instrução normativa 04/2008 slti/mp andré luiz furtado pacheco, cisa comissão nacional de...
TRANSCRIPT
![Page 1: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/1.jpg)
Instrução Normativa04/2008 SLTI/MP
André Luiz Furtado Pacheco, CISA
Comissão Nacional de Energia Nuclear – outubro de 2009
![Page 2: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/2.jpg)
2
• Graduado em Processamento de Dados pela Universidade Católica de Brasília;
• MBA em Controle Externo pela FGV;• Certified Information Systems Auditor – CISA, • Auditor de TI há mais de 15 anos, é Assessor do
Secretário de Fiscalização de Tecnologia da Informação do TCU;
• Realizou a supervisão e a revisão do Manual de Auditoria de Sistemas e da Cartilha de Boas Práticas de Segurança da Informação do TCU;
• Instrutor de Auditoria de TI nos cursos da Organização Latino-Americana e do Caribe das Entidades de Fiscalização Superior – OLACEFS, do TCU e da UniDF;
• Possui larga experiência nas áreas de auditoria, docência e TI.
André Luiz Furtado Pacheco, CISA
![Page 3: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/3.jpg)
3
COBIT
ISO 9000ISO 27002
ITIL
COSO
O quê Como
Governança Corporativa e de TI
Escopo
![Page 4: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/4.jpg)
4
Objetivos da Governança de TI
• assegurar que as ações de TI estejam alinhadas com o negócio da organização, agregando-lhe valor;
• medir o desempenho da área de TI, alocar propriamente os recursos e mitigar os riscos inerentes;
• gerenciar e controlar as iniciativas de TI nas organizações para garantir o retorno de investimentos e a adoção de melhorias nos processos organizacionais
![Page 5: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/5.jpg)
5
Responsabilidade sobre a Governança de TI
Alta administração das organizações
![Page 6: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/6.jpg)
6
Planejar e Organizar
Domínios Cobit
Monitorar eAvaliar
Entregar eAssistir
Adquirir eImplementar
![Page 7: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/7.jpg)
7
Planejar e Organizar (PO)
PO1 Definir um plano estratégico de TI PO2 Definir a arquitetura de informação PO3 Determinar a direção tecnológica PO4 Definir processos, organização e relacionamentos PO5 Gerenciar o investimento em TI PO6 Comunicar metas e diretivas gerenciais PO7 Gerenciar recursos humanos de TI PO8 Gerenciar qualidade PO9 Avaliar e gerenciar riscos PO10 Gerenciar projetos
![Page 8: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/8.jpg)
8
Adquirir e Implementar (AI)
AI1 Identificar soluções AI2 Adquirir e manter aplicações AI3 Adquirir e manter infraestrutura tecnológica AI4 Viabilizar operação e uso AI5 Adquirir recursos de TI AI6 Gerenciar mudanças AI7 Instalar e certificar sistemas e mudanças
![Page 9: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/9.jpg)
9
Entregar e Assistir (DS) DS1 Definir e gerenciar níveis de serviços DS2 Gerenciar serviços de terceiros DS3 Gerenciar performance e capacidade DS4 Garantir continuidade dos serviços DS5 Garantir segurança dos sistemas DS6 Identificar e alocar custos DS7 Educar e treinar usuários DS8 Gerenciar service desk e incidentes DS9 Gerenciar a configuração DS10 Gerenciar problemas DS11 Gerenciar dados DS12 Gerenciar o ambiente físico DS13 Gerenciar a operação
![Page 10: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/10.jpg)
10
Monitorar e Avaliar (ME)
ME1 Monitorar e avaliar o desempenho da TIME2 Monitorar e avaliar os controles internosME3 Assegurar conformidade às normasME4 Prover governança de TI
![Page 11: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/11.jpg)
11
“Na contratação de bens e serviços de TI é essencial a adoção de processo de trabalho formalizado, padronizado e judicioso quanto ao custo, à oportunidade e aos benefícios advindos para a organização. Esse processo melhora o relacionamento com os fornecedores e prestadores de serviços, maximiza a utilização dos recursos financeiros alocados à área de TI e contribui decisivamente para que os serviços de TI dêem o necessário suporte às ações da organização no alcance de seus objetivos e suas metas.” (Acórdão 1.603/2008-TCU-Plenário)
Processo de Contratação de TI
![Page 12: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/12.jpg)
12
Planejamento de Contratações de TI
O Cobit 4.1 em seu objetivo de controle AI5.1 Procurement Control (Controle sobre aquisições) recomenda:
“Desenvolver e seguir um conjunto de procedimentos e padrões consistente com o processo de licitação e a estratégia de aquisição gerais da organização para adquirir infra-estrutura, instalações, hardware, software e serviços de TI necessários ao negócio.”
![Page 13: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/13.jpg)
13
Planejamento de Contratações de TI
O Acórdão 1.603/2008-Plenário TCU:
“9.1. recomendar ao (órgãos/entidades):(...) 9.1.6. envidem esforços visando à implementação de processo de trabalho formalizado de contratação de bens e serviços de TI, bem como de gestão de contratos de TI, buscando a uniformização de procedimentos nos moldes recomendados no item 9.4 do Acórdão 786/2006-TCU-Plenário;”
![Page 14: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/14.jpg)
14
Planejamento de TIBenefício do Planejamento Estratégico de TI:
“O planejamento estratégico torna-se uma importante ferramenta para a tomada de decisão e faz com que os gestores estejam aptos a agir com iniciativa, de forma pró-ativa, contra as ameaças e a favor das oportunidades identificadas nas constantes mudanças que ocorrem.” (Acórdão 1.603/2008-Plenário TCU)
![Page 15: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/15.jpg)
15
Planejamento de TI
Necessidade de Planejamento de TI:
• Constituição Federal, art. 37;• Decreto-Lei 200/1967, art. 6º, I;• IN-4/2008 SLTI/MP, art. 3º;• Acórdão 1.558/2003-Plenário TCU, item 9.3.9;• Acórdão 1.603/2008-Plenário TCU, item 9.4.1;• Cobit 4.1 PO1.4 IT Strategic Plan (Plano Estratégico de TI).
