilize funcionalidade nos seus sistemas informatizados para que a Sefti/TCU possa acessar os dados requeridos para o atendimento da determinação (subitem II. inciso I. à Secretaria de Fiscalização de Tecnologia da Informação do Tribunal de Contas da União (Sefti/TCU): 9.063/2010. 9. em meio magnético.1.2. a solicitação do orçamento de TI seja feita com base nas estimativas de custos das atividades que pretendam executar.063/2010. à Departamento de Coordenação e Governança das Estatais (Dest/MP) que: em atenção ao Decreto-Lei 200/1967. art. no maior detalhamento possível. 137 . alternativamente.5. art.6. normatize a obrigatoriedade de que todos os entes sob sua jurisdição estabeleçam processo de trabalho formal para elaboração e acompanhamento da execução do orçamento. em atenção ao disposto no Decreto 7. devem fundamentar formalmente a criação de ata de registro de preços. no maior detalhamento possível. inciso I. ou. 9. 75.7.4). 43. em meio magnético.7.7. art. alternativamente. art. valendo-se da competência prevista no Decreto 7.2. inciso XII. encaminhe. com fundamento na Lei 8.TRIBUNAL DE CONTAS DA UNIÃO TC 011. na forma de banco de dados editável ou planilha eletrônica. alinhadas aos objetivos do negócio da organização.2. 75.1.5. 8º. relação da previsão das despesas com TI que constam do PLOA. encaminhe. no prazo de quinze dias após a publicação da Lei Orçamentária Anual (LOA). na forma de banco de dados editável ou planilha eletrônica. ao realizarem licitação com finalidade de criar ata de registro de preços atentem que: 9. com fundamento na Lei 8.3. II. de 25/2/2010. alternativamente. art. c/c Decreto 7. 250. inciso II. ou.1.2.1. oriente as entidades sob sua jurisdição para que (subitem III. art. II.. art. em meio magnético. preferencialmente no formato encaminhado por meio do Ofício 163/2010/MP/SE/DEST. à Secretaria de Orçamento Federal (SOF/MP) que.4). 43. ou. 9. art. dos gastos efetuados especificamente com TI.401/2006-TCU-Plenário). em atenção ao Decreto-Lei 200/1967.6. art. alternativamente.4). no prazo de quinze dias após o envio do Projeto da Lei Orçamentária Anual (PLOA) ao Congresso Nacional. 17.7. ou.7. alternativamente.g. disponibilize funcionalidade nos seus sistemas informatizados para que a Sefti/TCU possa acessar os dados requeridos para o atendimento da determinação (subitem II.7. relação da previsão das despesas com TI que constam da LOA. normatize o processo de trabalho para obtenção de ditas informações. disponibilize funcionalidade nos seus sistemas informatizados para que a Sefti/TCU possa acessar os dados requeridos para o atendimento da determinação (subitem II. 2º do Decreto 3.

a justificativa dos preços contratados é adequadamente fundamentada em arrazoada pesquisa de mercado.1.5. art. 138 . 3º. 9.3.3. em conformidade com a Lei 8. § 2º. inciso IX). 9. elaborem plano de ação para providenciar as adequações contratuais necessárias. 9.7. art.666/1993.7.3.7. art. 9.7. inciso I. art. em especial o previsto no seu inciso I. III. em atenção ao princípio da vinculação ao instrumento convocatório (Lei 8.4. proporcionalidade e prudência (e também o previsto na IN – SLTI 4/2010. art. que consiste em “convidar mediante correspondência eletrônica ou outro meio eficaz. inciso II. art.3. inciso XII. h).7.6.4.7.100/2007-TCU-Plenário e Acórdão 4. 9º. art. o planejamento da contratação é obrigatório. inclusive com a análise da planilha de composição de custos dos serviços. IX. quando realizarem adesão à ata de registro de preços atentem que: 9. art. art.7.2.2. art.2. os órgãos e entidades para participarem do registro de preços”. 6º. art.3.2.666/1993.7.7.1. 15. obedecendo ao princípio constitucional da eficiência (e também ao previsto no Decreto 2. § 1º. IX. 55. c/c o art. art. art. devem praticar todos os atos descritos no Decreto 3.7. analisem a conformidade dos termos do contrato e do projeto básico e verifiquem se: 9. as especificações do objeto são precisas e suficientes. oriente as entidades sob sua jurisdição para que.7. 6º. 7º. 9. 9. de acordo com o determinado na Lei 8. 15. 9. a).931/2001. 6º. art.666/1993. caso a análise realizada de acordo com orientação acima indique desconformidade.2. art. devem gerenciar a ata de forma que a soma dos quantitativos contratados em todos os contratos derivados da ata não supere o quantitativo máximo previsto no edital.931/2001. 14.666/1993. sendo obrigatória a realização dos devidos estudos técnicos preliminares (Lei 8.4. §§ 2º e 3º).4. 9.666/1993.3): 9. inciso II). e Lei 10. 6º. inciso IX. 9.4. em atenção ao disposto no Decreto 7. caput). e (também necessária de acordo com a IN – SLTI 4/2010.3.1.1. são detalhadas e atendem aos princípios da razoabilidade. art.1. devem demonstrar formalmente a vantajosidade da adesão. 6º.3. art.931/2001.4. de acordo com o determinado na Lei 8. III. art. 9. caso não o seja.4. 3º.1.7. inciso II) ou. 3º. art. se foram realizados os devidos estudos técnicos preliminares (Lei 8.2. a metodologia de avaliação da adequação dos produtos é precisa e suficiente.4. sendo obrigatória a realização dos devidos estudos técnicos preliminares (Lei 8.666/1993. de acordo com o determinado na Lei 8.666/1993. a fixação. as cláusulas de penalidades contidas na Lei 8.4. 8º.7.772/2010-7 9. § 2º. inciso IX).3. II. caso possuam contratos com empresas públicas prestadoras de serviços de TI (subitem III. art.1.1.666/1993.3. 9.666/1993.TRIBUNAL DE CONTAS DA UNIÃO TC 011.7.5.271/1997. II.4. 3º. 3º. previstos no Decreto 3. 14. IX. VII e VIII. consistindo na execução do processo de planejamento previsto na IN – SLTI/MP 4/2010 se for integrante do Sisp (IN – SLTI/MP 4/2010. as regras e condições estabelecidas no certame que originou a ata de registro de preços devem ser conformes as necessidades e condições determinadas na etapa de planejamento da contratação (Lei 8. c).3. 87. 6º. art.4. e na IN – SLTI 4/2010.063/2010.3. alínea d. de acordo com o determinado na Lei 8.4.7. no termo de convocação.1. 9.666/1993. II. é obrigação e não faculdade do gestor (Acórdão 991/2009-TCU-Plenário. nos termos do Decreto 3. o modelo de pagamento é vinculado a resultados. 9.1.7.1. e (também necessários de acordo com a IN – SLTI 4/2010. o planejamento da contratação é obrigatório. que deverão ser realizadas no prazo de 180 dias. os critérios de mensuração dos serviços são precisos e suficientes. Acórdão 1. de quantitativos (máximos) a serem contratados por meio dos contratos derivados da ata de registro de preços. inciso IX). § 1º. 9.2.411/2010-TCU-2ª Câmara).1.666/1993. necessária segundo a Lei 8.2. 18.666/1993. 6º. art.1. art.7.7.520/2002.1. 6º.7. 26. foi realizado o adequado planejamento da contratação.

