Natureza: Monitoramento



Baixar 263.72 Kb.
Encontro12.09.2019
Tamanho263.72 Kb.




TRIBUNAL DE CONTAS DA UNIÃO TC 004.068/2014-9

GRUPO I – CLASSE V – Plenário

TC 004.068/2014-9.

Natureza: Monitoramento.

Órgão: Casa da Moeda do Brasil.

Advogado constituído nos autos: não há.


SUMÁRIO: MONITORAMENTO. CUMPRIMENTO DE ALGUMAS DETERMINAÇÕES/RECOMENDAÇÕES E NÃO CUMPRIMENTO DE OUTRAS. DETERMINAÇÃO. APENSAMENTO AO PROCESSO ORIGINÁRIO.

RELATÓRIO


Adoto, como relatório, a instrução da unidade técnica (doc. 31), com manifestação de acordo do Diretor e do Secretário (docs. 32 e 33), in verbis:

1.1.1. O presente monitoramento é decorrente de deliberação constante em despacho de 10/2/2014 do Ministro Walton Alencar Rodrigues (TC 001.003/2014-3, peça 4).

1.2 Visão Geral do Objeto

1.2.

1.2.1. Em 2011, o TCU realizou auditoria para avaliar o Sistema Integrado de Gestão na Casa da Moeda do Brasil (CMB). Tal fiscalização encontrava-se inserida no escopo do Tema de Maior Significância 7 – Sistemas Informatizados de Gestão das Empresas Estatais (TMS 7) que se prestava a traçar panorama da utilização de sistemas informatizados de gestão das empresas estatais federais. À época, foram realizadas cinco auditorias operacionais, em que a matriz de planejamento utilizada foi definida em conjunto pela coordenação da Fiscalização de Orientação Centralizada (FOC) composta para atender ao TMS 7/2011.

1.2.2. Como resultado dessa fiscalização, foi prolatado o Acórdão 2.296/2012-TCU-Plenário, com 35 deliberações, sendo onze determinações e 24 recomendações, que são exatamente o escopo do presente processo de monitoramento.

1.2.3. Assim, o objeto deste monitoramento é o Acórdão 2.296/2012-TCU-Plenário, decorrente de auditoria que tratou de avaliar os controles utilizados pela Casa da Moeda como suporte à gestão e ao uso do sistema integrado de gestão ERP (Enterprise Resource Planning), do fabricante Totvs.

1.3 Objetivo

1.3.

1.3.1. O objetivo deste monitoramento é avaliar o cumprimento das deliberações contidas no Acórdão 2.296/2012-TCU-Plenário.

1.4 Metodologia utilizada

1.4.

1.4.1. Para a realização deste trabalho, foram seguidos os normativos institucionais que tratam das fiscalizações no âmbito do TCU, em especial os documentos intitulados “Padrões de Monitoramento”, aprovado pela Portaria-Segecex 27, de 19/10/2009, e “Normas de Auditoria do TCU” (NAT), aprovada por meio da Portaria-TCU 280, de 8/12/2010, posteriormente alterada pela Portaria-TCU 168, de 30/6/2011.

1.4.2. Na fase de planejamento desta fiscalização, para a coleta do plano de ação atualizado, bem como das demais informações e documentos necessários, foi encaminhado à Casa da Moeda o Ofício 068/2014-TCU/Sefti, de 10/3/2014 (peça 3). Foram utilizadas as metodologias de análise documental das respostas enviadas pela entidade, além de entrevistas realizadas com gestores da área de TI da empresa.

1.5 Limitações



1.5.

1.5.1. Não foram registradas limitações.

1.6 Processos conexos

1.6.

1.6.1. O TC 015.574/2011-3 trata de auditoria no Sistema de Gestão Empresarial utilizado na Casa da Moeda do Brasil, cujo acórdão é objeto do presente monitoramento.

2. ANÁLISE DO ATENDIMENTO DAS DELIBERAÇÕES

2.1. Deliberação

2.1.1. Determinação 9.1.1: nos futuros contratos do sistema integrado de gestão, especifique os níveis de serviço aceitáveis, conforme jurisprudência deste Tribunal nos Acórdãos 1.163/2008 (item 9.4), 1.603/2008 (itens 9.1.5 e 9.4.4) e 265/2010 (itens 9.1.2 e 9.1.6), todos do Plenário.

Situação que levou à proposição da deliberação

2.1.2. Verificou-se, na auditoria, ausência de cláusulas contratuais que definissem níveis de serviços aceitáveis e, principalmente, quantitativos e valores de cada um dos serviços objetos da avença (peça 12, p. 33, item 166).

Providências adotadas e comentários dos gestores

2.1.3. Em resposta ao Ofício 68/2014-TCU/Sefti (peça 3), a CMB encaminhou, por meio do expediente OF.AUDIT/038/2014 (peça 5), autoavaliação realizada na entidade acerca do cumprimento das deliberações contidas na decisão ora monitorada.



2.1.4. Em relação à presente determinação, a empresa informa que foram inseridos critérios de aceitabilidade no segundo termo aditivo do Contrato 449/09 (peça 5, p. 5-6).

Análise

2.1.5. O segundo termo aditivo ao contrato de prestação de serviços de consultoria, manutenção e suporte técnico ao Sistema de Gestão Empresarial (peça 14, p. 53-68) especificou níveis de serviços aceitáveis por meio de indicadores e estabeleceu as penalidades para seu descumprimento.

2.1.6. O item 2.1.3 do anexo I do citado aditivo contratual (peça 14, p. 59) estabelece níveis de criticidade para cada tipo de chamado e os respectivos tempos de atendimento e de solução de problemas.

2.1.7. Como exemplo, tem-se que, para uma manutenção no sistema classificada como de alta criticidade, o tempo de atendimento ao chamado é de duas horas a partir da abertura do chamado e o prazo máximo de solução, de 24 horas úteis (peça 14, p. 59-60).

Evidências

a) OF.AUDIT/038/2014 (peça 5);

b) segundo termo aditivo do Contrato 449/09 (peça 14).

Conclusão

2.1.8. O contrato em vigor, após o segundo aditamento, estabeleceu níveis de serviço aceitáveis para os serviços de manutenção e suporte técnico do Sistema de Gestão Empresarial.

Proposta de encaminhamento

2.1.9. Considerar a determinação 9.1.1 do Acórdão 2.296/2012-TCU-Plenário cumprida.

2.2. Deliberação

2.2.1. Determinação 9.1.2: nos futuros contratos do sistema integrado de gestão, estime e defina quantitativos e valores individuais de cada um dos serviços, conforme disposto na Lei nº 8.666/93, art. 40, § 2º, inciso II, c/c art. 15, § 7º, inciso II.

Situação que levou à proposição da deliberação

2.2.2. Constatou-se que, na contratação de serviços relativos ao sistema ERP, não foram definidos os quantitativos e valores individuais de cada um dos serviços, em afronta ao disposto na Lei 8.666/93, art. 40, § 2º, inciso II, c/c art. 15, § 7º, inciso II (peça 12, p. 68).

Providências adotadas e comentários dos gestores

2.2.3. No OF.AUDIT/038/2014 (peça 5), encaminhado em resposta ao Ofício 68/2014-TCU/Sefti (peça 3), a CMB considera a demanda implementada, apesar de inexistir, no termo de prorrogação contratual, métricas para avaliação dos usos de licenças (peça 5, p. 6).



Análise

2.2.4. Verifica-se que o termo de prorrogação contratual supracitado estabeleceu em sua Cláusula Quarta o valor global do contrato e o detalhamento de cada um dos serviços prestados com seus respectivos valores (peça 14, p. 55).

2.2.5. Nota-se que ainda restam serviços não quantificados, como o caso do serviço de Garantia e Evolução Tecnológica, no valor de R$ 249.490,20 (peça 14, p. 55, linha 3 da planilha de serviços). O pagamento desse item não se atrela a quantitativo de horas de profissionais dispendidas ou mesmo a nível de serviço especificado.



2.2.6. O item 2.1.5 do mencionado aditivo estabelece que o Serviço de Garantia e Evolução Tecnológica consiste na disponibilização de atualização de versão do ERP além da aplicação de eventuais pacotes de correção que possam ser desenvolvidos.

2.2.7. Nota-se que, de fato, trata-se de serviço não quantificado, sendo que, caso não haja atualização de versão do sistema ou correção de falhas, a CMB estará, de qualquer forma, obrigada a realizar o pagamento dos valores previstos para esse item.

2.2.8. Verificou-se, no âmbito dos trabalhos de monitoramento dos demais acórdãos expedidos no âmbito do TMS 7/2011, que esse modelo de cobrança pela simples garantia de acesso a evoluções tecnológicas de sistemas, desvinculado de resultados e de serviços efetivamente prestados, continua sendo prática comum de negócio das grandes empresas fornecedoras de sistemas do tipo ERP.



2.2.9. Devido à complexidade do tema e ao fato de ser prática comum nesse tipo de mercado, esse problema foi escalonado, no trabalho de consolidação da FOC (Acórdão 2.523/2012-TCU-Plenário), ao Departamento de Coordenação e Governança das Empresas Estatais do Ministério do Planejamento, Orçamento e Gestão (Dest/MP), para que promovesse estudos de forma a equacionar o supramencionado problema, sendo que, no monitoramento deste Acórdão, apreciado por meio do Acórdão 3.154/2013-TCU-Plenário, verificou-se também que o órgão governante superior não conseguiu avançar neste tema.

2.2.10. A respeito dos demais serviços contratados por meio da prorrogação contratual realizada pela CMB encontram-se devidamente dimensionados e propiciam execução contratual adequada.

Evidências

a) OF.AUDIT/038/2014 (peça 5);

b) segundo termo aditivo do Contrato 449/09 (peça 14).

Conclusão

2.2.11. Os serviços de manutenção e suporte ao Sistema de Gestão Integrada da CMB encontram-se devidamente estimados e quantificados, à exceção do Serviço de Garantia e Evolução Tecnológica.

Proposta de encaminhamento

2.2.12. Considerar a determinação 9.1.2 do Acórdão 2.296/2012-TCU-Plenário parcialmente cumprida.

2.3. Deliberação

2.3.1. Determinação 9.1.3: nos futuros contratos do sistema integrado de gestão, estabeleça remuneração vinculada a resultados ou ao atendimento de níveis de serviço, de acordo com a natureza dos serviços, e só pague os que forem efetivamente prestados, em observância ao princípio constitucional da eficiência, insculpido no caput do art. 37 da Constituição, ao estabelecido no Decreto nº 2.271/97, art. 3º, § 1º, e à jurisprudência deste Tribunal nos Acórdãos 2.471/2008 (item 9.1.4), 1.558/2003 (item 9.3.7), 786/2006 (item 9.4.3), 1.330/2008 (item 9.4.9) e 265/2010 (item 9.1.7), todos do Plenário.

Situação que levou à proposição da deliberação

2.3.2. Constatou-se que, na contratação de serviços relativos ao sistema ERP, os pagamentos não estavam vinculados a resultados ou entregáveis, fazendo com que o risco de caracterização da relação como mera locação de mão de obra continuasse presente, em afronta ao estabelecido no Decreto 2.271/97, art. 3º, § 1º, e à jurisprudência deste Tribunal nos Acórdãos 2.471/2008 (item 9.1.4), 1.558/2003 (item 9.3.7), 786/2006 (item 9.4.3), 1.330/2008 (item 9.4.9) e 265/2010 (item 9.1.7), todos do Plenário (peça 12, p. 69).

[...]

Análise

2.3.5. Verificou-se, conforme análise empreendida nas determinações 9.1.1 e 9.1.2, que o segundo termo aditivo ao contrato de prestação de serviços de manutenção e suporte ao sistema ERP estabeleceu os quantitativos e os níveis de serviço para os serviços de suporte e consultoria local.

2.3.5. Contudo, o serviço de Garantia e Evolução Tecnológica [...] continua desvinculado de resultados e seu pagamento é realizado mensalmente sem levar em conta se houve efetiva disponibilização de versão atualizada ou de pacotes de correção do sistema.