![Page 16: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/16.jpg)
16
Planejamento de TI
A Constituição Federal estabelece:
“Art. 37. A administração pública direta e indireta de qualquer dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios obedecerá aos princípios de legalidade, impessoalidade, moralidade, publicidade e eficiência...”
![Page 17: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/17.jpg)
17
Planejamento de TI
O Decreto-Lei 200/1967 estabelece:“Art. 6º. As atividades da Administração Federal obedecerão aos seguintes princípios fundamentais:
I - Planejamento.
II - Coordenação.
III - Descentralização.
IV - Delegação de Competência.
V - Controle.”
![Page 18: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/18.jpg)
18
Planejamento de TI
A IN-4/2008 da SLTI/MP estabelece:
“Art. 3º As contratações de que trata esta Instrução Normativa deverão ser precedidas de planejamento, elaborado em harmonia com o Plano Diretor de Tecnologia da Informação - PDTI, alinhado à estratégia do órgão ou entidade.”
![Page 19: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/19.jpg)
19
Planejamento de TIO Acórdão 1.558/2003-Plenário TCU determina que:
“9.3.9. atente para a necessidade de fazer cumprir o princípio constitucional da eficiência e as disposições contidas no art. 6º, I, do Decreto-Lei nº 200/67, implantando, na área de informática, um processo de planejamento que organize as estratégias, as ações, os prazos, os recursos financeiros, humanos e materiais, a fim de eliminar a possibilidade de desperdício de recursos públicos e de prejuízo ao cumprimento dos objetivos institucionais da unidade; ”
![Page 20: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/20.jpg)
20
Planejamento de TIO Acórdão 1.603/2008-Plenário TCU:
“9.4. recomendar ao Ministério do Planejamento, Orçamento e Gestão - MPOG que, nos órgãos/entidades da Administração Pública Federal:
9.4.1. promova ações com o objetivo de disseminar a importância do planejamento estratégico, procedendo, inclusive mediante orientação normativa, à execução de ações voltadas à implantação e/ou aperfeiçoamento de planejamento estratégico institucional, planejamento estratégico de TI e comitê diretivo de TI, com vistas a propiciar a alocação dos recursos públicos conforme as necessidades e prioridades da organização; ”
![Page 21: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/21.jpg)
21
Planejamento de TI
O Cobit 4.1 em seu objetivo de controle PO1.4 IT Strategic Plan (Plano Estratégico de TI) recomenda:
“Criar um plano estratégico que defina, em cooperação com os principais interessados, como as metas de TI contribuirão para os objetivos estratégicos da organização e quais os custos e riscos associados...”
![Page 22: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/22.jpg)
22
Planejamento de TI
Alinhamento entre PEI e PETI:
“O alinhamento de todos os planos, recursos e unidades organizacionais é um fator fundamental para que a estratégia delineada no planejamento possa ser implementada. Assim, o planejamento estratégico de TI tem que estar alinhado com os planos de negócio da organização para o estabelecimento das prioridades e das ações a serem realizadas na área de TI” (Acórdão 1.603/2008-TCU-Plenário)
![Page 23: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/23.jpg)
23
Planejamento de TIAlinhamento entre PEI e PETI:
Cobit 4.1, objetivo de controle PO1.2 Business-IT Alignment (Alinhamento de TI com negócio): “Estabelecer processos de educação bidirecional e de envolvimento recíproco no planejamento estratégico para obtenção de alinhamento e integração entre o negócio e as ações de TI. As prioridades devem ser acordadas mutuamente a partir da negociação das necessidades do negócio e da área de TI .”
![Page 24: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/24.jpg)
24
Planejamento de TIComitê Diretivo de TI:IN-4/2008 da SLTI/MP estabelece em seu art. 4º:“Parágrafo único. A Estratégia Geral de Tecnologia da Informação deverá abranger, pelo menos, os seguintes elementos: ...
IV - orientação para a formação de Comitês de Tecnologia da Informação que envolvam as diversas áreas dos órgãos e entidades, que se responsabilizem por alinhar os investimentos de Tecnologia da Informação com os objetivos do órgão ou entidade e apoiar a priorização de projetos a serem atendidos.”
![Page 25: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/25.jpg)
25
Planejamento de TIComitê Diretivo de TI:
“A existência de um comitê diretivo de TI (IT Steering Committee), que determine as prioridades de investimento e alocação de recursos nos diversos projetos e ações de TI, é de fundamental importância para o alinhamento entre as atividades de TI e o negócio da organização, bem como para a otimização dos recursos disponíveis e a redução do desperdício. O fato desse comitê ser composto por dirigentes de TI e de outras áreas da organização possibilita que as decisões de investimentos sejam obtidas a partir de uma visão mais abrangente, o que reduz os riscos de erro” (Acórdão 1.603/2008-TCU-Plenário).