139 .A2. inciso I. inciso III.443/1992. mantenham o resultado da análise de conformidade empreendida em documento formalizado.8. a contratação de empresas públicas prestadoras de serviços de tecnologia da informação não afasta a necessidade de a organização contratante manter estrutura de governança de TI própria.3. Recomendar. riscos de TI e controles de TI na seleção dos objetos a auditar. 9.2.772/2010-7 9. subitem II.4. e art. art. IV. IPPF 2110. 7º. reveja a Norma Complementar 4/IN01/DSIC/GSIPR. 250. 9. 250. oriente as unidades de auditoria interna sob sua orientação normativa a considerar os temas governança de TI. 9. não podendo ser delegadas a pessoas direta ou indiretamente ligadas à contratada.5. PO4. art.11.4. mesmo que a execução de seus serviços de tecnologia da informação seja transferida mediante contrato ou outro acordo a outra organização pública.1.g. ao Gabinete de Segurança Institucional da Presidência da república (GSI/PR) que: 9. 9. oriente os órgãos e entidades sob sua jurisdição que a implantação dos controles gerais de segurança da informação positivados nas normas do GSI/PR não é faculdade.2.3 – comitê diretor de TI (subitem II. a exemplo do Cobit 4.8).168/2003. como o faz a NBR ISO/IEC 27. com fundamento na Lei 8.A1 e 2130. II (subitem II.1. em atenção ao disposto no Decreto 7. e sua não implantação sem justificativa é passível da sanção prevista na Lei 8. 43.10.8.1.10. c/c Portaria MP 208/2006.1. à Controladoria-Geral da União (CGU/PR) que: 9..443/1992. em atenção a Lei 10. uma vez que aborda o tema gestão de riscos considerando apenas ativo de informação e não ativo em sentido amplo. inciso III.707/2006. 9. riscos de TI e controles de TI na seleção dos objetos a auditar. inciso III. após consulta à Secretaria de Logística e Tecnologia da Informação.A1.A2. como as empresas públicas prestadoras de serviços de tecnologia da informação. 6º. c/c RITCU. art. 250. informem seu órgão de assessoramento jurídico e sua unidade de auditoria interna da análise que está sendo empreendida e do resultado obtido.002 no item 7. 250. inciso XII. 43. 9. normatize a obrigatoriedade de que os entes sob sua jurisdição estabeleçam comitês de TI.1.5. com fundamento na Lei 8. em atenção à Lei 10. em atenção ao Decreto 5. 4º (subitem II. subitem II. art.11). art.A1 e 2130. que direcione e controle a gestão desses contratos bem como a gestão de todos os processos de TI da organização. c/c RITCU. supervisão e controle) de TI devem ser acometidas a pessoas integrantes do quadro permanente. excepcionalmente. 58. c/c RITCU.443/1992.3. Recomendar. 2120. notadamente à Enap. I. art.3).2 – comitê estratégico de TI e PO4.4. art.8.9. inciso I. 9.7.1.1.9). 6º. a detentores de cargo em comissão.9.707/2006. 9. a fim de ampliar a oferta de ações de capacitação em segurança da informação para os entes sob sua jurisdição (subitem II. com fundamento na Lei 8. da organização contratante.2. IPPF 2110. 9. art. 6º.9).063/2010. estabeleça. nos termos do Decreto 5. recomendar.7. à Comissão Interministerial de Governança Corporativa e de Administração de Participações Societárias da União (CGPAR) que: 9. art.3): 9. oriente as entidades sob sua jurisdição que (subitem III. II e IV: 9. art.443/1992. inciso III.TRIBUNAL DE CONTAS DA UNIÃO TC 011. observando as boas práticas sobre o tema. arts.7.11. à disposição dos controles externo e interno. um programa de capacitação em governança e em gestão de tecnologia da informação (subitem II. Recomendar.8). c/c RITCU. inciso I. 2120.11). 43. consoante o previsto nas boas práticas internacionais para que a atividade de auditoria interna seja mais efetiva (e.168/2003.7. consoante o previsto nas boas práticas internacionais para que a atividade de auditoria interna seja mais efetiva (e. art. 2º. ao Comitê Gestor da Política Nacional de Desenvolvimento de Pessoal que. as atividades de gestão (planejamento. IV.A1. 9. coordenação. mas obrigação da alta administração. com fundamento na Lei 8.8).5.7.9.2. art.. art. 43. inciso I. oriente os órgãos e entidades sob sua jurisdição sobre a obrigatoriedade de aprovar o plano anual de capacitação.443/1992. 5º e 2º. 9.8. art.10. considere os temas governança de TI. articule-se com as escolas de governo. ou.g.1 (subitem II.