2.3.6. Portanto, esse serviço não pode ser atestado e pago com base em resultados alcançados ou com níveis de serviços atendidos, em discordância com o comando da determinação em análise. Vale aqui também a ressalva [...] a respeito da prática comum dos fornecedores de sistemas ERP em cobrarem pela simples disponibilização de atualizações e pacotes de correção, tema de grande complexidade que ainda não recebeu adequada tratativa, nem mesmo depois de escalonado ao Dest/MP.

2.3.7. A respeito dos demais serviços previstos no instrumento de prorrogação contratual, há mecanismos contratuais como indicadores de níveis de serviço e ordens de serviços de consultoria e manutenção locais que permitem que esses serviços sejam atestados e pagos de acordo com os resultados atingidos ou com o quantitativo efetivamente consumido.

Evidências

a) OF.AUDIT/038/2014 (peça 5);

b) segundo termo aditivo do Contrato 449/09 (peça 14).

Conclusão

2.3.8. O serviço de Garantia e Evolução Tecnológica não é vinculado a resultados ou a acordos de níveis de serviço e, portanto, não pode ser pago com base nesses critérios. Os demais serviços apresentam mecanismos de gestão contratual que possibilitam a vinculação do pagamento a resultados ou acordos de nível de serviços estabelecidos.

Proposta de encaminhamento

2.3.9. Considerar a determinação 9.1.3 do Acórdão 2.296/2012-TCU-Plenário parcialmente cumprida.

2.4. Deliberação

2.4.1. Determinação 9.1.4: no processo de acompanhamento técnico do contrato do sistema integrado de gestão, realize a devida numeração das folhas em ordem cronológica da documentação acostada, conforme disposto na Lei nº 8.666/93, art. 38, caput, c/c Lei nº 9.784/99, art. 22, § 4º.

Situação que levou à proposição da deliberação

2.4.2. Foi efetivamente constatado, durante a realização da auditoria, processo de acompanhamento contratual sem numeração nas páginas e demais formalidades de um processo regular, além de nele não constarem aferições da qualidade dos serviços nem indicações de onde foram armazenados os produtos resultantes (peça 12, p. 69).

Providências adotadas e comentários dos gestores

2.4.3. O órgão de auditoria interna da CMB considerou, conforme informa por meio do OF.AUDIT/038/2014, que a presente determinação se encontra cumprida, uma vez que constatou que o processo de acompanhamento técnico do contrato apresenta-se com as folhas numeradas (peça 5, p. 6).

Análise

2.4.4. O processo de acompanhamento técnico do contrato de prestação de serviços, celebrado entre a CMB e a empresa Totvs, foi analisado durante os trabalhos de campo do presente monitoramento. Constatou-se que há adequada numeração das páginas, conforme se verifica na peça 15 acostada aos autos desta fiscalização.

Evidências

a) OF.AUDIT/038/2014 (peça 5);

b) processo de monitoração técnica (peça 15).

Conclusão

2.4.5. Constata-se que as folhas do processo de acompanhamento técnico do contrato celebrado entre CMB e Totvs encontram-se devidamente numeradas em ordem cronológica.

Proposta de encaminhamento

2.4.6. Considerar a determinação 9.1.4 do Acórdão 2.296/2012-TCU-Plenário cumprida.

2.5. Deliberação

2.5.1. Determinação 9.1.5: no processo de acompanhamento técnico do contrato do sistema integrado de gestão, liquide despesas apenas com a devida comprovação da efetiva realização dos respectivos serviços, de acordo com a qualidade prevista no contrato, conforme disposto na Lei nº 4.320/64, art. 63, § 2º, inciso III, e na jurisprudência deste Tribunal nos Acórdãos 1.330/2008 (item 9.4.16) e 1.647/2010 (itens 9.1.1 e 9.1.2), ambos do Plenário.

Situação que levou à proposição da deliberação

2.5.2. Constatou-se que algumas despesas relativas a contratações relacionadas ao sistema ERP na Casa da Moeda haviam sido liquidadas sem a devida documentação exigida para o processo de ateste (peça 12, p. 69).

Providências adotadas e comentários dos gestores

2.5.3. Em resposta ao Ofício 68/2014-TCU/Sefti (peça 3), a CMB encaminhou, por meio do expediente OF.AUDIT/038/2014, a seguinte informação (peça 5, p. 6):

Foi evidenciado no PA.PRESI/GABIN 192/201 2, fls. 83 a 132, e PA.PRESI 294/2013, fls. 19 a 46, algumas Ordens de Serviços, as quais a avaliação da qualidade dos serviços prestados são efetuadas pelo gestores e/ou usuários no Termo de Encerramento”



Análise

2.5.4. Durante os trabalhos de campo do presente monitoramento, foram solicitados os relatórios técnicos de monitoramento do contrato de suporte e manutenção do sistema ERP que embasava o ateste e pagamento dos serviços prestados para o mês de setembro de 2012.

2.5.5. Foi apresentado relatório gerencial (peça 16) que apresenta informações a respeito de variáveis, como disponibilidade de licenças (tema da próxima análise), quantidade de chamados abertos junto à contratante e atendidos, disponibilidade do sistema, registro de ocorrências e de eventos de segurança da informação.



2.5.6. Com base nesse relatório, é possível atestar corretamente os serviços contratados que apresentam acordos de nível de serviços estabelecidos no contrato, sendo possível, se necessário, efetuar as devidas glosas para serviços em que o nível de serviço acordado não for atingido.

2.5.7. Ressalta-se, contudo, que não foi evidenciada a efetiva utilização dos mencionados relatórios gerenciais durante o processo de ateste realizado pela empresa, pois tais relatórios não constam do processo de ateste.

Evidências

a) OF.AUDIT/038/2014 (peça 5);

b) relatório gerencial (peça 16).

Conclusão

2.5.8. Considera-se que há informações que permitem a realização do recebimento dos serviços prestados para fins de pagamento.

Proposta de encaminhamento

2.5.9. Considerar a determinação 9.1.5 do Acórdão 2.296/2012-TCU-Plenário cumprida.

2.6. Deliberação

2.6.1. Determinação 9.1.6: no processo de acompanhamento técnico do contrato do sistema integrado de gestão, avalie periodicamente se os quantitativos das licenças contratadas estão adequados às suas necessidades de uso, conforme disposto na Lei nº 8.666/93, art. 6º, inciso IX, alínea "f", c/c art. 67, caput.

Situação que levou à proposição da deliberação

2.6.2. Com relação à ausência de acompanhamento periódico das licenças do sistema ERP efetivamente utilizadas, a auditoria concluiu que existia risco de uso menor do que o contratado, o que caracterizaria atitude antieconômica. A CMB dizia que o quantitativo de licenças adquirido havia sido estimado com base no número máximo de usuários simultâneos, tendo em vista todos os funcionários que exercem atividades que requerem a utilização do ERP (peça 12, p. 69).

2.6.3. Concluiu-se que era possível que esse número estivesse superdimensionado, pois, devido a uma série de razões, entre elas diferentes rotinas de trabalho, férias e demais afastamentos, nem todos os usuários que poderiam, teoricamente, utilizar o sistema simultaneamente iriam efetivamente fazê-lo (peça 12, p. 69).

Providências adotadas e comentários dos gestores

2.6.4. A Casa da Moeda encaminhou a seguinte informação a respeito da presente deliberação (peça 5, p. 6):

Foi evidenciado no PA.PRESI/GABIN 192120 12, fls. 133 a 167, o monitoramento periodicamente das licenças contratadas de acordo com o processo de acompanhamento do contrato, por meio da análise dos Relatórios Gerenciais de Maio-2012 e Junho-2012.”



Análise

2.6.5. Inicialmente importa esclarecer que o modelo de licenciamento adotado na Casa da Moeda consiste na disponibilização da quantidade máxima de 179 acessos concorrentes ao sistema ERP, conforme informado no item 7.7 do relatório gerencial mencionado no item 1.6.42 (peça 16, p. 11). Assim, quando há 179 usuários conectados ao sistema e outro usuário tenta o acesso, este será negado.

2.6.6. Dessa forma, não há que se falar em utilização de maior número de licenças do que o efetivamente contratado, uma vez que essa possibilidade não é aceita pelo sistema. Contudo, persiste a necessidade de avaliação periódica do nível de utilização das licenças para avaliar as reais necessidades da empresa.

2.6.7. Diante disso, o supramencionado item 7.7 do relatório gerencial apresenta a avaliação do efetivo uso das licenças. O gráfico mostra a efetiva utilização de licenças na empresa que, nos períodos de março a novembro de 2012, variava entre 115 a 138 acessos simultâneos.

2.6.8. Por fim, constata-se que o processo de monitoramento do uso das licenças ocorre com periodicidade definida, uma vez que a CMB informa que “As licenças contratadas são monitoradas periodicamente, de acordo com o processo de acompanhamento do contrato” (peça 16, p. 1).

Evidências

a) OF.AUDIT/038/2014 (peça 5);

b) relatório gerencial (peça 16).

Conclusão

2.6.9. Há monitoramento do quantitativo de licenças utilizadas no sistema ERP.

Proposta de encaminhamento

2.6.10. Considerar a determinação 9.1.6 do Acórdão 2.296/2012-TCU-Plenário cumprida.

2.7. Deliberação

2.7.1. Determinação 9.1.7: em futuras contratações de bens ou serviços por inexigibilidade de licitação, realize pesquisa para aferir a compatibilidade dos preços a serem contratados com aqueles praticados nos mercados público e privado, conforme disposto na Lei nº 8.666/93, arts. 26, parágrafo único, inciso III, 40, § 2º, inciso II, e 43, inciso IV, e na jurisprudência deste Tribunal nos Acórdãos 1.330/2008 (item 9.4.13) e 17/2010 (item 9.2.2), ambos do Plenário.

Situação que levou à proposição da deliberação

2.7.2. Durante a auditoria, verificou-se que não houve pesquisa de mercado prévia à contratação de serviços do sistema ERP por inexigibilidade de licitação. Além disso, não era possível saber se os preços dos serviços contratados guardavam paralelo com aqueles praticados no mercado (peça 12, p. 37-38).

Providências adotadas e comentários dos gestores

2.7.3. A CMB informou, por meio do OF.AUDIT/038/2014, que foi realizada pesquisa para aferir os preços a serem contratados quando da prorrogação do Contrato 449/2009 (peça 5, p. 7).

Análise

2.7.4. A pesquisa de preços a que a empresa se referiu foi solicitada durante os trabalhos de campo, tendo sido acostada aos presentes autos (peça 17). Verifica-se que a citada pesquisa limitou-se a consultar, junto a alguns fornecedores de mercado, um deles a Totvs, empresa contratada pela Casa da Moeda, o preço de uma solução ERP. Dois importantes atores do mercado, a Sap e a Oracle, apesar de terem sido consultados, não enviaram propostas, restando somente os preços das soluções da própria Totvs, da New Age e da B2B IT Solutions (peça 17, p. 3-5).

2.7.5. Após tal procedimento, optou-se por contratar novamente a empresa Totvs, uma vez que a contratação das outras, apesar de terem todas apresentado preços menores, demandaria esforço de implantação de cerca de dois anos e dispêndios adicionais com contratação de consultores para executarem tal tarefa (peça 17, p. 9).

2.7.6. Entende-se que não foi solicitado esse tipo de pesquisa de preço no comando da determinação proposta pela auditoria. À época, se constatara a dependência tecnológica e a baixa probabilidade de substituir solução de um fornecedor por outra de fornecedor distinto a cada prorrogação contratual.

2.7.7. Verificou-se na auditoria, na verdade, a impossibilidade de análise da adequação dos preços contratados em virtude da ausência de parâmetros de comparação. Sugeriu-se, dessa forma, que fossem realizadas pesquisas de preços junto a empresas públicas e do mercado privado a respeito dos preços pagos por serviços de natureza semelhante, que fossem também prestados pela empresa contratada pela CMB, no caso a Totvs.