![Page 26: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/26.jpg)
26
Planejamento de TI
Comitê Diretivo de TI:Cobit 4.1, objetivo de controle PO4.3 IT Steering Committee (Comitê Diretivo de TI):“Criar um comitê diretivo de TI (ou equivalente) composto de gerentes executivos, de negócios e de TI, para: determinar as prioridades de investimento e alocação de recursos nas ações de TI, alinhadas às estratégias e prioridades da organização; acompanhar o estágio de desenvolvimento dos projetos e resolver conflitos relativos a recursos; e monitorar os níveis de serviço de TI e suas melhorias.”
![Page 27: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/27.jpg)
27
Instruções Normativas• A Secretaria de Logística e Tecnologia da Informação - SLTI
do Ministério do Planejamento editou as Instruções Normativas 02/2008 e 04/2008, as quais contemplam a maior parte das recomendações do TCU quanto à implementação do novo modelo de contratação de serviços de TI (Acórdãos 786/2006-TCU-Plenário, item 9.4, 1480/2007-TCU-Plenário, item 9.1.2.6 e 1999/2007-TCU-Plenário, item 9.4.1.1).
• A IN/SLTI 04/2008 dispõe sobre o processo de contratação de serviços de Tecnologia da Informação pela Administração Pública Federal direta, autárquica e fundacional. Sua vigência iniciou-se em 2 de janeiro de 2009.
• A IN/SLTI 02/2008, que substitui a IN/MARE 18/1997, dispõe sobre regras e diretrizes para a contratação de serviços, continuados ou não. Essa norma aplica-se subsidiariamente à IN/SLTI 04/2008.
![Page 28: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/28.jpg)
28
Desvantagens desse Modelo
(Vide Acórdão 786/2006-TCU-Plenário):
• Ausência de parcelamento do objetoPotencial limitação à competição
Risco de onerar indevidamente o contrato
Risco estratégico (dependência)
Risco na segurança da informação
• Pagamento por homem-hora (HH)Risco exclusivo do contratante
Anti-economicidade: “Paradoxo lucro-incompetência”
Risco de remuneração de horas improdutivas
Antigo modelo de contratação de TI
![Page 29: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/29.jpg)
29
Fases da Contratação
A IN-4/2008 da SLTI/MP estabelece:
“Art. 7º As contratações de serviços de Tecnologia da Informação deverão seguir três fases: • Planejamento da Contratação, • Seleção do Fornecedor, e• Gerenciamento do Contrato.”
![Page 30: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/30.jpg)
30
Planejamento da Contratação
A IN-4/2008 da SLTI/MP estabelece:
“Art. 9º A fase de Planejamento da Contratação consiste nas seguintes etapas:
I - Análise de Viabilidade da Contratação;
II - Plano de Sustentação;
III - Estratégia de Contratação; e
IV - Análise de Riscos.”
![Page 31: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/31.jpg)
31
Análise de Viabilidade da Contratação
A IN-4/2008 da SLTI/MP estabelece:
“Art. 10. A Análise de Viabilidade da Contratação, observado o disposto nos arts. 11 e 12 desta instrução normativa, compreende as seguintes tarefas: • Avaliação da necessidade (Requisitante e TI);• Motivação da contratação (Requisitante);• Especificação dos requisitos (TI);• Identificação das diferentes soluções (TI e Requisitante);• Justificativa da solução escolhida (TI).
![Page 32: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/32.jpg)
32
Análise de Viabilidade da ContrataçãoAvaliação da Necessidade
A área Requisitante, com apoio da área de TI, deve avaliar necessidade de acordo com:• Objetivos estratégicos; e• Necessidades corporativas da instituição.
Considerar:• Alinhamento com PEI e PETI ou PDTI;• Decreto nº 2.271/1997, art. 2º, inciso I;• Acórdão 2.471/2008–Plenário TCU, item 9.1.2;• Cobit 4.1 PO1.2 Business-IT Alignment (Alinhamento de TI com Negócio).
![Page 33: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/33.jpg)
33
Análise de Viabilidade da ContrataçãoMotivação da Contratação
A área Requisitante deve explicitar a motivação da contratação levando em consideração:• Gestor deve motivar seus atos;• Acórdão nº 2.094/2004-TCU-Plenário, item 9.1.1;• Acórdão nº 838/2004-TCU-Plenário, item 9.2.2;• Cobit 4.1 PO5.2 Prioritisation Within IT Budget (Priorização Dentro do Orçamento de TI): Implementar um processo de tomada de decisão para priorizar a alocação de recursos de TI em operações, projetos e manutenção visando maximizar a contribuição da TI para otimizar o retorno de investimentos no portfolio de sistemas e outros serviços e bens de TI.
![Page 34: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/34.jpg)
34
Análise de Viabilidade da ContrataçãoEspecificação dos Requisitos
A área de TI deve levantar:• demandas dos potenciais gestores e usuários do serviço; • soluções disponíveis no mercado; e • análise de projetos similares realizados por outras instituições.
Considerar:• Cobit 4.1 AI1 Identify Automated Solutions (Identificar Soluções Automatizadas), focando em identificar soluções efetivas e tecnicamente viáveis.
![Page 35: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/35.jpg)
35
Análise de Viabilidade da ContrataçãoIdentificação das Diferentes Soluções
A área de TI, com apoio da área Requisitante, deve identificar soluções de acordo com: • disponibilidade solução similar em outro órgão/entidade APF; • soluções Portal do Software Público Brasileiro; • capacidade e alternativas do mercado (inclusive software livre ou público); • observância às políticas, premissas e especificações e-Ping (interoperabilidade) e e-Mag (acessibilidade);• aderência à ICP-Brasil, quando houver certificação digital; • custo financeiro estimado; • Cobit 4.1 AI1 Identify Automated Solutions (Identificar Soluções Automatizadas): A necessidade para uma nova aplicação ou função requer uma pré-análise de aquisição ou criação visando assegurar que requisitos de negócio sejam satisfeitos em uma abordagem eficaz e eficiente.