11. art. planejamento estratégico de TI. 9.12. 9. subitem II. a obrigatoriedade de a alta administração implantar uma estrutura de controles internos mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades.contratação e gestão de soluções de TI. 9. inciso II. 5.5).6.11.11. subitem II. mas não se limitam a conhecimentos em TI (subitem II. art.7). 9. subitem II.207 e 15. em atenção ao previsto no Decreto 6. em desconformidade com o disposto na Lei 8. inciso I.504.9.11.11. 6º..12.7. observando as boas práticas sobre o tema (e.8.11. à Comissão Interministerial de Governança Corporativa e de Administração de Participações Societárias da União (CGPAR) que. 6º. subitem II.12. observando as boas práticas sobre o tema (e. 9. 9. com fundamento na Lei 8.11.6). 9.11.11. oriente os órgãos e entidades sob sua jurisdição a realizar avaliação quantitativa e qualitativa do pessoal do setor de TI. b. MPS. que também estão contidas no modelo implementado pela IN – SLTI/MP 4/2010 (subitem II. gerenciamento de serviços de TI.12.12.4.504. oriente os entes sob sua jurisdição sobre necessidade de vincular seus contratos de serviços de desenvolvimento ou manutenção de software a um processo de software.11. 1. CMMI. elabore um modelo de processo de software para a os entes sob sua jurisdição.11.772/2010-7 9. observando as boas práticas sobre o tema (e.666/1993. 3º.3.2.. 8.11. PMBoK. gestão de configuração. 9.g. 140 . estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem um processo de software para si. gerenciamento de projetos. 9.12. estabeleça. pelo menos. c/c RITCU. monitoração do desempenho da TI organizacional. considerando as competências multidisciplinares necessárias para estas funções. 9. NBR ISO/IEC 20. processo orçamentário de TI. Itil.12.11. subitem II.. pelo menos nos seguintes processos (subitem II.11. 43.6).g.5).4.12.443/1992. observando as boas práticas sobre o tema (e.12.11.5).BR. estabeleça a obrigatoriedade de que as entidades sob sua jurisdição estabeleçam um processo formal para a contratação e gestão de soluções de tecnologia da informação (subitem II. em atenção ao Decreto-Lei 200/1967. 250. o objeto do contrato não estará precisamente definido. 9. NBR ISO/IEC 12.11. 9. art.2. 9.10). V.12. 9.12.. MPS. inciso IX (subitem II.3). 9. Determinar. observando as boas práticas sobre o tema (e.11. normativamente para todos os entes sob sua jurisdição. elabore um modelo de estrutura de gerenciamento de projetos para os entes sob sua jurisdição. 9. NBR ISO/IEC 12. I. processo de software.g. sem essa vinculação. 9.10.12. oriente as entidades sob sua jurisdição que o processo a ser formalizado em atenção ao item anterior deve ser elaborado a partir das diretrizes expostas no Acórdão 786/2006-TCUPlenário. art.TRIBUNAL DE CONTAS DA UNIÃO TC 011.7.11. gestão de pessoal de TI.10).11.6.3). 9. de forma a delimitar as necessidades de recursos humanos necessárias para que estes setores realizem a gestão das atividades de TI da organização (subitem II.BR.5.207 e 15. 9.12. incluindo. discipline a forma de acesso às funções de liderança nos setores de Tecnologia da Informação.11. segurança da informação. CMMI.11.000. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem processos de gestão de serviços para si. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem um processo de gerenciamento de projetos para si. pois.10.. 9.11.g. funcionamento dos comitês de TI.021/2007. estabeleça a obrigatoriedade de que as entidades sob sua jurisdição aprovem um plano anual de capacitação (subitem II. gestão de incidentes e gestão de mudança. PMBoK.g.11. art.11): 9.11. planejamento estratégico institucional. 9.3. 9.9). que incluem.

5). subitem II.1 – Política de segurança da informação.5.13.3 – Atribuição de responsabilidade para segurança da informação. art.3).8. Itil.6). inciso II.13. nomeação de responsável pela segurança da informação na organização. subitem II. processo necessário segundo o Decreto 4.13. CMMI. subitem II. observando as boas práticas sobre o tema (e.772/2010-7 9.g.13.TRIBUNAL DE CONTAS DA UNIÃO TC 011.443/1992. 9.3. 9. NBR ISO/IEC 20.10.13.10).6. elabore um modelo de processo de gestão de serviços para os entes sob sua jurisdição que inclua. 43.2. e art.9.2. observando as boas práticas sobre o tema (e.002. 9.13.7).3).12.13.002.4.g. gestão de incidentes e gestão de mudança.13. ao Conselho Nacional da Justiça (CNJ) que: 9. observando as boas práticas sobre o tema (e.13. à semelhança das orientações contidas na NBR ISO/IEC 27. elabore um modelo de processo de software para a os entes sob sua jurisdição. oriente os órgãos e entidades sob sua jurisdição sobre a obrigatoriedade de aprovar o plano anual de capacitação. item 5. PMBoK. estabeleça um programa de capacitação em governança e em gestão de tecnologia da informação (subitem II. elabore um modelo de estrutura de gerenciamento de projetos para os entes sob sua jurisdição. processo de elaboração de inventário de ativos. à semelhança das orientações contidas na NBR ISO/IEC 27. elabore um modelo de processo para contratação e gestão de soluções de tecnologia da informação para o Poder Judiciário ou. 6º. NBR ISO/IEC 20.002. c/c RITCU.000..BR. observando as boas práticas sobre o tema (e.2 – Classificação da informação.6. item 7. 9. 9. com fundamento na Lei 8. 9. de forma a delimitar as necessidades de recursos humanos necessárias para que estes setores realizem a gestão das atividades de TI da organização (subitem II. estabelecimento de política de segurança da informação.9).504. discipline a forma de acesso às funções de liderança nos setores de Tecnologia da Informação. criação de comitê para coordenar os assuntos de segurança da informação.002.13.13. Recomendar.13. mas não se limitam a conhecimentos em TI (subitem II.1.2 – Coordenação de segurança da informação.13..13.13. subitem II.13.7). art. CMMI. à semelhança das orientações contidas na NBR ISO/IEC 27. item 7.207 e 15. NBR ISO/IEC 12.BR.g.1 – Inventário de ativos.002. MPS.13. gestão de incidentes e gestão de mudança.5).4. considerando as competências multidisciplinares necessárias para estas funções.g. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem um processo de software para si.6).13. NBR ISO/IEC 12. 250.9. oriente os órgãos e entidades sob sua jurisdição a realizar avaliação quantitativa e qualitativa do pessoal do setor de TI. 9.11.13. à semelhança das orientações contidas na NBR ISO/IEC 27. MPS. pelo menos. 3º (subitem II. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem processos de gestão de serviços para si. crie procedimentos para orientar os entes sob sua jurisdição na implementação dos seguintes controles (subitem II.5. a partir das diretrizes expostas no Acórdão 786/2006-TCU-Plenário. 9.g. observando as boas práticas sobre o tema (e. PMBoK.. à semelhança das orientações contidas na NBR ISO/IEC 27005 – Gestão de riscos de segurança da informação. à semelhança das orientações contidas na NBR ISO/IEC 27. alternativamente.9). art. inciso III. inciso I. processo de gestão de riscos de segurança da informação. 9.9. que incluem.13. 9.000.10). art. pelo menos. 141 . § 2º. observando as boas práticas sobre o tema (e.8): 9.g. processo de classificação da informação. promova a implementação do modelo elaborado em atenção ao item anterior nos órgãos e entidades sob sua jurisdição mediante orientação normativa (subitem II..13.9. 9. subitem II.1. 9. 67.3.7. 9. adote o modelo contido na IN – SLTI/MP 4/2010 (subitem II.1. gestão de configuração. incluindo. nos termos da Resolução – CNJ 90/2009. item 6. 9.. gestão de configuração.9.553/2002. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem um processo de gerenciamento de projetos para si. Itil.9. 9.9.207 e 15.. 9.504. subitem II. 9.1. item 6.