2.7.8. Essa análise de preços não foi empreendida pela Casa da Moeda e a pesquisa de preços efetivada mostra-se de fato inócua, uma vez que é evidente a impossibilidade de substituição da solução ERP a cada prorrogação contratual.

Evidências

a) OF.AUDIT/038/2014 (peça 5);

b) pesquisa de preços (peça 17).

Conclusão

2.7.9. A Casa da Moeda realizou pesquisa de preços junto a três fornecedores que, de fato, mostra-se inócua frente aos objetivos pretendidos com a determinação em análise. Deveria ter sido realizada pesquisa junto a empresas públicas ou privadas que contratam serviços do mesmo fornecedor e semelhantes aos contratados pela CMB, com intuito de analisar a adequação dos preços a serem contratados.

Proposta de encaminhamento

2.7.10. Considerar a determinação 9.1.7 do Acórdão 2.296/2012-TCU-Plenário não cumprida.

2.8. Deliberação

2.8.1. Determinação 9.1.8: cadastre seus contratos no Sistema Integrado de Administração de Serviços Gerais (Siasg), conforme disposto na Lei nº 12.465/2011, art. 19, § 3º.

Situação que levou à proposição da deliberação

2.8.2. Constatou-se, durante a auditoria, que a Casa da Moeda não cadastrava todos os seus contratos no sistema Siasg (peça 12, p 38), a despeito da obrigação imposta pela Lei de Diretrizes Orçamentárias (LDO).

Providências adotadas e comentários dos gestores

2.8.3. A respeito do cadastro de contratos no Siasg, a Auditoria Interna da empresa apresentou a seguinte manifestação (peça 5, p. 8):

Foi evidenciado que vem sendo registrados os contratos realizados pela CMB, e que conforme correio eletrônico de solicitação da Auditoria, do dia 22/11/2013, foi encaminhado cópia da tela do SIASG para comprovar que as inclusões dos contratos estão sendo realizados pela CMB. Além disso, conforme Declaração de Atualização de Dados no SIASG e SICONV extraída do Relatório de Gestão 2012, a responsável pela inclusão das informações, Gerente da DVTT/DEGCS, declara que as informações referentes a contratos e convênios estão atualizadas até o exercício de 2012, nesses sistemas em atendimento ao disposto na Lei n 12.465/2011, art. 19, §3°.”



Análise

2.8.4. Durante os trabalhos de campo, foi solicitada cópia do documento com a lista de contratos cadastrados no Siasg no ano de 2012. Constata-se, pela análise da lista apresentada (peça 18), que não foi cadastrado, por exemplo, o aditivo celebrado para a prorrogação do Contrato 449/09 no ano de 2012.

2.8.5. Nota-se, ainda, a inexistência, na lista enviada, de contratação de empresas de bens e serviços de TI, sendo pouco provável que uma empresa do porte da CMB não tenha realizado contratações dessa natureza no período analisado.

2.8.6. Diante dessas constatações, concluiu-se que alguns contratos encontram-se cadastrados e outros não. Em reunião com os gestores responsáveis pela gestão de contratos e disponibilização de informações nos sistemas, eles informaram que houve troca recente no comando da área (Departamento de Gestão de Contratações) e que a nova gestão havia adotado procedimento de cadastramento de todos os contratos no Siasg, assim como no caso de informações sobre sanções, que serão analisadas na seção seguinte.

Evidências

a) OF.AUDIT/038/2014 (peça 5);

b) tela do Siasg (peça 18).

c) entrevista com os gestores.

Conclusão

2.8.7. Nem todos os contratos administrativos firmados pela CMB constam da lista de cadastramento extraída do Siasg. Os gestores responsáveis pela atividade informam que foi adotado procedimento de cadastramento para todos os contratos depois de terem assumido a área.

2.8.8. É necessário que a CMB adote procedimentos adicionais para cadastrar todos os contratos administrativos que não estejam na base de dados do Siasg, inclusive os anteriores à troca de gestão, em cumprimento às disposições da legislação.

Proposta de encaminhamento

2.8.9. Considerar a determinação 9.1.8 do Acórdão 2.296/2012-TCU-Plenário parcialmente cumprida.

2.9. Deliberação

2.9.1. Determinação 9.1.9: conforme disposto no Decreto nº 3.722/2001, art. 1º, § 2º, cadastre, no banco de dados do Sistema de Cadastramento Unificado de Fornecedores (Sicaf), informações sobre a aplicação de sanção impeditiva de licitar e contratar com a Administração Pública a fornecedor, para que os demais órgãos e entes públicos possam realizar a consulta imposta pela Lei nº 8.666/93, art. 97.

Situação que levou à proposição da deliberação

2.9.2. Verificou-se durante a auditoria que a Casa da Moeda não alimentava o cadastro do Sicaf com as sanções de declaração de inidoneidade ou impedimento de licitar promovidas pela empresa (peça 12, p. 40).

Providências adotadas e comentários dos gestores

2.9.3. Sobre o envio de informações a respeito da aplicação de sanções para alimentação do cadastro do Sicaf, a CMB apresenta os seguintes argumentos:

Conforme já manifestado em resposta a Determinação 9.1.9 do Acordão relatada no Relatório de Gestão de2012, conforme texto extraído do Relatório de Gestão de 2012, para entendimento, "Considerando o artigo 38, parágrafos primeiro e segundo da IN SICAF 002/2010, enviamos oficio ao Ministério do Planejamento Orçamento e Gestão-MPOG para registro da penalidade no SICAF como rotina", a DVTT/DEGCS informou que vem enviando as informações das empresas impeditivas de licitar e contratar por meio de ofícios para o MPOG e que conforme atendimento ao correio eletrônico de solicitação da Auditoria no dia 22111/20 13,foi encaminhado cópia do oficio do dia 15.08.2013 encaminhado ao MPOG.”



Análise

2.9.4. Durante os trabalhos de campo, em entrevista realizada com os gestores do Departamento de Gestão de Contratações, a equipe de fiscalização foi informada que o procedimento adotado consistia na inserção das penalidades no sistema da empresa e envio de ofício ao Ministério do Planejamento, Orçamento e Gestão (MP), solicitando a inserção das informações no Sicaf.

2.9.5. Foi solicitada evidência do envio de ofício dessa natureza, tendo a equipe recebido o documento acostado à peça 19. Trata-se de ofício originado no supracitado Departamento da Casa da Moeda, endereçado à Diretora do Departamento de Logística e Serviços Gerais da Secretaria de Logística e Tecnologia da Informação (SLTI/MP), solicitando a inserção de suspensão temporária do direito de participar de licitação de uma empresa.

2.9.6. Tal procedimento, envio de ofício com solicitação de inserção de informações no Sicaf, é adotado, segundo alegado, em virtude da ausência de possibilidade de acesso direto ao sistema Sicaf pelos funcionários da Casa da Moeda. Segundo noticiado pelos gestores da empresa em entrevista, havia negociações em andamento para que pudessem ter acesso ao Sicaf e efetuar o cadastramento e demais pesquisas necessárias diretamente no sistema.

Evidências

a) OF.AUDIT/038/2014 (peça 5);

b) Ofício de registro de sanção (peça 19);

c) entrevista com os gestores.

Conclusão

2.9.7. Apesar de ser feito por meio de envio de ofício à SLTI/MP, enquanto gestora do Sicaf, a CMB tem promovido a inserção das informações sobre sanções por ela aplicadas no Sicaf.

Proposta de encaminhamento

2.9.8. Considerar a determinação 9.1.9 do Acórdão 2.296/2012-TCU-Plenário cumprida.

2.10. Deliberação

2.10.1. Determinação 9.1.10: elabore e aprove formalmente política de segurança da informação, em obediência à Instrução Normativa nº 1/2008, art 5º, inciso VII, do Gabinete de Segurança Institucional da Presidência da República, observando as diretrizes da Norma Complementar nº 03/IN01/DSIC/GSIPR, as práticas dos itens 5.1.1 e 5.1.2 da NBR ISO/IEC 27002:2005, e à semelhança das orientações do objetivo de controle DS5.2 do Cobit 4.1.

Situação que levou à proposição da deliberação

2.10.2. Durante a auditoria, a equipe constatou que havia uma norma que tratava do tema segurança da informação de forma superficial e se encontrava desatualizada. Relatou-se ainda a existência de processo de elaboração de uma nova norma em andamento (peça 12, p. 43).

Providências adotadas e comentários dos gestores

2.10.3 Em resposta ao Ofício 68/2014-TCU/Sefti (peça 3), a CMB encaminhou, por meio do expediente OF.AUDIT/038/2014, a seguinte informação (peça 5, p. 7-8):

Foi evidenciada a aprovação pelo Conselho Administrativo na RS/017/2013 de 28/06/2013 da Norma 2011-NA-1-01 Política de Segurança da Informação e Comunicações - POSIC e a mesma encontra-se disponível a todos os colaboradores na intranet da CMB.”



Análise

2.10.4. A mencionada norma de segurança da informação foi solicitada pela equipe de monitoramento durante os trabalhos de campo. Constata-se que a norma foi aprovada por meio de Resolução do Conselho de Administração da empresa (CONSAD-RS/017/2013, peça 20, p. 5). Há definição de finalidade, escopo e abrangência, princípios, diretrizes gerais (que menciona normas e procedimentos complementares), competências e responsabilidades, período de revisão de dois anos e penalidades aplicáveis (peça 20, p. 5-8).

2.10.5. Além disso, constata-se que houve adequada divulgação do normativo junto ao público interessado por meio da CIR-DETIC 38/2013 (peça 20, p. 3).

Evidências

a) OF.AUDIT/038/2014 (peças 5);

b) Política de Segurança da Informação (peça 20).

Conclusão

2.10.6. Foi aprovada e divulgada política de segurança da informação no âmbito da CMB.

Proposta de encaminhamento

2.10.7. Considerar a determinação 9.1.10 do Acórdão 2.296/2012-TCU-Plenário cumprida.

2.11. Deliberações

2.11.1. Determinação 9.1.11: elabore, aprove formalmente e dê ampla divulgação a uma política de controle de acesso, em obediência à Norma Complementar nº 7, item 2.6, do Gabinete de Segurança Institucional da Presidência da República, observando as diretrizes e recomendações dessa norma e do item 11.1.1 da NBR ISO/IEC 27002:2005.

2.11.2. Recomendação 9.2.4: implante formalmente processo de gestão de riscos de tecnologia da informação, em atendimento à Norma Complementar nº 04/IN01/DSIC/GSIPR, observando os princípios e as diretrizes da NBR ISO/IEC 31000:2009 e à semelhança das orientações dos objetivos de controle PO4.8 e PO9.1 a PO9.6 do Cobit 4.1.

2.11.3. Recomendação 9.2.13: elabore, aprove formalmente e dê ampla divulgação a plano de continuidade de tecnologia da informação, observando as práticas dos itens 4.3, 7.10, 8.7.2 e 9.2 da NBR ISO/IEC 15999-1:2007, do item 14.1.3 da NBR ISO/IEC 27002:2005, e à semelhança das orientações dos objetivos de controle DS4.2, DS4.4, DS4.5 e DS4.8.

2.11.4. Recomendação 9.2.14: elabore e aprove normativo sobre perímetro de segurança física no ambiente de produção do sistema integrado de gestão, observando as recomendações dos itens 9.1.1 e 9.1.2 da NBR ISO/IEC 27002:2005, e à semelhança das orientações do objetivo de controle DS5.7 do Cobit 4.1.

2.11.5. Recomendação 9.2.15: elabore e aprove normativo sobre medidas de contingência contra falta de energia elétrica e falhas em instalações, observando as recomendações do item 9.2.2 da NBR ISO/IEC 27002:2005.

2.11.6. Recomendação 9.2.16: elabore e aprove normativo sobre procedimentos de descarte de mídias de armazenamento de dados, observando as recomendações do item 9.2.6 da NBR ISO/IEC 27002:2005, e à semelhança das orientações do objetivo de controle DS11.4 do Cobit 4.1.