![Page 36: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/36.jpg)
36
Análise de Viabilidade da ContrataçãoJustificativa da Solução EscolhidaA área de TI deve elaborar justificativa:• descrição sucinta, precisa, suficiente e clara da Solução de Tecnologia da Informação¹ escolhida, indicando os serviços que a compõem; • alinhamento em relação às necessidades;
• identificação dos benefícios que serão alcançados com a efetivação da contratação em termos de eficácia, eficiência, efetividade e economicidade.
(1) IN-4, art. 2º, inciso IV: “Solução de TI: todos os serviços, produtos e outros elementos necessários que se integram para o alcance dos resultados pretendidos com a contratação;”
![Page 37: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/37.jpg)
37
Análise de Viabilidade da ContrataçãoJustificativa da Solução Escolhida
Descrição sucinta, precisa, suficiente e clara da Solução de TI
Considerar:
• Acórdão nº 1.558/2003-TCU-Plenário, item 9.3.10;
• Cobit 4.1 AI1.3 Feasibility Study and Formulation of Alternative Courses of Action (Estudo de viabilidade e formulação de soluções alternativas)
![Page 38: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/38.jpg)
38
Análise de Viabilidade da ContrataçãoJustificativa da Solução Escolhida
Alinhamento em relação às necessidadesConsiderar:• Decreto nº 2.271/1997, art. 2º, inciso II; • Acórdão nº 2.094/2004-TCU-Plenário, item 9.1.1;• Acórdão nº 1.558/2003-TCU-Plenário, item 9.3.11;
• Cobit 4.1, PO1.2 Business-IT Alignment (Alinhamento de TI com Negócio)
![Page 39: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/39.jpg)
39
Análise de Viabilidade da ContrataçãoJustificativa da Solução Escolhida
Identificação dos benefícios que serão alcançados com a efetivação da contratação em termos de eficácia, eficiência, efetividade e economicidade
Considerar:• Decreto nº 2.271/1997, art. 2º, inciso III;• Acórdão nº 2.471/2008-TCU-Plenário, item 9.1.2;• Cobit 4.1 PO5.2 Prioritisation Within IT Budget
(Priorização Dentro do Orçamento de TI)
![Page 40: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/40.jpg)
40
Análise de Viabilidade da Contratação
A IN-4 no § único art. 10 estabelece que a Análise de Viabilidade da Contratação será aprovada e assinada pela área Requisitante e pela área de TI.
![Page 41: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/41.jpg)
41
Análise de Viabilidade da Contratação
No art. 11, os requisitos definidos pela área Requisitante:
I - de software, que independem de arquitetura tecnológica e definem os aspectos funcionais do software; II - de treinamento, com o apoio da área de TI, que definem a necessidade de treinamento presencial ou à distância, carga horária e entrega de materiais didáticos; III - legais, que definem as normas às quais a Solução de TI deve respeitar; IV - de manutenção, que independem de configuração tecnológica e definem a necessidade de serviços de manutenção preventiva, corretiva, evolutiva e adaptativa;
![Page 42: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/42.jpg)
42
Análise de Viabilidade da Contratação (cont.)
No art. 11, os requisitos definidos pela área Requisitante:...V - de prazo, que definem a prioridade da entrega da Solução de TI contratada; VI - de segurança, com o apoio da área de TI; e VII - sociais, ambientais e culturais, que definem requisitos que a Solução de TI deve atender para respeitar necessidades específicas relacionadas a costumes e idiomas, e ao meio-ambiente
![Page 43: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/43.jpg)
43
Análise de Viabilidade da Contratação
No art. 12, os requisitos definidos pela área de TI:
I - de arquitetura tecnológica, composta de hardware, softwares básicos, padrões de interoperabilidade, linguagem de programação e interface; II - de projeto, que estabelecem o processo de desenvolvimento de software, técnicas, métodos, forma de gestão e de documentação; III - de implantação, que definem o processo de disponibilização da solução em produção; IV - de garantia e manutenção, que definem a forma como será conduzida a manutenção e a comunicação entre as partes envolvidas;
![Page 44: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/44.jpg)
44
Análise de Viabilidade da Contratação
No art. 12, os requisitos definidos pela área de TI:...V - de treinamento, que definem o ambiente tecnológico de treinamentos ministrados e perfil do instrutor; VI - de experiência profissional; VII - de formação, que definem cursos acadêmicos e técnicos, certificação profissional e forma de comprovação; e VIII - de metodologia de trabalho.
![Page 45: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/45.jpg)
45
Plano de SustentaçãoA IN-4/2008 estabelece no art. 13:O Plano de Sustentação, a cargo da área de TI, com o apoio do Requisitante, abrange:
I - segurança da informação;
II - recursos materiais e humanos;
III - transferência de conhecimento;
IV - transição contratual; e
V - continuidade dos serviços em eventual interrupção contratual.
![Page 46: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/46.jpg)
46
Segurança da InformaçãoNBR ISO/IEC 27002Código de prática de segurança da informação
Especial atenção para: • Política de Segurança da Informação (PSI);• Classificação da Informação;• Política de Controle de Acesso (PCA);• Competência definida em Segurança da Informação (SI);• Plano de Continuidade de Negócios (PCN).