14. gerenciamento de projetos. 9. no termo de convocação. oriente as unidades de auditoria interna sob sua orientação normativa a considerar os temas governança de TI. pois. normativamente para todos os entes sob sua jurisdição.14.2. 5.411/2010-TCU-2ª Câmara) 9. 9.14. ao realizarem licitação com finalidade de criar ata de registro de preços atentem que: 9.6. Acórdão 1.13. processo orçamentário de TI. nos termos do Decreto 3. em desconformidade com o disposto na Lei 8. 3º.16.11). 9.2. pelo menos nos seguintes processos (subitem II.14.14.401/2006-TCU-Plenário).A1. em atenção ao previsto na Constituição Federal.2. sendo obrigatória a realização dos devidos estudos técnicos preliminares (Lei 8. IPPF 2110.14.13.931/2001.13. por um dos incisos do art.5).g. 9. 9. 9. 9.14. contratação e gestão de soluções de TI. em especial o previsto no seu inciso I. processo de software.14. sem esta vinculação.1): 9.14. inciso I.1.14.14. 9. art.4. devem demonstrar formalmentea vantajosidade da adesão.11. § 4º.14.. caput).2. 9.13. 10. com fundamento na Lei 8.13.13. II. segurança da informação.772/2010-7 9.666/1993.2. gerenciamento de serviços de TI. I.1.15. gestão de pessoal de TI.8. 142 . a obrigatoriedade de a alta administração implantar uma estrutura de controles internos mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades.1. oriente os entes sob sua jurisdição sobre necessidade de vincular seus contratos de serviços de desenvolvimento ou manutenção de software a um processo de software. funcionamento dos comitês de TI.13. oriente os órgãos e entidades sob sua jurisdição para que (subitem III. 9. 6º.2. consoante o previsto nas boas práticas internacionais para que a atividade de auditoria interna seja mais efetiva (e.13. 2120.A2. planejamento estratégico institucional. em atenção ao princípio da vinculação ao instrumento convocatório (Lei 8. 9.A1 e 2130.13. inciso IX (subitem II.2.666/1993. 9º. 9. c/c RITCU. 9.14. art. 6º. 9.14.13.14. inciso IX).443/1992. II. os órgãos e entidades para participarem do registro de preços”. c/c o art. art.13. estabeleça. quando realizarem adesão à ata de registro de preços atentem que: 9.1. art. 9.1. 7.4. 6º. 9. o objeto do contrato não estará precisamente definido. § 4º. monitoração do desempenho da TI organizacional. ao Conselho Nacional de Justiça (CNJ) que: 9. 9.13. art. o planejamento da contratação é obrigatório. art.1. subitem II. art.931/2001 (Acórdão 2. de quantitativos (máximos) a serem contratados por meio dos contratos derivados da ata de registro de preços. 6º. 3º. inciso IX). art.14.2. devem gerenciar a ata de forma que a soma dos quantitativos contratados em todos os contratos derivados da ata não supere o quantitativo máximo previsto no edital.1. que consiste em “convidar mediante correspondência eletrônica ou outro meio eficaz. inciso II. 2º do Decreto 3. 9.9.3. a fixação.100/2007-TCU-Plenário e Acórdão 4. devem fundamentar formalmente a criação de ata de registro de preços.666/1993.14. § 4º.14. em atenção ao previsto na Constituição Federal.14. 250. determinar.666/1993.13. 103-B. 9.11): 9. sendo obrigatória a realização dos devidos estudos técnicos preliminares (Lei 8. 103-B. V. art.14. 8º.3. 103-B.2.11).. em atenção à Constituição Federal.1. o planejamento da contratação é obrigatório.14. art. art.TRIBUNAL DE CONTAS DA UNIÃO TC 011. devem praticar todos os atos descritos no Decreto 3. previstos no Decreto 3. § 2º.14.3.13.14. é obrigação e não faculdade do gestor (Acórdão 991/2009-TCU-Plenário.1.1.2. riscos de TI e controles de TI na seleção dos objetos a auditar. e.931/2001.g. 74.3. art.931/2001. 43. 3. inciso II. em atenção ao Decreto-Lei 200/1967.5. art.14. planejamento estratégico de TI. estabeleça sistema de controle interno integrado para todo o Poder Judiciário (subitem II.

a justificativa dos preços contratados é adequadamente fundamentada em arrazoada pesquisa de mercado. os critérios de mensuração dos serviços são precisos e suficientes.5. 15. 9. 6º.666/1993.4. 14. art.666/1993. de acordo com o determinado na Lei 8. art.4. 18.772/2010-7 9.6. 9. art. IX. mesmo que a execução de seus serviços de tecnologia da informação seja transferida mediante contrato ou outro acordo a outra organização pública. art.1. elaborem plano de ação para providenciar as adequações contratuais necessárias.3): 9. e (também necessária de acordo com a IN – SLTI 4/2010. IX. II. necessária segundo a Lei 8. 9. 26. § 2º.1. coordenação. art. 2.666/1993. II. art. supervisão e controle) de TI devem ser acometidas a pessoas integrantes do quadro permanente. art. mantenham o resultado da análise de conformidade empreendida em documento formalizado.3): 9.666/1993. a). a contratação de empresas públicas prestadoras de serviços de tecnologia da informação não afasta a necessidade de a organização contratante manter estrutura de governança de TI própria. as cláusulas de penalidades contidas na Lei 8. em conformidade com a Lei 8.3.1.14.14. 9.14.1.14. que deverão ser realizadas no prazo de 180 dias.4. o modelo de pagamento é vinculado a resultados.1. III. 9.14. as regras e condições estabelecidas no certame que originou a ata de registro de preços devem ser conformes as necessidades e condições determinadas na etapa de planejamento da contratação (Lei 8.4. c). 9. art. 103-B. 3º. 9. não podendo ser delegadas a pessoas direta ou indiretamente ligadas à contratada.666/1993.7.3. analisem a conformidade dos termos do contrato e do projeto básico e verifiquem se: 9. de acordo com o determinado na Lei 8. inciso II). 9. 55. art.666/1993. alínea d. § 1º. art.1. 9.14. informem seu órgão de assessoramento jurídico e sua unidade de auditoria interna da análise que está sendo empreendida e do resultado obtido.14.TRIBUNAL DE CONTAS DA UNIÃO TC 011. 6º.14. caso a análise realizada de acordo com orientação acima indique desconformidade. IX. de acordo com o determinado na Lei 8. VII e VIII.14. § 4º.14. 43.1. oriente os órgãos e entidades sob sua jurisdição para que. 87. 6º. em atenção ao previsto na Constituição Federal. de acordo com o determinado na Lei 8. 7º.666/1993. são detalhadas e atendem aos princípios da razoabilidade. a detentores de cargo em comissão.666/1993.271/1997.4. e (também necessários de acordo com a IN – SLTI 4/2010.15. obedecendo ao princípio constitucional da eficiência (e também ao previsto no Decreto 2. inciso I.4. com fundamento na Lei 8. como as empresas públicas prestadoras de serviços de tecnologia da informação. III. as atividades de gestão (planejamento. excepcionalmente. 3º. inciso III.4. inclusive com a análise da planilha de composição de custos dos serviços.1. 6º. art. art. 14.4.5. II. 9. § 1º. art. art.4.14. art.4. 9.520/2002.5.4.14. em atenção ao previsto na Constituição Federal. §§ 2º e 3º). ou. 6º.3. 9. as especificações do objeto são precisas e suficientes.5.443/1992. 103-B. que direcione e controle a gestão desses contratos bem como a gestão de todos os processos de TI da organização. a metodologia de avaliação da adequação dos produtos é precisa e suficiente.3.4.14. 250. e Lei 10. proporcionalidade e prudência (e também o previsto na IN – SLTI 4/2010. II. e na IN – SLTI 4/2010. consistindo na execução do processo de planejamento previsto na IN – SLTI/MP 4/2010 se for integrante do Sisp (IN – SLTI/MP 4/2010. à disposição dos controles externo e interno. II. inciso IX. § 4º. 15. caso não o seja. art.666/1993. da organização contratante. c/c o art.14. inciso I. oriente os órgãos e entidades sob sua jurisdição que (subitem III.2.14. art. recomendar. 3º.4. inciso IX). inciso II) ou.2.4. h). art. art. ao Conselho Nacional do Ministério Público (CNMP) que: 143 .14. 9. foi realizado o adequado planejamento da contratação. c/c RITCU. se foram realizados os devidos estudos técnicos preliminares (Lei 8.1.1. art. caso possuam contratos com empresas públicas prestadoras de serviços de TI (subitem III.