2.11.7. Recomendação 9.2.18: inclua, na política de controle de acesso a ser elaborada, tópico relacionado exclusivamente ao controle de acesso ao integrado de gestão, de acordo com as diretrizes e recomendações dos itens 5.1.2, 5.1.3, 5.2.8, 5.3.2, 5.3.4, 5.3.5 e 5.3.6 da Norma Complementar nº 7 do Gabinete de Segurança Institucional da Presidência da República, observando as diretrizes dos itens 11.2 e 11.3 da NBR ISO/IEC 27002:2005 e à semelhança das orientações dos objetivos de controle DS5.3 a 5.5 do Cobit 4.1.

2.11.8. Recomendação 9.2.20: elabore, aprove formalmente e dê ampla divulgação a uma política de cópias de segurança, de acordo com as recomendações do item 10.5 da NBR ISO/IEC 27002:2005, e à semelhança das orientações do objetivo de controle DS11.5 do Cobit 4.1.

Situação que levou à proposição da deliberação

2.11.9. Verificou-se, na auditoria realizada em 2011, que a CMB não dispunha de documentos consolidados que abordassem as melhores práticas relacionadas a:



controle de acesso (peça 12, p. 50);

gestão de riscos de TI (peça 12, p. 16);

plano de continuidade de TI (peça 12, p. 44);

perímetro físico de segurança (peça 12, p. 46-47);

medidas de contingência contra falta de energia elétrica (peça 12, p. 47);

política de gestão de cópias de segurança (peça 12, p. 48).

2.11.10. Dessa sorte, o TCU proferiu, respectivamente, as deliberações 9.1.11 (detalhada na recomendação 9.2.18), 9.2.4, 9.2.13, 9.2.14, 9.2.15 e 9.2.20 (com detalhamento na recomendação 9.2.16) do Acórdão 2.296/2012-TCU-Plenário.

Providências adotadas e comentários dos gestores

2.11.11. A respeito da elaboração das normas e políticas de que tratam as deliberações acima listadas, a CMB informou, em 20/3/2014, que nenhum dos normativos fora concluído, em virtude do curto tempo decorrido após a aprovação da Política de Segurança da Informação (ocorrida em 28/6/2013), que baliza as demais normas.

2.11.12. Dessa maneira, encaminhou relatório de acompanhamento das atividades relativas à elaboração dos documentos (peça 21), informando que todas se encontram em fase de implementação.

Análise

2.11.13. Em razão da semelhança dos assuntos, da forma como estão sendo tratados na empresa auditada e da homogeneidade da situação encontrada, optou-se por, em razão do princípio da economia processual, analisar estas oito deliberações em conjunto.

2.11.14. A respeito do normativo de controle de acesso (item 9.1.11 do acórdão monitorado), constatou-se durante os trabalhos de campo que ainda não havia sido formalmente aprovado documento que estabelecesse tais regras, como informado acima pela Casa da Moeda.



2.11.15. Questionados sobre o andamento dos trabalhos, os gestores do Departamento de Tecnologia da Informação e Comunicações (Detic) da empresa informaram que uma minuta da norma já havia sido elaborada, restando ainda as etapas de revisão, aprovação, publicação e divulgação a serem executadas (peça 21, p. 11-17). A empresa, em seu relatório de acompanhamento desta atividade, considera que 20% se encontrava concluída.

2.11.16. Em conexão direta com a norma geral de controle de acesso, a recomendação 9.2.18 sugeriu a inclusão no normativo de tópico específico sobre controle de acesso ao sistema integrado de gestão empresarial da CMB.

2.11.17. Constata-se que existe normativo específico que trata do tema, a NA-1-03.01, aprovada no âmbito da Diretoria de Tecnologia, em 9/1/2014 (peça 21, p. 21-23). Contudo, como não se trata de norma ampla, de conhecimento de todas as áreas da empresa, entende-se necessário, para dar pleno atendimento à citada recomendação, que a norma geral de controle de acesso faça referência à regra específica para o sistema ERP.

2.11.18. Tal medida se encontra contemplada na minuta da norma geral de controle de acesso, ainda pendente de aprovação, que faz referência em seu item 3.1.4 (peça 21, p. 14) ao normativo específico que trata de controle de acesso ao sistema ERP.

2.11.19. Quanto ao processo de gestão de riscos de TI (item 9.2.4 do acórdão monitorado), a Casa da Moeda informa que foram concluídas 20% das atividades a ele relacionadas (peça 21, p. 25). Já existe, assim como no caso das regras de controle de acesso, minuta redigida que trata do processo de gestão de riscos (peça 21, p. 27-29), restando também pendentes as etapas de revisão, aprovação, publicação e divulgação do normativo.

2.11.20. Importante ressaltar que a CMB dispõe de política de gestão integrada de riscos, de âmbito institucional, formalmente aprovada (peça 21, p. 31-35), o que tende a facilitar sobremaneira a definição do processo de gestão de riscos de TI, uma vez que as práticas de gestão de riscos estão internalizadas na empresa.

2.11.21. A respeito do plano de continuidade de TI, demandado na recomendação 9.2.13, a CMB informa que 20% das atividades também foram executadas, sendo que, para o presente caso, ainda não havia nem mesmo minuta aprovada. O cronograma previa a conclusão das atividades em data posterior ao encerramento dos trabalhos de campo da presente fiscalização (peça 21, p. 37-39).

2.11.22. A recomendação 9.2.14, que previa a necessidade de aprovação de normativo que trata de perímetro de segurança física também se encontra em implementação, tendo 20% das atividades sido consideradas concluídas, mas ainda inexistindo minuta de normativo redigida (peça 21, p. 7).

2.11.23. O mesmo se dá para o caso tratado na recomendação 9.2.15, que aborda a questão do estabelecimento de medidas de contingência contra a falta de energia elétrica. Contudo, para esse caso específico, o Detic considerava necessário o envolvimento de outras áreas da empresa para dar prosseguimento na implementação dessa recomendação (peça 21, p. 9)

2.11.24. Sobre os procedimentos de descarte de mídias de armazenamento de dados (item 9.2.16 do acórdão monitorado), os trabalhos também estão em andamento, sendo que existe minuta que estabelece os procedimentos a serem seguidos no caso de descarte de mídias (peça 21, p. 40-44).

2.11.25. Importante ressaltar que a empresa havia avançado um pouco no assunto, uma vez que aprovara documento que estabelece as diretrizes para substituição e descarte de ativos de TIC (peça 21, p. 46-49). Esse normativo aprovado não trata especificamente de mídias de armazenamento de dados, pois possui como foco os equipamentos em geral, como computadores e dispositivos periféricos, além de substituição de softwares, motivo pela qual se faz necessária a aprovação de normativo específico para efetivamente implementar a recomendação 9.2.16.

2.11.26. Por fim, para a recomendação 9.2.20, que trata de políticas de cópias de segurança, também há minuta redigida sobre o tema, sendo igualmente necessária sua submissão às etapas de revisão, aprovação, publicação e divulgação do normativo.

Evidências

a) informações sobre elaboração das normas (peça 21).

Conclusão

2.11.27. Estão em andamento as atividades relativas à elaboração de normas de controle de acesso, gestão de riscos de TI, plano de continuidade de TI, perímetro físico de segurança, medidas de contingência contra falta de energia elétrica e de gestão de cópias de segurança.

Propostas de encaminhamento

2.11.28. Considerar a determinação 9.1.11 do Acórdão 2.296/2012-TCU-Plenário em cumprimento.

2.11.29. Considerar as recomendações 9.2.4, 9.2.13, 9.2.14, 9.2.15, 9.2.16, 9.2.18 e 9.2.20 do Acórdão 2.296/2012-TCU-Plenário em implementação.

2.12. Deliberação

2.12.1. Recomendação 9.2.1: mantenha em seu quadro técnico funcionários treinados para atividades que se encaixam na esfera das ações de planejamento, supervisão, coordenação e controle, cuja realização deve sempre ficar a cargo da estatal, conforme disposto no Decreto-Lei nº 200/67, art. 10, §§ 2º e 4º.

Situação que levou à proposição da deliberação

2.12.2. Verificou-se durante a auditoria que a CMB não era plenamente capaz de elaborar suas ações de planejamento por conta própria, em virtude de que, para a elaboração de seu PDTI, necessitou contratar consultoria especializada, tendo sido evidenciada a incapacidade do quadro técnico presente à época de executar tais tarefas (peça 12, p. 14).

Providências adotadas e comentários dos gestores

2.12.3. Segundo a empresa, como informa no OF.AUDIT/038/2014 (peças 5, p. 8), houve plano de capacitação que contempla atividades de planejamento e outras de cunho gerencial.

Análise

2.12.4. Com o intuito de conhecer as mencionadas atividades de capacitação gerenciais e de planejamento mencionadas pela empresa, durante os trabalhos de campo, a equipe teve acesso à lista de treinamentos executados com seus respectivos temas e objetivos (peça 22).

2.12.5. Verifica-se que as ações de capacitação de fato objetivaram treinar os empregados para que estejam aptos à execução de atividades de planejamento, supervisão, coordenação e controle, conforme preconiza o Decreto-Lei nº 200/67, art. 10, §§ 2º e 4º, uma vez que os dezessete treinamentos executados conectavam-se a temas como governança de TI, segurança da informação, desenvolvimento de software de acordo com boas práticas, contratação aderente à IN/SLTI nº 04/2010, gestão de continuidade de negócios e aderência dos processos a modelos que contemplem níveis de serviço adequados (peça 22, p. 4-5).

Evidências

a) OF.AUDIT/038/2014 (peças 5, p. 8);

b) lista de atividades de capacitação (peça 22).

Conclusão

2.12.6. Foram promovidas ações de capacitação aos funcionários da empresa para executarem atividades de planejamento, supervisão, coordenação e controle na área de TI.

Proposta de encaminhamento

2.12.7. Considerar a recomendação 9.2.1 do Acórdão 2.296/2012-TCU-Plenário implementada.

2.13. Deliberação

2.13.1. Recomendação 9.2.2: aperfeiçoe seu processo de planejamento estratégico de tecnologia da informação, à semelhança das orientações dos objetivos de controle PO1.2 e PO1.6 do Cobit 4.1.

Situação que levou à proposição da deliberação

2.13.2. Foram constatadas falhas no processo de planejamento de TI, a exemplo de inexistência de mecanismos de acompanhamento das ações previstas nos planos e ausência de menção ao sistema ERP no planejamento de TI (peça 12, p. 14-15).



Providências adotadas e comentários dos gestores

2.13.3. Na resposta encaminhada por meio do OF.AUDIT/038/2014, a Casa da Moeda apresenta a seguinte informação (peça 5, p. 8):

Foi evidenciado analisando o teor do PDTI 2013/2014, o alinhamento e a integração de negócios e TI por meio de seus objetivos estratégicos e metas em conformidade com os Objetivos de Controle do Cobit 4.1.”



Análise

2.13.4. Para avaliar a implementação da recomendação, durante a execução do presente monitoramento, a equipe avaliou o PDTI da empresa auditada (peça 23).

2.13.5. Verifica-se que o documento executou diagnóstico da área de TI por meio da aplicação da técnica de “Análise Swot”, obtendo informações sobre a situação da empresa (peça 23, p. 30-32), conforme preconizam as boas práticas.

2.13.6. Além disso, percebe-se a preocupação do processo de planejamento de TI conduzido na CMB com o alinhamento entre o planejamento de TI e o estratégico institucional (peça 23, p. 21-22). Tal alinhamento não foi constatado à época da auditoria.

2.13.7. O documento prossegue com a definição de mapa estratégico de TI, dos quais derivam objetivos estratégicos, metas e ações (peça 23, p. 31-50). São apresentados os planos de gestão de pessoas, investimentos e custeio, gestão de riscos, orçamentário e de revisão do PDTI (peça 23, p. 51-76).

2.13.8. Por fim, importante ressaltar que foi estabelecido processo de monitoramento e avaliação das ações definidas no PDTI (peça 23, p. 86-87). Uma vez que o plano de ações definiu os responsáveis e os recursos necessários para executar cada atividade, estas podem ser monitoradas pelo mencionado processo de avaliação.