Devem constar dos editais e contratos !!
![Page 47: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/47.jpg)
47
Segurança da InformaçãoLegislação, Jurisprudência e Boas Práticas• Decreto nº 3.505/2000 (PSI);• IN-01 GSI/PR de 13.06.2008 (PSI e SI);• Acórdão nº 1.603/2008-TCU-Plenário;• Acórdão nº 1.092/2007-TCU-Plenário (PSI, PCA, Classificação da Informação, SI e PCN);• Acórdão nº 2.023/2005-TCU-Plenário (PSI, PCA, Classificação da Informação e SI);• Acórdão nº 71/2007-TCU-Plenário (PSI, PCA e SI);• Cobit 4.1, objetivo de controle DS5.2 IT Security Plan (Plano de Segurança de TI).
![Page 48: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/48.jpg)
48
Recursos Materiais e Humanos
Levantamento e definição dos recursos materiais e humanos próprios necessários para dar suporte à contratação.
![Page 49: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/49.jpg)
49
Transferência de ConhecimentosManutenção do conhecimento no Órgão/Entidade
Especial atenção para: • Contratação dos Serviços;• Gestão do Contrato;• Acórdão nº 1.603/2008-TCU-Plenário;
• Cobit 4.1 AI4.4 Knowledge Transfer to Operations and Support Staff (Transferência de Conhecimentos para Equipes de Operação e Suporte)
Deve constar dos editais e contratos !!
![Page 50: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/50.jpg)
50
Transição Contratual
Previsão das atividades necessárias para a execução da transição contratual sem traumas. Observar que:• é fase essencial;• há superposição de contratos;• contrato vigente somente deve ser encerrado quando novo contrato estiver em vigor;• deve haver definição de responsabilidades.
Deve constar dos editais e contratos !!
![Page 51: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/51.jpg)
51
Continuidade dos Serviços
• Garantia de que os serviços providos e/ou suportados pela solução de TI terão continuidade mesmo que haja interrupção da execução contratual; • Deve estar inserido na Gestão de Continuidade de Negócios; • Aderente ao Plano de Continuidade de Negócios;
Deve constar dos editais e contratos !!
![Page 52: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/52.jpg)
52
Continuidade dos ServiçosAcórdão nº 1.603/2008-TCU-Plenário:
• “... ausência de plano de continuidade de negócios (PCN) em cerca de 88% dos pesquisados.”• “Sem planejamento dessa natureza, a organização fica vulnerável quando da (...) interrupções de serviços. Eventos que poderiam ser resolvidos sem grande perda, acabam por comprometer toda a base atual e histórica de informações da organização.”
![Page 53: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/53.jpg)
53
Continuidade dos Serviços
Deve ser observado: • Acórdão nº 1.603/2008-TCU-Plenário;• Cobit 4.1 DS4 Ensure Continuous Service (Garantir a Continuidade do Serviço – A necessidade de prover serviços contínuos de TI requer desenvolvimento, manutenção e teste de planos de continuidade de TI, armazenamento de cópias de segurança em local alternativo e treinamento periódico de planejamento de continuidade);
![Page 54: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/54.jpg)
54
Continuidade dos ServiçosDeve ser observado ainda: • NBR 15999-1:2007, item 8.6 – Planos de Continuidade de Negócios: o propósito de um plano de continuidade de negócios (PCN) é permitir que uma organização recupere ou mantenha suas atividades em caso de uma interrupção das operações normais de negócios;• NBR ISO/IEC 27002, item 14.1.3 – Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação: convém que os planos sejam desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio.
![Page 55: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/55.jpg)
55
Continuidade dos ServiçosEfeitos reais e potenciais• Vulnerabilidade à ocorrência de interrupção de serviços;• Perda de dados, inclusive históricos, de difícil recuperação;• Dificuldade no restabelecimento das operações normais quando da ocorrência de interrupção de serviços;• Vulnerabilidade a fraudes e erros durante a interrupção de serviços;
• Paralisação de funções essenciais de governo e/ou de Estado.
![Page 56: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/56.jpg)
56
Estratégia de ContrataçãoA IN-4/2008 em seu art.14 estabelece as seguintes tarefas:I – indicação do tipo de serviço, considerando o mercado e as soluções existentes no momento da licitação (TI); II – indicação dos termos contratuais (TI e Requisitante);III – definição da estratégia de independência do órgão ou entidade contratante com relação à contratada (TI);IV – indicação do Gestor do Contrato (TI);
![Page 57: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/57.jpg)
57
Estratégia de ContrataçãoA IN-4/2008 em seu art.14 estabelece as seguintes tarefas:V – definição das responsabilidades da contratada, que não poderá se eximir do cumprimento integral do contrato no caso de subcontratação (TI); VI – elaboração do orçamento detalhado (TI e área competente);VII – indicação da fonte de recursos para a contratação e a estimativa do impacto econômico-financeiro no orçamento do Órgão/Entidade (Requisitante);VIII – definição dos critérios técnicos de julgamento da proposta para a fase de Seleção do Fornecedor (TI).