9.2 – comitê estratégico de TI e PO4.15.15. 7º.1.1.504. art.15. aprovação. normatize a obrigatoriedade de que os entes sob sua jurisdição estabeleçam comitês de TI.3. 9. MPS. elaboração. divulgação interna e externa do alcance das metas. do plano estratégico institucional. pelo menos. objetivos. elabore um modelo de processo de software para os entes sob sua jurisdição.1.BR. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem um processo de software para si. 9. 9.2.4.1. contemplando.15. inciso I. observando as boas práticas sobre o tema. normatize a obrigatoriedade de que todos os entes sob sua jurisdição estabeleçam processo de planejamento estratégico de TI. pela mais alta autoridade da organização. oriente os órgãos e entidades sob sua jurisdição a realizarem avaliação quantitativa e qualitativa do pessoal do setor de TI.3.3). discipline a forma de acesso às funções de liderança nos setores de Tecnologia da Informação. observando as boas práticas sobre o tema. CMMI. de um documento que materialize o plano estratégico de TI. a exemplo do processo “PO1 – Planejamento Estratégico de TI” do Cobit 4.TRIBUNAL DE CONTAS DA UNIÃO TC 011.1. 9.. com participação de representantes dos diversos setores da organização.6).. exceto nos aspectos formalmente declarados sigilosos ou restritos.1. normatize a obrigatoriedade de que todos os entes sob sua jurisdição estabeleçam processo de planejamento estratégico institucional. mas não se limitam a conhecimentos em TI (subitem II. 6º.2.g.3). indicadores e metas para a TI organizacional.1): 9.1. contemplando.772/2010-7 9.2.15. 9. MPS. 9.2.1.15.4. PO4.2): 9.1.1. 9. do plano estratégico de TI.3). pelo menos: 9. observando as boas práticas sobre o tema (e. e art.2. pela mais alta autoridade da organização.5.15. para correção de desvios.15. elabore um modelo de estrutura de gerenciamento de projetos para os entes sob sua jurisdição. a exemplo do critério de avaliação 2 do Gespública. contemplando.5.5. observando as boas práticas sobre o tema (e. objetivos.1. 144 .2. de um documento que materialize o plano estratégico institucional de longo prazo.15. 9.1. a exemplo do Cobit 4.15. humanos. 9.6.6. ou dos motivos de não as ter alcançado.5. 9. 9.BR. aprovação.1. desdobramento do plano estratégico pelas unidades executoras. materiais etc).15.15.15.3 – comitê diretor de TI (subitem II.2. alocação de recursos (financeiros. sendo que os objetivos devem estar explicitamente alinhados aos objetivos de negócio constantes do plano estratégico institucional.7. 9. inciso I. CMMI. que incluem. NBR ISO/IEC 12.15.2.207 e 15. 9. acompanhamento periódico do alcance das metas estabelecidas.15. ou os motivos de não as ter alcançado. PMBoK.3. observando as boas práticas sobre o tema (e.15. com participação de representantes dos diversos setores da organização. estratégia de terceirização.g. pelo menos (subitem II.3. elaboração.1.15.15. 9.8. 6º. 9. NBR ISO/IEC 12.2. indicadores e metas para a organização.15. desdobramento do plano estratégico de TI pelas unidades executoras. considerando as competências multidisciplinares necessárias para estas funções.divulgação do plano estratégico institucional para conhecimento dos cidadãos brasileiros.2. acompanhamento periódico do alcance das metas estabelecidas.2. contemplando.15.4.5). e art. em atenção ao Decreto-Lei 200/1967. observando as boas práticas sobre o tema.. divulgação do plano estratégico de TI para conhecimento dos cidadãos brasileiros.504. 9.2.g. subitem II. 9. subitem II. pelo menos (subitem II. subitem II.15. 9.6. exceto nos aspectos formalmente declarados sigilosos ou restritos.2. para correção de desvios. 7º.15.15. de forma a delimitar as necessidades de recursos humanos necessárias para que estes setores realizem a gestão das atividades de TI da organização (subitem II.207 e 15.1. art. em atenção ao Decreto-Lei 200/1967. divulgação interna e externa do alcance das metas.