Evidências

a) OF.AUDIT/038/2014 (peça 5, p. 8);

b) PDTI (peça 23).

Conclusão

2.13.9. O processo de planejamento de TI da Casa Moeda foi aperfeiçoado, sanando os problemas apontados pela auditoria.

Proposta de encaminhamento

2.13.10. Considerar a recomendação 9.2.2 do Acórdão 2.296/2012-TCU-Plenário implementada.

2.14. Deliberação

2.14.1. Recomendação 9.2.3: aperfeiçoe o acompanhamento das ações decorrentes do planejamento de tecnologia da informação, à semelhança das orientações do objetivo de controle PO1.5 do Cobit 4.1.

Situação que levou à proposição da deliberação

2.14.2. Conforme relatado no item 1.6.128 deste relatório, além de falhas no documento de planejamento de TI, as ações definidas não eram adequadamente monitoradas (peça 12, p. 14-15).

Providências adotadas e comentários dos gestores

2.14.3. Sobre a presente recomendação, a Casa da Moeda apresentou a seguinte informação (peça 5, p. 8):

Analisando o teor do PDTI 2013/2014 nas fls.6, 38 a 39, 42 a 43 e 46 a 47, e o portal de gestão de atividades e projetos, verificou-se coordenação de ações por meio da identificação, definição, avaliação, início e término com atribuição de responsabilidades.”



Análise

2.14.4. A equipe de monitoramento solicitou, durante os trabalhos de campo, com o intuito de evidenciar a efetiva avaliação dos objetivos definidos no PDTI por parte da empresa, documento que ilustrasse a situação das ações planejadas pelo departamento de TI. Os gestores extraíram, então, relatório do supramencionado portal de gestão de atividades com a consolidação das informações sobre o grau de cumprimento das ações planejadas.

2.14.5. O relatório apresenta informações, consolidadas por cada divisão do departamento de TI, de cumprimento das ações planejadas (peça 24, p. 7). Além disso, o relatório apresenta tabela com os responsáveis, situação e criticidade de cada atividade, permitindo, ao longo do período de avaliação, definir prioridades e corrigir metas estabelecidas, caso necessário.

Evidências

a) OF.AUDIT/038/2014 (peça 5, p. 8);

b) relatório de gestão de atividades (peça 24).

Conclusão

2.14.6. Verifica-se que há mecanismos de gestão que permitem o acompanhamento das ações constantes do planejamento de TI na Casa da Moeda.

Proposta de encaminhamento

2.14.7. Considerar a recomendação 9.2.3 do Acórdão 2.296/2012-TCU-Plenário implementada.

2.15. Deliberação

2.15.1. Recomendação 9.2.5: elabore processo formal de avaliação da relação de custo versus benefício do investimento para a contratação de novos serviços e produtos relacionados ao sistema integrado de gestão, à semelhança das orientações do objetivo de controle PO5.5 do Cobit 4.1.

Situação que levou à proposição da deliberação

2.15.2. A auditoria constatou que não foi realizada avaliação de custo versus benefício na contratação inicial do sistema ERP, tampouco nas contratações subsequentes (peça 12, p. 18).

Providências adotadas e comentários dos gestores

2.15.3. Sobre esta recomendação, a CMB manifestou-se nos seguintes termos (peça 5, p. 8):

Em 2013 foram aplicadas as referências da Instrução Normativa da Secretaria de Logística e Tecnologia da Informação Ministério do Planejamento - SLTI/MP n°04/2010 na contratação de novos produtos e serviços. Considerando a recomendação do Acórdão 2296/2012 e a meta 1.6 do Plano Diretor de TI, foi demando pelo Comitê de Tecnologia da Informação a elaboração de um normativo à semelhança da IN 04/2010 para o planejamento de contratação de soluções de TI na Casa da Moedado Brasil. A Norma2014-NA-1-O1 foi aprovada na 49º reunião de Diretoria em 29/11/20 13. O processo de Análise da Viabilidade da Demanda contém a avaliação de custo-benefício.”



Análise

2.15.4. O processo de análise de viabilidade especificado na IN/SLTI nº 4/2010 tratava de comparar as possibilidades de escolha no mercado e optar pela mais viável, levando em conta parâmetros técnicos e econômicos. Percebe-se que o normativo aprovado na CMB é semelhante nesse aspecto à mencionada Instrução Normativa no que tange à análise de viabilidade (peça 25, p. 6-9).

2.15.5. Já o comando da presente deliberação decorreu da existência de dispêndios efetuados em empresas públicas com contratações de sistemas integrados de gestão empresarial do tipo ERP sem a previsão dos resultados a serem alcançados com a implantação de tais ferramentas.

2.15.6. Assim, a recomendação objetivou estabelecer medida dos gastos dispendidos com sistema ERP, confrontados com os benefícios decorrentes de sua implantação, com o intuito de verificar se os investimentos realizados de fato trariam benefícios que pudessem ser quantificados e que superariam os custos com o sistema.

2.15.7. Dessa forma, entende-se que o normativo e o processo instalado pela CMB não foi ao encontro do objetivo pretendido pela presente deliberação. Contudo, considera-se que não há total desconexão entre as atividades de análise de viabilidade e os objetivos da recomendação, uma vez que o documento preconiza alinhamento das contratações com os objetivos da empresa, o que, de certa forma, favorece a que qualquer sistema contratado venha a contribuir com esses objetivos.

2.15.8. Ainda assim, esse tipo de análise é incipiente frente a um real estudo de análise de custo-benefício, uma vez que não quantifica os benefícios esperados da contratação nem os confronta com os custos esperados para balizar a tomada de decisão da alta administração.

2.15.9. Tal situação foi exposta durante os trabalhos de campo aos gestores. Informaram que pretendem aperfeiçoar a etapa de análise de viabilidade da contratação para contemplar análise mais apurada de custos e benefícios das contratações.

Evidências

a) OF.AUDIT/038/2014 (peça 5, p. 8);

b) planejamento da contratação de soluções de TIC (peça 25);

c) entrevista com os gestores.

Conclusão

2.15.10. As ações adotadas no planejamento da contratação de soluções de TI pela Casa da Moeda não são suficientes para atender ao comando da recomendação em análise, uma vez que ela demanda a definição de processo específico para avaliação de custos e, em especial, de benefícios das contratações.

Proposta de encaminhamento

2.15.11. Considerar a recomendação 9.2.5 do Acórdão 2.296/2012-TCU-Plenário parcialmente implementada.

2.16. Deliberação

2.16.1. Recomendação 9.2.6: defina processo formal de gerenciamento de requisitos, à semelhança das orientações dos objetivos de controle AI1.1, AI1.2 e AI1.4 do Cobit 4.1.

Situação que levou à proposição da deliberação

2.16.2. Não havia processo formal de gerenciamento de requisitos. Eventuais documentações eram esporádicas, dependendo de análise subjetiva acerca da relevância, realizada caso a caso pela equipe do Departamento de Tecnologia da Informação e Comunicações (Detic). Também não havia definição de artefatos a serem produzidos como resultado do processo, tampouco a aprovação formal desses por parte do demandante (peça 12, p. 21).

Providências adotadas e comentários dos gestores

2.16.3. A Casa da Moeda informa ter iniciado ações relacionadas ao gerenciamento de requisitos que, contudo, necessitam ser retomadas. Dessa forma, a própria CMB considera que a recomendação ora analisada não se encontra atendida (peça 5, p. 10).

Análise

2.16.4. De fato, a Casa da Moeda conta com processo definido de gerenciamento de requisitos, com fases e atividades definidas, conforme se verifica no documento intitulado “Detalhamento do processo de Gerenciamento de Requisitos” (peça 26, p. 73-86).

2.16.5. Tal documento especifica a abrangência, diretrizes e atores do processo, estabelecendo todas as etapas e atividades a serem desenvolvidas no fluxo de gestão de requisitos. Contudo, tal processo não está formalizado nem mesmo no âmbito do Detic, pois se trata de minuta de normativo.

2.16.6. Segundo informação repassada pelos gestores em entrevista durante o trabalho de fiscalização, o normativo encontrava-se ainda em elaboração, em fase final de padronização, sendo que, posteriormente, seria encaminhado para aprovação da Diretoria Executiva da CMB.

Evidências

a) OF.AUDIT/038/2014 (peça 5, p. 10);

b) gerenciamento de requisitos (peça 26);

c) entrevista com os gestores.

Conclusão

2.16.7. A CMB elaborou minuta de norma que trata de gerenciamento de requisitos que se encontra em fase final de revisão e será posteriormente encaminhada para aprovação da alta administração da empresa.

Proposta de encaminhamento

2.16.8. Considerar a recomendação 9.2.6 do Acórdão 2.296/2012-TCU-Plenário em implementação.

2.17. Deliberação

2.17.1. Recomendação 9.2.7: defina formalmente processo de gestão de mudanças, à semelhança das orientações do item 12.5.1 da Norma NBR ISO/IEC 27002:2005 e dos objetivos de controle AI6.1 a AI6.5 do Cobit 4.1.

Situação que levou à proposição da deliberação

2.17.2. Não havia processo formalizado de gestão de mudanças na CMB (peça 12, p. 22).

Providências adotadas e comentários dos gestores

2.17.3. A CMB informa que o processo de gestão de mudanças encontra-se mapeado. O nível de maturidade poderia ser classificado como repetível, porém intuitivo, motivo pelo qual a unidade de auditoria da empresa considerou que ainda era necessária a normatização do processo para que pudesse ser considerado implementado (peça 5, p. 10-11).



Análise

2.17.4. Durante a execução do monitoramento, foi solicitado posicionamento dos gestores a respeito da implementação do processo de gestão de mudanças. A situação informada é semelhante àquela relatada na análise da recomendação anterior, ou seja, o processo se encontra mapeado e há minuta de normativo que o especifica (peça 26, p. 45).

2.17.5. Contudo, tal minuta encontra-se em fase final de revisão na área técnica. Uma vez concluída, a minuta será encaminhada à Diretoria Executiva para aprovação (peça 26, p. 45). Verifica-se que a minuta elaborada contempla as boas práticas relacionadas ao processo de gestão de mudanças, como definição de processo de solicitação de mudança com informações disponibilizadas por meio de formulário pelo requisitante, estabelecimento de comitê de mudanças, mecanismos de classificação e de priorização das mudanças e gerenciamento de indicadores das mudanças implantadas (peça 26, p. 47-69).

Evidências

a) OF.AUDIT/038/2014 (peça 5, p. 10-11);

b) gerenciamento de requisitos (peça 26, p. 45-69).

Conclusão

2.17.6. O processo de gestão de mudanças na CMB encontra-se em fase final de formalização, necessitando, posteriormente, ser aprovado pela alta administração da empresa.

Proposta de encaminhamento

2.17.7. Considerar a recomendação 9.2.7 do Acórdão 2.296/2012-TCU-Plenário em implementação.

2.18. Deliberação

2.18.1. Recomendação 9.2.8: defina formalmente processo de testes das funcionalidades a serem implementadas no sistema integrado de gestão, à semelhança das orientações dos objetivos de controle AI7.2, AI7.4, AI7.6, AI7.7 e DS9.1 do Cobit 4.1.

Situação que levou à proposição da deliberação

2.18.2. Foi relatada na auditoria a inexistência de procedimentos definidos de testes a serem realizados previamente à realização de mudanças no sistema ERP da CMB (peça 12, p. 22).

Providências adotadas e comentários dos gestores

2.18.3. A unidade de auditoria da CMB informa que há fluxo de processo com etapas definidas referenciando o teste de funcionalidades a ser executado antes da liberação das mudanças no sistema ERP. Contudo, ainda era necessária a normatização do processo para que pudesse ser considerado implementado (peça 5, p. 11).

Análise

2.18.4. A situação encontrada durante o monitoramento em relação à definição de procedimento de testes é idêntica à relativa ao processo de gestão de mudanças (recomendação 9.2.7). O processo encontra-se mapeado, há minuta que define os procedimentos e está em fase final de revisão.

