• Art. 37, caput) A administração pública direta e indireta de qualquer dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios obedecerá aos princípios de legalidade, impessoalidade, moralidade, publicidade e eficiência e, também, ao seguinte: (Redação dada pela Emenda Constitucional nº 19, de 1998)

• Art. 70) A fiscalização contábil, financeira, orçamentária, operacional e patrimonial da União e das entidades da administração direta e indireta, quanto à legalidade, legitimidade, economicidade, aplicação das subvenções e renúncia de receitas, será exercida pelo Congresso Nacional, mediante controle externo, e pelo sistema de controle interno de cada Poder.

• p.19 4.4. Gerência de Processos O processo é o centro prático da gestão pela Qualidade. Isto significa: • identificar e analisar os processos da organização; • estabelecer metas de melhoria e aperfeiçoamento desses processos; • avaliar os processos pelos resultados frente aos clientes; • normalizar os estágios de desenvolvimento atingidos pelos processos.

• p.5 IT governance is the responsibility of executives and the board of directors, and consists of the leadership, organisational structures and processes that ensure that the enterprise’s IT sustains and extends the organisation’s strategies and objectives.

• p.1 As firms strive to generate value from information technology (IT), managers are increasingly aware that IT-related decisions and behaviors must be aligned with organizational performance goals. But many individuals throughout organizations make daily decisions influencing the value received from IT. IT governance is the process by which firms align IT actions with their performance goals and assign accountability for those actions and their outcomes. To be effective, IT governance must be actively designed, not the result of isolated mechanisms (e.g. steering committee, office of IT architecture, service level agreements) implemented at different times to address the challenge of the moment. […] IT governance is the decision rights and accountability framework for encouraging desirable behaviors in the use of IT. IT governance reflects broader corporate governance principles while focusing on the management and use of IT to achieve corporate performance goals. Because IT outcomes are often hard to measure, firms must assign responsibility for desired outcomes and assess how well they achieve them. IT governance shouldn’t be considered in isolation because IT is linked to other key enterprise assets (i.e. financial, human, intellectual property, physical and relationships). Thus, IT governance might share mechanisms (such as executive committees and budget processes) with other asset governance processes, thereby coordinating enterprisewide decision making processes.

• p.8 Governança de TI: a especificação dos direitos decisórios e do framework de responsabilidades para estimular comportamentos desejáveis na utilização da TI.

• p.166 ME4 Provide IT Governance.

• p.166 ME4.1 Establishment of an IT Governance Framework. Define, establish and align the IT governance framework with the overall enterprise governance and control environment. Base the framework on a suitable IT process and control model and provide for unambiguous accountability and practices to avoid a breakdown in internal control and oversight. Confirm that the IT governance framework ensures compliance with laws and regulations and is aligned with, and confirms delivery of, the enterprise’s strategies and objectives. Report IT governance status and issues.

• p.166 ME4.2 Strategic Alignment. Enable board and executive understanding of strategic IT issues, such as the role of IT, technology insights and capabilities. Ensure that there is a shared understanding between the business and IT regarding the potential contribution of IT to the business strategy. Work with the board and the established governance bodies, such as an IT strategy committee, to provide strategic direction to management relative to IT, ensuring that the strategy and objectives are cascaded into business units and IT functions, and that confidence and trust are developed between the business and IT. Enable the alignment of IT to the business in strategy and operations, encouraging co-responsibility between the business and IT for making strategic decisions and obtaining benefits from IT-enabled investments.

• p.166 ME4.3 Value Delivery. Manage IT-enabled investment programmes and other IT assets and services to ensure that they deliver the greatest possible value in supporting the enterprise’s strategy and objectives. Ensure that the expected business outcomes of IT-enabled investments and the full scope of effort required to achieve those outcomes are understood; that comprehensive and consistent business cases are created and approved by stakeholders; that assets and investments are managed throughout their economic life cycle; and that there is active management of the realisation of benefits, such as contribution to new services, efficiency gains and improved responsiveness to customer demands. Enforce a disciplined approach to portfolio, programme and project management, insisting that the business takes ownership of all IT-enabled investments and IT ensures optimisation of the costs of delivering IT capabilities and services.

• p.166 ME4.4 Resource Management. Oversee the investment, use and allocation of IT resources through regular assessments of IT initiatives and operations to ensure appropriate resourcing and alignment with current and future strategic objectives and business imperatives.

• p.166 ME4.5 Risk Management. Work with the board to define the enterprise’s appetite for IT risk, and obtain reasonable assurance that IT risk management practices are appropriate to ensure that the actual IT risk does not exceed the board’s risk appetite. Embed risk management responsibilities into the organisation, ensuring that the business and IT regularly assess and report IT-related risks and their impact and that the enterprise’s IT risk position is transparent to all stakeholders.

• p.166 ME4.6 Performance Measurement. Confirm that agreed-upon IT objectives have been met or exceeded, or that progress toward IT goals meets expectations. Where agreed-upon objectives have been missed or progress is not as expected, review management’s remedial action. Report to the board relevant portfolios, programme and IT performance, supported by reports to enable senior management to review the enterprise’s progress toward identified goals.