![Page 58: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/58.jpg)
58
Tipo de Serviço
I – indicação do tipo de serviço, considerando o mercado e as soluções existentes no momento da licitação (TI);
![Page 59: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/59.jpg)
59
Termos ContratuaisII – indicação dos termos contratuais (TI e Requisitante):a) fixação de procedimentos e de critérios de mensuração dos serviços prestados, abrangendo métricas, indicadores e valores; b) definição de metodologia de avaliação da adequação às especificações funcionais e da qualidade dos serviços; c) quantificação ou estimativa prévia do volume de serviços demandados, para comparação e controle; d) regras para aplicação de multas e demais sanções administrativas; e) garantia de inspeções e diligências, quando aplicável, e sua forma de exercício;
![Page 60: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/60.jpg)
60
Termos Contratuais (cont.)II – indicação dos termos contratuais (TI e Requisitante):f) definição de direitos autorais e de propriedade intelectual; g) termo de compromisso, contendo declaração de manutenção de sigilo e ciência das normas de segurança vigentes no órgão ou entidade, a ser assinado pelo representante legal do fornecedor e seus empregados diretamente envolvidos na contratação; h) cronograma de execução física e financeira; i) forma de pagamento, que deverá ser efetuado em função dos resultados obtidos; e j) definição de mecanismos formais de comunicação a serem utilizados para troca de informações entre a contratada e a Administração;
![Page 61: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/61.jpg)
61
Estratégia de Independência
III – definição da estratégia de independência do órgão ou entidade contratante com relação à contratada (TI):a) forma de transferência de tecnologia; e b) direitos de propriedade intelectual e direitos autorais da Solução de Tecnologia da Informação, documentação, modelo de dados e base de dados, justificando os casos em que tais direitos não vierem a pertencer à Administração Pública;
![Page 62: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/62.jpg)
62
Gestor do Contrato
IV – indicação do Gestor do Contrato (TI):No art. 2, III - Gestor do Contrato: servidor com capacidade gerencial, técnica e operacional relacionada ao objeto da contratação;
![Page 63: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/63.jpg)
63
Responsabilidades da Contratada
V – definição das responsabilidades da contratada, que não poderá se eximir do cumprimento integral do contrato no caso de subcontratação (TI);
![Page 64: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/64.jpg)
64
Orçamento Detalhado
VI – elaboração do orçamento detalhado (TI e área competente), fundamentado em pesquisa no mercado, a exemplo de: contratações similares, valores oficiais de referência, pesquisa junto a fornecedores outarifas públicas.
![Page 65: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/65.jpg)
65
Fonte de Recursos
VII – indicação da fonte de recursos para a contratação e a estimativa do impacto econômico-financeiro no orçamento do Órgão/Entidade (Requisitante);
![Page 66: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/66.jpg)
66
Critérios Técnicos de JulgamentoVIII – definição dos critérios técnicos de julgamento da proposta para a fase de Seleção do Fornecedor (TI), observando o seguinte:a) utilização de critérios correntes no mercado; b) a Análise de Viabilidade da Contratação; c) vedação da indicação de entidade certificadora, exceto nos casos previamente dispostos em normas do governo federal;d) o fator desempenho não pode ser pontuado com base em atestados relativos à duração de trabalhos realizados pelo licitante;
![Page 67: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/67.jpg)
67
Critérios Técnicos de Julgamento
VIII – definição dos critérios técnicos de julgamento da proposta para a fase de Seleção do Fornecedor (TI), observando o seguinte:e) quando necessário para a comprovação da aptidão, pode se considerar mais de um atestado relativo ao mesmo quesito de capacidade técnica; f) vedação da pontuação progressiva de mais de um atestado para o mesmo quesito de capacidade técnica; e g) os critérios de pontuação devem ser justificados em termos do benefício que trazem para o contratante.
![Page 68: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/68.jpg)
68
Estratégia de ContrataçãoA IN-4/2008 estabelece:• Restrições quanto à aferição de esforço por meio da métrica homens-hora (§ 1º)• Que é vedado contratar por postos de trabalho alocados (§ 2º)• Vedações e recomendações quanto às licitações do tipo técnica e preço (§s 3º e 4º)• A Estratégia de Contratação deverá ser aprovada e assinada pelo Requisitante e pela área de TI (§ 5º)
![Page 69: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/69.jpg)
69
Análise de RiscosA IN-4/2008 estabelece no art. 16. que a Análise de Riscos deverá ser elaborada pelo Gestor do Contrato, com o apoio da área de TI e do Requisitante observando:
I - identificação dos principais riscos que possam comprometer o sucesso do processo de contratação;
II - identificação dos principais riscos que possam fazer com que os serviços prestados não atendam às necessidades do contratante, podendo resultar em nova contratação;
III - identificação das possibilidades de ocorrência e dos danos potenciais de cada risco identificado;
![Page 70: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/70.jpg)
70
Análise de RiscosA IN-4/2008 estabelece no art. 16. que a Análise de Riscos deverá ser elaborada pelo Gestor do Contrato, com o apoio da área de TI e do Requisitante observando:
...
IV - definição das ações a serem tomadas para amenizar ou eliminar as chances de ocorrência do risco;
V - definição das ações de contingência a serem tomadas caso o risco se concretize; e VI - definição dos responsáveis pelas ações de prevenção dos riscos e dos procedimentos de contingência.
![Page 71: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/71.jpg)
71
Análise de RiscosAcórdão nº 1.603/2008-TCU-Plenário:• “A ausência da análise de riscos na área de TI, informada por 75% dos órgãos/entidades pesquisados, é um indício de que as ações de segurança não são executadas de maneira sintonizada com as necessidades do negócio dessas organizações. Isto porque, sem análise de riscos, não há como o gestor priorizar ações e investimentos com base em critérios claros e relacionados com o negócio da organização.”• “Além disso, o desconhecimento dos riscos na área de TI aumenta a exposição às ameaças de acesso indevido, indisponibilidade e perda de integridade (intencional, como no caso das fraudes, ou por falhas) das informações sob responsabilidade dessas organizações.”