2.18.5. Após a finalização do documento, há ainda que passar pela aprovação da Diretoria Executiva, para posteriormente ser publicado e divulgado na empresa.

Evidências

a) OF.AUDIT/038/2014 (peça 5, p. 11);

b) gerenciamento de requisitos (peça 26, p. 89-105).

Conclusão

2.18.6. Há minuta do processo de testes de funcionalidades que se encontra em fase final de revisão, devendo, posteriormente, ser enviada para aprovação da Diretoria Executiva da empresa.

Proposta de encaminhamento

2.18.7. Considerar a recomendação 9.2.8 do Acórdão 2.296/2012-TCU-Plenário em implementação.

2.19. Deliberação

2.19.1. Recomendação 9.2.9: defina processo de gerenciamento de configuração dos artefatos do sistema integrado de gestão, à semelhança das orientações dos objetivos de controle DS9.1 a DS9.3 do Cobit 4.1.

Situação que levou à proposição da deliberação

2.19.2. Apesar de ter informado que estava buscando capacitar seu quadro de pessoal para se adequar às melhores práticas administrativas, a CMB não possuía processo estruturado de gerenciamento de configuração de artefatos em que estivesse definida a categorização destes e com o uso de repositório de suporte (peça 12, p. 25).

Providências adotadas e comentários dos gestores

2.19.3. A situação também é semelhante às encontradas para os processos de gestão de mudanças e de testes de novas funcionalidades (recomendações 9.2.7 e 9.2.8). A CMB informa que dispõe de minuta do processo ainda não finalizada (peça 26, p. 107).

Análise

2.19.4. Verifica-se que o processo de gerenciamento de configuração de artefatos encontra-se mapeado. Foram definidos atores, atividades e respectivas competências, e estabelecida a manutenção e a atualização permanente de repositório de informações a respeito dos ativos (que englobam os artefatos de configuração do sistema ERP), por meio da interconexão com o processo de gestão de mudanças, de forma a garantir que todas as mudanças promovidas sejam refletidas nos ativos de configuração afetados (peça 26, p. 109-122).

Evidências

a) OF.AUDIT/038/2014 (peça 5, p. 11);

b) processo de gerenciamento de configuração (peça 26, p. 109-122).

Conclusão

2.19.5. Há minuta que detalha, seguindo as melhores práticas, o processo de gestão de configuração. Ela se encontra em fase final de elaboração e necessita ainda de aprovação da Diretoria Executiva da CMB.

Proposta de encaminhamento

2.19.6. Considerar a recomendação 9.2.9 do Acórdão 2.296/2012-TCU-Plenário em implementação.

2.20. Deliberação

2.20.1. Recomendação 9.2.10: aperfeiçoe o processo de suporte aos usuários do sistema integrado de gestão, à semelhança das orientações do processo DS8 (Gerenciar a Central de Serviço e os Incidentes), objetivos de controle DS8.1 a DS8.3, do Cobit 4.1.

Situação que levou à proposição da deliberação

2.20.2. Durante a realização dos trabalhos da auditoria, a equipe avaliou os serviços de suporte aos usuários oferecidos na Casa da Moeda. Verificou-se, contudo, que os chamados referentes ao sistema ERP não eram atendidos pela central de help desk contratada, sendo que as demandas recebidas eram encaminhadas a funcionários do departamento de TI da empresa, sem procedimento definido para tal tarefa (peça 12, p. 26).

Providências adotadas e comentários dos gestores

2.20.3. A respeito do tema suporte a usuários, a Casa da Moeda enviou os seguintes esclarecimentos (peça 5, p. 8):

Foi evidenciado por meio do acompanhamento no processo da central de serviços, ações que demandaram o seu aperfeiçoamento no atendimento, controle e acompanhamento de solicitações dos usuários voltados para o sistema ERP.”



Análise

2.20.4. Para evidenciar as informações prestadas pela CMB, foram solicitadas, durante os trabalhos de campo, as telas capturadas do sistema que controla a Central de Serviços e Incidentes da empresa (peça 27).

2.20.5. Por meio da análise das telas, verifica-se a possibilidade de abertura de chamados para incidentes relacionados ao sistema ERP (peça 27, p. 5). Além disso, as telas capturadas apresentadas na sequência evidenciam as possibilidades de tratativas dadas pela Central de Serviços a incidentes relacionados ao sistema ERP (peça 27, p. 6-10).

2.20.6. Considera-se, então, que existe agora um ponto único de contato dos usuários para abertura de chamados, capaz de tratar incidentes relacionados ao sistema ERP da CMB.

Evidências

a) OF.AUDIT/038/2014 (peça 5, p. 8);

b) telas do sistema da Central de Serviços (peça 27, p. 5-10).

Conclusão

2.20.7. Há, na Casa da Moeda, uma central única de relacionamento com os usuários, capaz de tratar incidentes relacionados ao sistema ERP.

Proposta de encaminhamento

2.20.8. Considerar a recomendação 9.2.10 do Acórdão 2.296/2012-TCU-Plenário implementada.

2.21. Deliberação

2.21.2. Recomendação 9.2.11: aperfeiçoe o processo de auditoria interna, à semelhança das orientações do objetivo de controle ME2.1 do Cobit 4.1.

Situação que levou à proposição da deliberação

2.21.3. Verificou-se que a auditoria interna possuía quadro insuficiente com capacitação em assuntos relacionados à tecnologia da informação. Do quantitativo da unidade à época, apenas um funcionário possuía formação na área (peça 12, p. 29).

Providências adotadas e comentários dos gestores

2.21.4. O departamento de auditoria da empresa enviou, por meio do OF.AUDIT/038/2014, as seguintes informações a respeito da atuação da auditoria interna na área de TI (peça 5, p. 11):

Em consulta ao Relatório de Gestão2012 a Auditoria Interna informa que a implementação da recomendação está em curso. No exercício de 2012 foi aprovada a estrutura de uma equipe de TI na AUDlT, tendo sido criada a Seção de Auditoria de Sistemas e Tecnologia da Informação - SEAT, conforme Ata da 33ª RD, de 24/08/2012 e, a aprovação de 2 vagas, conforme Nota Técnica AUDIT nº 002de 17/01/2013, ainda não preenchidas aguardando edital para o Concurso Público.”



Análise

2.21.5. Durante os trabalhos de campo, constatou-se, em entrevista realizada com o gestor da auditoria interna da CMB, que a situação continua a mesma relatada na resposta acima. Apesar de reiteradas solicitações do chefe da auditoria junto à Diretoria Executiva da empresa, existia somente um auditor capacitado para realizar trabalhos relacionados a TI.

2.21.6. Apesar de terem sido criadas a seção de auditoria de TI e duas vagas para auditores de TI, os recursos humanos não foram disponibilizados, impedindo avanço nos trabalhos relacionados aos temas afetos à tecnologia da informação.

Evidências

a) OF.AUDIT/038/2014 (peça 5, p. 11);

b) entrevista com gestores.

Conclusão

2.21.7. Foram criadas a seção de auditoria de TI e duas vagas para auditores com essa especialidade na Casa da Moeda. Apesar disso, como não foram disponibilizados recursos humanos para preencher as vagas criadas, as medidas não surtiram efeito.

Proposta de encaminhamento

2.21.8. Considerar a recomendação 9.2.11 do Acórdão 2.296/2012-TCU-Plenário em implementação.

2.22. Deliberação

2.22.1. Recomendação 9.2.12: atualize o normativo referente a licitações e contratos, prevendo a verificação, durante a fase de habilitação das empresas, da existência de registros impeditivos da contratação no Sistema de Cadastramento Unificado de Fornecedores (Sicaf); no Cadastro Nacional de Empresas Inidôneas e Suspensas (Ceis), da Controladoria-Geral da União (CGU); e no Cadastro Nacional de Condenações Cíveis por Ato de Improbidade Administrativa, do Conselho Nacional de Justiça (CNJ), em obediência à Lei nº 8.666/93, art. 97, e à jurisprudência deste Tribunal no Acórdão 1.793/2011, do Plenário (item 9.5.1.5).

Situação que levou à proposição da deliberação

2.22.2. Constatou-se que, na norma que disciplinava os procedimentos de contratação no âmbito da CMB, não havia menção à consulta ou ao cadastramento no sistema Sicaf ou portal do CNJ. A CMB informou que realizava consulta apenas no Cadastro Nacional de Empresas Inidôneas e Suspensas (Ceis), mantido pela Controladoria-Geral da União (peça 12, p. 39).

Providências adotadas e comentários dos gestores

2.22.3. Em resposta ao questionamento realizado sobre a presente recomendação, a estatal informa que enviou a CIR.DEGCS 002/2012, por meio da qual orienta os gestores responsáveis por todos os tipos de contratação (inclusive prorrogação e cadastro de fornecedores) a efetuar as consultas necessárias no Ceis (peça 5, p. 9).

Análise

2.22.4. Verifica-se que não foram adotados procedimentos para que sejam efetuadas as consultas no sistema Sicaf, persistindo a situação encontrada durante a auditoria, ou seja, as consultas são realizadas somente no Ceis. Esse sistema não possui as informações mantidas no Sicaf, apesar de se encontrar também integrado ao Cadastro Nacional de Condenações Cíveis por Ato de Improbidade Administrativa, mantido pelo CNJ.

2.22.5. Assim, verifica-se que não houve avanços constatados no presente monitoramento em relação à situação encontrada durante a auditoria.

Evidências

a) OF.AUDIT/038/2014 (peça 5, p. 9).

Conclusão

2.22.6. Os gestores da Casa da Moeda responsáveis pelas contratações não consultam as informações dos fornecedores no Sicaf, restando configurada a mesma situação encontrada durante os trabalhos de auditoria.

Proposta de encaminhamento

2.22.7. Considerar a recomendação 9.2.12 do Acórdão 2.296/2012-TCU-Plenário não implementada.

2.23. Deliberação

2.23.1. Recomendação 9.2.17: aperfeiçoe os controles de segurança relacionados ao acesso ao sistema integrado de gestão, observando as práticas dos itens 11.2 e 11.3 da NBR ISO/IEC 27002:2005.

Situação que levou à proposição da deliberação

2.23.2. Relatou-se na auditoria a inexistência de normativo que apresentasse de maneira consolidada as regras de acesso aos sistemas informatizados da empresa de acordo com as melhores práticas (peça 12, p. 50), conforme relatado no item 1.6.99.

Providências adotadas e comentários dos gestores

2.23.3. Como reportado nos itens 1.6.101 e 1.6.102, encontra-se em elaboração o normativo que trata do tema controle de acessos na Casa da Moeda.

Análise

2.23.4. De acordo com o relato nos itens 1.6.104 e 1.6.105, verifica-se que se encontra em implementação o normativo afeto ao tema controle de acesso, que subsidiará a aplicação de regras e controles adequados nos sistemas informatizados da estatal.

2.23.5. Diante desse cenário, verifica-se que a empresa não consegue avançar na implantação de controles relacionados à segurança no controle de acesso, uma vez que somente poderão ser implementados após a aprovação dos normativos que tratam do tema.

Evidências

a) informações sobre elaboração das normas (peça 21).

Conclusão

2.23.6. O normativo que trata de controle de acesso aos sistemas da empresa auditada encontra-se em elaboração, motivo pelo qual as ações de aprimoramento nos controles relacionados à segurança no controle de acesso ainda não puderam avançar.

Proposta de encaminhamento

2.23.7. Considerar a recomendação 9.2.17 do Acórdão 2.296/2012-TCU-Plenário em implementação.

2.24. Deliberação

2.24.1. Recomendação 9.2.19: ative, em seu sistema integrado de gestão, a funcionalidade de armazenamento de registros de autenticação e de transações (logs).

Situação que levou à proposição da deliberação

2.24.2. A funcionalidade de armazenamento de registros de autenticação e de transações no sistema ERP (log) não estava ativa à época da auditoria, em 2011. Também não havia registro apropriado das alterações nos registros de produção efetuadas pelos usuários nem na estrutura de banco de dados (peça 12, p. 52).