criação de comitê para coordenar os assuntos de segurança da informação.1 – Inventário de ativos.12.8): 9.15.15.000.15.3. PMBoK. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem processos de gestão de serviços para si. processo de elaboração de inventário de ativos. art. 10.13.16.15.15.7). 6º. 9. pelo menos.10).15.002. § 2º. nos seguintes processos (subitem II.6.18.8.772/2010-7 9.6).15. V. gestão de incidentes e gestão de mudança. 9. 9.2.2 – Classificação da informação.12. processo de classificação da informação. item 6. funcionamento dos comitês de TI.9). gestão de configuração. contratação e gestão de soluções de TI.14. segurança da informação.15.18. 9. 9.18. estabelecimento de política de segurança da informação.4. Itil.TRIBUNAL DE CONTAS DA UNIÃO TC 011.12.12. 9.15. 9. 9. observando as boas práticas sobre o tema (e. elabore um modelo de processo de gestão de serviços para os entes sob sua jurisdição que inclua.18. 9. art..15. 9. gerenciamento de projetos. NBR ISO/IEC 20.18. gerenciamento de serviços de TI.8). processo de software.18. estabeleça um programa de capacitação em governança e em gestão de tecnologia da informação (subitem II.9). 9. 9. à semelhança das orientações contidas na NBR ISO/IEC 27.15.1. 9.18. 6º. estabeleça.12.1 – Política de segurança da informação.15. adote o modelo contido na IN – SLTI/MP 4/2010 (subitem II.15. gestão de configuração. promova a implementação do modelo elaborado em atenção ao item anterior nos órgãos e entidades sob sua jurisdição mediante orientação normativa (subitem II. 9. 9. NBR ISO/IEC 20.15. a partir das diretrizes expostas no Acórdão 786/2006-TCU-Plenário. planejamento estratégico institucionalinstitucional.4. estabeleça a obrigatoriedade de que os entes sob sua jurisdição formalizem um processo de gerenciamento de projetos para si. processo de gestão de riscos de segurança da informação. pelo menos.5.000. item 6. 9. normativamente para todos os entes sob sua jurisdição.15. 9. item 7. Itil.15. planejamento estratégico de TI.15.002. pelo menos. a obrigatoriedade de a alta administração implantar uma estrutura de controles internos mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades. 67.15. gestão de incidentes e gestão de mudança.002.2 – Coordenação de segurança da informação.g. subitem II.10).11): 9. crie procedimentos para orientar os entes sob sua jurisdição na implementação dos controles listados no item acima (subitem II. 9.15.15..9. estabeleça a obrigatoriedade de que os órgãos e entidades sob sua jurisdição aprovem um plano anual de capacitação (subitem II.17.15.15.11.7.553/2002.12. gestão de pessoal de TI. à semelhança das orientações contidas na NBR ISO/IEC 27005 – Gestão de riscos de segurança da informação.5.15.10. à semelhança das orientações contidas na NBR ISO/IEC 27.7). inciso II e art. incluindo.1.18.12. item 7.15..002.3 – Atribuição de responsabilidade para segurança da informação. processo orçamentário de TI. 9. subitem II.15. à semelhança das orientações contidas na NBR ISO/IEC 27. observando as boas práticas sobre o tema (e. item 5. em atenção ao Decreto-Lei 200/1967. 145 .18.15. subitem II.002.g. alternativamente.g.9.18. observando as boas práticas sobre o tema (e. estabeleça a obrigatoriedade de que os entes sob sua jurisdição implementem os seguintes controles gerais de TI relativos à segurança da informação (subitem II. nomeação de responsável pela segurança da informação na organização. 9.1. 9.3.1.6.2.18. processo necessário segundo o Decreto 4. à semelhança das orientações contidas na NBR ISO/IEC 27. 9. à semelhança das orientações contidas na NBR ISO/IEC 27. elabore um modelo de processo para contratação e gestão de soluções de tecnologia da informação para o Ministério Público ou. 9.15.

6º. caso possuam contratos com empresas públicas prestadoras de serviços de TI (subitem III.16. caso não o seja.11. art.2.666/1993. o objeto do contrato não estará precisamente definido. em especial o previsto no seu inciso I. 146 .1devem fundamentar formalmente a criação de ata de registro de preços.19.TRIBUNAL DE CONTAS DA UNIÃO TC 011. 130-A. 19. foi realizado o adequado planejamento da contratação. 6º. 9.16. 9. alínea d. de quantitativos (máximos) a serem contratados por meio dos contratos derivados da ata de registro de preços. sendo obrigatória a realização dos devidos estudos técnicos preliminares (Lei 8. estabeleça sistema de controle interno integrado para todo o Ministério Público (subitem II. 9. em desconformidade com o disposto na Lei 8. 3º.931/2001. 3º. 3º. § 2º.2. § 2º.411/2010-TCU-2ª Câmara). inciso II). inciso II) ou.g. analisem a conformidade dos termos do contrato e do projeto básico e verifiquem se: 9. com fundamento na Lei 8. pois.443/1992. monitoração do desempenho da TI organizacional. 74. subitem II.1. art.2.2. 3º. 43. art. § 2º. II. 2. I.11). 6º.A2. as especificações do objeto são precisas e suficientes.1. inciso I.931/2001 (Acórdão 2. ao Conselho Nacional do Ministério Público (CNMP) que: 9. no termo de convocação. oriente os entes sob sua jurisdição sobre necessidade de vincular seus contratos de serviços de desenvolvimento ou manutenção de software a um processo de software. Acórdão 1. em atenção à Constituição Federal. c/c o art.2. art.g.2.16.3. 130-A. oriente os órgãos e entidades sob sua jurisdição para que. art. 19. 6º. em conformidade com a Lei 8.3): 9.401/2006-TCU-Plenário). oriente os órgãos e entidades sob sua jurisdição para que (subitem III.16. inciso I. art.666/1993. e Lei 10.11). 250.o planejamento da contratação é obrigatório.772/2010-7 9.2. inciso IX. II.16. art. 6º. c/c RITCU. 9.2. IPPF 2110.1. 9. inciso II. o planejamento da contratação é obrigatório.1. inciso IX).18. inciso II. ao realizarem licitação com finalidade de criar ata de registro de preços atentem que: 9. é obrigação e não faculdade do gestor (Acórdão 991/2009-TCU-Plenário.4.16.1. 9. 9. art.1. em atenção ao previsto na Constituição Federal.16.20. 6º. consoante o previsto nas boas práticas internacionais para que a atividade de auditoria interna seja mais efetiva (e. nos termos do Decreto 3. art. 2.A1. quando realizarem adesão à ata de registro de preços atentem que: 19.3.2. em atenção ao princípio da vinculação ao instrumento convocatório (Lei 8. art.16.3.2.16. em atenção ao previsto na Constituição Federal.16.1): 9. § 4º. os órgãos e entidades para participarem do registro de preços”.15. art. inciso IX). inciso IX).15.16.666/1993.666/1993. art. II.666/1993.1.931/2001.1. 9.15. § 2º. e. 2. 9º.. 19. 2. caput). devem gerenciar a ata de forma que a soma dos quantitativos contratados em todos os contratos derivados da ata não supere o quantitativo máximo previsto no edital.16.16.1. as regras e condições estabelecidas no certame que originou a ata de registro de preços devem ser conformes as necessidades e condições determinadas na etapa de planejamento da contratação (Lei 8..100/2007-TCU-Plenário e Acórdão 4.3. art. § 1º. 103-B. determinar. 9.3.1.16. art.2. devem praticar todos os atos descritos no Decreto 3. a fixação. consistindo na execução do processo de planejamento previsto na IN – SLTI/MP 4/2010 se for integrante do Sisp (IN – SLTI/MP 4/2010.666/1993. IX. art. 8º.1. 130-A. inciso IX (subitem II.666/1993. 2º do Decreto 3. art. art. sendo obrigatória a realização dos devidos estudos técnicos preliminares (Lei 8. que consiste em “convidar mediante correspondência eletrônica ou outro meio eficaz. em atenção ao previsto na Constituição Federal.16. se foram realizados os devidos estudos técnicos preliminares (Lei 8.931/2001.A1 e 2130.2.5). 2120. oriente as unidades de auditoria interna sob sua orientação normativa a considerar os temas governança de TI. por um dos incisos do art.5. art.520/2002.2. riscos de TI e controles de TI na seleção dos objetos a auditar. 18.2. sem esta vinculação.16. previstos no Decreto 3.3. c/c o art. 9.1. devem demonstrar formalmente aa vantajosidade da adesão.16.