![Page 72: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/72.jpg)
72
Análise de RiscosDeve ser observado: • Acórdão nº 1.603/2008-TCU-Plenário;• Cobit 4.1 PO9.4 Risk Assessment (Análise de Riscos – Avaliar periodicamente a probabilidade e o impacto de todos os riscos identificados, usando métodos qualitativos e quantitativos. A probabilidade e o impacto associados com o risco inerente e residual devem ser determinados individualmente por categoria);
• NBR ISO/IEC 27002, item 4.1 – Analisando/avaliando os riscos de segurança da informação: convém que as análises/avaliações de riscos identifiquem, quantifiquem e priorizem os riscos com base em critérios relevantes para a organização, e que os resultados orientem e determinem as ações de gestão apropriadas e as prioridades para o gerenciamento dos riscos de segurança da informação, e para a implementação dos controles selecionados, de maneira a proteger contra estes riscos.
![Page 73: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/73.jpg)
73
Análise de Riscos• Identificação dos principais riscos:
que possam comprometer o sucesso do processo de contratação;
que possam fazer com que os serviços prestados não atendam às necessidades do contratante, podendo resultar em nova contratação;
• Identificação das possibilidades de ocorrência e dos danos potenciais de cada risco identificado;
![Page 74: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/74.jpg)
74
Análise de Riscos
• definição das ações a serem tomadas:para amenizar ou eliminar as chances de ocorrência do risco;
caso o risco se concretize; e
• definição dos responsáveis pelas ações de prevenção dos riscos e dos procedimentos de contingência.
![Page 75: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/75.jpg)
75
• Os serviços somente poderão ser licitados quando houver projeto básico aprovado pela autoridade competente (Lei 8.666/93, art. 7º, I e § 2º, I e IN/SLTI 02/2008, art. 14).
• O objeto da contratação deve estar precisamente caracterizado e quantificado no projeto básico (Lei 8.666/93, arts. 7º, § 4º; 8º; 14; 15, § 7º; 55).
• O projeto básico deve conter, no que couber, o detalhamento previsto no art. 6º, IX, da Lei 8.666/93, devendo a sua definição ser precisa, suficiente e clara.
• São vedadas especificações excessivas, irrelevantes ou desnecessárias que limitem ou frustrem a competição ou a realização do fornecimento (Decreto 3.555/2000, art. 8º, I e IN/SLTI 02/2008, art. 16).
Projeto Básico
![Page 76: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/76.jpg)
76
Nos projetos básicos de serviços serão considerados principalmente os seguintes requisitos (art. 12 da Lei 8.666/1993):
• segurança;• funcionalidade e adequação ao interesse público;• economia na execução, conservação e operação;• possibilidade de emprego de mão-de-obra, materiais,
tecnologia e matérias-primas existentes no local para execução, conservação e operação;
• facilidade na execução, conservação e operação, sem prejuízo da durabilidade do serviço;
• adoção das normas técnicas, de saúde e de segurança adequadas.
Projeto Básico
![Page 77: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/77.jpg)
77
A IN/SLTI 04/2008, que cuida especificamente da contratação de serviços da área de TI, prevê, em seu art. 17, que o Projeto Básico deverá conter, no mínimo, as seguintes informações:
• definição do objeto; • fundamentação da contratação; • requisitos do serviço; • modelo de prestação dos serviços; • elementos para gestão do contrato; • estimativa de preços; • indicação do tipo de serviço; • critérios de seleção do fornecedor; e • adequação orçamentária.(Vide Acórdão 2.471/2008-Plenário, item 9.1.1)
Projeto Básico
![Page 78: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/78.jpg)
78
Art. 19. A fase de Seleção do Fornecedor observará as normas pertinentes, incluindo o disposto • na Lei nº 8.666, de 1993, • na Lei nº 10.520, de 2002, • no Decreto nº 2.271, de 1997, • no Decreto nº 3.555, de 2000, • no Decreto nº 3.931, de 2001, e • no Decreto nº 5.450, de 2005.
Seleção de Fornecedor
![Page 79: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/79.jpg)
79
Encerrado o procedimento licitatório e contratado o vencedor do certame para o fornecimento do objeto, inicia-se a fase de execução contratual.
Nessa fase, compete à Administração garantir que o contratado cumpra os termos contratuais, de forma que o objeto do contrato seja fornecido nas condições e prazos estabelecidos..
Gerenciamento do Contrato
![Page 80: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/80.jpg)
80
A gestão contratual compreende uma série de atividades envolvendo:
• solicitação dos serviços;• acompanhamento;• fiscalização da execução;• avaliação da qualidade e aderência às
especificações;• ateste da realização dos trabalhos;• aplicação de penalidades;• pagamento.
Gerenciamento do Contrato
![Page 81: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/81.jpg)
81
Processo de Gestão Contratual
Acórdão 1.603/2008-TCU-Plenário:
“Para se gerir adequadamente os riscos inerentes às atividades de TI, a adoção de processo formal de trabalho é de suma importância. Esse processo de trabalho deve ser definido, padronizado, documentado, aprovado e divulgado para toda a organização.”