Providências adotadas e comentários dos gestores

2.24.3. Sobre o presente tema, a CMB assim se manifestou (peça 5, p. 9):

Foi evidenciado após a aquisição da nova versão do SQLSERVER, Banco de dados do Sistema ERP, a habilitação da funcionalidade de segurança, AuditTrail, trilhas de auditorias, além disso com a aquisição de nova infraestrutura, a exemplo dos Storages, foi possível garantir o crescimento da base de dados do ERP.”



Análise

2.24.4. Em entrevista com os gestores, foi constatado que a gravação dos registros de atividades executadas pelos usuários do sistema ERP encontrava-se desabilitada, à época da auditoria, em virtude da incapacidade do sistema de armazenar os dados.

2.24.5. Assim, conforme transcrito acima, após a contratação de nova infraestrutura de armazenamento de dados, foi habilitada a funcionalidade de trilhas de auditoria no ERP, que guarda os registros de atividades realizadas por seus usuários.

Evidências

a) OF.AUDIT/038/2014 (peça 5, p. 9).

Conclusão

2.24.6. O registro de atividades executadas pelos usuários do sistema ERP da CMB está habilitado.

Proposta de encaminhamento

2.24.7. Considerar a recomendação 9.2.19 do Acórdão 2.296/2012-TCU-Plenário implementada.

2.25. Deliberação

2.25.1. Recomendação 9.2.21: elabore e revise periodicamente mapa contendo atividades e perfis de usuários conflitantes no sistema integrado de gestão, implemente mecanismos de controle que garantam a efetiva aplicação dessas restrições e realize verificação periódica da base de usuários, de acordo com as recomendações do item 10.1.3 da NBR ISO/IEC 27002:2005.

Situação que levou à proposição da deliberação

2.25.2. A auditoria realizada na Casa da Moeda constatou que a estatal não dispunha de mapeamento das possíveis atividades conflitantes no âmbito do sistema ERP. Além de não implementar a segregação de funções, verificaram-se falhas no preenchimento de campo de controle da área de compras (peça 12, p. 56).

Providências adotadas e comentários dos gestores

2.25.3. A CMB enviou as seguintes informações a respeito da implementação da presente recomendação (peça 5, p. 9):

Em Dez/2012 foram realizadas reuniões com todas as áreas da empresa informando a necessidade da revisão de todos os acessos dos usuários ao sistema ERP. Foram enviados para as áreas os mapas contendo informações dos perfis de cada empregado. Os mapas foram devolvidos para a Seção de Operação da Segurança da Informação Corporativa – SEOC que efetuou a atualização de todos os perfis. Está programada para Jan/2014 uma nova revisão dos perfis de usuário de acordo com a atividade 489 do portal de gestão de atividades e projetos que passaram a ser revisados semestralmente.”



Análise

2.25.4. Entende-se que a recomendação é clara no sentido de que preconiza à empresa a elaboração de documento que contenha todos os perfis e atividades do sistema, contemplando aquelas que não podem ser concedidas a um mesmo usuário, em virtude da necessidade de segregação de funções. Tal documento é denominado mapa de atividades conflitantes.

2.25.5. Nota-se que tal atividade não foi realizada pela CMB. A empresa informa ter realizado avaliação dos perfis e usuários do sistema, que, conforme preconizado nas normas de boas práticas que circundam o tema controle de acesso, deve ser feita periodicamente.

2.25.6. Contudo, como inexiste mapa de atividades conflitantes, até mesmo na avaliação periódica podem ser detectados tais casos, uma vez que inexistem critérios definidos para caracterizar os casos de violação das regras de segregação de funções.

Evidências

a) OF.AUDIT/038/2014 (peça 5, p. 9).

Conclusão

2.25.7. Embora a CMB tenha informado que executa avaliação periódica da base de dados de usuários do sistema ERP, não definiu as regras relacionadas ao princípio da segregação de funções, uma vez que não existe documento que estabeleça as atividades conflitantes no sistema.

Proposta de encaminhamento

2.25.8. Considerar a recomendação 9.2.21 do Acórdão 2.296/2012-TCU-Plenário não implementada.

2.26. Deliberação

2.26.1. Recomendação 9.2.22: promova a integração dos dados dos sistemas legados internos com o sistema integrado de gestão, à semelhança das orientações dos objetivos de controle PO2.1 e PO2.4, e dos requisitos do negócio para a Tecnologia da Informação do processo PO3 do Cobit 4.1.

Situação que levou à proposição da deliberação

2.26.2. A presente deliberação, assim como a recomendação 9.2.23, encontra embasamento em achados provenientes de pesquisa de satisfação com usuários do sistema ERP da empresa, realizada pela equipe de auditoria. Essa recomendação foi presente em todos os relatórios do TMS em questão.

2.26.3. Verificou-se, por meio da pesquisa, que parte razoável dos usuários do sistema ERP (53%) entendia que o sistema contribuía para melhorar sua produtividade, corroborando o elevado grau de satisfação dos usuários com o sistema (peça 12, p. 62).



2.26.4. No entanto, o quantitativo de 24% dos usuários que relataram encontrar falhas no sistema, sempre ou com frequência, além dos 37% que afirmaram ter que repetir o cadastro da mesma informação no sistema ERP e em outros sistemas e dos 28% que disseram ter que cadastrar no sistema ERP informações provenientes de outros sistemas, indicam possível retrabalho e riscos para a integridade e a consistência das informações. Entre as reclamações, a lentidão no sistema (22%), a ausência de operações necessárias (13%) e as dificuldades na utilização do sistema (11%) foram as alternativas mais citadas (peça 12, p. 62).

2.26.5. Ademais, verificou-se que quase metade dos usuários (45%) não havia recebido treinamento formal no uso da aplicação. A respeito do manual do sistema, constatou-se, também, sua baixa utilização: 62% dos usuários jamais o utilizaram. Além disso, apesar da satisfação geral, mais da metade dos respondentes (53%) se declararam insatisfeitos ou apenas parcialmente satisfeitos com o uso do ERP, o que demonstra a existência de oportunidades de melhoria no sistema (peça 12, p. 62).

2.26.6. Embora a pesquisa aplicada não seja definitiva na identificação das causas e origens das situações levantadas, ela sinalizou pontos de avaliação e estudo por parte da CMB, até mesmo com a aplicação de pesquisas mais detalhadas (peça 12, p. 62).



Providências adotadas e comentários dos gestores

2.26.7. A respeito da integração dos sistemas legados com o ERP na Casa da Moeda, a estatal informa que foram iniciadas ações, sendo, contudo, necessário elaborar plano formal com cronograma de atividades para dar cumprimento à presente recomendação (peça 5, p. 13).

Análise

2.26.8. Durante a execução dos trabalhos de campo deste monitoramento, foram solicitadas informações mais detalhadas a respeito das ações iniciadas na empresa com o objetivo de promover a integração dos sistemas legados com o ERP, para implementar a recomendação ora em análise.

2.26.9. Verifica-se que a implementação dessa recomendação apresenta desafios e é tratada como um projeto no âmbito da empresa. Constata-se a realização de reuniões setoriais com o objetivo de definir planos de trabalho para promover a integração de sistemas, potencializando o uso do ERP na Casa da Moeda (peça 29, p. 1-56). São verificadas iniciativas em áreas da empresa, como a implementação do módulo de exportação no ERP e a substituição do sistema PROPCOM (peça 29, p. 12), migração de planilhas do Excel para o ERP (peça 29, p. 15).

2.26.10. Contudo, a CMB considera que apenas 15% do projeto está finalizado (peça 29, p. 1), restando atividades em andamento em toda a empresa com o mesmo objetivo, qual seja a potencialização da utilização das funcionalidades do sistema ERP e a eliminação de sistemas legados, sempre que possível.

Evidências

a) OF.AUDIT/038/2014 (peça 5, p. 13);

b) projeto de integração de sistemas (peça 29, p. 1-56).

Conclusão

2.26.11. Há ações em curso na Casa da Moeda para promover a integração do sistema ERP a outros sistemas da empresa.

Proposta de encaminhamento

2.26.12. Considerar a recomendação 9.2.22 do Acórdão 2.296/2012-TCU-Plenário em implementação.

2.27. Deliberação

2.27.1. Recomendação 9.2.23: elabore processo de avaliação periódica do grau de satisfação dos usuários em relação ao uso do sistema integrado de gestão, à semelhança das orientações do objetivo de controle ME1.1 do Cobit 4.1.

Situação que levou à proposição da deliberação

2.27.2. Conforme descrito nos itens 1.6.229 a 1.6.232, foi aplicada pesquisa de satisfação dos usuários do ERP na Casa da Moeda, sendo que a presente recomendação decorreu da importância de obter informações por meio de pesquisas dessa natureza (peça 12, p. 62).

Providências adotadas e comentários dos gestores

2.27.3. Em resposta ao Ofício 68/2014-TCU/Sefti (peça 3), a CMB informa que realizou pesquisa de satisfação junto a seus usuários de TI em abril de 2013, sobre funcionalidade, confiabilidade, usabilidade, eficiência e portabilidade (peça 5, p. 9).

Análise

2.27.4. Percebe-se que o teor da pesquisa realizada pela Casa da Moeda foi semelhante ao da pesquisa realizada pela equipe de auditoria. A pesquisa contemplou questões relacionadas a tempo de uso no sistema, treinamentos realizados, avaliação das melhorias providas, facilidade no uso, dentre outros aspectos relevantes (peça 28, p. 3-9).

Evidências

a) OF.AUDIT/038/2014 (peça 5, p. 9);

b) pesquisa de satisfação (peça 28, p. 3-9).

Conclusão

2.27.5. A CMB aplicou nova pesquisa de satisfação com os usuários do sistema ERP, semelhante àquela realizada durante os trabalhos de auditoria.

Proposta de encaminhamento

2.27.6. Considerar a recomendação 9.2.23 do Acórdão 2.296/2012-TCU-Plenário implementada.

2.28. Deliberação

2.28.1. Recomendação 9.2.24: aperfeiçoe os manuais de uso de seu sistema integrado de gestão, à semelhança das orientações dos objetivos de controle AI4.2 a AI4.4 do Cobit 4.1.

Situação que levou à proposição da deliberação

2.28.2. A auditoria realizada na CMB evidenciou que os manuais de usuário disponíveis eram os fornecidos pelo fabricante do sistema, não havendo documento único que reunisse informações de auxílio ao uso de funcionalidades afetadas pelas customizações efetuadas no sistema ERP (peça 12, p. 62).

Providências adotadas e comentários dos gestores

2.28.3. Em relação à atualização e adequada manutenção dos manuais do sistema ERP, a Casa da Moeda apresentou as seguintes informações (peça 5, p. 13):

Em 2013 foram aperfeiçoados em torno de 25%dos manuais do sistema integrado de gestão (Compras, Faturamento, Estoque e Custos, Financeiro e PCP). O plano de trabalho continua em execução com previsão de término ao longo de 2014, onde serão aperfeiçoados também os manuais de Ativo Fixo, Contas a Pagar e a Receber, Livros Fiscais, Importação, Metrologia, Controle de Documentos, Controle de Não conformidades, Controle de Auditoria, Inspeção de Processos, Inspeção de entrada, gestão ambiental, gestão de pessoal, cargos e salários, Treinamento, Medicina e Segurança do Trabalho seguindo as orientações para transferência de conhecimento do processo de desenvolvimento de software com base nos objetivos de controle AI4.2 a A14.4 do Cobit 4.1.”



Análise

2.28.4. Verifica-se que a CMB iniciou os trabalhos de atualização dos manuais de sistema que, devido à necessidade de grande dispêndio de tempo para conclusão, ainda não finalizou.

2.28.5. Ressalta-se que, além da atualização que está sendo realizada, é importante incorporar a atividade de atualização de manuais ao processo de desenvolvimento de software, fazendo que essa atividade seja executada a cada liberação de nova funcionalidade nos sistemas da empresa, para garantir que as informações disponibilizadas aos usuários por meio de manuais encontrem-se permanentemente atualizadas.