• p.166 ME4.7 Independent Assurance. Obtain independent assurance (internal or external) about the conformance of IT with relevant laws and regulations; the organisation’s policies, standards and procedures; generally accepted practices; and the effective and efficient performance of IT.

• 9.3.3. adote metodologias de mensuração de serviços prestados que privilegiem a remuneração das contratadas mediante a mensuração de resultados e que eliminem a possibilidade de remunerar as empresas com base na quantidade de horas trabalhadas ou nos postos de trabalho;

• 9.3.4. na formulação das metodologias de mensuração de serviços, contemple os seguintes aspectos, entre outros que venham a ser considerados cabíveis pelo órgão: a fixação de critérios de mensuração dos serviços prestados, incluindo as métricas e formas de mensuração adotadas; a fixação de critérios de aferição da adequação do serviço à especificação e à qualidade esperada com vistas à aceitação e pagamento; a utilização de um documento específico destinado ao controle de serviços prestados (como ordem de serviço ou solicitação de serviço); a previsão de acompanhamento e fiscalização concomitantes àexecução para evitar distorções na aplicação dos critérios;

• 9.3.6. explicite nos editais a metodologia de mensuração de serviços adotada para cada modalidade de serviços e a quantificação da demanda máxima de serviço, que deve ser definida segundo a metodologia adotada e as características pertinentes ao modelo de contratação escolhido (i. e. locação de mão-de-obra ou prestação de serviços mensurados pelos resultados), fundamentando, no respectivo processo, as previsões estabelecidas;

• 9.3.16. faça constar, em anexos dos contratos, todos os elementos essenciais à caracterização detalhada do objeto, da qualificação de pessoal, das metodologias de mensuração e da quantificação de demanda máxima dos serviços prestados, com vistas a simplificar o processo de gestão contratual;

• 9.1.11. defina os parâmetros que deverão ser utilizados para balizar a mensuração da disponibilidade do banco de dados, incluindo o horário que será considerado na medição da variável, a abrangência da responsabilidade da contratada e a forma de contabilização das paradas para manutenção no percentual de disponibilidade, entre outros pontos que venham a ser considerados cabíveis;

• 9.1.11. defina os parâmetros que deverão ser utilizados para balizar a mensuração da disponibilidade da rede corporativa de computadores, incluindo o horário que será considerado na medição da variável, a abrangência da responsabilidade da contratada e a forma de contabilização das paradas para manutenção no percentual de disponibilidade, entre outros pontos que venham a ser considerados cabíveis;

• 9.1.2. faça constar do edital a metodologia de mensuração de serviços e resultados, inclusive os critérios de controle e remuneração dos serviços executados, relativamente ao item 1.2 do objeto, levando em consideração a determinação contida no item 9.1.1 supra e as determinações exaradas nos Acórdãos do Plenário 667/2005, 2.103/2005, 2.171/2005 e 2.172/2005;

• 9.3.1. dê preferência ao modelo de contratação de execução indireta de serviços baseado na prestação e remuneração mensuradas por resultados, sempre que esse modelo for compatível com os serviços licitados;

• 9.3.2. faça constar do edital a metodologia de mensuração de serviços e resultados, inclusive os critérios de controle e remuneração dos serviços executados, levando em consideração as determinações exaradas nos subitens 9.3.1 a 9.3.6 do Acórdão nº 667/2005 e subitens 9.1.1 e 9.1.2 do Acórdão nº 786/2006, ambos do Plenário;

• 9.3.5. estabeleça critérios de aferição do adimplemento das obrigações contratuais, com base na mensuração de resultados, evitando o pagamento de valores fixos, em observância ao princípio da economicidade e em consonância com o Acórdão 667/2005-TCU-Plenário, item 9.3 e subitens;

• 2.1. Deverão constar do Plano de Trabalho para a contratação de serviços, no que couber: a) Parâmetros cabíveis para medição e(ou) verificação dos resultados, em termos de quantidade e qualidade; b) Quantificação fundamentada na demanda existente ou prevista, bem como nos resultados esperados; c) Aproveitamento de servidores do quadro, quando for o caso; d) Descrição dos bens, equipamentos e instalações que a Administração disponibilizará às contratadas para a execução dos serviços; e) Critérios de controles e registros a serem adotados.

• [Relatório]6.19 [...]"19. Nos moldes do atual edital, a área de informática do ministério ficaria dependente de única empresa, não obstante os serviços componham distintos processos de trabalho. 20. Não se nega que a contratação de uma única prestadora facilita a gestão do contrato. Todavia, a economia em relação aos controles pode ser suplantada pelos prejuízos decorrentes da vinculação a um único prestador de serviços. A instituição fica fragilizada tanto pela eventualidade da empresa não cumprir o acordado, comprometendo todo o sistema, quanto pela relação de dependência que se estabelece frente à prestadora no tocante à segurança e manipulação das informações.