![Page 82: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/82.jpg)
82
Processo de Gestão Contratual
• Lei nº 8.666/1993, Capítulo III;
• IN-04/2008, Seção III;
• Acórdão 1.603/2008-TCU-Plenário;
• Cobit 4.1 AI5.1 Procurement Control (Controle sobre aquisições) – desenvolver e seguir um conjunto de procedimentos e padrões consistente com o processo de licitação e a estratégia de aquisição gerais da organização para adquirir infra-estrutura, instalações, hardware, software e serviços de TI necessários ao negócio.
![Page 83: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/83.jpg)
83
Processo de Gestão Contratual• Início da Execução Contratual
• Execução Contratual• Monitoração Técnica (eficiência/efetividade)
• Atestação Técnica
• Monitoração Administrativa
• Autorização de Pagamento
• Encerramento e Transição Contratual• O registro das tarefas acima deverá compor o Histórico
de Gestão do Contrato
![Page 84: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/84.jpg)
84
Início da Execução Contratual• Elaboração, pelo Gestor do Contrato, de um plano de
inserção da contratada que contemple: • o repasse de conhecimentos necessários para a
execução dos serviços à contratada; e • a disponibilização de infra-estrutura à contratada,
quando couber• Reunião inicial entre o Gestor do Contrato, Área de TI,
Requisitante e a contratada, cuja pauta observará, pelo menos: • assinatura do termo de compromisso de manutenção de
sigilo e ciência das normas de segurança vigentes no órgão ou entidade; e
• esclarecimentos relativos a questões operacionais e de gerenciamento do contrato.
![Page 85: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/85.jpg)
85
Início da Execução ContratualReunião de alinhamento de expectativas
• Checagem de compreensão do objetivo, do objeto, do modelo de prestação de serviços, do modelo de gestão, das obrigações e das penalidades
• Releitura do Edital, Contrato e termos da proposta vencedora
• Manutenção das condições habilitatórias e pontuadas
• Confirmação de cronogramas (etapas, faturamento, etc.)
![Page 86: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/86.jpg)
86
Encaminhamento Formal de Demandas Encaminhamento formal de demandas pelo Gestor do
Contrato ao preposto da contratada por meio de Ordens de Serviço, que conterão:
• definição e especificação dos serviços a serem realizados; • volume de serviços solicitados e realizados segundo as
métricas definidas; • resultados esperados; • o cronograma de realização dos serviços, incluídas todas as
tarefas significativas e seus respectivos prazos; • avaliação da qualidade dos serviços realizados e as
justificativas do avaliador; e • identificação dos responsáveis pela solicitação, avaliação da
qualidade e ateste dos serviços realizados, que não podem ter vínculo com a empresa contratada;
![Page 87: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/87.jpg)
87
Monitoramento da Execução A cargo do Gestor do Contrato, com apoio Requisitante e
da Área de TI, que consiste em: • recebimento mediante análise da avaliação dos serviços,
com base nos critérios previamente definidos; • ateste para fins de pagamento; • identificação de desvios e encaminhamento de demandas
de correção; • encaminhamento de glosas e sanções; • verificação de aderência às normas do contrato; • verificação da manutenção da necessidade, economicidade
e oportunidade da contratação; • verificação da manutenção das condições classificatórias,
pontuadas e da habilitação técnica;
![Page 88: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/88.jpg)
88
Monitoramento da Execução
(continuação): • manutenção do Plano de Sustentação; • comunicação às autoridades competentes sobre a
proximidade do término do contrato, com pelo menos 60 (sessenta) dias de antecedência;
• manutenção dos registros de aditivos; • encaminhamento às autoridades competentes de
eventuais pedidos de modificação contratual; e • manutenção de registros formais de todas as ocorrências
da execução do contrato, por ordem histórica.
![Page 89: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/89.jpg)
89
Processo de Gestão ContratualExecução contratual
Monitoração técnica (eficiência e efetividade) Reuniões periódicas, quando conveniente Procedimentos de verificação de nível de
serviço Notificação de desvios de normalidade Encaminhamento de proposta de apenação
(glosas e sanções) Capacitação e disponibilidade de
fiscalizadores
![Page 90: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/90.jpg)
90
Processo de Gestão Contratual
Execução contratual Atestação técnica
Registro (para eventual auditoria) da verificação de execução
Registro das notificações/apenações e seu andamento
Propostas de glosa
![Page 91: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/91.jpg)
91
penalidades cabíveis e valores das multas
• as penalidades estão previstas no art. 87 da Lei nº 8.666/1993 e art. 7º da Lei nº 10.520/2002;
• o contrato deverá especificar as condições de aplicação da multa e respectivos valores.
Processo de Gestão Contratual
![Page 92: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/92.jpg)
92
Processo de Gestão ContratualExecução contratual
Monitoração Administrativa (legalidade e economicidade) Aspectos trabalhistas (encargos, subordinação direta,
desvio de função, pessoalidade indevida, ingerência administrativa)
Aspectos fiscais (regularidade cadastral) Manutenção das condições habilitatórias/pontuadas Atendimento aos normativos internos Verificação da vantajosidade do preço (estabelecer
periodicidade e método para verificação)
![Page 93: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/93.jpg)
93
Processo de Gestão Contratual
Execução contratual Autorização de pagamento
Mensuração do serviço prestado Registro (para eventual auditoria) da
mensuração
![Page 95: Instrução Normativa 04/2008 SLTI/MP André Luiz Furtado Pacheco, CISA Comissão Nacional de Energia Nuclear – outubro de 2009](https://reader035.vdocuments.site/reader035/viewer/2022062512/552fc13c497959413d8db141/html5/thumbnails/95.jpg)
95
www.tcu.gov.br
Valores
ÉticaJustiça
EfetividadeIndependência
Profissionalismo