Evidências

a) OF.AUDIT/038/2014 (peça 5, p. 13).

Conclusão

2.28.6. A CMB deu início aos trabalhos de atualização dos manuais de usuário do sistema ERP, que ainda não foram finalizados.

Proposta de encaminhamento

2.28.7. Considerar a recomendação 9.2.24 do Acórdão 2.296/2012-TCU-Plenário em implementação.

3. BENEFÍCIOS EFETIVOS DAS DELIBERAÇÕES

3.1. Os benefícios efetivos das deliberações serão contabilizados no próximo monitoramento do Acórdão 2.296/2012-TCU-Plenário, em conformidade com o item 33 dos Padrões de Monitoramento aprovados pela Portaria-Segecex nº 27/2009.

4. CONCLUSÃO

4.1. O quadro abaixo apresenta o panorama do cumprimento das deliberações do Acórdão 2.296/2012-TCU-Plenário:

Grau de cumprimento/implementação das deliberações

Deliberação

Cumprida

Em cumprimento

Parcialmente cumprida

Não cumprida

Não aplicável

9.1.1

X













9.1.2







X







9.1.3







X







9.1.4

X













9.1.5

X













9.1.6

X













9.1.7










X




9.1.8







X







9.1.9

X













9.1.10

X













9.1.11




X










Quantidade___6___1___3'>Quantidade

6

1

3

1

0

Percentual

55%

9%

27%

9%

0%




Deliberação

Implementada

Em implementação

Parcialmente implementada

Não implementada

Não aplicável

9.2.1

X













9.2.2

X













9.2.3

X













9.2.4




X










9.2.5







X







9.2.6




X










9.2.7




X










9.2.8




X










9.2.9




X










9.2.10

X













9.2.11




X










9.2.12










X




9.2.13




X










9.2.14




X










9.2.15




X










9.2.16




X










9.2.17




X










9.2.18




X










9.2.19

X













9.2.20




X










9.2.21










X




9.2.22




X










9.2.23

X













9.2.24




X










Quantidade

6

15

1

2

0

Percentual

25%

62,5%

4,2%

8,3%

0%

Tabela – Resumo do cumprimento das deliberações

4.2. Percebe-se que, das onze determinações da decisão monitorada, 55% foram cumpridas e 36% encontram-se em cumprimento ou parcialmente cumpridas. Apenas uma determinação não foi cumprida. A estatal adotou procedimentos de pesquisa de preços que, apesar de apresentarem nexo com o comando da deliberação, não foram adequados para dar cumprimento à mencionada determinação.

4.3. Entende-se suficiente a determinação de envio de novo plano de ação para seu cumprimento, motivo pelo qual se julga desnecessária a promoção de audiência dos gestores responsáveis pelo não cumprimento.

4.4. Quanto às recomendações, 25% foram concluídas e, por volta de 67% encontram-se em implementação ou parcialmente implementadas.

4.5. Uma vez que a situação encontrada durante a auditoria na Casa da Moeda demonstrava cenário de maturidade inicial dos processos relacionados à TI, entende-se que o grande percentual de recomendações em implementação mostra-se coerente com o processo e evolução detectado na empresa durante o monitoramento.

4.6. Assim, considera-se que deve ser conduzido novo processo de monitoramento do Acórdão 2.296/2012-TCU-Plenário para avaliar as deliberações que ainda não foram cumpridas ou implementadas.

5. PROPOSTA DE ENCAMINHAMENTO

5.1. Diante do exposto, submetem-se os autos à consideração superior, com as propostas a seguir indicadas com relação ao monitoramento do Acórdão 2.296/2012-TCU-Plenário.

5.2. Considerar cumpridas/implementadas as deliberações 9.1.1, 9.1.4, 9.1.5, 9.1.6, 9.1.9, 9.1.10, 9.2.1, 9.2.2, 9.2.3, 9.2.10, 9.2.19 e 9.2.23;

5.3. Considerar em cumprimento/implementação as deliberações 9.1.11, 9.2.4, 9.2.6 a 9.2.9, 9.2.11, 9.2.13 a 9.2.18, 9.2.20, 9.2.22 e 9.2.24;

5.4. Considerar parcialmente cumpridas/implementadas as deliberações 9.1.2, 9.1.3, 9.1.8 e 9.2.5;

5.5. Considerar não cumpridas/implementadas as deliberações 9.1.7, 9.2.12 e 9.2.21;

5.6. Determinar que a Casa da Moeda do Brasil encaminhe, no prazo de trinta dias a contar da data em que for proferida a decisão resultante do presente processo, plano de ação atualizado contemplando responsável e prazo para a implementação das deliberações do Acórdão 2.296/2012-TCU-Plenário que ainda não foram consideradas cumpridas ou implementadas;

5.7. Encaminhar à Casa da Moeda, para ciência, cópia deste acórdão, do voto e do relatório que o fundamentaram;

5.8. Apensar os presentes autos ao TC 015.574/2011-3, no qual foi proferido o Acórdão 2.296/2012-TCU-Plenário, nos termos do inciso II do art. 5º da Portaria Segecex nº 27/2009.

É o relatório.


VOTO
Trata-se de monitoramento das determinações do Acórdão 2296/2012 – TCU – Plenário, referente à auditoria que avaliou os controles adotados pela Casa da Moeda como suporte à gestão e ao uso do sistema integrado de gestão ERP (Enterprise Resource Planning), do fabricante Totvs.

A unidade técnica concluiu que foram integralmente cumpridas as determinações 9.1.1, 9.1.4, 9.1.5, 9.1.6, 9.1.9 e 9.1.10, do Acórdão 2296/2012 – TCU – Plenário, referentes a níveis de serviço aceitáveis do contrato do sistema integrado de gestão; processo de acompanhamento técnico do contrato; cadastro, no banco de dados do Sistema de Cadastramento Unificado de Fornecedores (Sicaf), de informações sobre a aplicação de sanções a fornecedores; e política de segurança da informação.

Considerando que ainda estão em curso as providências para elaboração, aprovação e divulgação de política de controle de acesso; cadastramento de contratos no Sistema Integrado de Administração de Serviços Gerais (Siasg); bem como adequações, nos futuros contratos do sistema integrado de gestão, relativas a quantitativos e valores individuais de serviços; remuneração vinculada a resultados ou ao atendimento de níveis de serviço, e pagamentos apenas daqueles efetivamente prestados, concordo com a proposta da unidade técnica de considerar em cumprimento a determinação 9.1.11; e parcialmente cumpridas as determinações 9.1.2, 9.1.3, 9.1.8 do Acórdão 2296/2012 – TCU – Plenário, conforme relatório que acompanha este voto.

Tendo em vista a não realização de pesquisa junto a empresas públicas ou privadas que contratam serviços do mesmo fornecedor e semelhantes aos contratados pela Casa da Moeda, com intuito de analisar a adequação dos preços a serem contratados, considero não cumprida a determinação 9.1.7 do Acórdão 2296/2012 – TCU – Plenário.

Em relação às recomendações do acórdão monitorado, foram consideradas implementadas as recomendações 9.2.1, 9.2.2, 9.2.3, 9.2.10, 9.2.19 e 9.2.23; em implementação ou parcialmente implementadas, 9.2.4 a 9.2.9, 9.2.11, 9.2.13 a 9.2.18, 9.2.20, 9.2.22 e 9.2.24; e não implementadas, 9.2.12 e 9.2.21.

Ante o exposto, determino à Casa da Moeda que elabore e encaminhe ao TCU plano de ação atualizado contendo ações a serem tomadas, responsáveis pelas ações e prazos para implementação dos itens do Acórdão 2296/2012 – TCU – Plenário não considerados cumpridos ou implementados.

Acolho a proposta da unidade técnica e voto no sentido de aprovar o Acórdão que ora submeto à deliberação deste Colegiado.


    1. TCU, Sala das Sessões Ministro Luciano Brandão Alves de Souza, em 2 de setembro de 2015.







    2. WALTON ALENCAR RODRIGUES

    3. Relator

ACÓRDÃO Nº 2201/2015 – TCU – Plenário


1. Processo nº TC 004.068/2014-9.

2. Grupo I – Classe de Assunto: V Monitoramento.

3. Responsáveis: Francisco de Assis Leme Franco (Presidente).

4. Órgão: Casa da Moeda do Brasil.

5. Relator: Ministro Walton Alencar Rodrigues.

6. Representante do Ministério Público: não atuou.

7. Unidade técnica: Secretaria de Fiscalização de Tecnologia da Informação (Sefti).

8. Advogado constituído nos autos: não há.


9. Acórdão:

VISTOS, relatados e discutidos estes autos de monitoramento das determinações do Acórdão 2296/2012 – TCU – Plenário, referente à auditoria que avaliou os controles adotados pela Casa da Moeda como suporte à gestão e ao uso do sistema integrado de gestão ERP (Enterprise Resource Planning), do fabricante Totvs;

ACORDAM os Ministros do Tribunal de Contas da União, reunidos em sessão do Plenário, ante as razões expostas pelo Relator, em:

9.1. considerar cumpridas as deliberações 9.1.1, 9.1.4 a 9.1.6, 9.1.9, 9.1.10, 9.2.1 a 9.2.3, 9.2.10, 9.2.19 e 9.2.23; em cumprimento as deliberações 9.1.11, 9.2.4, 9.2.6 a 9.2.9, 9.2.11, 9.2.13 a 9.2.18, 9.2.20, 9.2.22 e 9.2.24; parcialmente cumpridas as deliberações 9.1.2, 9.1.3, 9.1.8 e 9.2.5; e não cumpridas as deliberações 9.1.7, 9.2.12 e 9.2.21, todas do Acórdão 2296/2012 – TCU – Plenário;

9.2. determinar à Casa da Moeda, com fundamento no art. 250, inciso II, do Regimento Interno do TCU, que elabore e encaminhe ao TCU, em trinta dias, plano de ação contendo ações a serem tomadas, responsáveis pelas ações e prazos para implementação referentes às deliberações do Acórdão 2296/2012 – TCU – Plenário consideradas em cumprimento, parcialmente cumpridas e não cumpridas, listadas no item 9.1 deste acórdão;

9.3. apensar os autos deste processo ao TC 015.574/2011-3.


10. Ata n° 35/2015 – Plenário.

11. Data da Sessão: 2/9/2015 – Ordinária.

12. Código eletrônico para localização na página do TCU na Internet: AC-2201-35/15-P.

13. Especificação do quorum:

13.1. Ministros presentes: Raimundo Carreiro (na Presidência), Walton Alencar Rodrigues (Relator), Benjamin Zymler, José Múcio Monteiro, Ana Arraes e Vital do Rêgo.

13.2. Ministro-Substituto convocado: Marcos Bemquerer Costa.

13.3. Ministro-Substituto presente: Weder de Oliveira.



(Assinado Eletronicamente)

RAIMUNDO CARREIRO



(Assinado Eletronicamente)

WALTON ALENCAR RODRIGUES



na Presidência

Relator

Fui presente:

(Assinado Eletronicamente)

PAULO SOARES BUGARIN



Procurador-Geral




Compartilhe com seus amigos:


©aneste.org 2020
enviar mensagem

    Página principal
Universidade federal
Prefeitura municipal
santa catarina
universidade federal
terapia intensiva
Excelentíssimo senhor
minas gerais
união acórdãos
Universidade estadual
prefeitura municipal
pregão presencial
reunião ordinária
educaçÃo universidade
público federal
outras providências
ensino superior
ensino fundamental
federal rural
Palavras chave
Colégio pedro
ministério público
senhor doutor
Dispõe sobre
Serviço público
Ministério público
língua portuguesa
Relatório técnico
conselho nacional
técnico científico
Concurso público
educaçÃo física
pregão eletrônico
consentimento informado
recursos humanos
ensino médio
concurso público
Curriculum vitae
Atividade física
sujeito passivo
ciências biológicas
científico período
Sociedade brasileira
desenvolvimento rural
catarina centro
física adaptada
Conselho nacional
espírito santo
direitos humanos
Memorial descritivo
conselho municipal
campina grande