A casa caiu…

O Tribunal de Contas da União fez uma auditoria no Ministério da Educação. E pegou uma pá de irregularidades na área de TI do  Fundo Nacional do Desenvolvimento da Educação (FNDE). Há muito tempo eu denuncio este órgão, informando que ele  estava “capturado” por empresas do SINDESEI (exceção para a Synos). Enfim, parece que o TCU acordou para o problema e divulgou hoje um Acórdão  (594/2011) – com base no relatório de auditoria (processo TC 022.488/2010-32), bastante didático.

Para quem não tem saco de ler coisa grande, segue aqui um singelo resuminho:

a- Terceirizados ocupando postos de chefia dentro do MEC, nomeados com apoio de empresas.

b – “Equívocos” em retenção de tributos de contratos assinados com o FNDE.

c – Contratos de pessoal terceizado em desconformidade com as normas vigentes no país.

d – Níveis de segurança da informação comprometidos e nenhum responsável para assumir o problema, caso ele ocorra. Nem tampouco alguma cláusula em contrato sobre garantia de sigilo.

– Nenhuma avaliação estratégica sobre soluções contratadas com as empresas e nenhuma comprovação de que estas seriam, de fato, estratégicas.

*Tem muito mais: Leiam a íntegra da decisão do TCU:

1 –  Determinar ao FNDE que, no prazo de 30 (trinta) dias:

– Em conformidade com o princípio da legalidade, como art. 7º do Decreto-Lei 200/1967 e com o art. 4º, IV, do Decreto2.271/97, faça cessar a utilização de empregados terceirizados em cargos com papéis sensíveis da área de TI, especialmente quanto àresponsabilidade pelas funções de suporte à área de TI, gerência de projetos e atendimento e relacionamento com o cliente, haja vista quetais funções devem ser exercidas apenas por servidores públicos;

– Em atenção à Instrução Normativa GSI/PR 1/2008, art.5º, IV, e art. 7º, c/c a Norma Complementar 3/IN01/DSIC/GSIPR,item 5.3.7.2, nomeie servidor para a função de Gestor de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002:2005 , item 6.1.3 – Atribuição de responsabilidade para segurança da informação;

2 – Apresente ao Tribunal cópia dos seguintes documentos:

– Comprovante de recolhimento do valor de R$ 8.938,18 pela empresa signatária do contrato 211/2009, em razão do equívoco na retenção de tributos relativa ao pagamento referente à nota fiscal 2010/38;

– Termos de sigilo e responsabilidade assinados por todos os técnicos contratados no âmbito do contrato 48/2009, firmado com a empresa Poliedro, em cumprimento ao art. 20, inciso I, b.1, da IN 04/2008 SLTI/MPOG, ao inciso VII da Cláusula Sétima do referido contrato e ao item VI, g, do termo de referência;

3 –  Alerta ao FNDE que:

– A ausência de classificação de informações conforme níveis de segurança contraria o item 2.1 da Norma de Segurança NS-003-2002-SEXEC;

– A ausência ou incompletude dos artefatos de planejamento, a falta de alinhamento da contratação à estratégia institucional e a falta de verificação de diferentes soluções de TI que possam atender as necessidades da organização, a exemplo do ocorrido nos contratos 2/2010 e 211/2009, firmados com as empresas CTIS e Synos, respectivamente, contrariam a IN 4/2008-SLTI/MPOG;

– A ausência de apuração da não manutenção de propostapela licitante, a exemplo do ocorrido no pregão 22/2009, contraria o art. 7º da Lei 10.520/2002;

– A fixação da quantidade de postos de trabalho semjustificativa, a exemplo do observado no contrato 2/2010, afronta o art. 14, § 2º, da IN 04/2008 SLTI/MPOG;

– A inexistência, nos autos do processo do contrato 48/2009, de termos de sigilo e responsabilidade assinados por todos os técnicos contratados representa descumprimento do inciso VII da Cláusula Sétima do contrato 48/2009 e do item VI, alínea g, do termode referência, além de estar em desacordo com o art. 20, inciso I, b.1,da IN 4/2008 SLTI/MPOG;

– A prorrogação do contrato 48/2009 sem realização depesquisa de preços para assegurar vantagem para a Administração na manutenção da contratação vigente descumpriu o art. 30, § 2º, da IN2/2008 SLTI/MPOG;

– A liquidação de despesas relativas ao contrato 48/2009 no subelemento genérico 79, natureza de despesa 339039 – Outros Serviços de Terceiros Pessoa Jurídica, previsto no Plano de Contas da Administração Pública Federal, não se coaduna com a transparência e com a correção das informações contábeis, relativamente ao objeto pago pela Administração, conforme estabelece o art. 36, § 1º, alínea a, do Decreto 93.872/1986;

– A substituição de profissionais referida no relatório final do projeto previsto no contrato 211/2009 sem a correspondente menção a respeito nos autos do respectivo processo ocasiona dúvidas sobre a manutenção das condições de habilitação e qualificação e configura descumprimento do item I da Cláusula Sétima do aludido contrato 211/2009;

4 – Determinar ao FNDE que, no  prazo de 30 (trinta) dias a contar da ciência deste acórdão, encaminhe plano de ação para implementação das medidas contidas nos itens 9.4 e 9.5 a seguir, contendo:

– Para cada determinação, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações;

– Para cada recomendação cuja implementação seja considerada conveniente e oportuna, o prazo e o responsável (nome,cargo e CPF) pelo desenvolvimento das ações;

– Para cada recomendação cuja implementação não seja considerada conveniente ou oportuna, justificativa da decisão;

5 – Determinar ao FNDE que:

– Em atenção ao Decreto-Lei 200/67, art. 6º, inciso I, eà IN 4/2008 – SLTI/MPOG, art. 3º, institua processo de PlanejamentoEstratégico de TI, de maneira que o Plano Diretor de Tecnologia da Informação esteja em conformidade com as diretrizes da IN 4/2008-SLTI/MPOG, art. 4º, III, e com as práticas do Cobit 4.1, processo PO1 – Planejamento Estratégico de TI, especialmente no que se refereà aprovação e à publicação do plano;

– Estabeleça processo de elaboração do orçamento de TI, de maneira a que solicitações de orçamento das despesas de TI estejam baseadas em ações previstas no PDTI, observando as práticas do Cobit 4.1, processo PO5.3 – Orçamentação de TI, e do Gespública, critério de avaliação 7.3, atendendo também à Lei 12.017/2009 (LDO 2010), art. 9º, II, c/c Anexo II, XVIII, e das que vierem a sucedêla;

– Em atenção à IN GSI/PR 1/2008, art. 5º, VII, atualizea Política de Segurança da Informação e Comunicações

– Em atenção à IN GSI/PR 01/2008, art. 5º, VII, c/c a Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento de inventário de ativos de informação, de maneira a que todos os ativos de informação sejam inventariados e tenham um proprietário responsável, observando as práticas contidas no item 7.1da NBR ISO/IEC 27002:2005 e no item 1 da Norma de Segurança do FNDE NS-003-2002-SEXEC;

– Em atenção à IN GSI/PR 1/2008, art. 5º, VII, c/c a Norma Complementar 04/IN01/DSIC/GSIPR, implemente processo de gestão de riscos de segurança da informação;

– Em atenção à IN GSI/PR 1/2008, art. 5º, VI, e art. 6º, assegure o funcionamento do Comitê de Segurança da Informação e Comunicações, especialmente no tocante ao monitoramento da segurança corporativa, à expedição de normas de segurança da informação, à realização de reuniões periódicas, com registro de deliberações em ata, e a outras atribuições correlatas constantes da mencionada IN;

– Em atenção à IN GSI/PR 1/2008, art. 5º, V, reformule a atuação da equipe de tratamento e resposta a incidentes em redes computacionais, de maneira a atender às Normas Complementares 5/IN/01/DSIC/GSIPR e 8/IN/01/DSIC/GSI/PR, especialmente quanto à designação formal dos integrantes e ao tratamento de resposta a incidentes;

6 – Recomendar ao FNDE que:

– Em atenção ao princípio da eficiência consagrado na Constituição Federal, art. 37, caput, e ao Decreto-Lei 200/1967, art.6º, I, e art. 7º, elabore Plano Estratégico Institucional, considerando o critério de avaliação 2 do Gespública;

– Em atenção ao princípio da eficiência consagrado na Constituição Federal, art. 37, caput, aperfeiçoe o processo de planejamento estratégico de TI, observando as práticas do Cobit 4.1, processo PO1 – Planejamento Estratégico de TI, contemplando, entre outros, o desdobramento do PDTI em planos de ação de médio e curto prazos, o envolvimento das áreas de negócio nas ações relativas ao PDTI, divulgação dos planos de ação para os servidores da instituição e avaliação do PDTI;

– Em atenção ao princípio da eficiência consagrado na Constituição Federal, art. 37, caput, aperfeiçoe a atuação do Comitê de Tecnologia da Informação, no sentido de assegurar o cumprimento efetivo de suas atribuições, considerando as diretrizes do Cobit 4.1,PO4.2 – Comitê Estratégico de TI e PO4.3 – Comitê Diretor de TI;

– Faça constar de seus normativos internos, a exemplo do Regimento Interno, as atribuições e responsabilidades da área de TI, observando as do Cobit 4.1, PO4.6 – Estabelecimento de papéis e responsabilidades;

– Em atenção ao princípio da eficiência consagrado na Constituição Federal, art. 37, caput, elabore estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas a fundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivos devidamente qualificados, objetivando melhor atendimento das necessidades institucionais e observando as práticas do Cobit 4.1, PO4.12 – Pessoal de TI;

– Em atenção ao princípio da eficiência consagrado na Constituição Federal, art. 37, caput, aperfeiçoe o processo de gestãode configuração de serviços de tecnologia da informação, considerando as orientações do Cobit 4.1, processo DS9 – Gerenciar configuração, e de outras boas práticas de mercado, como a NBRISO/IEC 20000:2008;

– Em atenção ao princípio da eficiência consagrado na Constituição Federal, art. 37, caput, estabeleça processo de avaliação da gestão de TI, observando as orientações do Cobit 4.1, itens ME1.4- Avaliação de desempenho, ME1.5 Relatórios gerenciais, ME1.6 -Ações corretivas e ME2 – Monitorar e avaliar os controles internos.