inciso III.1. 250. com fundamento na Lei 8.666/1993. de acordo com o determinado na Lei 8. 23. § 2º. inciso I.1. dar ciência à Casa Civil da Presidência da República de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta. art.16.3. III.4. a). II. 130-A. de acordo com o determinado na Lei 8.16. art. 9. art. 3º. III. o modelo de pagamento é vinculado a resultados. 43. c). 9. recomendar.666/1993.3.4. excepcionalmente. 26. inciso III. art. inclusive com a análise da planilha de composição de custos dos serviços. ao Senado Federal que avalie as orientações contidas no presente acórdão e adote as medidas necessárias a sua implementação. que direcione e controle a gestão desses contratos bem como a gestão de todos os processos de TI da organização.3. art. são detalhadas e atendem aos princípios da razoabilidade.135/2004. como as empresas públicas prestadoras de serviços de tecnologia da informação. Pecuária e Abastecimento de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta. 7º. 41.7.16. proporcionalidade e prudência (e também o previsto na IN – SLTI 4/2010.3. inciso I.6.127/2010. 9. 250. inciso I.4. art. os critérios de mensuração dos serviços são precisos e suficientes. de acordo com o determinado na Lei 8. art.5 as cláusulas de penalidades contidas na Lei 8. à Câmara dos Deputados que avalie as orientações contidas no presente acórdão. e (também necessária de acordo com a IN – SLTI 4/2010. inciso III. 15. 9. art. inciso I. da organização contratante. ou. necessária segundo a Lei 8. 9. 15. c/c RITCU. em atenção ao previsto na Constituição Federal.3. c/c RITCU. a detentores de cargo em comissão. as atividades de gestão (planejamento. à disposição dos controles externo e interno. e na IN – SLTI 4/2010.16.20. o que afronta o Decreto 7. II.16. IX. ao Tribunal de Contas da União que avalie as orientações contidas no presente acórdão e adote as medidas necessárias a sua implementação.666/1993.1. 9. h). art. art. inciso I. 6º. supervisão e controle) de TI devem ser acometidas a pessoas integrantes do quadro permanente.666/1993. e adote as medidas necessárias a sua implementação.1.3): 9. oriente os órgãos e entidades sob sua jurisdição que (subitem III. 43.16. art. de acordo com o determinado na Lei 8. §§ 2º e 3º). caso a análise realizada de acordo com orientação acima indique desconformidade.18. 14.1. art. o que afronta o Decreto 5. 9. dar ciência ao Ministério da Agricultura.2. e (também necessários de acordo com a IN – SLTI 4/2010. 9. a metodologia de avaliação da adequação dos produtos é precisa e suficiente. com fundamento na Lei 8. art. 14. art.16. VII e VIII.3. 87.443/1992.4. 9.4. obedecendo ao princípio constitucional da eficiência (e também ao previsto no Decreto 2. 147 . c/c RITCU. recomendar. art. 9. § 2º.TRIBUNAL DE CONTAS DA UNIÃO TC 011.16. 9.3.3.17. art. 9. a justificativa dos preços contratados é adequadamente fundamentada em arrazoada pesquisa de mercado. que deverão ser realizadas no prazo de 180 dias. 43. mantenham o resultado da análise de conformidade empreendida em documento formalizado. elaborem plano de ação para providenciar as adequações contratuais necessárias.16.19. 9. 9. informem seu órgão de assessoramento jurídico e sua unidade de auditoria interna da análise que está sendo empreendida e do resultado obtido. art. 250. II. com fundamento na Lei 8. II. não podendo ser delegadas a pessoas direta ou indiretamente ligadas à contratada. recomendar.3. art.3.16. 55.666/1993.1. a contratação de empresas públicas prestadoras de serviços de tecnologia da informação não afasta a necessidade de a organização contratante manter estrutura de governança de TI própria. 6º. § 1º.666/1993.16.772/2010-7 9. art. art. mesmo que a execução de seus serviços de tecnologia da informação seja transferida mediante contrato ou outro acordo a outra organização pública.2.21. coordenação. IX.271/1997.443/1992.443/1992.

art.26. art.dar ciência ao Ministério do Trabalho e Emprego de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta. art. inciso IV. 9. 9. 49. o que afronta o Decreto 7. art. 43. Indústria e Comércio Exterior de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta. o que afronta o Decreto 7.886/2006. inciso I. o que afronta o Decreto 5. 9. art.255/2010.25.546/2008. o que afronta o Decreto 6. 36. inciso I. 30. 7º. dar ciência ao Ministério da Justiça de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta. art. inciso I. dar ciência ao Ministério do Esporte de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta.061/2007. dar ciência ao Ministério da Fazenda de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta.23. inciso I. 20. o que afronta o Decreto 4.32. inciso I. o que afronta o Decreto 5. dar ciência ao Ministério do Desenvolvimento. dar ciência ao Ministério do Planejamento. 9.27. 9. 38. dar ciência ao Ministério do Desenvolvimento Social e Combate à Fome de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta. dar ciência ao Ministério das Cidades de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta. inciso I. 9. o que afronta o Decreto 7.31.517/2008.267/2004. o que afronta o Decreto 5. art. inciso I.40. 9. o que afronta o Decreto 6. 49. 148 . 19. 9.493/2011. 9.28. 29.529/2011. o que afronta o Decreto 7. 22.33. 9.dar ciência ao Ministério do Turismo de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta. 9. inciso I. 27. inciso I.530/2011. inciso I. 9. dar ciência ao Ministério do Desenvolvimento Agrário de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta. art.480/2011. art. art.TRIBUNAL DE CONTAS DA UNIÃO TC 011.30.665/2003. dar ciência ao Ministério do Meio Ambiente de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta. inciso I.35. o que afronta o Decreto 7. 20. o que afronta o Decreto 7.063/2010. o que afronta o Decreto 7. 38. o que afronta o Decreto 6. art. art.39. dar ciência à Secretaria de Relações Institucionais da Presidência da República de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta. inciso I. o que afronta o Decreto 7. dar ciência ao Ministério da Integração Nacional de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta. o que afronta o Decreto 6. art. dar ciência à Secretaria de Assuntos Estratégicos da Presidência da República de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta.721/2003.34. o que afronta o Decreto 7. art.207/2007. dar ciência ao Ministério das Minas e Energia de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta.29. 9.22. 9. art.482/2011. Orçamento e Gestão de que o secretárioexecutivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta. 9. 9. o que afronta o Decreto 6.37. 9º.24. art.096/2010. inciso I. art. dar ciência ao Ministério dos Transportes de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta. 27. inciso I. 9.101/2007. inciso I. inciso I. o que afronta o Decreto 4. 26. inciso I. art. dar ciência ao Ministério da Educação de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta.772/2010-7 9. dar ciência ao Ministério da Ciência e Tecnologia de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta.38. art.36. inciso I. 9.063/2004. dar ciência ao Ministério da Saúde de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta.472/2011. 43. 43.