• [Voto do Relator]18. A meu ver, a entidade adotou um sistema de remuneração híbrido que, embora utilize as horas trabalhadas como referencial, condiciona o pagamento à entrega de resultados. A propósito, chamo a atenção para o fato de que foram estabelecidos controles para acompanhamento e avaliação dos trabalhos desenvolvidos, inclusive sujeitando a realização dos pagamentos à aceitação dos serviços pela agência. Assim, considerando que se evitou a previsão de remuneração baseada simplesmente no total de horas gastas nas atividades e que se adotou uma metodologia que se ajusta às diretrizes constantes do Acórdão 786/2006-Plenário, entendo satisfatórias as providências tomadas, em consonância com o parecer da unidade técnica.

• p.28 INFORMAÇÕES GERAIS A CONSTAR DO RELATÓRIO DE AUDITORIA DE GESTÃO PARA PROCESSOS COMPLETOS. 01-Avaliação dos resultados quantitativos e qualitativos da gestão, em especial quanto à eficácia e eficiência no cumprimento dos objetivos e metas (físicas e financeiras) planejados e/ou pactuados, apontando as causas que prejudicaram o desempenho da ação administrativa e as providências adotadas; 02-Avaliação sobre a qualidade e confiabilidade dos indicadores utilizados para avaliar o desempenho da gestão, bem como dos controles internos implementados pelos gestores para evitar ou minimizar os riscos inerentes à execução orçamentária, financeira, operacional e patrimonial;

• [Relatório]123.3. Definição da forma de aferir o nível de maturidade dos processos de contratação e gestão contratual e da área de TI. O aumento de maturidade pode ser entendido como a implementação gradual de processos de trabalho e a melhoria gradual dos processos já existentes com o objetivo de melhorar os resultados alcançados. Portanto, a aferição de maturidade funciona como um termômetro da gestão de um processo ou de uma unidade de TI, de modo que se possa formar um juízo fundamentado de como o processo ou a unidade está e de quais são os riscos existentes, para adotar medidas corretivas bem focadas e implementar os controles necessários para evitar novas ocorrências. A premissa é a de que a maturidade de um órgão ou entidade na área de contratação e de gestão de contratos de TI está relacionada com o risco de apresentar problemas nessa área, como baixo alinhamento entre os serviços contratados e o negócio do órgão ou entidade, desperdício de recursos (e.g. contratar um sistema que não se sabe se é usado ou não, como foi informado no Acórdão 1.558/2003-P do TCU, item 4.2.5.22 do Relatório do Ministro-Relator) e ilegalidades nas contratações. A partir da aferição da maturidade, que serve para se descobrir qual é a situação atual, pode-se tomar medidas de melhoria, como definir quais processos de trabalho implantar ou aperfeiçoar, contratar gerentes de TI mais qualificados ou alocar recursos financeiros compatíveis com a maturidade da área de TI do órgão ou entidade. Neste contexto, é razoável que a alocação de orçamento de TI para um determinado órgão ou entidade seja proporcional à maturidade de sua área de contratação e de gestão de contratos de TI. Aparentemente, quanto mais imatura a área de contratação e de gestão de contratos de serviços de TI, maiores as chances de ela cometer erros como solicitar a contratação de soluções de TI inúteis, ou especificar condições contratuais que onerem o contrato e que não sejam usadas (e.g. níveis de serviço elevados que não sejam cobrados). Como referência para aferição de maturidade da área de contratação e gestão de contratos de TI, podemos citar o MPS.BR - Guia de Aquisição, voltado para a contratação de softwares e serviços correlatos, e o modelo Cobit - Control Objectives for Information and Related Technology, que inclui modelos de maturidade para diversos processos de trabalho da área de TI como um todo.

• 9.2.12. em atenção ao princípio da segregação de funções, caso seja estritamente necessária a terceirização das medidas de ponto de função a serem repassadas à fábrica de software, atribua esta atividade a uma contratada distinta daquela que desenvolverá o software. Caso não seja possível essa segregação de atividades, implante controles no processo de medição, adotando parâmetros de benchmark (comparação de mercado) e fazendo medições paralelas para evitar vícios do terceirizado na estipulação dos esforços que ele mesmo venha a executar em sua fábrica, em função do nítido conflito de interesses;

• [Relatório]3.9. Registre-se que esta base é necessária aos controles preconizados pelo Cobit, por meio do objetivo de controle ME3.1 - Identificar leis e regulamentos que têm impacto potencial na TI (tradução livre).

• p.35 3.6 Controles internos. O principal executivo é responsável pela criação de sistemas de controle internos que organizem e monitorem um fluxo de informações corretas, reais e completas sobre a sociedade, como as de natureza financeira, operacional, de obediência às leis e outras que apresentem fatores de risco importantes. A efetividade de tais sistemas deve ser revista no mínimo anualmente.

• p.161-164 ME3.Assegurar a conformidade com os requerimentos externos

• Art. 6º) A administração indicará um gestor do contrato, que será responsável pelo acompanhamento e fiscalização da sua execução, procedendo ao registro das ocorrências e adotando as providências necessárias ao seu fiel cumprimento, tendo por parâmetro os resultados previstos no contrato.