Comissão de Ciência e Tecnologia. cursos e palestras. à(ao)(s): 9. 9.5. art. dar ciência à Secretaria de Aviação Civil da Presidência da República de que o secretário-executivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta. inclusive. II. recomendar à Secretaria-Geral de Controle Externo (Segecex) que avalie a oportunidade e conveniência de incluir em futuros planos de fiscalização do TCU Tema de Maior Significância (TMS) com objetivo de avaliar a eficiência e eficácia dos sistemas de controles internos dos poderes da União. 11.4. § 4º.5. § 2º. 2º.5. determinar à Secretaria de Fiscalização de Tecnologia da Informação do TCU (Sefti/TCU) que: ] 9. com fundamento na Constituição Federal. encaminhe o estudo elaborado pelo TCU intitulado “Critérios gerais de controle interno na administração pública” à (item IV): 9. do controle interno e da governança corporativa.5. 9. II. inclusive por meio de eventos.6.2. Comunicação e Informática (CCTCI) da Câmara dos Deputados.TRIBUNAL DE CONTAS DA UNIÃO TC 011.3. 9.44.43.1.44. com objetivo de subsidiar possível elaboração de normativo para o ministério publico. art. como forma de mitigar os riscos da sua implementação. art. a fim de continuar a atividade de orientação que vem desenvolvendo (subitem I.44. com fundamento no Decreto 7. 130-A. promovendo.772/2010-7 9.2.5. o que afronta o Decreto 7.3. inclusive. inciso I.1.5. com fundamento na Constituição Federal. 9. promova a divulgação. bem como sobre a jurisprudência deste Tribunal quanto ao assunto.44.7. 18. 9.44. tratando de gestão de riscos. entes a que foram dirigidas as determinações e recomendações da deliberação. 149 . 9.3. Comissão de Finanças e Tributação da Câmara dos Deputados. a realização de seminários.308/2010-TCU-Plenário em conjunto com as proferidas nestes autos (subitem II.11).2). as boas práticas internacionais sobre o tema como o IPPF (International Professional Practices Framework) do Instituto de Auditores Internos.476/2011. divulgue o conteúdo das seis notas técnicas existentes. art. com objetivo de subsidiar possível elaboração de normativo para o poder executivo. 9. Desempenho e Competitividade do Conselho de Governo.44.44.5.2). assim como da íntegra deste relatório. 9.378/2008. às informações acerca de governança de tecnologia da informação que foram solicitadas aos gestores nesta fiscalização (subitem I. 103-B. inclusive por meio do sítio do TCU na internet. 9. promova a divulgação dos critérios de auditoria contidos no Apêndice VIII.42. Conselho Nacional de Justiça. art. com objetivo subsidiar possível anteprojeto de proposta legislativa para alteração da Lei de Responsabilidade Fiscal. levando em consideração.44. das recomendações e determinações dirigidas aos órgãos governantes superiores por meio do presente acórdão.7.44. Comissão de Assuntos Econômicos do Senado Federal. bem como do relatório e voto que o fundamentam. 9.44.44.1.478/2011.44.44. caso entenda conveniente (subitem III. 9.4). tratando de gestão de riscos.5. tratando de gestão de riscos.5. do controle interno e da governança corporativa. encaminhe cópia deste Acórdão. controle e governança dos órgãos e entidades da Administração Pública Federal. monitore as deliberações do Acórdão 2.6. do controle interno e da governança corporativa.4.5. com objetivo subsidiar possível anteprojeto de proposta legislativa para alteração da Lei de Responsabilidade Fiscal. como forma de informar e orientar a APF e a sociedade sobre a existência do conjunto de normas que regem as aquisições de bens e serviços de tecnologia da informação.44. dê publicidade.44.2.5. 9. 9. dar ciência à Secretaria-Geral da Presidência da República de que o secretárioexecutivo não submeteu ao Ministro de Estado o Plano de Ação Global da pasta.7. o que afronta o Decreto 6.7.5. com objetivo de subsidiar possível elaboração de normativo para o poder judiciário. 9. 9. Serviço Federal de Processamento de Dados (Serpro). em especial como as unidades de auditoria interna atuam na avaliação da eficácia dos processos de gerenciamento de riscos. Câmara de Políticas de Gestão. II. Conselho Nacional do Ministério Público.44.4.41. inciso I.

Tecnologia.44. arquivar os presentes autos na Secretaria de Fiscalização de Tecnologia da Informação.5.7. 9. Comissão de Ciência. Inovação. Inovação.1.2.6.Tribunais de Contas dos Estados e dos Municípios. para que adotem as medidas que entenderem pertinentes.5. Tecnologia. 10. 12. (Assinado Eletronicamente) (Assinado Eletronicamente) BENJAMIN ZYMLER Presidente Fui presente: (Assinado Eletronicamente) AROLDO CEDRAZ Relator LUCAS ROCHA FURTADO Procurador-Geral 150 . José Múcio Monteiro e Ana Arraes. Ministros-Substitutos presentes: André Luís de Carvalho e Weder de Oliveira. José Jorge.7. 9.44.44.44.4. Data da Sessão: 23/5/2012 – Ordinária. Ministro-Substituto convocado: Marcos Bemquerer Costa. Comunicação e Informática (CCT) do Senado Federal.5. Comunicação e Informática (CCTCI) da Câmara dos Deputados. Ata n° 19/2012 – Plenário. Comunicação e Informática (CCT) do Senado Federal. 9. Walton Alencar Rodrigues. 13. Valmir Campelo. 13.3. Aroldo Cedraz (Relator).5. Raimundo Carreiro.5. 13.TRIBUNAL DE CONTAS DA UNIÃO TC 011.772/2010-7 9.7. Subcomissão Permanente de Ciência e Tecnologia e Informática da Comissão de Ciência e Tecnologia. 9. 11.7. Subcomissão Permanente de Serviços de Informática (CCTSINF) da Comissão de Ciência. Código eletrônico para localização na página do TCU na Internet: AC-1233-19/12-P.7. Ministros presentes: Benjamin Zymler (Presidente).45. Especificação do quorum: 13.